Aggiornamenti del client OfficeScan
Transcript
Aggiornamenti del client OfficeScan
Per medie e grandi aziende Guida per l'amministratore Endpoint Security Protected Cloud Web Security Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa documentazione e ai prodotti in essa descritti senza alcun obbligo di notifica. Prima dell'installazione e dell'utilizzo del software, leggere con attenzione i file Readme, le note sulla versione corrente e l'ultima edizione della relativa documentazione dell'utente, che sono disponibili presso il sito Web di Trend Micro all'indirizzo: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Trend Micro, il logo Trend Micro della pallina con il disegno di una T, OfficeScan, Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall e TrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari. Copyright © 1998-2011 Trend Micro Incorporated. Tutti i diritti riservati. Codice documento: OSEM104848/110518 Data di pubblicazione: agosto 2011 Protetto da brevetti USA n. 5,623,600; 5,889,943; 5,951,698; 6,119,165 La documentazione dell'utente di Trend Micro OfficeScan è destinata alla presentazione delle caratteristiche principali del software e alle istruzioni per l'installazione nell'ambiente di produzione dell'utente. Prima di procedere all'installazione o all'utilizzo del software, leggere attentamente questa documentazione. Altre informazioni dettagliate sull'uso di funzioni specifiche del software sono disponibili nel file della guida in linea e nella Knowledge Base sul sito Web di Trend Micro. Trend Micro si impegna continuamente a migliorare la propria documentazione. Per domande, commenti o suggerimenti riguardanti questo o qualsiasi documento Trend Micro, scrivere all'indirizzo [email protected]. È possibile esprimere un giudizio sulla documentazione al seguente indirizzo: http://www.trendmicro.com/download/documentation/rating.asp Sommario Sommario Sezione 1: Introduzione e informazioni preliminari Prefazione Documentazione di OfficeScan ........................................................................ 4 Destinatari ............................................................................................................5 Convenzioni utilizzate nella documentazione ................................................ 5 Terminologia ........................................................................................................ 7 Capitolo 1: Introduzione a OfficeScan Informazioni su OfficeScan .......................................................................... 1-2 Novità della versione ...................................................................................... 1-3 Principali funzioni e vantaggi ........................................................................ 1-7 Il Server OfficeScan ...................................................................................... 1-10 Il Client OfficeScan ...................................................................................... 1-11 Integrazione con i prodotti e i servizi Trend Micro ................................ 1-12 Capitolo 2: Informazioni preliminari su OfficeScan La console Web ............................................................................................... 2-2 Dashboard Riepilogo ...................................................................................... 2-5 Widget disponibili .................................................................................... 2-11 Active Directory Integration ....................................................................... 2-28 Sincronizzazione dei dati con i domini di Active Directory .............. 2-30 i Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore La struttura client OfficeScan ......................................................................2-31 Operazioni generali della struttura dei client ........................................2-32 Opzioni di ricerca avanzate ................................................................2-34 Operazioni specifiche della struttura dei client ....................................2-34 Domini OfficeScan .......................................................................................2-43 Raggruppamento client ............................................................................2-44 Raggruppamento client manuale ............................................................2-45 Raggruppamento automatico dei client ................................................2-46 Definizione di una regola di raggruppamento dei client in base ai domini Active Directory ..................................................2-48 Definizione di una regola di raggruppamento dei client in base agli indirizzi IP ......................................................................2-50 Operazioni di raggruppamento dei client .............................................2-51 Sezione 2: Protezione dei computer collegati in rete Capitolo 3: Utilizzo di Trend Micro Smart Protection Informazioni su Trend Micro Smart Protection ........................................ 3-2 Servizi Smart Protection ................................................................................. 3-3 Servizi di reputazione file ......................................................................... 3-4 Servizi di reputazione Web ...................................................................... 3-4 Smart Feedback .......................................................................................... 3-5 Origini Smart Protection ................................................................................ 3-6 File Smart Protection Pattern ........................................................................ 3-9 Impostazione dei Servizi Smart Protection ...............................................3-14 Installazione di Smart Protection Server ..............................................3-14 Gestione di Integrated Smart Protection Server .................................3-16 Elenco delle origini Smart Protection ...................................................3-20 Impostazioni proxy connessione client .................................................3-27 Impostazioni sulla località del computer ..............................................3-27 Installazioni di Trend Micro Network VirusWall ................................3-28 Utilizzo dei servizi Smart Protection ..........................................................3-28 ii Sommario Capitolo 4: Installazione del Client OfficeScan Installazione da zero del client ...................................................................... 4-2 Considerazioni sull'installazione ................................................................... 4-2 Funzioni del client ................................................................................. 4-3 Installazione del client e supporto IPv6 ............................................ 4-6 Indirizzi IP del client ............................................................................ 4-8 Metodi di installazione ................................................................................. 4-10 Installazione dalla pagina di installazione Web .................................... 4-12 Avvio installazione basata sul browser ............................................ 4-14 Installazione con Impostazione script di accesso ............................... 4-15 Installazione con Client Packager .......................................................... 4-17 Implementazione di un pacchetto MSI utilizzando Active Directory ................................................................... 4-24 Implementazione di un pacchetto MSI utilizzando Microsoft SMS ...................................................................... 4-25 Installazione remota dalla console Web OfficeScan .......................... 4-29 Installazione con Conformità sicurezza ............................................... 4-31 Installazione dall'immagine disco del client ......................................... 4-33 Utilizzo di Vulnerability Scanner ........................................................... 4-34 Esecuzione delle scansioni di vulnerabilità ..................................... 4-39 Impostazioni di Scansione vulnerabilità .......................................... 4-47 Migrazione al client OfficeScan .................................................................. 4-56 Migrazione da altro software di protezione endpoint ........................ 4-56 Migrazione dai normali server ServerProtect ...................................... 4-57 Post-installazione .......................................................................................... 4-61 Attività post-installazione consigliate .................................................... 4-62 Disinstallazione del client ............................................................................ 4-63 Disinstallazione del client dalla console Web ...................................... 4-64 Esecuzione del programma di disinstallazione del client ................... 4-65 Disinstallazione manuale del client ....................................................... 4-66 iii Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Capitolo 5: Come mantenere la protezione aggiornata Programmi e componenti di OfficeScan ..................................................... 5-2 Componenti antivirus ................................................................................ 5-3 Componenti di Damage Cleanup Services ............................................. 5-6 Componenti anti-spyware ......................................................................... 5-6 Componenti firewall .................................................................................. 5-7 Componente di Reputazione Web ...........................................................5-7 Componenti monitoraggio del comportamento .................................... 5-7 Programmi ................................................................................................... 5-8 Panoramica sugli aggiornamenti ..................................................................5-10 Aggiornamenti server OfficeScan ...............................................................5-14 Origini aggiornamenti del server OfficeScan .......................................5-16 Proxy per gli aggiornamenti del server OfficeScan ........................5-18 Duplicazione dei componenti del server OfficeScan .....................5-18 Aggiornamento del server OfficeScan isolato .................................5-21 Metodi di aggiornamento del server OfficeScan .................................5-23 Aggiornamenti pianificati del server OfficeScan ............................5-24 Aggiornamenti manuali del server OfficeScan ................................5-24 Registri aggiornamenti server OfficeScan .............................................5-25 Aggiornamenti di Integrated Smart Protection Server ............................5-25 Aggiornamenti del client OfficeScan ..........................................................5-26 Origini di aggiornamento client OfficeScan .........................................5-27 Origine aggiornamenti standard per i client OfficeScan ...............5-28 Origini aggiornamenti personalizzate per i client OfficeScan ......5-29 Server ActiveUpdate come origine di aggiornamento del client OfficeScan .............................................................................5-33 Metodi di aggiornamento del client OfficeScan ..................................5-34 Aggiornamenti automatici del client OfficeScan ............................5-34 Aggiornamenti pianificati del client con NAT ................................5-39 Aggiornamenti manuali del client OfficeScan .................................5-40 Privilegi di aggiornamento e altre impostazioni per i client OfficeScan .................................................................................5-41 Spazio su disco riservato per gli aggiornamenti del client OfficeScan .................................................................................5-44 iv Sommario Proxy per gli aggiornamenti dei componenti del client OfficeScan ................................................................................ 5-45 Notifiche di aggiornamento del client OfficeScan .............................. 5-47 Registri aggiornamenti client OfficeScan ............................................. 5-48 Implementazione degli aggiornamenti del client OfficeScan ............ 5-48 Rollback dei componenti per i client OfficeScan ............................... 5-49 Touch Tool per hot fix del client OfficeScan ...................................... 5-50 Update Agent ................................................................................................. 5-51 Requisiti di sistema per gli Update Agent ............................................ 5-51 Configurazione di Update Agent ........................................................... 5-51 Origini aggiornamenti per gli Update Agent ....................................... 5-53 Origine aggiornamenti standard per gli Update Agent ................. 5-53 Origini aggiornamenti personalizzate per gli Update Agent ........ 5-54 Duplicazione dei componenti di Update Agent ............................. 5-56 Metodi di aggiornamento per Update Agent ....................................... 5-57 Segnalazione analitica di Update Agent ................................................ 5-58 Riepilogo aggiornamento componenti ...................................................... 5-59 Capitolo 6: Analisi dei rischi per la sicurezza Informazioni sui rischi per la sicurezza ....................................................... 6-2 Virus e minacce informatiche .................................................................. 6-2 Spyware e grayware .................................................................................... 6-4 In che modo spyware e grayware penetrano nelle reti .................... 6-5 Rischi e minacce potenziali .................................................................. 6-6 Protezione da spyware e grayware ...................................................... 6-7 Metodi di scansione ........................................................................................ 6-8 Tipi di scansione ........................................................................................... 6-15 Scansione in tempo reale ........................................................................ 6-16 Scansione manuale ................................................................................... 6-19 Scansione pianificata ................................................................................ 6-21 Esegui scansione ...................................................................................... 6-24 Avvio di Esegui scansione ................................................................. 6-26 Impostazioni comuni a tutti i tipi di scansione ........................................ 6-28 Parametri di scansione ............................................................................. 6-28 Esclusioni scansione ................................................................................ 6-32 v Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Azioni di scansione ..................................................................................6-36 Azioni di scansione di virus/minacce informatiche .......................6-36 Azioni di scansione spyware/grayware ............................................6-48 Privilegi scansione e altre impostazioni .....................................................6-52 Privilegi tipo di scansione ........................................................................6-52 Privilegi scansione pianificata e altre impostazioni .............................6-55 Privilegi scansione e-mail e altre impostazioni .....................................6-60 Impostazioni cache per le scansioni ......................................................6-63 Impostazioni globali di scansione ...............................................................6-67 Notifiche sui rischi per la sicurezza ............................................................6-77 Notifiche dei rischi per la sicurezza per gli amministratori ................6-77 Notifiche dei rischi per la sicurezza per gli utenti client .....................6-81 Registri dei rischi per la sicurezza ...............................................................6-84 Registri di virus/minacce informatiche .................................................6-84 Registri di spyware/grayware ..................................................................6-91 Registri di ripristino spyware/grayware ................................................6-93 Registri di scansione .................................................................................6-94 Rischi per la sicurezza ...................................................................................6-95 Notifiche e criteri dei rischi per la sicurezza ........................................6-95 Prevenzione dei rischi per la sicurezza ..................................................6-99 Criteri per la prevenzione delle infezioni ............................................6-100 Limita/impedisci l'accesso alle cartelle condivise .........................6-100 Blocco delle porte ..............................................................................6-101 Impedisci accesso alla scrittura di file e cartelle ............................6-103 Disattivazione della prevenzione delle infezioni ...............................6-104 Capitolo 7: Uso di Monitoraggio del comportamento Monitoraggio del comportamento ................................................................ 7-2 Privilegi di monitoraggio del comportamento ............................................ 7-9 Notifiche di Monitoraggio del comportamento per gli utenti dei client ................................................................................................7-10 Registri di Monitoraggio del comportamento ...........................................7-12 vi Sommario Capitolo 8: Utilizzo di Controllo dispositivo Controllo dispositivo ...................................................................................... 8-2 Notifiche di Controllo dispositivo ............................................................. 8-16 Registri di controllo dispositivo .................................................................. 8-17 Capitolo 9: Gestione della Protezione dati e utilizzo di Controllo risorse digitali Installazione di Protezione dati ..................................................................... 9-2 Licenza di Protezione dati ............................................................................. 9-4 Implementazione di Protezione dati ai client ............................................. 9-6 Informazioni su Controllo risorse digitali ................................................... 9-9 Criteri di Controllo risorse digitali .............................................................. 9-10 Definizioni di risorse digitali .................................................................. 9-12 Espressioni ........................................................................................... 9-12 Attributi di file ..................................................................................... 9-26 Parole chiave ........................................................................................ 9-32 Modelli di risorse digitali ......................................................................... 9-42 Modelli di risorse digitali predefiniti ................................................. 9-42 Modelli di risorse digitali personalizzati ........................................... 9-44 Canali di Controllo risorse digitali ......................................................... 9-49 Canali di rete ........................................................................................ 9-49 Canali di applicazioni e sistemi ......................................................... 9-56 Azioni di Controllo risorse digitali ........................................................ 9-61 Regole di decompressione ...................................................................... 9-62 Configurazione dei criteri di Controllo risorse digitali ....................... 9-66 Strumento elenco dispositivi ............................................................. 9-69 Widget di Controllo risorse digitali ............................................................ 9-70 Notifiche di Controllo risorse digitali ........................................................ 9-70 Notifiche di Controllo risorse digitali per amministratori ................. 9-70 Notifiche di Controllo risorse digitali per gli utenti client ................. 9-73 Registri di Controllo risorse digitali .......................................................... 9-74 Disinstallazione di Protezione dati ............................................................. 9-79 vii Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Capitolo 10: Protezione dei computer dalle minacce Web Minacce Web ..................................................................................................10-2 Reputazione Web ..........................................................................................10-2 Criteri di reputazione Web ...........................................................................10-3 Proxy per la Reputazione Web ....................................................................10-8 Notifiche di minacce Web per utenti client ..............................................10-8 Registri di Reputazione Web .......................................................................10-9 Capitolo 11: Utilizzo del firewall di OfficeScan Informazioni sul Firewall di OfficeScan ....................................................11-2 Attivazione o disattivazione del Firewall di OfficeScan ..........................11-6 Criteri e profili del firewall ...........................................................................11-7 Criteri firewall ............................................................................................11-8 Aggiunta o modifica di un criterio firewall ....................................11-10 Modifica del modello di eccezione del firewall .............................11-12 Profili firewall ..........................................................................................11-16 Aggiunta e modifica di un profilo firewall .....................................11-19 Privilegi firewall ...........................................................................................11-22 Impostazioni firewall globali ......................................................................11-24 Notifiche di violazione del firewall per utenti client ..............................11-26 Registri del firewall ......................................................................................11-27 Infezioni da violazione del firewall ...........................................................11-28 Test del firewall di OfficeScan ..................................................................11-30 viii Sommario Sezione 3: Gestione di server e client OfficeScan Capitolo 12: Gestione del server OfficeScan Role-based Administration (RBA) ............................................................. 12-2 Ruoli utente ............................................................................................... 12-3 Account utente ....................................................................................... 12-20 Trend Micro Control Manager ................................................................. 12-24 Server di riferimento ................................................................................... 12-28 Impostazioni notifica amministratore ...................................................... 12-30 Registri eventi di sistema ............................................................................ 12-32 Gestione dei registri .................................................................................... 12-33 Licenze .......................................................................................................... 12-36 OfficeScan Database Backup .................................................................... 12-39 Informazioni sul server Web OfficeScan ................................................ 12-41 Password della console Web ..................................................................... 12-42 Impostazioni della console Web ............................................................... 12-42 Gestore della quarantena ........................................................................... 12-43 Server Tuner ................................................................................................ 12-44 Smart Feedback ........................................................................................... 12-47 Capitolo 13: Gestione dei client OfficeScan Località computer ......................................................................................... 13-2 Utilità di importazione impostazioni gateway ..................................... 13-4 Gestione programma client OfficeScan .................................................... 13-6 Servizi del client ........................................................................................ 13-6 Riavvio servizio del client ..................................................................... 13-11 Protezione automatica del client .......................................................... 13-12 Client Security ......................................................................................... 13-15 ix Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Restrizione di accesso per console client ............................................13-16 Rimozione del client ..............................................................................13-17 Privilegio di roaming del client .............................................................13-18 Client Mover ...........................................................................................13-20 Client inattivi ...........................................................................................13-22 Connessione client-server ..........................................................................13-23 Icone del client ........................................................................................13-23 Soluzioni ai problemi indicati nelle icone del client .....................13-42 Verifica della connessione client-server ..............................................13-45 Registri di verifica connessione ............................................................13-46 Client non raggiungibili .........................................................................13-47 Impostazioni proxy del client ....................................................................13-51 Proxy interno per client .........................................................................13-51 Proxy esterno per client .........................................................................13-53 Privilegi configurazione proxy per client ............................................13-54 Impostazioni proxy automatiche per client ........................................13-55 Informazioni sui client ................................................................................13-56 Importazione ed esportazione delle impostazioni client .......................13-56 Conformità sicurezza ..................................................................................13-58 Conformità sicurezza per i client gestiti ..............................................13-58 Segnalazioni conformità su richiesta ..............................................13-66 Segnalazioni conformità pianificate ................................................13-69 Conformità sicurezza per endpoint non gestiti .................................13-70 Supporto Trend Micro Virtual Desktop ..................................................13-76 Installazione del supporto Virtual Desktop .......................................13-77 Licenza del supporto Virtual Desktop ................................................13-78 Connessioni VMware/Citrix ................................................................13-80 Strumento di generazione del modello di prescansione VDI ..........13-82 Privilegi e altre impostazioni del client .....................................................13-85 Impostazioni client globali .........................................................................13-88 x Sommario Sezione 4: Protezione aggiuntiva Capitolo 14: Uso di Plug-in Manager Informazioni su Plug-in Manager ............................................................... 14-2 Novità della versione .................................................................................... 14-3 Installazione di Plug-in Manager ................................................................ 14-4 Gestione delle funzioni OfficeScan native ................................................ 14-5 Gestione dei programmi plug-in ................................................................. 14-5 Disinstallazione di Plug-in Manager ......................................................... 14-10 Risoluzione dei problemi di Plug-in Manager ........................................ 14-11 Capitolo 15: Utilizzo di Policy Server per Cisco NAC Informazioni su Policy Server per Cisco NAC ........................................ 15-2 Componenti e termini .................................................................................. 15-3 Architettura Cisco NAC .............................................................................. 15-7 La sequenza di convalida client ................................................................... 15-8 Policy Server ................................................................................................ 15-10 Criteri e regole di Policy Server ........................................................... 15-11 Composizione delle regole .................................................................... 15-12 Regole predefinite .................................................................................. 15-14 Composizione dei criteri ....................................................................... 15-17 Criteri predefiniti .................................................................................... 15-18 Sincronizzazione ......................................................................................... 15-19 Certificati ...................................................................................................... 15-19 Certificato CA ......................................................................................... 15-21 Requisiti di sistema per Policy Server ...................................................... 15-22 Requisiti per Cisco Trust Agent (CTA) ................................................... 15-23 Piattaforme compatibili e requisiti ........................................................... 15-24 xi Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Implementazione di Policy Server per NAC ...........................................15-26 Iscrizione del server Cisco Secure ACS ..............................................15-27 Installazione di un certificato CA ........................................................15-27 Implementazione di Cisco Trust Agent ..............................................15-29 Implementazione di CTA durante l'installazione del server OfficeScan ...........................................................................15-29 Implementazione di CTA dalla console Web OfficeScan ...........15-30 Verifica dell'installazione di Cisco Trust Agent ............................15-34 Installazione di Policy Server per Cisco NAC ...................................15-34 Preparazione del certificato SSL di Policy Server ..............................15-37 Configurazione del server ACS ............................................................15-39 Configurazione di Policy Server for Cisco NAC ...............................15-40 Configurazione di Policy Server da OfficeScan ............................15-41 Informazioni riepilogative di un Policy Server .............................15-42 Registrazione di Policy Server .........................................................15-43 Regole ..................................................................................................15-43 Criteri ...................................................................................................15-44 Registri di convalida dei client .........................................................15-44 Manutenzione registri client .............................................................15-44 Operazioni di amministrazione .......................................................15-45 Capitolo 16: Configurazione di OfficeScan con software di terzi Panoramica e configurazione dell'architettura Check Point ...................16-2 Integrazione OfficeScan ..........................................................................16-3 Configurazione di Check Point per OfficeScan .......................................16-4 Installazione supporto SecureClient ...........................................................16-6 xii Sommario Capitolo 17: Visualizzazione della guida Risorse per la risoluzione dei problemi ..................................................... 17-2 Sistema di supporto intelligente ............................................................. 17-2 Case Diagnostic Tool .............................................................................. 17-2 Trend Micro Performance Tuning Tool .............................................. 17-3 Registri del server OfficeScan ................................................................ 17-3 Registri di debug del server tramite LogServer.exe ........................ 17-4 Registri di installazione ....................................................................... 17-6 Registri di Active Directory ............................................................... 17-6 Registri di Role-based Administration ............................................. 17-7 Registri raggruppamento client ......................................................... 17-7 Registri di aggiornamento dei componenti ..................................... 17-8 Registri del server Apache ................................................................. 17-8 Registri di Client Packager ................................................................. 17-9 Registri di segnalazioni della conformità sicurezza ........................ 17-9 Registri di gestione server esterni ................................................... 17-10 Registri di eccezioni di Controllo dispositivo ............................... 17-10 Registri di Reputazione Web ........................................................... 17-10 Registri dello Strumento di migrazione di server normali ServerProtect ....................................................................... 17-11 Registri VSEncrypt ........................................................................... 17-11 Registri di MCP Agent di Control Manager ................................. 17-11 Registri del Motore di scansione virus ........................................... 17-13 Registri di virus/minacce informatiche ......................................... 17-13 Registri di spyware/grayware .......................................................... 17-13 Registri infezioni ............................................................................... 17-13 Registri del supporto Virtual Desktop ........................................... 17-14 Registri dei client OfficeScan ............................................................... 17-15 Registri di debug del client tramite LogServer.exe ....................... 17-15 Registri installazioni da zero ............................................................ 17-16 Registri aggiornamenti e hot fix ...................................................... 17-16 Registri Damage Cleanup Services ................................................. 17-16 Registri della scansione e-mail ......................................................... 17-17 Registri ActiveUpdate ....................................................................... 17-17 Registri delle connessioni client ...................................................... 17-17 Registri aggiornamenti client ........................................................... 17-17 Registri prevenzione delle infezioni ............................................... 17-18 xiii Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Registro di ripristino della prevenzione delle infezioni ...............17-18 Registri del firewall OfficeScan .......................................................17-18 Registri della reputazione Web e della scansione e-mail POP3 ....................................................................................17-20 Registri di elenchi di eccezioni di Controllo dispositivo .............17-20 Registri di debug Protezione dati ....................................................17-20 Registri eventi di Windows ..............................................................17-21 Registri di Transport Driver Interface (TDI) ................................17-21 Come contattare Trend Micro ...................................................................17-22 Assistenza tecnica ...................................................................................17-22 Knowledge Base di Trend Micro .........................................................17-23 TrendLabs ................................................................................................17-24 Centro informazioni sulla sicurezza ....................................................17-24 Invio di file sospetti a Trend Micro .....................................................17-25 Riscontri sulla documentazione ...........................................................17-25 Sezione 5: Appendici, Glossario e Indice Appendice A: Supporto IPv6 in OfficeScan Supporto IPv6 per il server e i client OfficeScan ...................................... A-2 Configurazione indirizzi IPv6 ....................................................................... A-6 Schermate che visualizzano gli indirizzi IP ................................................. A-8 Appendice B: Supporto di Windows Server Core 2008 Supporto di Windows Server Core 2008 .................................................... B-2 Metodi di installazione per Windows Server Core .................................... B-2 Funzioni del client su Windows Server Core ............................................. B-5 Comandi di Windows Server Core .............................................................. B-6 Appendice C: Glossario Indice xiv Elenco tabelle Elenco tabelle Tabella P-1. Documentazione di OfficeScan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Tabella P-2. Convenzioni utilizzate nella documentazione . . . . . . . . . . . . . . . . . . . . 5 Tabella P-3. Terminologia di OfficeScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Tabella 1-1. Funzioni di Protezione dati OfficeScan. . . . . . . . . . . . . . . . . . . . . . . 1-3 Tabella 1-2. Integrazione di prodotti e servizi con OfficeScan. . . . . . . . . . . . . . 1-12 Tabella 2-1. URL della console Web OfficeScan. . . . . . . . . . . . . . . . . . . . . . . . . . 2-3 Tabella 2-2. Operazioni widget e schede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-7 Tabella 2-3. Schede predefinite nella dashboard Riepilogo. . . . . . . . . . . . . . . . . . 2-9 Tabella 2-4. Widget disponibili . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-11 Tabella 2-5. Colonne OfficeScan e Plug-ins Mashup . . . . . . . . . . . . . . . . . . . . . 2-21 Tabella 2-6. Operazioni di gestione dei client . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-35 Tabella 2-7. Metodi di raggruppamento client . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-44 Tabella 3-1. Confronto delle origini Smart Protection . . . . . . . . . . . . . . . . . . . . . 3-7 Tabella 3-2. Comportamenti di protezione in base alla località . . . . . . . . . . . . . 3-13 Tabella 3-3. Origini Smart Protection per località . . . . . . . . . . . . . . . . . . . . . . . . 3-21 Tabella 4-1. Funzioni del client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-3 Tabella 4-2. Metodi di installazione e supporto IPv6 . . . . . . . . . . . . . . . . . . . . . . 4-7 Tabella 4-3. Metodi di installazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10 xv Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Tabella 4-4. Tipi di pacchetti client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4-18 Tabella 4-5. Amministrazione della rete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-34 Tabella 4-6. Topologia e architettura della rete . . . . . . . . . . . . . . . . . . . . . . . . . . 4-35 Tabella 4-7. Specifiche software/hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-35 Tabella 4-8. Struttura del dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-36 Tabella 4-9. Traffico di rete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-37 Tabella 4-10. Dimensioni della rete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-37 Tabella 4-11. Metodi di scansione di vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . 4-39 Tabella 4-12. Impostazioni DHCP nel file TMVS.ini. . . . . . . . . . . . . . . . . . . . . .4-42 Tabella 4-13. Prodotti di protezione controllati da Vulnerability Scanner. . . . . 4-48 Tabella 5-1. Pattern dei virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-3 Tabella 5-2. Opzioni di aggiornamento server-client . . . . . . . . . . . . . . . . . . . . . 5-11 Tabella 5-3. Processo di aggiornamento delle origini Smart Protection . . . . . . 5-13 Tabella 5-4. Componenti scaricati dal server OfficeScan . . . . . . . . . . . . . . . . . . 5-14 Tabella 5-5. Scenario di duplicazione dei componenti del server. . . . . . . . . . . . 5-19 Tabella 5-6. Componenti OfficeScan implementati sui client . . . . . . . . . . . . . . 5-26 Tabella 5-7. Altre impostazioni per le origini aggiornamenti personalizzate . . . .5-32 Tabella 5-8. Opzioni di aggiornamento provocate da un evento . . . . . . . . . . . . .5-36 Tabella 5-9. Impostazioni proxy utilizzate nel corso dell'aggiornamento dei componenti del client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-45 xvi Elenco tabelle Tabella 6-1. Confronto tra Scansione convenzionale e Smart Scan . . . . . . . . . . . 6-9 Tabella 6-2. Considerazioni sul passaggio alla Scansione convenzionale . . . . . . 6-10 Tabella 6-3. Considerazioni sul passaggio a Smart Scan . . . . . . . . . . . . . . . . . . . 6-12 Tabella 6-4. Tipi di scansione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-15 Tabella 6-5. Criteri di Scansione in tempo reale . . . . . . . . . . . . . . . . . . . . . . . . . 6-17 Tabella 6-6. Azioni di Scansione in tempo reale . . . . . . . . . . . . . . . . . . . . . . . . . 6-18 Tabella 6-7. Criteri di scansione manuale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-20 Tabella 6-8. Azioni di scansione manuale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-20 Tabella 6-9. Criteri di Scansione pianificata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-22 Tabella 6-10. Azioni di Scansione pianificata. . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-23 Tabella 6-11. Criteri di Esegui scansione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-25 Tabella 6-12. Azioni di Esegui scansione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-25 Tabella 6-13. Scenari di client non notificati . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-27 Tabella 6-14. Esclusioni dalla scansione con caratteri jolly . . . . . . . . . . . . . . . . 6-32 Tabella 6-15. Azioni di scansione di virus/minacce informatiche . . . . . . . . . . . 6-37 Tabella 6-16. Operazioni di scansione consigliate da Trend Micro contro virus e minacce informatiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-39 Tabella 6-17. Directory di quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-41 Tabella 6-18. File soggetti a decodifica e ripristino in OfficeScan . . . . . . . . . . . 6-45 Tabella 6-19. Parametri di ripristino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-47 xvii Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Tabella 6-20. Azioni di scansione spyware/grayware . . . . . . . . . . . . . . . . . . . . . 6-48 Tabella 6-21. Programmi di scansione e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-61 Tabella 6-22. Impostazioni globali di scansione . . . . . . . . . . . . . . . . . . . . . . . . . .6-68 Tabella 6-23. Scenari e risultati dei file compressi. . . . . . . . . . . . . . . . . . . . . . . . 6-72 Tabella 6-24. Domini della struttura dei client e autorizzazioni . . . . . . . . . . . . . .6-78 Tabella 6-25. Variabili token per notifiche dei rischi per la sicurezza . . . . . . . . .6-79 Tabella 6-26. Variabili token per rischi per la sicurezza Notifiche. . . . . . . . . . . .6-97 Tabella 7-1. Eventi di sistema controllati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-3 Tabella 7-2. Azioni per eventi di sistema controllati. . . . . . . . . . . . . . . . . . . . . . . 7-5 Tabella 8-1. Tipi di dispositivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8-2 Tabella 8-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4 Tabella 8-3. Elenchi di programmi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6 Tabella 8-4. Uso corretto dei caratteri jolly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9 Tabella 8-5. Uso scorretto dei caratteri jolly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9 Tabella 9-1. Impostazioni che definiscono un criterio di Controllo risorse digitali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-11 Tabella 9-2. Espressioni predefinite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-12 Tabella 9-3. Criteri per le espressioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-21 Tabella 9-4. Tipi di file supportati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-26 xviii Elenco tabelle Tabella 9-5. Elenchi parole chiave predefinite . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-33 Tabella 9-6. Criteri per un elenco di parole chiave . . . . . . . . . . . . . . . . . . . . . . . 9-36 Tabella 9-7. Modelli predefiniti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-42 Tabella 9-8. Esempi di istruzioni condizionali . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-45 Tabella 9-9. Azioni di Controllo risorse digitali . . . . . . . . . . . . . . . . . . . . . . . . . . 9-61 Tabella 9-10. Domini della struttura dei client e autorizzazioni . . . . . . . . . . . . . 9-71 Tabella 9-11. Variabili token per notifiche di Controllo risorse digitali . . . . . . . 9-72 Tabella 9-12. Processi per canale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-75 Tabella 9-13. Descrizioni delle trasmissioni di risorse digitali. . . . . . . . . . . . . . . 9-78 Tabella 10-1. Browser supportati per il traffico HTTPS . . . . . . . . . . . . . . . . . . . 10-5 Tabella 11-1. Criteri del firewall predefiniti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-8 Tabella 11-2. Eccezioni predefinite ai criteri del firewall . . . . . . . . . . . . . . . . . 11-13 Tabella 11-3. Impostazioni firewall globali . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-24 Tabella 11-4. Variabili token per notifiche di infezioni di violazione del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-29 Tabella 12-1. Tipi di voci di menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-3 Tabella 12-2. Voci menu per server/client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-4 Tabella 12-3. Voci menu per domini gestiti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-7 Tabella 12-4. Voci menu gestione client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-9 Tabella 12-5. Ruoli utente integrati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-12 xix Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore Tabella 12-6. Voci menu per server/client e ambito della struttura client. . . . .12-14 Tabella 12-7. Voci menu per domini gestiti e ambito della struttura client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12-15 Tabella 12-8. Voci menu gestione client e ambito della struttura client. . . . . . .12-17 Tabella 12-9. Versioni di Control Manager supportate. . . . . . . . . . . . . . . . . . . 12-25 Tabella 12-10. Rilevamenti che determinano l'invio di notifiche all'amministratore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12-30 Tabella 13-1. Funzioni e servizi che usano Location Awareness . . . . . . . . . . . . 13-2 Tabella 13-2. Servizi client OfficeScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-6 Tabella 13-3. Parametri Client Mover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13-21 Tabella 13-4. Stato del client indicato dall'icona del client . . . . . . . . . . . . . . . . 13-23 Tabella 13-5. Icone Smart Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-28 Tabella 13-6. Icone scansione convenzionale . . . . . . . . . . . . . . . . . . . . . . . . . . 13-31 Tabella 13-7. Impostazioni consigliate per Heartbeat. . . . . . . . . . . . . . . . . . . . 13-49 Tabella 13-8. Stato sicurezza degli endpoint non gestiti . . . . . . . . . . . . . . . . . . 13-70 Tabella 13-9. Lunghezza dei prefissi e numero di indirizzi IPv6 . . . . . . . . . . . .13-73 Tabella 13-10. Versioni dello Strumento di generazione del modello di prescansione VDI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13-82 Tabella 13-11. Versioni dello Strumento di generazione del modello di prescansione VDI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13-84 Tabella 13-12. Privilegi client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13-85 xx Elenco tabelle Tabella 13-13. Altre impostazioni del client. . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-86 Tabella 13-14. Impostazioni client globali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13-88 Tabella 14-1. Codici di errore di Plug-in Manager. . . . . . . . . . . . . . . . . . . . . . . 14-15 Tabella 15-1. Componenti di Policy Server per Cisco NAC. . . . . . . . . . . . . . . . 15-3 Tabella 15-2. Termini di Policy Server per Cisco NAC. . . . . . . . . . . . . . . . . . . . 15-4 Tabella 15-3. Regole predefinite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15-14 Tabella 15-4. Criteri predefiniti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15-18 Tabella 15-5. Certificati Cisco NAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15-19 Tabella 15-6. Piattaforme compatibili e requisiti . . . . . . . . . . . . . . . . . . . . . . . . 15-24 Tabella 16-1. Nomi e valori dei parametri del file SCV. . . . . . . . . . . . . . . . . . . . 16-5 Tabella A-1. Limitazioni del server IPv6 puro. . . . . . . . . . . . . . . . . . . . . . . . . . . . A-3 Tabella A-2. Limitazioni del client IPv6 puro . . . . . . . . . . . . . . . . . . . . . . . . . . . A-5 Tabella A-3. Indirizzi IP del client e del server OfficeScan visualizzati sulla console di Control Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-9 Tabella B-1. Comandi di Windows Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . B-6 Tabella C-1. Porte dei cavalli di Troia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C-14 xxi Trend Micro™ OfficeScan™ 10.6 Guida per l’amministratore xxii Sezione 1 Introduzione e informazioni preliminari Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Prefazione Prefazione Consultare la Guida per l'amministratore di Trend Micro™ OfficeScan™. Questo documento contiene le informazioni introduttive e illustra le procedure per l'installazione del client e di gestione dei client e del server OfficeScan. Argomenti di questo capitolo: • Documentazione di OfficeScan a pagina 4 • Destinatari a pagina 5 • Convenzioni utilizzate nella documentazione a pagina 5 • Terminologia a pagina 7 3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Documentazione di OfficeScan La documentazione di OfficeScan comprende quanto segue: TABELLA P-1. Documentazione di OfficeScan D OCUMENTAZIONE D ESCRIZIONE Guida all'installazione e all'aggiornamento Un documento PDF che illustra i requisiti e le procedure di installazione del server OfficeScan e l'aggiornamento del server e dei client Guida per l'amministratore Un documento PDF contenente le informazioni introduttive, le procedure per l'installazione del client e la gestione dei client e del server OfficeScan Guida File HTML compilati in formato WebHelp o CHM che forniscono procedure, consigli di utilizzo e informazioni specifiche. La Guida è disponibile nelle console dei client e del server OfficeScan, di Policy Server e nell'installazione principale di OfficeScan. File Readme contiene un elenco di problemi noti e la procedura di base per l'installazione. Contiene inoltre le informazioni più recenti sul prodotto che non è stato possibile inserire nella documentazione nel software né in quella stampata Knowledge Base Un database online contenente informazioni utili per la risoluzione dei problemi. Fornisce le informazioni più recenti sui problemi noti riscontrati nell'utilizzo dei prodotti. Per accedere alla Knowledge Base, visitare il seguente sito Web: http://esupport.trendmicro.com Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per il download alla pagina seguente: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 4 Prefazione Destinatari La documentazione di OfficeScan è destinata agli utenti seguenti: • Amministratori di OfficeScan: responsabili della gestione di OfficeScan, comprese le attività di gestione e installazione del server e dei client. Si presuppone che questi utenti abbiano conoscenze avanzate di reti e gestione dei server. • Amministratori di Cisco NAC: responsabili della progettazione e gestione dei sistemi di sicurezza con server Cisco NAC e apparecchiature di rete Cisco. Si presuppone che abbiano esperienza con tali attrezzature. • Utenti finali: utenti che hanno il client OfficeScan installato nei propri computer. Le conoscenza informatiche di questi utenti variano da principiante a utente esperto. Convenzioni utilizzate nella documentazione Per facilitare l'individuazione e l'interpretazione delle informazioni, nella documentazione di OfficeScan vengono utilizzate le convenzioni illustrate di seguito: TABELLA P-2. Convenzioni utilizzate nella documentazione C ONVENZIONE D ESCRIZIONE TUTTO MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti della tastiera Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede, opzioni e attività Corsivo Riferimenti ad altra documentazione o a componenti di nuova tecnologia STRUMENTI > STRUMENTI Un "percorso di navigazione" che consente all'utente di raggiungere la schermata della console Web. Se sono presenti diversi percorsi, vuol dire che ci sono diversi modi per accedere alla stessa schermata. CLIENT <Testo> Indica che il testo all'interno delle parentesi angolari deve essere sostituito da dati effettivi. Ad esempio, C:\Programmi\<nome_file> può corrispondere a C:\Programmi\esempio.jpg. 5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA P-2. Convenzioni utilizzate nella documentazione (continua) C ONVENZIONE D ESCRIZIONE Indica note per la configurazione o raccomandazioni Nota. 6 testo Suggerimento. testo Indica informazioni su procedure ottimali e consigli di Trend Micro ATTENZIONE! testo Indica avvisi relativi ad attività che possono comportare danni per i computer della rete Prefazione Terminologia La tabella riportata di seguito contiene la terminologia ufficiale utilizzata nella documentazione di OfficeScan: TABELLA P-3. Terminologia di OfficeScan TERMINOLOGIA D ESCRIZIONE Client Programma client OfficeScan Computer client o endpoint Il computer dove è installato il client OfficeScan Utente client (o utente) La persona che gestisce il client OfficeScan sul computer client Server Il programma server OfficeScan Computer server Il computer dove è installato il server OfficeScan Amministratore (o amministratore OfficeScan) La persona che gestisce il server OfficeScan Console L'interfaccia utente per configurare e gestire le impostazioni del client e del server OfficeScan La console del programma server OfficeScan si chiama "console Web", mentre la console del programma client si chiama "console client". Rischio per la sicurezza Termine collettivo per virus/minacce informatiche, spyware/grayware e minacce Web Servizio licenza Includes Antivirus, Damage Cleanup Services, and Web Reputation and Anti-spyware—all of which are activated during OfficeScan server installation Servizio OfficeScan Servizi gestiti tramite Microsoft Management Console (MMC). Ad esempio, ofcservice.exe, il Servizio principale OfficeScan. 7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA P-3. Terminologia di OfficeScan (continua) TERMINOLOGIA D ESCRIZIONE Programma Comprende il client OfficeScan, Cisco Trust Agent e Plug-in Manager Componenti Consentono di analizzare, individuare ed eseguire operazioni contro i rischi per la sicurezza Cartella di installazione del client La cartella del computer che contiene i file del client OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan Client C:\Programmi (x86)\Trend Micro\OfficeScan Client Cartella di installazione del server La cartella del computer che contiene i file del server OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan C:\Programmi (x86)\Trend Micro\OfficeScan Ad esempio, se un file specifico si trova in \PCCSRV nella cartella di installazione del server, il percorso completo del file è: C:\Programmi\Trend Micro\OfficeScan\PCCSRV\<nome_file>. 8 Client con Smart Scan Un client OfficeScan configurato per utilizzare Smart Scan Client con scansione convenzionale Un client OfficeScan configurato per utilizzare la scansione convenzionale Prefazione TABELLA P-3. Terminologia di OfficeScan (continua) TERMINOLOGIA Dual-stack D ESCRIZIONE Un'entità con indirizzi IPv4 e IPv6. Ad esempio: • Un endpoint dual-stack è un computer con indirizzi IPv4 e IPv6. • Un client dual-stack è un client installato su un endpoint dual-stack. • Un Update Agent dual-stack distribuisce aggiornamenti ai client. • Un server proxy dual-stack, come DeleGate, è in grado di convertire un indirizzo IPv4 in IPv6 e viceversa. IPv4 puro Un'entità che ha solo un indirizzo IPv4 IPv6 puro Un'entità che ha solo un indirizzo IPv6 Soluzioni plug-in Programmi plug-in e funzioni di OfficeScan disponibili attraverso Plug-in Manager 9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 10 Capitolo 1 Introduzione a OfficeScan In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche di Trend Micro™ OfficeScan™. Argomenti di questo capitolo: • Informazioni su OfficeScan a pagina 1-2 • Novità della versione a pagina 1-3 • Principali funzioni e vantaggi a pagina 1-7 • Il Server OfficeScan a pagina 1-10 • Il Client OfficeScan a pagina 1-11 • Integrazione con i prodotti e i servizi Trend Micro a pagina 1-12 1-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni su OfficeScan Trend Micro™ OfficeScan™ protegge le reti aziendali da minacce informatiche, virus di rete, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una soluzione integrata che comprende un programma client che risiede nell'endpoint e un programma server che gestisce tutti i client. Il client controlla l'endpoint e ne segnala lo stato di sicurezza al server. Il server, attraverso la console di gestione basata sul Web, permette di impostare criteri di sicurezza coordinati e di implementare gli aggiornamenti in ciascun client. Trend Micro Smart Protection Network™, il componente principale di OfficeScan, è un'infrastruttura client cloud di prossima generazione che fornisce soluzioni per la sicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica e il client leggero consentono di ridurre la dipendenza dai download dei pattern convenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti dei desktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza di banda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati. Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile da qualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio. 1-2 Introduzione a OfficeScan Novità della versione Trend Micro OfficeScan comprende le nuove funzioni e i miglioramenti seguenti: Protezione dati Il modulo Protezione dati fornisce il Controllo risorse digitali e accresce l'intervallo dei dispositivi monitorati dal Controllo dispositivo. Plug-In Manager gestisce l'installazione e la licenza del modulo Protezione dati. Per ulteriori informazioni, consultare Installazione di Protezione dati a pagina 9-2. TABELLA 1-1. F UNZIONI DI P ROTEZIONE Funzioni di Protezione dati OfficeScan D ETTAGLI DATI Controllo risorse digitali Controllo risorse digitali protegge le risorse digitali delle aziende dalla dispersione involontaria o volontaria. Il Controllo risorse digitali consente di: • identificare le risorse digitali da proteggere • creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi esterni • implementare la conformità alle norme vigenti sulla privacy Per ulteriori informazioni, consultare Informazioni su Controllo risorse digitali a pagina 9-9. 1-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 1-1. Funzioni di Protezione dati OfficeScan (continua) F UNZIONI DI P ROTEZIONE D ETTAGLI DATI Controllo dispositivo OfficeScan dispone di una funzione di Controllo dispositivo che regola l'accesso ai dispositivi di archiviazione USB, alle unità CD/DVD, floppy e di rete. Controllo dispositivo fa parte del modulo Protezione dati e allarga la gamma di dispositivi regolando l'accesso ai seguenti dispositivi: • Dispositivi per l'acquisizione di immagini • Modem • Porte (COM e LPT) • Dispositivi a infrarossi • Schede PCMCIA • Tasto Stamp • Interfaccia IEEE 1394 Per ulteriori informazioni, consultare Controllo dispositivo a pagina 8-2. Plug-in Manager 2.0 Plug-In Manager 2.0 si installa con il server OfficeScan. Questa versione di Plug-In Manager contiene i seguenti widget: i widget costituiscono un rapido riferimento visivo alle caratteristiche e ai plug-in di OfficeScan ritenuti indispensabili per l'impresa. I widget sono disponibili nella dashboard Riepilogo del server OfficeScan, che sostituisce la schermata Riepilogo delle versioni precedenti di OfficeScan. Per ulteriori informazioni, consultare Dashboard Riepilogo a pagina 2-5. 1-4 Introduzione a OfficeScan Supporto IPv6 Ora è possibile installare il server OfficeScan e i client su computer IPv6. Inoltre, le nuove versioni di Control Manager e Smart Protection Server ora supportano IPv6 per fornire un'integrazione senza problemi con il server OfficeScan e i client. Per ulteriori informazioni, consultare Supporto IPv6 per il server e i client OfficeScan a pagina A-2. File di cache per le scansioni Il client OfficeScan ora crea file di cache che contengono informazioni su file sicuri che sono stati già sottoposti a scansione e file che Trend Micro ritiene attendibili. I file di cache offrono un riferimento rapido durante le scansioni su richiesta riducendo, così, l'utilizzo di risorse del sistema. Le scansioni su richiesta (Scansione manuale, Scansione pianificata ed Esegui scansione) ora sono più efficienti e le prestazioni sono migliorate del 40%. Per ulteriori informazioni, consultare Impostazioni cache per le scansioni a pagina 6-63. Miglioramento dell'avvio All'avvio del computer, il client OfficeScan rinvia il caricamento di alcuni servizi del client se l'uso della CPU è superiore al 20%. Quando l'uso della CPU è inferiore al limite, il client inizia a scaricare i servizi. I servizi includono: • OfficeScan NT Firewall • Servizio Protezione dati OfficeScan • Servizio prevenzione modifiche non autorizzate di Trend Micro Miglioramento di Damage Cleanup Services I Damage Cleanup Services ora possono essere eseguiti in modalità di disinfezione avanzata per interrompere le attività di software di protezione fasulli, detti anche falsi antivirus. Il client utilizza anche regole di disinfezione avanzate per rilevare e interrompere in modo proattivo le applicazioni che manifestano un comportamento da falso antivirus. È possibile scegliere la modalità di disinfezione quando si configurano le azioni di scansione di virus/minacce informatiche per Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. Per ulteriori informazioni, consultare Damage Cleanup Services a pagina 6-43. 1-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Supporto HTTPS reputazione Web I client adesso possono eseguire la scansione del traffico HTTPS per rintracciare le minacce Web. È possibile configurare questa funzione quando si crea un criterio di reputazione Web. Per ulteriori informazioni, consultare Criteri di reputazione Web a pagina 10-3. Supporto di Windows Server Core 2008 Il client OfficeScan ora può essere installato su Windows Server Core 2008. Gli utenti possono usare i comandi CLI per avviare la console del client e controllare lo stato della protezione degli endpoint. Per ulteriori informazioni, consultare Supporto di Windows Server Core 2008 a pagina B-2. Altri miglioramenti Questa versione comprende i miglioramenti riportati di seguito: 1-6 • I client Smart Scan ora eseguono Outlook Mail Scan in modalità Smart Scan. Nelle versioni precedenti, i client Smart Scan eseguivano Outlook Mail Scan in modalità di scansione convenzionale. • Registri e notifiche dei rilevamenti di spyware/grayware ora riportano il nome dell'utente collegato al computer al momento del rilevamento. • Nei registri spyware/grayware, se il risultato della scansione di secondo livello è "Ignorati", il risultato della scansione di primo livello è ora "Richieste ulteriori azioni" invece di "Nessuna operazione richiesta". Con questo miglioramento, ora è possibile prendere ulteriori misure, come ad esempio disinfettare spyware/grayware ritenuti dannosi. • La Protezione automatica del client è ora un'impostazione flessibile che l'utente può configurare nella struttura del client. • Ora è possibile configurare tutti i client per inviare heartbeat al server OfficeScan. Nella versione precedente, i messaggi di heartbeat potevano essere inviati solo dai client delle reti non raggiungibili. Per ulteriori informazioni, consultare Client non raggiungibili a pagina 13-47. Introduzione a OfficeScan • Quando si esportano le impostazioni della struttura del client in un file .dat, ora vengono esportare tutte le impostazioni, ad eccezione delle impostazioni di Update Agent. Nelle versioni precedenti, venivano esportate solo le impostazioni di scansioni e i privilegi del client o altre impostazioni. Per ulteriori informazioni sulle impostazioni di esportazione, vedere Importazione ed esportazione delle impostazioni client a pagina 13-56. • Quando si usa lo strumento Client Mover, ora è possibile specificare il sottodominio della struttura del client nel quale il client sarà inserito dopo che viene spostato nel rispettivo nuovo server principale. Per ulteriori informazioni, consultare Client Mover a pagina 13-20. Principali funzioni e vantaggi OfficeScan offre le funzioni e i vantaggi seguenti: Protezione contro i rischi per la sicurezza OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. Per contenere le infezioni, OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computer infetti fino a quando sono completamente privi di rischi. OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente. Questa tecnologia consente di scaricare un gran numero di firme precedentemente memorizzate nel computer su Origini Smart Protection. Con questo approccio viene ridotto l'impatto sul sistema e sulla rete del volume sempre maggiore di aggiornamenti delle firme per i sistemi endpoint. Per informazioni su Smart Scan e su come implementarlo sui client, vedere Metodi di scansione a pagina 6-8. 1-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Damage Cleanup Services Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali) utilizzando un processo completamente automatizzato. Per affrontare le minacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettua le seguenti operazioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia Poiché Damage Cleanup Services è in esecuzione in background, non è necessario configurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione. Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare il computer per completare il processo di rimozione di un cavallo di Troia. Reputazione Web La tecnologia di reputazione Web protegge in modo proattivo i computer client all'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmente pericolosi. La reputazione Web spezza la catena dell'infezione e impedisce il download di codice dannoso. Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrare OfficeScan con Smart Protection Server o con Trend Micro Smart Protection Network. Firewall di OfficeScan Il firewall OfficeScan protegge i client e i server della rete grazie a un sistema di "stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. È possibile creare regole per filtrare le connessioni in base all'applicazione, all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole a gruppi diversi di utenti. 1-8 Introduzione a OfficeScan Controllo risorse digitali Controllo risorse digitali protegge le risorse digitali delle aziende dalla dispersione involontaria o volontaria. Il Controllo risorse digitali consente di: • identificare le risorse digitali da proteggere • creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi esterni • implementare la conformità alle norme vigenti sulla privacy Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli endpoint alla ricerca di modifiche insolite al sistema operativo o al software installato. Implementazione della protezione e dei criteri OfficeScan si integra senza problemi con Cisco™ TrustAgent, consentendo così l'implementazione dei criteri più efficaci all'interno di una rete Cisco Self-Defending Network. OfficeScan dispone anche di un server dei criteri (Policy Server) per la comunicazione automatica con i server di controllo dell'accesso di Cisco. Se integrato con Trend Micro Network VirusWall™ o qualsiasi dispositivo Network Admission Control (NAC), OfficeScan può controllare i client provando ad accedere alla rete e riparare, reindirizzare, limitare, negare o consentire l'accesso. Se un computer è vulnerabile o viene infettato, OfficeScan può isolarlo automaticamente, insieme ai relativi segmenti di rete, finché tutti i computer non vengono aggiornati o la disinfezione non è terminata. 1-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Gestione centralizzata Una console di gestione basata su Web consente agli amministratori di accedere in modo trasparente a tutti i client e server della rete. La console Web coordina l'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamenti software su ciascun client e server. Grazie ai servizi di prevenzione delle infezioni, arresta i vettori delle infezioni e implementa rapidamente i criteri di protezione specifici per attacco al fine di prevenire o contenere le infezioni prima che i file di pattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in tempo reale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratori possono eseguire l'amministrazione in remoto, impostare criteri personalizzati per singoli desktop o gruppi e bloccare le impostazioni di sicurezza dei client. Plug-in Manager e soluzioni plug-in Plug-in Manager consente l'installazione, l'implementazione e la gestione delle soluzioni plug-in. Gli amministratori possono installare due tipi di soluzioni plug-in: • Programmi plug-in • Funzioni OfficeScan native Il Server OfficeScan Il server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischi per la sicurezza e gli aggiornamenti dei client. Il server esegue due importanti funzioni: • Installa, controlla e gestisce i client OfficeScan. • Scarica la maggior parte dei componenti necessari ai client. Il server OfficeScan scarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce ai client. Nota. 1-10 Alcuni componenti vengono scaricati dalle origini Smart Protection. Per informazioni, vedere Origini Smart Protection a pagina 3-6. Introduzione a OfficeScan Internet Il server OfficeScan scarica i componenti dal server ActiveUpdate. Console Web Server OfficeScan Per la gestione del server e dei client OfficeScan si utilizza la console Web. Client OfficeScan FIGURA 1-1. Funzionamento del server OfficeScan Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in tempo reale tra server e client. I client sono gestiti da una console Web basata sul browser, a cui si può accedere virtualmente da qualsiasi punto della rete. Il server comunica con il client (e il client con il server) attraverso Hypertext Transfer Protocol (HTTP). Il Client OfficeScan L'installazione del client OfficeScan su ogni computer con sistema operativo Windows consente di proteggere i computer dai rischi per la sicurezza. Il client invia quindi delle notifiche al server principale dal quale è stato installato. Configurare i client per segnalare a un altro server utilizzando lo strumento Client Mover. Il client invia al server dati in tempo reale sugli eventi e sullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacce informatiche, l'avvio e lo spegnimento del client, l'avvio di una scansione o il completamento di un aggiornamento. 1-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Integrazione con i prodotti e i servizi Trend Micro OfficeScan si integra con i prodotti e servizi Trend Micro elencati in Tabella 1-2. Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguiti sulle versioni richieste o consigliate. TABELLA 1-2. Integrazione di prodotti e servizi con OfficeScan P RODOTTO / S ERVIZIO D ESCRIZIONE Server ActiveUpdate Fornisce tutti i componenti necessari ai client per proteggere gli endpoint dalle minacce alla sicurezza Non applicabile Smart Protection Network Fornisce i Servizi di reputazione file e i Servizi di reputazione Web ai client. Non applicabile Smart Protection Server standalone Fornisce gli stessi Servizi di reputazione file e Servizi di reputazione Web offerti da Smart Protection Network. Smart Protection Network è gestito da Trend Micro. Smart Protection Server standalone è inteso a localizzare il servizio per garantire una maggiore efficienza della rete aziendale. Nota. 1-12 VERSIONE Integrated Smart Protection Server viene installato con il server OfficeScan. Svolge le stesse funzioni del server standalone, ma le sue capacità sono più limitate. • 2.5 (consigliato) • 2.0 Introduzione a OfficeScan TABELLA 1-2. P RODOTTO / S ERVIZIO Control Manager Integrazione di prodotti e servizi con OfficeScan (continua) D ESCRIZIONE Una soluzione di gestione software che consente di controllare a livello centrale i programmi antivirus e di protezione dei contenuti, senza tenere conto della piattaforma o dell'ubicazione fisica del programma. VERSIONE • 5.5 SP1 (consigliato) • 5.5 • 5.0 1-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 1-14 Capitolo 2 Informazioni preliminari su OfficeScan In questo capitolo vengono descritte le istruzioni preliminari per Trend Micro™ OfficeScan™ e le impostazioni iniziale per la configurazione. Argomenti di questo capitolo: • La console Web a pagina 2-2 • Dashboard Riepilogo a pagina 2-5 • Active Directory Integration a pagina 2-28 • La struttura client OfficeScan a pagina 2-31 • Domini OfficeScan a pagina 2-43 2-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore La console Web La console Web è l'elemento centrale per il monitoraggio di OfficeScan in tutta la rete aziendale. La console ha una serie di impostazioni e valori predefiniti che possono essere configurati in base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologie Internet standard quali Java, CGI, HTML e HTTP. Nota. Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni della console Web a pagina 12-42. Utilizzare la console Web per eseguire le operazioni riportate di seguito: • Gestire i client installati sui computer collegati in rete • Raggruppare i client in domini logici per consentire configurazione e gestione simultanee • Impostare le configurazioni di scansione e avviare la scansione manuale su uno o più computer collegati in rete • Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registri inviati dai client • Configurare i criteri e le notifiche per le infezioni • Delegare operazioni di amministrazione della console Web ad altri amministratori di OfficeScan mediante la configurazione di ruoli e account utente • Accertarsi che i client siano conformi con le linee guida sulla sicurezza Apertura della console Web Aprire la console Web da un computer della rete che abbia i requisiti riportati di seguito: 2-2 • Processore Intel™ Pentium™ a 300 MHz o equivalente • 128 MB di RAM • Almeno 30 MB di spazio disponibile su disco • Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore • Microsoft Internet Explorer™ 7.0 o versione successiva Informazioni preliminari su OfficeScan Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, a seconda del tipo di installazione prevista per il server OfficeScan: TABELLA 2-1. URL della console Web OfficeScan TIPO DI INSTALLAZIONE URL Senza SSL su un sito predefinito http://<FQDN server OfficeScan o indirizzo IP>/OfficeScan Senza SSL su un sito virtuale http://<FQDN server OfficeScan o indirizzo IP>:<Numero porta HTTP>/OfficeScan Con SSL su un sito predefinito https://<FQDN server OfficeScan o indirizzo IP>/OfficeScan Con SSL su un sito virtuale https://<FQDN server OfficeScan o indirizzo IP>/OfficeScan Nota. Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browser Web e i file della cache del server proxy potrebbero impedire il corretto caricamento della console Web. Cancellare la memoria della cache sul browser e su qualunque server proxy che si trova tra il server OfficeScan e il computer usato per accedere alla console Web. Account di accesso Durante l'installazione del server OfficeScan il programma crea un account principale (root) e richiede di digitare la password per tale account. Quando si apre la console Web per la prima volta, digitare "root" come nome utente e come password dell'account principale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica per reimpostarla. Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti di accedere alla console Web senza utilizzare l'account principale (root). Quando gli utenti accedono alla console possono utilizzare gli account utente impostati per loro. Per ulteriori informazioni, consultare Role-based Administration (RBA) a pagina 12-2. 2-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Il banner della console Web L'area del banner della console Web presenta le opzioni riportate di seguito: FIGURA 2-1. Area banner della console Web <nome account>: fare clic sul nome account (ad esempio, root) per modificare i dettagli dell'account, ad esempio la password. Disconnetti: consente di disconnettersi dalla console Web Guida • 2-4 Novità: apre una pagina con un elenco delle nuove funzioni comprese nella versione del prodotto attuale. • Sommario e indice: apre la Guida del server OfficeScan. • Knowledge Base: apre la Knowledge Base di Trend Micro, da cui è possibile visualizzare le domande frequenti e le informazioni aggiornate sul prodotto, accedere all'assistenza clienti e registrare OfficeScan. • Informazioni sulla sicurezza: visualizza la pagina Informazioni sulla sicurezza di Trend Micro, dove è possibile leggere informazioni sui rischi per la sicurezza più recenti. • Vendite: visualizza la pagina Web di Trend Micro relativa alle vendite, da cui è possibile contattare l'addetto alle vendite locale. • Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possono inviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro. • Informazioni su: fornisce una panoramica del prodotto, le istruzioni per controllare i dettagli della versione dei componenti e un collegamento al sistema di supporto intelligente. Per i dettagli, consultare Sistema di supporto intelligente a pagina 17-2. Informazioni preliminari su OfficeScan Dashboard Riepilogo Quando si apre la console Web OfficeScan o si fa clic su Riepilogo nel menu principale, viene visualizzata la dashboard Riepilogo. La dashboard Riepilogo contiene: • Sezione dello stato della licenza del prodotto • Widget • Schede Sezione dello stato della licenza del prodotto Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato delle licenze di OfficeScan. FIGURA 2-2. Sezione dello stato della licenza del prodotto Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze: Se si dispone di una licenza per la versione completa: • 60 giorni prima della scadenza della licenza. • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei computer utilizzando componenti obsoleti. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. 2-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Se si dispone di una licenza per la versione di valutazione: • 14 giorni prima della scadenza della licenza. • Alla scadenza della licenza. In questo periodo OfficeScan disattiva l'aggiornamento dei componenti, la scansione e tutte le funzionalità client. Se si dispone di un codice di attivazione, rinnovare una licenza accedendo a Amministrazione > Licenza prodotto. Widget e schede I widget sono i componenti principali della dashboard. I widget forniscono informazioni specifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguire determinate operazioni, quali l'aggiornamento di componenti obsoleti. Le informazioni che il widget visualizza provengono da: • Server e client OfficeScan • Soluzioni plug-in e relativi agenti lato client • Trend Micro Smart Protection Network Nota. Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulteriori informazioni su Smart Feedback, vedere Smart Feedback a pagina 12-47. Le schede forniscono un contenitore per i widget. La dashboard Riepilogo supporta fino a 30 schede. 2-6 Informazioni preliminari su OfficeScan Lavorare con schede e widget Gestire le schede e i widget effettuando le seguenti operazioni: TABELLA 2-2. Operazioni widget e schede O PERAZIONE Aggiungere una nuova scheda P ASSAGGI 1. Fare clic sull'icona di aggiunta sulla parte superiore della dashboard. Viene visualizzata una nuova schermata. 2. Inserire le seguenti informazioni. • Titolo: il nome della scheda • Layout: scegliere uno dei layout disponibili • Adatta automaticamente: attivare Adatta automaticamente se si seleziona un layout con diverse caselle (quali ) e ciascuna casella conterrà solo un widget. Adattamento automaticamente modifica il widget per adattare le dimensioni a quelle di una casella 3. Fare clic su Salva. Modificare le impostazioni della scheda 1. Fare clic su Impostazioni scheda sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 2. Modificare il nome della scheda, il layout e le impostazioni di adattamento automatico. 3. Fare clic su Salva. Spostare una scheda Usare la funzionalità di trascinamento per cambiare la posizione della scheda. 2-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 2-2. Operazioni widget e schede (continua) O PERAZIONE Eliminare una scheda P ASSAGGI Fare clic sull'icona di eliminazione accanto al titolo della scheda. Eliminare una scheda comporta l'eliminazione di tutti i widget della scheda. Aggiungere un nuovo widget 1. Fare clic sulla scheda. 2. Fare clic su Aggiungi widget sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 3. Selezionare i widget da aggiungere. Per un elenco dei widget disponibili, vedere Widget disponibili a pagina 2-11. • Fare clic sulle icone di visualizzazione nella sezione superiore della schermata per passare da Visualizzazione dettagliata a Visualizzazione di riepilogo. • Le categorie di widget si trovano alla sinistra della schermata. Selezionare una categoria per restringere le selezioni. • Utilizzare la casella di testo per la ricerca sull parte superiore della schermata per cercare un widget specifico. 4. Fare clic su Aggiungi. 2-8 Spostare un widget Utilizzare la funzionalità di trascinamento per spostare un widget in una diversa posizione all'interno della scheda. Ridimensionar e un widget Ridimensionare un widget su di una scheda multicolonna puntando il cursore sul bordo del widget e muovendolo verso destra o sinistra. Informazioni preliminari su OfficeScan TABELLA 2-2. Operazioni widget e schede (continua) O PERAZIONE Modificare il titolo del widget P ASSAGGI 1. Fare clic sull'icona di modifica nuova schermata. . Viene visualizzata una 2. Immettere il nuovo titolo. Nota. Per alcuni widget, quali OfficeScan e Plug-in Mashup, le voci relative ai widget possono essere modificate. 3. Fare clic su Salva. Aggiornare i dati del widget Fare clic sull'icona di aggiornamento Eliminare un widget Fare clic sull'icona di eliminazione . . Schede e widget predefiniti La Security Dashboard viene fornita con un set di schede e widget predefiniti. È possibile rinominare o eliminare le schede e i widget. TABELLA 2-3. S CHEDA OfficeScan Schede predefinite nella dashboard Riepilogo D ESCRIZIONE Questa scheda contiene le stesse informazioni trovate nella schermata Riepilogo nelle precedenti versioni OfficeScan. In questa scheda, è possibile visualizzare la protezione dai rischi per la sicurezza globale della rete OfficeScan. Inoltre, è possibile effettuare delle operazioni su voci che richiedono un intervento immediato, quali le infezioni o i componenti obsoleti. W IDGET • Connettività client a pagina 2-13 • Rilevamenti dei rischi per la sicurezza a pagina 2-16 • Infezioni a pagina 2-17 • Aggiornamenti client a pagina 2-19 2-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 2-3. S CHEDA Schede predefinite nella dashboard Riepilogo (continua) D ESCRIZIONE OfficeScan e plug-in Questa scheda mostra quali endpoint eseguono il client OfficeScan e le soluzioni plug-in. Utilizzare questa scheda per valutare lo stato di sicurezza complessivo degli endpoint. Smart Protection Network Questa scheda contiene informazioni per Trend Micro Smart Protection Network, che fornisce Servizi di reputazione file e Servizi di reputazione Web ai client OfficeScan. W IDGET OfficeScan e Plug-ins Mashup a pagina 2-20 • Origini delle minacce principali della reputazione Web a pagina 2-25 • Principali utenti minacciati della reputazione Web a pagina 2-26 • Mappa delle minacce della reputazione file a pagina 2-27 Ottenere le ultime informazioni della dashboard Fare clic su Aggiorna nella parte superiore della dashboard per avere le informazioni più recenti. Inoltre, è possibile configurare il server OfficeScan per aggiornare periodicamente la dashboard. Per ulteriori informazioni, vedere Impostazioni della console Web a pagina 12-42. 2-10 Informazioni preliminari su OfficeScan Account utente e dashboard Ciascun account utente della console Web ha una dashboard completamente indipendente. Qualunque modifica alla dashboard di un account utente non riguarda le dashboard di altri account utente. Se una dashboard contiene i dati del client OfficeScan, i dati che vengono visualizzati dipendono dalle autorizzazioni del dominio client per l'account utente. Ad esempio, se vengono concesse autorizzazioni ad un account utente per la gestione dei domini A e B, la dashboard dell'account utente visualizzerà solamente i dati dei client appartenenti ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 12-2. Widget disponibili In questa versione sono disponibili i seguenti widget: TABELLA 2-4. Widget disponibili N OME WIDGET Connettività client D ISPONIBILITÀ Disponibilità standard Per i dettagli, consultare Connettività client a pagina 2-13. Rilevamenti dei rischi per la sicurezza Disponibilità standard Infezioni Disponibilità standard Per i dettagli, consultare Rilevamenti dei rischi per la sicurezza a pagina 2-16. Per i dettagli, consultare Infezioni a pagina 2-17. Aggiornamenti client Disponibilità standard Per i dettagli, consultare Aggiornamenti client a pagina 2-19. 2-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 2-4. Widget disponibili (continua) N OME WIDGET OfficeScan e Plug-ins Mashup D ISPONIBILITÀ Disponibilità standard ma solo con visualizzazione dei dati sui client OfficeScan. I dati provenienti dalle seguenti soluzioni plug-in sono disponibili successivamente all'attivazione di ciascuna soluzione: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Per i dettagli, consultare OfficeScan e Plug-ins Mashup a pagina 2-20. Controllo risorse digitali - Rilevamenti principali Disponibile dopo l'attivazione di Protezione dati OfficeScan Per i dettagli, consultare Controllo risorse digitali Rilevamenti principali a pagina 2-22. Controllo risorse digitali - Rilevamenti per periodo di tempo Disponibile dopo l'attivazione di Protezione dati OfficeScan IDF - Stato di avviso Disponibile successivamente all'attivazione di Intrusion Defense Firewall. Fare riferimento alla documentazione di IDF per i dettagli relativi a questi widget. IDF - Stato del computer IDF - Cronologia eventi della rete IDF - Cronologia eventi del sistema 2-12 Per i dettagli, consultare Controllo risorse digitali Rilevamenti per periodo di tempo a pagina 2-24. Informazioni preliminari su OfficeScan Connettività client Il widget Connettività client visualizza lo stato della connettività dei client con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. È possibile passare dalla tabella al grafico facendo clic sulle icone di visualizzazione FIGURA 2-3. . Widget Connettività client che mostra una tabella Widget Connettività client sotto forma di tabella La tabella suddivide i client per metodi di scansione. Se il numero dei client per un determinato stato è 1 o maggiore, è possibile fare clic sul numero per visualizzarli nella struttura client. È possibile avviare delle operazioni su tali client o modificare le relative impostazioni. 2-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per visualizzare solo i client che utilizzano un particolare metodo di scansione, fare clic su Tutti , quindi selezionare il metodo di scansione. 2-14 FIGURA 2-4. Stato della connessione dei client con scansione convenzionale FIGURA 2-5. Stato della connessione dei client Smart Scan Informazioni preliminari su OfficeScan Se si seleziona Smart Scan: • La tabella riporta i client Smart Scan online in base allo stato di connessione con gli Smart Protection Server. Nota. Solo i client online possono segnalare lo stato di connessione con gli Smart Protection Server. Se i client non sono connessi a uno Smart Protection Server, ripristinare la connessione prima di eseguire la procedura descritta in Origini Smart Protection non disponibili a pagina 13-43. • Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia la console del server. • Se sono presenti più Smart Protection Server, fare clic su ALTRO. Viene visualizzata una nuova schermata con tutti gli Smart Protection Server. FIGURA 2-6. Elenco Smart Protection Server In questa schermata, è possibile: • Visualizzare tutti gli Smart Protection Server a cui si connettono i client e i numeri di client connessi a ciascun server. Se si fa clic sul numero viene aperta la struttura dei client dove è possibile gestire le impostazioni dei client. • Avviare la console di un server facendo clic sul collegamento del server. 2-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Widget Connettività client sotto forma di grafico a torta Il grafico a torta visualizza solamente il numero di client per ciascuno stato e non li suddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo si ricongiunge, alla restante porzione del grafico. FIGURA 2-7. Widget Connettività client che mostra un grafico a torta Rilevamenti dei rischi per la sicurezza Il widget Rilevamenti rischi per la sicurezza visualizza il numero di rischi per la sicurezza e di computer infetti. FIGURA 2-8. Widget Rilevamenti dei rischi per la sicurezza Se il numero dei computer infetti è 1 o maggiore, è possibile fare clic sul numero per visualizzarli nella struttura client. È possibile avviare delle operazioni sui client presenti su tali computer o modificare le relative impostazioni. 2-16 Informazioni preliminari su OfficeScan Infezioni Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso di infezione. FIGURA 2-9. Widget Infezioni In questo widget è possibile: • È possibile visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/ora dell'avviso. • Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazioni sull'avviso di infezione e implementare immediatamente le misure di prevenzione delle infezioni. Per ulteriori informazioni sull'implementazione delle misure di prevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina 6-100. 2-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza per visualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata una nuova schermata. FIGURA 2-10. Schermata Statistiche sui primi 10 rischi per la sicurezza Nella schermata Statistiche sui primi 10 rischi per la sicurezza, è possibile: 2-18 • Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic su un nome di un rischio per la sicurezza. • Visualizzare lo stato generale di un determinato computer facendo clic sul nome del computer. • Per visualizzare i registri dei rischi per la sicurezza relativi a un computer, fare clic su Visualizza in corrispondenza del nome del computer. • Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimposta conteggio. Informazioni preliminari su OfficeScan Aggiornamenti client Il widget Aggiornamenti client visualizza i componenti e i programmi che proteggono i computer collegati in rete contro i rischi per la sicurezza. FIGURA 2-11. Widget Aggiornamenti client In questo widget è possibile: • Visualizzare la versione attuale di ciascun componente. • Visualizzare il numero di client con componenti obsoleti nella colonna Non aggiornato. Se sono presenti client che devono essere aggiornati, fare clic sul collegamento numerato per avviare l'aggiornamento. • Per ciascun programma, visualizzare i client che non sono stati aggiornati facendo clic sul collegamento numerico corrispondente al programma. Nota. Per l'aggiornamento di Cisco Trust Agent, passare a Cisco NAC > Implementazione Agent. 2-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore OfficeScan e Plug-ins Mashup Il widget OfficeScan e Plug-ins Mashup combina i dati dei client OfficeScan e delle soluzioni plug-in e li visualizza in una struttura client. Questo widget aiuta a valutare rapidamente la copertura di protezione sugli endpoint e riduce il sovraccarico richiesto per la gestione delle soluzioni di plug-in individuali. FIGURA 2-12. Widget OfficeScan e Plug-ins Mashup Questo widget visualizza i dati per le seguenti soluzioni di plug-in: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Queste soluzioni di plug-in devono essere attivate affinché il widget mashup possa visualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamento delle soluzioni plug-in. 2-20 Informazioni preliminari su OfficeScan In questo widget è possibile: • Scegliere le colonne visualizzate nella struttura client. Fare clic sull'icona di modifica sull'angolo in alto a destra del widget, quindi selezionare le colonne nella schermata visualizzata. TABELLA 2-5. Colonne OfficeScan e Plug-ins Mashup N OME COLONNA Nome computer D ESCRIZIONE Nome endpoint Questa colonna è sempre disponibile e non può essere rimossa Gerarchia dominio Il dominio dell'endpoint nella struttura client OfficeScan Stato della connessione La connettività del client OfficeScan con il relativo server OfficeScan principale Virus/minacce informatiche Il numero di virus e minacce informatiche rilevati dal client OfficeScan Spyware/Grayware Il numero di spyware e grayware rilevati dal client OfficeScan Supporto VDI Indica se l'endpoint è una macchina virtuale Profilo sicurezza IDF Fare riferimento alla documentazione di IDF per i dettagli relativi a queste colonne e ai relativi dati Firewall IDF Stato IDF DPI IDF 2-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, verrà visualizzata la struttura client OfficeScan. Se si fa doppio clic sui dati delle soluzioni plug-in (ad eccezione dei dati della colonna Supporto VDI), verrà visualizzata la schermata principale delle soluzioni plug-in. • Utilizzare la funzionalità di ricerca per trovare endpoint individuali. È possibile immettere il nome completo o una parte del nome dell'host. Controllo risorse digitali - Rilevamenti principali Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. Per i dettagli, consultare Licenza di Protezione dati a pagina 9-4. Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentemente dall'azione (blocca o ignora). FIGURA 2-13. Controllo risorse digitali - Widget Rilevamenti principali 2-22 Informazioni preliminari su OfficeScan Per visualizzare i dati: 1. 2. Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Dopo aver selezionato il periodo di tempo, scegliere tra: • Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza • Canale: canali usati per trasmettere risorse digitali con maggiore frequenza • Modello: modelli di risorse digitali che hanno avviato la maggior parte dei rilevamenti • Computer: computer che hanno trasmesso risorse digitali con maggiore frequenza Nota. Questo widget visualizza al massimo 10 utenti, canali, modelli o computer. 2-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Controllo risorse digitali - Rilevamenti per periodo di tempo Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. Per i dettagli, consultare Licenza di Protezione dati a pagina 9-4. Questo widget traccia il numero di trasmissioni di risorse digitali in un determinato periodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate (consentite). FIGURA 2-14. Controllo risorse digitali - Widget Rilevamenti per periodo di tempo Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. 2-24 • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Informazioni preliminari su OfficeScan Origini delle minacce principali della reputazione Web Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida nella parte superiore del widget. FIGURA 2-15. Widget Origini delle minacce principali della reputazione Web 2-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Principali utenti minacciati della reputazione Web Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida nella parte superiore del widget. FIGURA 2-16. Widget Principali utenti minacciati della reputazione Web 2-26 Informazioni preliminari su OfficeScan Mappa delle minacce della reputazione file Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida nella parte superiore del widget. FIGURA 2-17. Widget Mappa delle minacce della reputazione file 2-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Active Directory Integration L'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consente di gestire i client OfficeScan in modo più efficiente, di assegnare le autorizzazioni per la console Web tramite gli account Active Directory e di determinare in quali endpoint non è installato il software di protezione. Tutti gli utenti del dominio della rete possono avere accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitato per utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo di autenticazione e la chiave di crittografia convalidano le credenziali degli utenti. L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioni indicate di seguito: • Role-based Administration (RBA): consente di assegnare agli utenti responsabilità amministrative specifiche concedendo loro l'accesso alla console del prodotto mediante i loro account Active Directory. Per i dettagli, consultare Role-based Administration (RBA) a pagina 12-2. • Personalizza gruppi di client: consente di utilizzare Active Directory o gli indirizzi IP per raggruppare i client in modo manuale e associarli ai domini della struttura di client OfficeScan. Per i dettagli, consultare Raggruppamento automatico dei client a pagina 2-46. • Gestione server esterni: assicurarsi che i computer della rete che non sono gestiti dal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per i dettagli, consultare Conformità sicurezza per endpoint non gestiti a pagina 13-70. Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il server OfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-30. 2-28 Informazioni preliminari su OfficeScan Per integrare Active Directory con OfficeScan: P ERCORSO : A MMINISTRAZIONE > A CTIVE D IRECTORY > A CTIVE D IRECTORY I NTEGRATION 1. 2. In Domini Active Directory specificare il nome del dominio Active Directory. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazione dei dati con il dominio Active Directory specificato. Le credenziali sono obbligatorie se il server non appartiene al dominio. In caso contrario, le credenziali sono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server non sarà in grado di sincronizzare i dati. a. Fare clic su Inserisci credenziali del dominio. b. Nella finestra popup visualizzata, immettere il nome utente e la password. Il nome utente può essere specificato in uno dei seguenti formati: • • c. dominio\nome utente nomeutente@dominio Fare clic su Salva. 3. Fare clic sul pulsante per aggiungere altri domini. Se necessario, specificare le credenziali per i domini aggiunti. 4. 5. Fare clic sul pulsante per eliminare i domini. Specificare le impostazioni di crittografia se sono state specificate le credenziali per i domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominio specificate dall'utente prima di salvarle nel database. Quando OfficeScan sincronizza i dati con uno dei domini specificati, usa una chiave di crittografia per decodificare le credenziali del dominio. a. Andare alla sezione Impostazioni di crittografia per le credenziali del dominio. b. Immettere una chiave di crittografia non superiore a 128 caratteri. c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliere un comune formato di file, come .txt. Includere il nome e il percorso completo del file, ad esempio C:\AD_Encryption\EncryptionKey.txt. ATTENZIONE! Se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà in grado di sincronizzare i dati con i domini specificati. 2-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 6. 7. Fare clic su una delle opzioni riportate di seguito. • Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiede una notevole quantità di risorse della rete, è possibile scegliere di salvare solo le impostazioni e di eseguire la sincronizzazione successivamente, ad esempio durante le ore con minore carico di lavoro. • Salva e sincronizza: Salva le impostazioni e sincronizza i dati con i domini Active Directory. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-30. Sincronizzazione dei dati con i domini di Active Directory Sincronizzare i dati con i domini Active Directory regolarmente in modo che la struttura del client OfficeScan sia sempre aggiornata e per inviare query agli endpoint non gestiti. Per sincronizzare manualmente i dati con i domini di Active Directory: P ERCORSO : A MMINISTRAZIONE > A CTIVE D IRECTORY > A CTIVE D IRECTORY I NTEGRATION 1. Verificare che le credenziali dei domini e le impostazioni di crittografia non siano cambiate. 2. Fare clic su Salva e sincronizza. Per sincronizzare automaticamente i dati con i domini di Active Directory: P ERCORSO : A MMINISTRAZIONE > A CTIVE D IRECTORY > S INCRONIZZAZIONE PIANIFICATA 1. Selezionare Attiva sincronizzazione pianificata di Active Directory. 2. Specificare la pianificazione di sincronizzazione. Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan destina alla sincronizzazione di Active Directory con il server OfficeScan. 3. 2-30 Fare clic su Salva. Informazioni preliminari su OfficeScan La struttura client OfficeScan La struttura dei client OfficeScan visualizza tutti i client (raggruppati in Domini OfficeScan) attualmente gestiti dal server. I client sono raggruppati in domini per consentire di configurare e gestire contemporaneamente tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. La struttura ad albero dei client viene visualizzata nel riquadro principale quando si accede a determinate funzioni dal menu principale. FIGURA 2-18. Struttura client OfficeScan 2-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Operazioni generali della struttura dei client Di seguito è riportato un elenco delle operazioni generali possibili quando viene visualizzata la struttura dei client: • • Per selezionare tutti i domini e tutti i client, fare clic sull'icona del dominio root . Quando viene selezionata l'icona del dominio root e si sceglie un'operazione al di sopra della struttura client, viene visualizzata una schermata per la configurazione delle impostazioni. Nella schermata scegliere le seguenti opzioni generali: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per selezionare più domini o client adiacenti: • Nel pannello situato a destra, selezionare il primo dominio, tenere premuto il tasto MAIUSC e fare clic sull'ultimo dominio o client dell'intervallo. • Per selezionare un intervallo di domini o client non adiacenti, nel pannello situato a destra, tenere premuto il tasto CTRL e fare clic sui domini o client che si desidera selezionare. • È possibile cercare un determinato client, specificando il nome del client nella casella di testo Cerca computer. Viene visualizzato il dominio contenente l'elenco di tutti i suoi client e il nome di ciascun client evidenziato. Per passare al client successivo, fare clic di nuovo su Cerca. Per selezionare altre opzioni di ricerca, fare clic su Ricerca avanzata. Nota. 2-32 Non è possibile specificare indirizzi IPv6 o IPv4 quando si cercano dei client specifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per i dettagli, consultare Opzioni di ricerca avanzate a pagina 2-34. Informazioni preliminari su OfficeScan • Quando si seleziona un dominio, la tabella della struttura dei client si espande e mostra tutti i client appartenenti al dominio e tutte le colonne contenenti le informazioni relative a quei client. Per vedere solo un gruppo di colonne, selezionare un elemento all'interno della visualizzazione struttura client. • Visualizza tutto: mostra tutte le colonne • Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi • Visualizzazione antivirus: mostra tutti i componenti antivirus • Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware • Visualizzazione protezione dati: mostra lo stato del modulo Protezione dati sui client • Visualizzazione firewall: mostra tutti i componenti firewall • Visualizza Smart Protection: mostra il metodo di scansione utilizzato dai client (convenzionale o Smart Scan) e i componenti Smart Protection • Visualizzazione Update Agent: mostra le informazioni su tutti gli Update Agent gestiti dal server OfficeScan • È possibile cambiare la disposizione delle colonne, trascinando i titoli delle colonne in posizioni diverse all'interno della struttura dei client. OfficeScan salva automaticamente la nuova posizione delle colonne. • Facendo clic sul nome di una colonna, è possibile ordinare i client sulla base delle informazioni in essa contenute. • La struttura dei client può essere aggiornata facendo clic sull'icona Aggiorna • Le statistiche relative ai client vengono visualizzate al di sotto della struttura dei client e comprendono informazioni quali il numero totale di client, il numero di client Smart Scan e il numero di client con scansione convenzionale. . 2-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Opzioni di ricerca avanzate La ricerca dei computer client si basa sui seguenti criteri: • Base: comprende le informazioni di base dei computer, come indirizzo IP, sistema operativo, indirizzo MAC, metodo di scansione e stato di reputazione Web • La ricerca in base all'indirizzo IPv4 richiede una porzione di indirizzo IP che inizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti i computer con indirizzi IP contenenti la voce specificata. Se, ad esempio, se si digita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo di indirizzi IP da 10.5.0.0 a 10.5.255.255. • La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso. • La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC in notazione esadecimale, ad esempio 000A1B123C12. • Versioni componenti: selezionare la casella di controllo vicino al nome del componente, restringere i parametri selezionando Precedente alla o Precedente a (inclusa), e immettere un numero di versione. Per impostazione predefinita viene inserito il numero di versione attuale • Stato: comprende le impostazioni del client Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della struttura dei client viene visualizzato un elenco di nomi di computer corrispondenti ai criteri. Operazioni specifiche della struttura dei client La struttura client viene visualizzata quando si accede ad alcune schermate della console Web. Al di sopra della struttura dei client sono disponibili elementi specifici della schermata visualizzata. Questi elementi del menu consentono di effettuare operazioni specifiche quali configurare le impostazioni dei client o avviare operazioni dei client. Per effettuare tali operazioni occorre prima selezionare la destinazione dell'operazione (il dominio del livello principale che applica le impostazioni a tutti i client, uno o più domini oppure uno o più client), quindi selezionare una voce di menu. Per visualizzare la struttura client, accedere a: 2-34 • Computer collegati in rete > Gestione client • Computer collegati in rete > Prevenzione delle infezioni • Aggiornamenti > Computer collegati in rete > Aggiornamento manuale > Seleziona client manualmente Informazioni preliminari su OfficeScan • Aggiornamenti > Rollback > Sincronizza con il server • Registri > Registri dei computer collegati in rete > Rischi per la sicurezza • Cisco NAC > Implementazione agent Computer collegati in rete > Gestione client Gestire le impostazioni generali del client nella schermata Gestione client. FIGURA 2-19. Schermata Gestione client Tabella 2-6 elenca le operazioni che è possibile effettuare: TABELLA 2-6. Operazioni di gestione dei client P ULSANTE DI MENU Stato O PERAZIONE Visualizzare le informazioni dettagliate sui client. Per i dettagli, consultare Informazioni sui client a pagina 13-56. 2-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 2-6. Operazioni di gestione dei client (continua) P ULSANTE DI MENU Operazioni O PERAZIONE • Eseguire l'opzione Esegui scansione nei computer client. Per i dettagli, consultare Avvio di Esegui scansione a pagina 6-26. • Disinstallare il client. Per i dettagli, consultare Disinstallazione del client dalla console Web a pagina 4-64. • Ripristinare i componenti spyware/grayware. Per i dettagli, consultare Ripristino spyware/grayware a pagina 6-51. 2-36 Informazioni preliminari su OfficeScan TABELLA 2-6. Operazioni di gestione dei client (continua) P ULSANTE DI MENU Impostazioni O PERAZIONE • Configurare le impostazioni di scansione. Per ulteriori dettagli, leggere i seguenti argomenti: • Metodi di scansione a pagina 6-8 • Scansione manuale a pagina 6-19 • Scansione in tempo reale a pagina 6-16 • Scansione pianificata a pagina 6-21 • Esegui scansione a pagina 6-24 • Configurare le impostazioni di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 10-3. • Configurazione delle impostazioni di Monitoraggio del comportamento. Per i dettagli, consultare Monitoraggio del comportamento a pagina 7-2. • Configurare le impostazioni di Controllo dispositivo. Per i dettagli, consultare Controllo dispositivo a pagina 8-2. • Configurare i criteri di Controllo risorse digitali. Per i dettagli, consultare Configurazione dei criteri di Controllo risorse digitali a pagina 9-66. • Assegnare i client come Update Agent. Per i dettagli, consultare Configurazione di Update Agent a pagina 5-51. • Configurare i privilegi client e altre impostazioni. Per i dettagli, consultare Privilegi e altre impostazioni del client a pagina 13-85. • Attivare o disattivare i servizi del client OfficeScan. Per i dettagli, consultare Servizi del client a pagina 13-6. • Configurare l'elenco di spyware/grayware approvato. Per i dettagli, consultare Elenco approvati spyware/grayware a pagina 6-49. • Importazione ed esportazione delle impostazioni client. Per i dettagli, consultare Importazione ed esportazione delle impostazioni client a pagina 13-56. 2-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 2-6. Operazioni di gestione dei client (continua) P ULSANTE DI O PERAZIONE MENU Registri Visualizzare i registri riportati di seguito: • Registri di virus/minacce informatiche a pagina 6-84 • Registri di spyware/grayware a pagina 6-91 • Registri del firewall a pagina 11-27 • Registri di Reputazione Web a pagina 10-9 • Registri di Monitoraggio del comportamento a pagina 7-12 • Registri di controllo dispositivo a pagina 8-17 • Registri di Controllo risorse digitali a pagina 9-74 Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 12-33. 2-38 Gestione struttura client Gestire la struttura client. Per i dettagli, consultare Operazioni di raggruppamento dei client a pagina 2-51. Esporta Esportare un elenco dei client in un file CSV (comma-separated value). Informazioni preliminari su OfficeScan Computer collegati in rete > Prevenzione delle infezioni Specificare ed attivare le impostazioni di prevenzione delle infezioni nella schermata Prevenzione delle infezioni virali. Per i dettagli, consultare Prevenzione dei rischi per la sicurezza a pagina 6-99. FIGURA 2-20. Schermata Prevenzione delle infezioni 2-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamenti > Computer collegati in rete > Aggiornamento manuale > Seleziona client manualmente Avviare l'aggiornamento manuale nella schermata Aggiornamento componenti per computer in rete. Per i dettagli, consultare Aggiornamenti manuali del client OfficeScan a pagina 5-40. FIGURA 2-21. Aggiornamento componenti per computer in rete 2-40 Informazioni preliminari su OfficeScan Aggiornamenti > Rollback > Sincronizza con il server Eseguire il rollback dei componenti client nella schermata Rollback. Per i dettagli, consultare Rollback dei componenti per i client OfficeScan a pagina 5-49. FIGURA 2-22. Schermata Rollback 2-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri > Registri dei computer collegati in rete > Rischi per la sicurezza Visualizzare e gestire i registri nella schermata Registri del rischio per la sicurezza per i computer in rete. FIGURA 2-23. Registri del rischio per la sicurezza per i computer in rete Eseguire le operazioni riportate di seguito: 1. 2. 2-42 Visualizzare i registri che i client inviano al server. Per maggiori dettagli, consultare: • Registri di virus/minacce informatiche a pagina 6-84 • Registri di spyware/grayware a pagina 6-91 • Registri del firewall a pagina 11-27 • Registri di Reputazione Web a pagina 10-9 • Registri di Monitoraggio del comportamento a pagina 7-12 • Registri di controllo dispositivo a pagina 8-17 • Registri di Controllo risorse digitali a pagina 9-74 Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 12-33. Informazioni preliminari su OfficeScan Cisco NAC > Implementazione agent Se è stata impostato Policy Server per Cisco NAC, implementare Cisco Trust Agent (CTA) negli endpoint dalla schermata Implementazione Agent. Per i dettagli, consultare Implementazione di Cisco Trust Agent a pagina 15-32. FIGURA 2-24. Schermata Implementazione Agent Domini OfficeScan Un dominio all'interno di OfficeScan è un gruppo di client che condividono la stessa configurazione ed eseguono le stesse operazioni. Il raggruppamento dei client in domini consente di configurare e gestire tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. Per ulteriori informazioni sul raggruppamento dei client, vedere Raggruppamento client a pagina 2-44. 2-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Raggruppamento client Utilizzare Raggruppamento client per creare e gestire domini in modo manuale o automatico nella struttura dei client OfficeScan. Esistono due modi per raggruppare i client nei domini: TABELLA 2-7. M ETODO Manuale Metodi di raggruppamento client R AGGRUPPAME NTO CLIENT • Dominio NetBIOS • Dominio Active Directory • Dominio DNS D ESCRIZIONI Il raggruppamento manuale dei client definisce il dominio al quale il nuovo client installato dovrebbe appartenere. Quando il client viene visualizzato nella struttura client, è possibile spostarlo in un altro dominio o in un altro server OfficeScan. Il raggruppamento manuale del client consente inoltre di creare, gestire e rimuovere domini nella struttura client. Per i dettagli, consultare Raggruppamento client manuale a pagina 2-45. Automatica Personalizza gruppi di client Il raggruppamento automatico dei client utilizza delle regole per ordinare i client nella struttura client. Dopo la definizione delle regole, è possibile accedere alla struttura client per ordinarli manualmente o per consentire a OfficeScan di ordinarli automaticamente quando si verificano eventi specifici o ad intervalli programmati. Per i dettagli, consultare Raggruppamento automatico dei client a pagina 2-46. 2-44 Informazioni preliminari su OfficeScan Raggruppamento client manuale OfficeScan utilizza questa impostazione solo per le installazioni client da zero. Il programma di installazione controlla il dominio di rete a cui appartiene il computer di destinazione. Se il nome del dominio è già presente nella struttura dei client, OfficeScan raggruppa il client del computer di destinazione sotto quel dominio e applica ad esso le impostazioni configurate per quel dominio. Se il nome del dominio non è presente, OfficeScan aggiunge il dominio alla struttura del client, raggruppa il client sotto tale dominio, quindi applica le impostazioni della directory principale al dominio e al client. Per configurare il raggruppamento dei client manuale: P ERCORSO : C OMPUTER 1. 2. COLLEGATI IN RETE > R AGGRUPPAMENTO CLIENT Specificare il metodo di raggruppamento dei client: • Dominio NetBIOS • Dominio Active Directory • Dominio DNS Fare clic su Salva. Dopo la configurazione manuale del raggruppamento dei client: Per gestire i domini ed i relativi raggruppamenti di client, eseguire le seguenti operazioni: • Aggiungere un dominio • Eliminare un dominio o un client • Rinominare un dominio • Trasferire un client a un altro dominio Per i dettagli, consultare Operazioni di raggruppamento dei client a pagina 2-51. 2-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Raggruppamento automatico dei client Il raggruppamento automatico dei client utilizza le regole definite dagli indirizzi IP o dai domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo di indirizzi IP, il server OfficeScan raggrupperà un client con un indirizzo IP corrispondente a un dominio specifico della struttura client. Analogamente, se una regola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà un client appartenente ad un particolare dominio Active Directory in un dominio specifico della struttura client. I client applicano solamente una regola per volta. Assegnare delle priorità alle regole, in modo che se un client soddisfa più di una regola, si applicherà quella con la priorità più alta. Per configurare il raggruppamento automatico dei client: P ERCORSO : C OMPUTER 1. > R AGGRUPPAMENTO CLIENT Andare alla sezione Raggruppamento client, quindi selezionare Gruppi di client personalizzati. 2. Andare alla sezione Raggruppamento automatico dei client. 3. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare Active Directory oppure Indirizzo IP. 4. 2-46 COLLEGATI IN RETE • Se è stato selezionato Active Directory, consultare le istruzioni per la configurazione in Definizione di una regola di raggruppamento dei client in base ai domini Active Directory a pagina 2-48. • Se è stato selezionato Indirizzo IP, consultare le istruzioni per la configurazione in Definizione di una regola di raggruppamento dei client in base agli indirizzi IP a pagina 2-50. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi: a. Selezionare una regola. b. Fare clic su una freccia sotto la colonna Priorità di raggruppamento per spostare la regola in alto o in basso nell'elenco. Il numero ID della regola cambia in base alla nuova posizione assegnata. Informazioni preliminari su OfficeScan 5. Per utilizzare le regole durante il riordino del client: a. Selezionare le caselle di controllo delle regole da utilizzare. b. Assicurarsi che le regole siano attivate. Sotto la colonna dello Stato, dovrebbe essere visualizzata un'icona verde con un segno di spunta visualizzata una "x" con un'icona rossa . Se venisse , facendo clic sull'icona la regola verrà attivata e l'icona diventerà verde. Nota. 6. 7. Se non viene selezionata la casella di controllo per una regola o se la regola viene disattivata, la stessa non verrà utilizzata quando si riordinano i client nella struttura client. Ad esempio, se la regola determina che un client deve spostarsi su un nuovo dominio, il client non si sposterà e rimarrà nel dominio attuale. Specificare una pianificazione di riordino nella sezione Creazione dominio pianificata. a. Selezionare Attiva creazione dominio pianificata. b. Specificare la pianificazione in Creazione dominio basata su pianificazione. Scegliere una delle opzioni elencate di seguito. • • Salva e crea dominio ora: scegliere questa opzione se sono stati specificati nuovi domini in: • Definizione di una regola di raggruppamento dei client in base agli indirizzi IP a pagina 2-50, passaggio 7 • Definizione di una regola di raggruppamento dei client in base ai domini Active Directory a pagina 2-48, passaggio 7 Salva: scegliere questa opzione se: • Non sono stati specificati nuovi domini. • Sono stati specificati nuovi domini, ma si desidera crearne di nuovi solo quando il riordino del client è in esecuzione. Nota. Il riordino del client non inizierà dopo il completamento di questo passaggio. 2-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 8. Per ordinare immediatamente i client, andare alla struttura client e ordinare i client. Per i dettagli, consultare Per ordinare i client: a pagina 2-54. Se è stata configurata una pianificazione per il riordino in passaggio 6, il riordino inizierà nel giorno e all'ora prefissati. OfficeScan eseguirà inoltre un'operazione di riordino quando si verificheranno i seguenti eventi: • Viene installato un client. • Viene ricaricato un client. • Viene modificato l'indirizzo IP di un endpoint. • Un utente client attiva o disattiva la modalità roaming. Definizione di una regola di raggruppamento dei client in base ai domini Active Directory Accertarsi di aver configurato le impostazioni di integrazione di Active Directory prima di eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration a pagina 2-28. Per definire le regole di raggruppamento dei client in base ai domini Active Directory: P ERCORSO : C OMPUTER 2-48 COLLEGATI IN RETE > R AGGRUPPAMENTO CLIENT 1. Andare alla sezione Raggruppamento client, quindi selezionare Gruppi di client personalizzati. 2. Andare alla sezione Raggruppamento automatico dei client. 3. Fare clic su Aggiungi, quindi selezionare Active Directory. Viene visualizzata una nuova schermata. 4. Selezionare Attiva raggruppamento. 5. Specificare un nome per la regola. 6. In Origine di Active Directory, selezionare il domini o i sottodomini di Active Directory. Informazioni preliminari su OfficeScan 7. In Struttura client, selezionare un dominio OfficeScan esistente al quale sono associati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste, attenersi alla procedura riportata di seguito: a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clic sull'icona per l'aggiunta dei domini. Nell'esempio seguente, il nuovo dominio verrà aggiunto sotto il dominio principale (root) di OfficeScan. FIGURA 2-25. Icona per l'aggiunta dei domini b. Immettere il nome del dominio nella casella di testo fornita. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. 8. Facoltativamente, selezionare Duplica la struttura Active Directory nella struttura del client OfficeScan. Questa opzione duplica la gerarchia dei domini Active Directory selezionati nel dominio OfficeScan selezionato. 9. Fare clic su Salva. 2-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Definizione di una regola di raggruppamento dei client in base agli indirizzi IP Per ordinare i client della struttura dei client di OfficeScan, creare gruppi di client personalizzati utilizzando gli indirizzi IP di rete. La funzione si rivela utile agli amministratori per organizzare la struttura dei client OfficeScan prima della registrazione del client con il server OfficeScan. Per aggiungere il gruppo di indirizzi IP: P ERCORSO : C OMPUTER > R AGGRUPPAMENTO CLIENT 1. Andare alla sezione Raggruppamento client, quindi selezionare Gruppi di client personalizzati. 2. Andare alla sezione Raggruppamento automatico dei client. 3. Fare clic su Aggiungi e selezionare Indirizzo IP. Viene visualizzata una nuova schermata. 4. Selezionare Attiva raggruppamento. 5. Specificare un nome per il raggruppamento. 6. Specificare una delle seguenti opzioni: • Un indirizzo IPv4 o IPv6 singolo • Un intervallo di indirizzi IPv4 • Una lunghezza e un prefisso IPv6 Nota. 2-50 COLLEGATI IN RETE Se gli indirizzi IPv4 e IPv6 di un client dual-stack appartengono a due gruppi di client diversi, il client sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivato nella macchina host del client, questo sarà spostato sotto il gruppo IPv4. Informazioni preliminari su OfficeScan 7. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP è associato. Se il dominio non esiste, attenersi alla procedura riportata di seguito: a. Posizionare il mouse sopra la struttura dei client e fare clic sull'icona per l'aggiunta dei domini. FIGURA 2-26. Icona per l'aggiunta dei domini 8. b. Digitare il dominio nella casella di testo disponibile. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. Fare clic su Salva. Operazioni di raggruppamento dei client Durante il raggruppamento dei client nei domini è possibile effettuare le operazioni riportate di seguito: Per il raggruppamento dei client manuale: • Aggiungere un dominio. Per informazioni, vedere Per aggiungere un dominio: a pagina 2-52. • Eliminare un dominio o un client. Per informazioni, vedere Per eliminare un dominio o un client: a pagina 2-52. • Rinominare un dominio. Per informazioni, vedere Per rinominare un dominio: a pagina 2-53. • Trasferire un client a un altro dominio o a un altro server OfficeScan. Per informazioni, vedere Per trasferire un client a un altro dominio o a un altro server OfficeScan: a pagina 2-53. 2-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per il raggruppamento dei client automatico: • Ordinare i client. Per informazioni, vedere Per ordinare i client: a pagina 2-54. • Eliminare un dominio o un client. Per informazioni, vedere Per eliminare un dominio o un client: a pagina 2-52. Per aggiungere un dominio: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Fare clic su Gestione struttura client > Aggiungi dominio. 2. Digitare un nome per il dominio che si desidera aggiungere. 3. Fare clic su Aggiungi. Il nuovo dominio viene visualizzato nella struttura dei client. 4. Creare sottodomini (Facoltativo). a. Selezionare il dominio principale. b. Fare clic su Gestione struttura client > Aggiungi dominio. c. Immettere il nome del sottodominio. Per eliminare un dominio o un client: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura client, selezionare: • Uno o più domini • Uno, diversi o tutti i client appartenenti ad un dominio 2. Fare clic su Gestione struttura client > Rimozione di dominio/client. 3. Per eliminare un dominio vuoto, fare clic su Rimozione di dominio/client. Se nel dominio sono presenti client e si fa clic su Rimozione di dominio/client, il server OfficeScan crea nuovamente il dominio e raggruppa tutti i client sotto tale dominio la volta successiva che i client si connettono al server OfficeScan. Prima di eliminare il dominio, è possibile effettuare le seguenti operazioni: 2-52 a. Trasferire i client ad altri domini. Per spostare i client in altri domini, trascinarli nei domini di destinazione. b. Eliminare tutti i client. Informazioni preliminari su OfficeScan 4. Per eliminare un client, fare clic su Rimozione di dominio/client. Nota. L'eliminazione di un client da una struttura di client non comporta l'eliminazione di OfficeScan dal computer client. Il client OfficeScan è comunque in grado di effettuare delle operazioni indipendenti dal server quali l'aggiornamento dei componenti. Tuttavia, sul server non vi è traccia dell'esistenza del client e, per questo motivo, non è possibile implementare configurazioni o inviare notifiche ai client. Per rinominare un dominio: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Selezionare un dominio nella struttura del client. 2. Fare clic su Gestione struttura client > Rinomina dominio. 3. Inserire un nuovo nome per un dominio. 4. Fare clic su Rinomina. All'interno della struttura dei client viene visualizzato il nuovo nome assegnato al dominio. Per trasferire un client a un altro dominio o a un altro server OfficeScan: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura del client, aprire un dominio e selezionare uno, diversi o tutti i client. 2. Fare clic su Gestione struttura client > Sposta client. 3. Per trasferire i client a un altro dominio: • Selezionare Sposta i client selezionati in un altro dominio. • Selezionare il dominio. • Applicare le impostazioni del nuovo dominio ai client (facoltativo). Suggerimento. È inoltre possibile trascinare i client e rilasciarli in un altro dominio della struttura del client. 2-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. 5. Per trasferire i client a un altro server OfficeScan: a. Selezionare Sposta i client selezionati in un altro server OfficeScan. b. Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di porta HTTP. Fare clic su Sposta. Per ordinare i client: P ERCORSO : C OMPUTER 1. 2-54 COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura del client, effettuare una delle operazioni seguenti: • Per ordinare tutti i client, fare clic sull'icona del dominio principale (root) di OfficeScan. • Per ordinare solo i client appartenenti a determinati domini, selezionare i domini. • Per ordinare alcuni client o tutti i client appartenenti a un determinato dominio, aprire il dominio e selezionare i client. 2. Fare clic su Gestione struttura client > Ordina client. 3. Fare clic su Avvio. 4. Quando l'ordinamento è completato, fare clic su Chiudi. A questo punto, client ordinati dovrebbero appartenere ai rispettivi domini designati. Sezione 2 Protezione dei computer collegati in rete Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Capitolo 3 Utilizzo di Trend Micro Smart Protection Questo capitolo descrive le soluzioni Trend Micro™ Smart Protection e in che modo impostare l'ambiente richiesto per l'utilizzo di queste soluzioni. Argomenti di questo capitolo: • Informazioni su Trend Micro Smart Protection a pagina 3-2 • Servizi Smart Protection a pagina 3-3 • Origini Smart Protection a pagina 3-6 • File Smart Protection Pattern a pagina 3-9 • Impostazione dei Servizi Smart Protection a pagina 3-14 • Utilizzo dei servizi Smart Protection a pagina 3-28 3-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni su Trend Micro Smart Protection Trend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti dei client cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite da host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie a client leggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gli utenti. Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione e correlazione, le soluzioni Trend Micro Smart Protection riducono al minimo la dipendenza dai download convenzionali dei file di pattern ed eliminano i ritardi normalmente associati agli aggiornamenti desktop. L'esigenza di una nuova soluzione Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni) richiesti per proteggere un endpoint, vengono per la maggior parte distribuiti in base a una pianificazione, che prevede una trasmissione in batch da Trend Micro agli endpoint. Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/minacce informatiche in esecuzione sull'endpoint ricarica nella memoria le definizioni dei pattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/minaccia informatica, tale pattern deve nuovamente essere parzialmente o completamente aggiornato e ricaricato per garantire protezione continua. Nel corso del tempo, si è verificato un significativo aumento del volume di minacce emergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corso degli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischi per la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezza rappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulle prestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, in generale, sul tempo globale richiesto per offrire una protezione di qualità o sul tempo necessario a garantirla. 3-2 Utilizzo di Trend Micro Smart Protection Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delle minacce, volto a proteggere i clienti dalle minacce poste dal volume di virus/minacce informatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano la tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatiche nell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacce informatiche nella rete cloud, Trend Micro è in grado di fornire ai clienti una migliore protezione contro rischi per la sicurezza emergenti. Servizi Smart Protection Smart Protection include servizi che forniscono firme anti-malware, reputazione Web e database delle minacce che vengono memorizzati nella rete cloud. I servizi Smart Protection includono: • Servizi di reputazione file: Servizi di reputazione file scarica di un elevato numero di firme anti-malware (in precedenza memorizzate nei computer endpoint) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazione file a pagina 3-4. • Servizi di reputazione Web: Servizi di reputazione Web consente alle origini Smart Protection di ospitare i dati di reputazione degli URL che in precedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicurano un consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o la verifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web a pagina 3-4. • Smart Feedback: Trend Micro continua a raccogliere informazioni inviate in forma anonima dai prodotti Trend Micro in tutto il mondo per essere in grado di individuare nuove minacce in modo proattivo. Per i dettagli, consultare Smart Feedback a pagina 3-5. 3-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Servizi di reputazione file I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database "in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad elevate prestazioni in termini di disponibilità del contenuto e i server con cache locale permettono che la latenza durante il processo di controllo sia minima. L'architettura cloud offre protezione immediata ed elimina la necessità di implementare i pattern oltre a ridurre in modo significativo il carico complessivo dei client. I client devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione file. In questo documento questi client sono definiti come client Smart Scan. I client che non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sono definiti client con scansione convenzionale. Gli amministratori OfficeScan possono configurare tutti i client, o solo alcuni, in modalità Smart Scan. Servizi di reputazione Web Servizi di reputazione Web tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento malware. I siti sono continuamente sottoposti a scansione e l'accesso ai siti infetti viene bloccato. Quando un utente accede a un URL, Trend Micro: • Sfrutta il database di reputazione del dominio per verificare la credibilità delle pagine e dei siti Web • Assegna punteggi di reputazione ai domini Web e alle pagine o ai collegamenti all'interno dei siti • Consente o blocca l'accesso ai siti da parte degli utenti Per aumentare l'accuratezza e ridurre i falsi allarmi, Servizi di reputazione Web Trend Micro assegna punteggi di reputazione a pagine e collegamenti individuali dei siti anziché classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi sono pericolose e la reputazione può cambiare con il tempo. I client OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi di reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri di reputazione Web a tutti i client o solo ad alcuni. 3-4 Utilizzo di Trend Micro Smart Protection Smart Feedback Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra i prodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce. Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di un cliente aggiorna automaticamente il database completo delle minacce di Trend Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessa minaccia. Ciò avviene, ad esempio, con i controlli di reputazione di routine inviati a Smart Protection Network. Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso la vasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezione automatica in tempo reale contro le minacce più recenti e di fornire una "migliore sicurezza collettiva". Si tratta di un sistema di protezione reciproca all'interno della community per la protezione dei singoli individui. La privacy delle informazioni personali o professionali è sempre protetta poiché le informazioni sulle minacce raccolte si basano sulla reputazione della fonte di comunicazione. Trend Micro Smart Feedback è progettato per raccogliere e trasferire i dati rilevanti dai prodotti Trend Micro a Smart Protection Network per consentire ulteriori analisi e, di conseguenza, la creazione di soluzioni avanzate da implementare per la protezione dei client. Esempi di informazioni inviate a Trend Micro: • File checksum • Siti Web visitati • Informazioni sui file, comprese le dimensioni e i percorsi • Nomi di file eseguibili È possibile interrompere la partecipazione al programma in qualsiasi momento dalla console Web. Suggerimento. Per proteggere il computer non è necessario partecipare al programma Smart Feedback. La partecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Micro consiglia di partecipare al programma Smart Feedback per contribuire a migliorare la protezione complessiva di tutti i clienti Trend Micro. Per ulteriori informazioni su Smart Protection Network, visitare: http://it.trendmicro.com/it/about/core-technologies/smart-protection-network/ 3-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Origini Smart Protection Trend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle origini OfficeScan e Smart Protection. Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggior parte delle definizioni dei pattern di virus e minacce informatiche. I client OfficeScan ospitano le definizioni rimanenti. Un client invia le query di scansione alle origini Smart Protection se le relative definizioni dei pattern non sono in grado di determinare il rischio del file. Le origini Smart Protection determinano il rischio utilizzando le informazioni di identificazione. Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati di reputazione Web precedentemente disponibili solo attraverso i server host di Trend Micro. Il client invia query di reputazione Web alle origini Smart Protection per verificare la reputazione di siti Web ai quali l'utente tenta di accedere. Il client mette in correlazione la reputazione di un sito Web con il criterio di reputazione Web applicato sul computer per determinare se l'accesso al sito sarà consentito o bloccato. L'origine di Smart Protection a cui si connette il client dipende dalla località del computer client. I client possono connettersi o a Smart Protection Network di Trend Micro o a Smart Protection Network. Trend Micro Smart Protection Network Trend Micro Smart Protection Network è un'infrastruttura, basata su Internet, su scala globale che fornisce servizi di reputazione agli utenti che non possono accedere direttamente alla loro rete aziendale. Per ulteriori informazioni su Smart Protection Network, visitare: http://it.trendmicro.com/it/about/core-technologies/smart-protection-network/ 3-6 Utilizzo di Trend Micro Smart Protection Smart Protection Server Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendali locali. I server locali limitano i servizi Smart Protection alla rete aziendale per una maggiore efficienza. Esistono due tipi di Smart Protection Server: • Integrated Smart Protection Server: il programma di installazione di OfficeScan comprende un Integrated Smart Protection Server che viene installato nello stesso computer dove è installato il server OfficeScan. Dopo l'installazione è possibile gestire le impostazioni di questo server dalla console Web OfficeScan. Il server integrato è destinato ad un'implementazione di OfficeScan su piccola scala, nella quale il numero di client non supera le 1.000 unità. Per implementazioni superiori, è necessario Smart Protection Server standalone. • Smart Protection Server standalone: Smart Protection Server standalone viene installato su un server Hyper-V o VMware. Il server standalone dispone di una console di gestione separata e non è gestito dalla console Web OfficeScan. Confronto delle origini Smart Protection Tabella 3-1 sottolinea le differenze tra Smart Protection Network e Smart Protection Server. TABELLA 3-1. C RITERI DI CONFRONTO Disponibilità Confronto delle origini Smart Protection S MART P ROTECTION S ERVER Disponibile per i client interni, ossia i client che soddisfano i criteri di località specificati nella console Web OfficeScan TREND M ICRO S MART P ROTECTION N ETWORK Disponibile principalmente per i client esterni, ossia i client che non soddisfano i criteri di località specificati nella console Web OfficeScan 3-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 3-1. Confronto delle origini Smart Protection (continua) C RITERI DI CONFRONTO 3-8 S MART P ROTECTION S ERVER TREND M ICRO S MART P ROTECTION N ETWORK Scopo Progettata e finalizzata all'identificazione dei servizi Smart Protection per la rete aziendale al fine di ottimizzare l'efficienza Un'infrastruttura, basata su Internet, su scala globale che fornisce servizi Smart Protection ai client che non possono accedere direttamente alla loro rete aziendale Amministrazione Gli amministratori OfficeScan installano e gestiscono queste origini Smart Protection Trend Micro gestisce questa origine Origine di aggiornamento dei pattern Server ActiveUpdate di Trend Micro Server ActiveUpdate di Trend Micro Protocolli di connessione dei client HTTP e HTTPS HTTPS Utilizzo di Trend Micro Smart Protection File Smart Protection Pattern I file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e i Servizi di reputazione Web Trend Micro rilascia i file di pattern attraverso il server ActiveUpdate di Trend Micro. Smart Scan Agent Pattern Smart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricato dall'origine aggiornamenti del client OfficeScan (il server OfficeScan o un'origine aggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern per i client Smart Scan. Nota. I client con Smart Scan sono client OfficeScan che gli amministratori hanno configurato per utilizzare i Servizi di reputazione file. I client che non utilizzano i Servizi di reputazione file sono definiti Client con scansione convenzionale. I client con Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono la scansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischio del file, viene utilizzato un altro pattern: Smart Scan Pattern. Smart Scan Pattern Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini Smart Protection I client con Smart Scan non scaricano Smart Scan Pattern. I client verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione alle origini Smart Protection. Elenco siti Web bloccati L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. I client OfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco siti Web bloccati. Nota. Gli amministratori possono applicare i criteri di reputazione Web a tutti i client o solo ad alcuni. 3-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore I client ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Web all'origine Smart Protection. Il client mette in correlazione i dati di reputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Web applicato sul computer. In base al criterio, il client blocca o consente l'accesso al sito. Aggiornamento degli Smart Protection Pattern Tutti gli aggiornamenti degli Smart Protection Pattern provengono dal server ActiveUpdate di Trend Micro. Server ActiveUpdate di Trend Micro Intranet Smart Protection Server Trend Micro™ Smart Protection Network™ Internet Endpoint Server OfficeScan Endpoint esterni Smart Scan Pattern Smart Scan Agent Pattern Elenco siti Web bloccati FIGURA 3-1. 3-10 Processo di aggiornamento dei pattern Utilizzo di Trend Micro Smart Protection Utilizzo degli Smart Protection Pattern Il client OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per i rischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern non è in grado di determinare il rischio di un file. Il client invia una query all'Elenco siti Web bloccati quando un utente tenta di accedere ad un sito Web. La tecnologia di filtro avanzata consente ai client di inserire nella "cache" i risultati della query. In questo modo si elimina la necessità di inviare la stessa query per più di una volta. I client che si trovano attualmente nell'Intranet possono connettersi a Smart Protection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati. È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sono stati impostati più Smart Protection Server, gli amministratori possono determinare la priorità di connessione. Suggerimento. Installare diversi Smart Protection Server per garantire la continuità della protezione nel caso in cui la connessione a uno Smart Protection Server non sia disponibile. 3-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore I client attualmente non presenti nella Intranet possono connettersi a Trend Micro Smart Protection Network per le query. Per connettersi a Smart Protection Network, è necessaria una connessione ad Internet. Server ActiveUpdate di Trend Micro Intranet Smart Protection Server Trend Micro Smart Protection Network Internet Endpoint Server OfficeScan Endpoint esterno FIGURA 3-2. Processo di query I client senza accesso alla rete o ad Internet possono ancora sfruttare la protezione fornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di query precedenti. La protezione viene ridotta solo quando una nuova query si rende necessaria e il client, dopo ripetuti tentativi, continua a non essere in grado di raggiungere un'origine Smart Protection. In questo caso, il client contrassegna il file per la verifica consentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessione all'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo a scansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono stati confermati come minaccia. 3-12 Utilizzo di Trend Micro Smart Protection Tabella 3-2 riepiloga l'entità della protezione in base alla località del client. TABELLA 3-2. Comportamenti di protezione in base alla località P OSIZIONE C OMPORTAMENTO DEI FILE DEI PATTERN E DELLE QUERY Per accedere alla intranet • File di pattern: i client scaricano il file Smart Scan Senza accesso alla Intranet, ma con connessione a Smart Protection Network • File di pattern: i client non scaricano il file Smart Senza accesso alla Intranet e senza connessione a Smart Protection Network • File di pattern: i client non scaricano il file Smart Agent Pattern dal server OfficeScan o da un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: i client si connettono agli Smart Protection Server per le query. Scan Agent Pattern più recente a meno che non sia disponibile una connessione a un server OfficeScan o a un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: i client si connettono a Smart Protection Network per le query. Scan Agent Pattern più recente a meno che non sia disponibile una connessione a un server OfficeScan o a un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: i client non ricevono i risultati delle query e devono affidarsi a Smart Scan Agent Pattern e alla cache che contiene i risultati delle query precedenti. 3-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazione dei Servizi Smart Protection Prima che i client possano utilizzare Servizi di reputazione file e Servizi di reputazione Web, è necessario assicurarsi che l'ambiente sia stato impostato correttamente. Controllare quanto segue: • Installazione di Smart Protection Server a pagina 3-14 • Gestione di Integrated Smart Protection Server a pagina 3-16 • Elenco delle origini Smart Protection a pagina 3-20 • Impostazioni proxy connessione client a pagina 3-27 • Impostazioni sulla località del computer a pagina 3-27 • Installazioni di Trend Micro Network VirusWall a pagina 3-28 Installazione di Smart Protection Server Se il numero dei client è minore o uguale a 1.000, è possibile installare Smart Protection Server integrato o standalone. Installare uno Smart Protection Server standalone se il numero dei client è superiore a 1.000. Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. I client che non sono in grado di connettersi a un server particolare tenteranno di connettersi agli altri server impostati. Dato che il server integrato e il server OfficeScan vengono eseguiti nello stesso computer, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Server standalone come origine Smart Protection principale per i client e Integrated Smart Protection Server come supporto di backup. Installazione di Smart Protection Server standalone Per istruzioni sull'installazione e la gestione di Smart Protection Server standalone, consultare la guida all'installazione e all'aggiornamento di Smart Protection Server. 3-14 Utilizzo di Trend Micro Smart Protection Installazione di Integrated Smart Protection Server Se durante l'installazione del server OfficeScan è stato installato Integrated Smart Protection Server: • Attivare Integrated Smart Protection Server e configurare le impostazioni per il server. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina 3-16. • Se Integrated Smart Protection Server e il client OfficeScan sono sullo stesso computer server, considerare la possibilità di disattivare il firewall di OfficeScan. Il firewall OfficeScan è destinato a essere utilizzato per il computer client, e se attivato su computer server, può avere un'influenza negativa sulle prestazioni. Per le istruzioni per disattivare il firewall, vedere Attivazione o disattivazione del Firewall di OfficeScan a pagina 11-6. Nota. Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani della sicurezza. Migliori pratiche per Smart Protection Server Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioni riportate di seguito: • Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate. Suddividere le scansioni in gruppi. • Evitare di configurare tutti gli endpoint in modo che eseguano l'operazione Esegui scansione simultaneamente. • Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa 512 Kbps, modificando il file ptngrowth.ini. Per il server autonomo: a. Aprire il file ptngrowth.ini in /var/tmcss/conf/. b. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: [COOLDOWN] ENABLE=1 MAX_UPDATE_CONNECTION=1 UPDATE_WAIT_SECOND=360 3-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore c. Salvare il file ptngrowth.ini. d. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia della riga di comando (CLI, Command Line Interface): service lighttpd restart Per il server integrato: a. Aprire il file ptngrowth.ini in <Cartella di installazione del server>\ PCCSRV\WSS\. b. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: [COOLDOWN] ENABLE=1 MAX_UPDATE_CONNECTION=1 UPDATE_WAIT_SECOND=360 c. Salvare il file ptngrowth.ini. d. Riavviare il servizio Trend Micro Smart Protection Server. Gestione di Integrated Smart Protection Server Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni: 3-16 • Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato • Registrazione degli indirizzi del server integrato • Aggiornamento dei componenti del server integrato • Configurazione dell'Elenco URL approvati/bloccati del server integrato Utilizzo di Trend Micro Smart Protection Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato Affinché i client siano in grado di inviare query di reputazione Web o di scansione al server integrato, è necessario attivare i Servizi di reputazione file e i Servizi di reputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato di aggiornare i componenti dal server ActiveUpdate. Questi servizi vengono attivati automaticamente se si sceglie di installare il server integrato durante l'installazione del server OfficeScan. Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Server standalone ai quali i client possono inviare le query. Registrazione degli Indirizzi del server integrato Gli indirizzi del server integrato sono necessari per configurare l'elenco delle origini Smart Protection per i client interni. Per ulteriori informazioni sull'elenco, vedere Elenco delle origini Smart Protection a pagina 3-20. Quando inviano le query al server integrato, i client identificano il server attraverso uno dei due indirizzi dei Servizi di reputazione file: gli indirizzi HTTP o HTTPS. La connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentre quella HTTP richiede un utilizzo di ampiezza di banda inferiore. Quando i client inviano query di reputazione Web, identificano il server integrato dall'indirizzo dei relativi Servizi di reputazione Web. Suggerimento. Anche i client gestiti da un altro server OfficeScan possono connettersi a questo server integrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del server integrato all'elenco delle origini Smart Protection. 3-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamento dei componenti del server integrato Il server integrato aggiorna i seguenti componenti: • Smart Scan Pattern: i client verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione al server integrato. • Elenco siti Web bloccati: i client ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Web al server integrato. È possibile aggiornare manualmente tali componenti o configurare una pianificazione di aggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate. Nota. Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Configurazione dell'Elenco URL approvati/bloccati del server integrato I client gestiscono i rispettivi elenchi degli URL approvati/bloccati Configurare l'elenco dei client quando vengono impostati i criteri di reputazione Web (consultare Criteri di reputazione Web a pagina 10-3 per ulteriori informazioni). Qualsiasi URL nell'elenco del client verrà automaticamente consentito o bloccato. Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non è presente nell'elenco del client, il client invia una query di reputazione Web al server integrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL si trova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica al client di consentire o bloccare l'URL. Nota. L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati. Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato, importare un elenco da Smart Protection Server standalone. Non è possibile aggiungere manualmente gli URL. 3-18 Utilizzo di Trend Micro Smart Protection Per gestire le impostazioni per Integrated Smart Protection Server: P ERCORSO : S MART P ROTECTION > S ERVER INTEGRATO 1. Selezionare Attiva Servizi di reputazione file. 2. Selezionare il protocollo (HTTP o HTTPS) che i client useranno per inviare le query di scansione al server integrato. 3. Selezionare Attiva Servizi di reputazione Web. 4. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server. 5. Per aggiornare i componenti del server integrato: a. Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Web bloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Il risultato dell'aggiornamento viene visualizzato nella parte superiore della schermata. b. Per aggiornare automaticamente il pattern: i. Selezionare Attiva aggiornamenti pianificati. ii. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti. iii. Selezionare un'origine aggiornamenti in Servizi di reputazione file. Smart Scan Pattern verrà aggiornato da questa origine. iv. Selezionare un'origine aggiornamenti in Servizi di reputazione Web. L'Elenco siti Web bloccati verrà aggiornato da questa origine. Nota. Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che il server disponga di una connessione a Internet e, se si utilizza un server proxy, verificare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Vedere Proxy per gli aggiornamenti del server OfficeScan a pagina 5-18 per ulteriori informazioni. Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate per tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. 3-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 6. 7. Per configurare l'elenco dei siti approvati/bloccati del server integrato: a. Fare clic su Importa per immettere nell'elenco gli URL del file .csv preformattato. È possibile ottenere il file .csv da uno Smart Protection Server standalone. b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco in un file .csv. Fare clic su Salva. Elenco delle origini Smart Protection I client inviano query alle origini Smart Protection quando eseguono la scansione per i rischi sulla sicurezza e per determinare la reputazione di un sito Web. Supporto IPv6 per le origini Smart Protection Un client IPv6 puro non è in grado di inviare query direttamente alle origini IPv4, come: • Smart Protection Server 2.0 (integrato o standalone) Nota. • Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. Trend Micro Smart Protection Network Analogamente, un client IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire ai client di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 3-20 Utilizzo di Trend Micro Smart Protection Origini Smart Protection e Località computer L'origine Smart Protection a cui si connette il client dipende dalla località del computer client. Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedere Località computer a pagina 13-2. TABELLA 3-3. P OSIZIONE Origini Smart Protection per località O RIGINI S MART P ROTECTION Esterni I client esterni inviano query di reputazione Web e di scansione a Trend Micro Smart Protection Network. Interno I client interni inviano query di reputazione Web e di scansione a Smart Protection Server o Trend Micro Smart Protection Network. Se sono stati installati gli Smart Protection Server, configurare l'elenco delle origini di Smart Protection nella console Web OfficeScan. Un client interno sceglie un server dall'elenco se deve inviare una query. Se un client non è in grado di connettersi al primo server, ne sceglie un altro dall'elenco. Suggerimento. Assegnare uno Smart Protection Server standalone come origine di scansione principale e il server integrato come backup. In tal modo si riduce il traffico diretto al computer che ospita il server OfficeScan e il server integrato. Inoltre il server standalone è in grado di elaborare un maggior numero di query. È possibile configurare un elenco standard o personalizzato di origini Smart Protection. L'elenco standard è utilizzato da tutti i client interni. L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzo IP di un client interno è compreso nell'intervallo, il client utilizza l'elenco personalizzato. 3-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare l'elenco standard delle origini Smart Protection: P ERCORSO : S MART P ROTECTION > O RIGINI S MART P ROTECTION 1. Fare clic sulla scheda Client interni. 2. Selezionare Utilizza l'elenco standard (l'elenco verrà utilizzato da tutti i client interni). 3. Fare clic sul collegamento elenco standard. Viene visualizzata una nuova schermata. 4. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 5. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota. 6. Specificare il nome host se sono presenti client IPv4 e IPv6 che si connettono a Smart Protection Server. Selezionare Servizi di reputazione file. I client inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. a. Se si desidera che i client utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che i client utilizzino l'HTTPS, selezionare SSL ed immettere la porta di ascolto del server per le richieste HTTPS. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Suggerimento. Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e passare a Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. 3-22 Utilizzo di Trend Micro Smart Protection 7. Selezionare Servizi di reputazione Web. I client inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. a. Immettere la porta di ascolto del server per le richieste HTTP. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. 8. Fare clic su Salva. La schermata si chiude. 9. Aggiungere altri server ripetendo i passaggi precedenti. 10. Sulla parte superiore della schermata, selezionare Ordine o Casuale. • Ordine: i client scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: i client scelgono i server in modo casuale. Suggerimento. Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso computer, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. 11. Eseguire operazioni varie nella schermata. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. • Fare clic sul nome del server per effettuare una delle operazioni riportate di seguito: • Per visualizzare o modificare le informazioni del server. • Visualizzare l'indirizzo completo del server per Servizi di reputazione Web o Servizi di reputazione file. 3-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • • Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Per eliminare una voce, selezionare la casella di controllo del server e fare clic su Elimina. 12. Fare clic su Salva. La schermata si chiude. 13. Fare clic su Notifica tutti i client. Per configurare gli elenchi personalizzati di origini Smart Protection: P ERCORSO : S MART P ROTECTION > O RIGINI S MART P ROTECTION 1. Fare clic sulla scheda Client interni. 2. Selezionare Utilizza elenchi personalizzati basati sugli indirizzi IP dei client. 3. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun server degli elenchi personalizzati è disponibile. 4. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 5. Nella sezione dell'intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, o entrambi. Nota. I client con un indirizzo IPv4 possono connettersi agli Smart Protection Server dual-stack o IPv4 puri. I client con un indirizzo IPv6 possono connettersi agli Smart Protection Server dual-stack o IPv6 puri. I client con indirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server. 3-24 Utilizzo di Trend Micro Smart Protection 6. 7. Nella sezione Impostazione proxy, specificare le impostazioni proxy che i client utilizzeranno per connettersi a Smart Protection Server. a. Selezionare Utilizza un server proxy per la comunicazione tra il client e lo Smart Protection Server. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. c. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli Smart Protection Server. a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota. b. Specificare il nome host se sono presenti client IPv4 e IPv6 che si connettono a Smart Protection Server. Selezionare Servizi di reputazione file. I client inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. i. Se si desidera che i client utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che i client utilizzino l'HTTPS, selezionare SSL ed immettere la porta di ascolto del server per le richieste HTTPS. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Suggerimento. Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e passare a Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. 3-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore c. Selezionare Servizi di reputazione Web. I client inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. i. Immettere la porta di ascolto del server per le richieste HTTP. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. d. Fare clic su Aggiungi all'elenco. e. Aggiungere altri server ripetendo i passaggi precedenti. f. Selezionare Ordine o Casuale. • Ordine: i client scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: i client scelgono i server in modo casuale. Suggerimento. g. Eseguire operazioni varie nella schermata. • Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. • Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. • 3-26 Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso computer, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Fare clic sull'icona del cestino per eliminare una voce. Utilizzo di Trend Micro Smart Protection 8. Fare clic su Salva. La schermata si chiude. L'elenco appena aggiunto viene visualizzato come collegamento dell'intervallo IP nella tabella Intervallo IP 9. Per aggiungere altri elenchi personalizzati, ripetere da passaggio 4 a passaggio 8. 10. Eseguire operazioni varie nella schermata. • Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindi modificare le impostazioni nella schermata visualizzata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. 11. Fare clic su Notifica tutti i client. Impostazioni proxy connessione client Se la connessione a Smart Protection Network richiede l'autenticazione proxy, specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per client a pagina 13-53. Configurare le impostazioni del proxy interno che i client dovranno utilizzare durante la connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno per client a pagina 13-51. Impostazioni sulla località del computer OfficeScan comprende la funzione di Location Awarness in grado di identificare la località del computer client e determinare se il client si connette a Smart Protection Network o a Smart Protection Server. In tal modo i client rimangono protetti indipendentemente dalla loro località. Per configurare le impostazioni della località, vedere Località computer a pagina 13-2. 3-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Installazioni di Trend Micro Network VirusWall Se è installato Trend Micro™ Network VirusWall™ Enforcer: • Installare una hot fix (build 1047 per Network VirusWall Enforcer 2500 e build 1013 per Network VirusWall Enforcer 1200). • Per consentire al prodotto di rilevare il metodo di scansione di un client, eseguire l'aggiornamento del motore OPSWAT alla versione 2.5.1017. Utilizzo dei servizi Smart Protection Dopo che l'ambiente Smart Protection è stato impostato correttamente, i client possono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche possibile iniziare a configurare le impostazioni di Smart Feedback. Nota. Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione dei Servizi Smart Protection a pagina 3-14. Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, i client devono usare un metodo di scansione denominato Smart Scan. Per informazioni su Smart Scan e su come attivarlo sui client, vedere Metodi di scansione a pagina 6-8. Per consentire ai client OfficeScan di usare Servizi di reputazione Web, configurare i criteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 10-3. Nota. Le impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. A seconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti i client o configurare impostazioni diverse per i singoli client o per gruppi di client. Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina 12-47. 3-28 Capitolo 4 Installazione del Client OfficeScan In questo capitolo vengono descritte le procedure di installazione del client e i requisiti di sistema di Trend Micro™ OfficeScan™. Per ulteriori informazioni sull'aggiornamento della versione dei client, consultare la Guida all'installazione e all'aggiornamento di OfficeScan. Argomenti di questo capitolo: • Installazione da zero del client a pagina 4-2 • Considerazioni sull'installazione a pagina 4-2 • Metodi di installazione a pagina 4-10 • Migrazione al client OfficeScan a pagina 4-56 • Post-installazione a pagina 4-61 • Disinstallazione del client a pagina 4-63 4-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Installazione da zero del client Il client OfficeScan può essere installato su computer con piattaforme Microsoft Windows. OfficeScan è compatibile anche con diversi prodotti di terzi. Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e dei prodotti compatibili di terze parti: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Considerazioni sull'installazione Prima di installare i client, valutare le informazioni riportate di seguito. 4-2 • Funzioni del client: alcune funzioni del client non sono disponibili su determinate piattaforme Windows. • Supporto IPv6: il client OfficeScan può essere installato su endpoint dual-stack o IPv6 puri. Tuttavia: • alcuni sistemi operativi Windows sui quali è possibile installare il client non supportano l'indirizzamento IPv6. • Alcuni metodi di installazione richiedono dei requisiti particolari per installare il client correttamente. • Indirizzi IP del client: per i client con indirizzi IPv4 e IPv6, è possibile scegliere quale indirizzo IP sarà usato dal client per effettuare la registrazione al server. • Elenco eccezioni: assicurarsi che gli elenchi di eccezioni per le funzioni seguenti siano configurati correttamente: • Monitoraggio comportamento: aggiungere le applicazioni importanti del computer all'elenco Programmi approvati per evitare che tali applicazioni siano bloccate dal client. Per ulteriori informazioni, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 7-6. • Reputazione Web: aggiungere i siti Web considerati sicuri all'Elenco URL approvati evitare che il client blocchi l'accesso ai siti Web. Per ulteriori informazioni, consultare Criteri di reputazione Web a pagina 10-3. Installazione del Client OfficeScan Funzioni del client Le funzioni del client OfficeScan disponibili nel computer dipendono dal sistema operativo del computer. TABELLA 4-1. Funzioni del client F UNZIONE S ISTEMI OPERATIVI WINDOWS XP S ERVER 2003 S ERVER 2008/ S ERVER C ORE 2008 V ISTA 7 Scansione manuale, scansione in tempo reale e scansione pianificata. Sì Sì Sì Sì Sì Aggiornamento dei componenti (aggiornamento manuale e pianificato) Sì Sì Sì Sì Sì Update Agent Sì Sì Sì Sì Sì Reputazione Web Sì Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì Sì Damage Cleanup Services Sì Sì Sì Sì Sì 4-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 4-1. Funzioni del client (continua) F UNZIONE S ISTEMI OPERATIVI W INDOWS XP S ERVER 2008/ S ERVER C ORE 2008 V ISTA 7 Firewall di OfficeScan Sì Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì Sì Monitoraggio del comportamento Sì (32 bit) Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (32 bit) Sì (32 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) Sì (32 bit) Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (32 bit) Sì (32 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) Protezione automatica del client per: • Chiavi di registro • Processi 4-4 S ERVER 2003 Installazione del Client OfficeScan TABELLA 4-1. Funzioni del client (continua) F UNZIONE S ISTEMI OPERATIVI WINDOWS S ERVER 2003 S ERVER 2008/ S ERVER C ORE 2008 Sì (32 bit) Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (32 bit) Sì (32 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) Sì (32 bit) Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (a 32 bit), ma disattivato per impostazione predefinita Sì (32 bit) Sì (32 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) No (64 bit) Sì (32 bit) Sì (32 bit) No No No No (64 bit) No (64 bit) Scansione e-mail POP3 Sì Sì Sì Sì Sì Supporto per Cisco NAC Sì No No No No Plug-in Manager del client Sì Sì Sì Sì Sì XP Controllo dispositivo Protezione dati Scansione e-mail Microsoft Outlook V ISTA 7 4-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 4-1. Funzioni del client (continua) F UNZIONE S ISTEMI OPERATIVI W INDOWS XP Modalità roaming Sì S ERVER 2003 Sì S ERVER 2008/ S ERVER C ORE 2008 V ISTA 7 Sì Sì No No No Sì Sì Sì Sì (Server) No (Server Core) Supporto SecureClient Smart Feedback Sì (32 bit) Sì (32 bit) No (64 bit) No (64 bit) Sì Sì Installazione del client e supporto IPv6 In questo argomento vengono illustrate le considerazioni relative all'installazione del client OfficeScan su endpoint dual-stack IPv6 puri. Sistema operativo Il client OfficeScan può essere installato solo sui seguenti sistemi operativi che supportano l'indirizzamento IPv6: • Windows Vista™ (tutte le edizioni) • Windows Server 2008 (tutte le edizioni) • Windows 7 (tutte le edizioni) Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 4-6 Installazione del Client OfficeScan Metodi di installazione Per installare il client su endpoint dual-stack o IPv6 puri, è possibile usare tutti i metodi di installazione del client. Alcuni metodi di installazione richiedono dei requisiti particolari per installare il client correttamente. Non è possibile migrare ServerProtect™ al client OfficeScan con lo Strumento di migrazione di server normali ServerProtect in quanto lo strumento non supporta l'indirizzamento IPv6. TABELLA 4-2. Metodi di installazione e supporto IPv6 M ETODO DI INSTALLAZIONE Pagina di installazione Web e installazione basata sul browser R EQUISITI E CONSIDERAZIONI L'URL per la pagina di installazione include il nome host del server OfficeScan o il relativo indirizzo IP. Se si sta effettuando l'installazione su un endpoint IPv6 puro, il server deve essere dual-stack o IPv6 puro e il relativo nome host o indirizzo IPv6 deve essere incluso nell'URL. Per gli endpoint dual-stack, gli indirizzi IPv6 visualizzati nella schermata dello stato dell'installazione (illustrata di seguito) dipende dall'opzione selezionata in Impostazioni client globali > Indirizzo IP preferito. 4-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 4-2. Metodi di installazione e supporto IPv6 (continua) M ETODO DI INSTALLAZIONE R EQUISITI E CONSIDERAZIONI Client Packager Quando si esegue lo strumento Packager, è necessario scegliere se assegnare i privilegi Update Agent al client. Tenere presente che gli Update Agent IPv6 puri possono distribuire gli aggiornamenti solo ai client IPv6 puri o dual-stack. Conformità sicurezza, Vulnerability Scanner e installazione remota Un server IPv6 puro non può installare il client su endpoint IPv4 puri. Analogamente, un server IPv4 puro non può installare il client su endpoint IPv6 puri. Indirizzi IP del client Un server OfficeScan installato in un ambiente che supporta l'indirizzamento IPv6 può gestire i seguenti client OfficeScan: • Un server OfficeScan installato su una macchina host IPv6 pura può gestire i client IPv6 puri. • Un server OfficeScan installato su una macchina host dual-stack con indirizzi IPv4 e IPv6 assegnati può gestire client IPv6 puri, dual-stack e IPv4 puri. Quando vengono installati o aggiornati, i client effettuano la registrazione al server usando un indirizzo IP. 4-8 • I client IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6. • I client IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4. • I client IPv4 dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 o IPv6. È possibile scegliere l'indirizzo IP che i client utilizzeranno. Installazione del Client OfficeScan Per configurare l'indirizzo IP usato dai client dual-stack per effettuare la registrazione al server: Nota. Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solo dai client dual-stack. P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI 1. Andare alla sezione Indirizzo IP preferito. 2. Scegliere una delle opzioni elencate di seguito. 3. CLIENT GLOBALI • Solo IPv4: i client usano il proprio indirizzo IPv4. • Prima IPv4, poi IPv6: i client usano prima il proprio indirizzo IPv4. Se il client non è in grado di effettuare la registrazione con l'indirizzo IPv4, usa l'indirizzo IPv6. Se la registrazione non riesce con entrambi gli indirizzi IP, il client riprova con la priorità stabilita per gli indirizzi IP per questa selezione. • Prima IPv6, poi IPv4: i client usano prima il proprio indirizzo IPv6. Se il client non è in grado di effettuare la registrazione con l'indirizzo IPv6, usa l'indirizzo IPv4. Se la registrazione non riesce con entrambi gli indirizzi IP, il client riprova con la priorità stabilita per gli indirizzi IP per questa selezione. Fare clic su Salva. 4-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Metodi di installazione Questa sezione fornisce un riepilogo dei diversi metodi di installazione del client disponibili per l'installazione da zero del client OfficeScan. Tutti i metodi di installazione necessitano dei privilegi di amministratore sui computer di destinazione. Se si stanno installando i client e si desidera attivare il supporto IPv6, leggere le istruzioni riportate in Installazione del client e supporto IPv6 a pagina 4-6. TABELLA 4-3. Metodi di installazione M ETODO DI INSTALLAZIONE /S UPPORTO SISTEMA OPERATIVO C ONSIDERAZIONI SULL ' IMPLEMENTAZIONE IMPLEMENTAZIONE WAN Pagina di installazione sul Web CENTRALIZZATA RICHIEDE INTERVENTO UTENTE RICHIEDE RISORSA IT IMPLEMENTAZIONE DI MASSA AMPIEZZA DI BANDA UTILIZZATA No No Sì No No Alto No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento No No Sì Sì No Basso, se pianificato Supportato su tutti i sistemi operativi ad eccezione di Windows Server Core 2008 Impostazione script di accesso Supporto per tutti i sistemi operativi Client Packager Supporto per tutti i sistemi operativi 4-10 Installazione del Client OfficeScan TABELLA 4-3. Metodi di installazione (continua) M ETODO DI INSTALLAZIONE /S UPPORTO SISTEMA OPERATIVO C ONSIDERAZIONI SULL ' IMPLEMENTAZIONE IMPLEMENTAZIONE WAN Client Packager (pacchetto MSI implementato con Microsoft SMS) CENTRALIZZATA RICHIEDE INTERVENTO UTENTE RICHIEDE RISORSA IT IMPLEMENTAZIONE DI MASSA AMPIEZZA DI BANDA UTILIZZATA Sì Sì Sì/No Sì Sì Basso, se pianificato Sì Sì Sì/No Sì Sì Alto, se le installazioni vengono avviate nello stesso momento No Sì No Sì No Alto Supporto per tutti i sistemi operativi Client Packager (pacchetto MSI implementato con Active Directory) Supporto per tutti i sistemi operativi Dalla pagina Installazione remota Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 7 Home Basic/Home Premium 4-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 4-3. Metodi di installazione (continua) M ETODO DI INSTALLAZIONE /S UPPORTO SISTEMA OPERATIVO C ONSIDERAZIONI SULL ' IMPLEMENTAZIONE IMPLEMENTAZIONE WAN Immagine disco del client CENTRALIZZATA RICHIEDE INTERVENTO UTENTE RICHIEDE RISORSA IT IMPLEMENTAZIONE DI MASSA AMPIEZZA DI BANDA UTILIZZATA No No No Sì No Basso No Sì No Sì No Alto Supporto per tutti i sistemi operativi Trend Micro Vulnerability Scanner (TMVS) Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition Installazione dalla pagina di installazione Web Affinché gli utenti possano installare il programma client dalla pagina di installazione Web, il server OfficeScan deve essere installato in un computer con una delle piattaforme riportate di seguito: 4-12 • Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x • Windows Server 2008 con Internet Information Server (IIS) 7.0 • Windows Server 2008 R2 con Internet Information Server (IIS) 7.5 Installazione del Client OfficeScan Per installare dalla pagina di installazione Web, occorre disporre della configurazione riportata di seguito: • • Internet Explorer con il livello di sicurezza impostato in modo da consentire i controlli ActiveX™. Sono richieste le versioni seguenti: • versione 6.0 con Windows XP e Windows Server 2003 • versione 7.0 con Windows Vista e Windows Server 2008 • versione 8.0 con Windows 7 Privilegi di amministratore sul computer Per installare il client OfficeScan dalla pagina di installazione Web, inviare agli utenti le seguenti istruzioni. Per inviare la notifica per l'installazione del client mediante messaggio e-mail, vedere Avvio installazione basata sul browser a pagina 4-14. Per eseguire l'installazione dall'apposita pagina Web: 1. accedere al computer utilizzando un account amministratore integrato. Nota. 2. Per le piattaforme Windows 7 occorre aver attivato prima l'account di amministratore predefinito. Per impostazione predefinita Windows 7 disattiva l'account di amministratore predefinito. Per ulteriori informazioni, fare riferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx). Se si effettua l'installazione su un computer con Windows XP, Vista, Server 2008 e 7, attenersi alla procedura riportata di seguito: a. Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (ad esempio https://<nome server OfficeScan>:4343/officescan) all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'icona Siti affidabili e fare clic su Siti. b. Modificare le impostazioni di sicurezza di Internet Explorer e attivare Richiesta di conferma automatica per controlli ActiveX. In Windows XP, per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet > Protezione e fare clic su Livello personalizzato. 4-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Aprire una finestra di Internet Explorer e digitare uno degli indirizzi riportati di seguito: • Server OfficeScan con SSL: https://<nome server OfficeScan>:<port>/officescan • Server OfficeScan senza SSL: http://<nome server OfficeScan>:<port>/officescan 4. Fare clic sul collegamento nella pagina di accesso. 5. Nella schermata che viene visualizzata, fare clic su Installa ora per avviare l'installazione del client OfficeScan. L'installazione client viene avviata. Quando viene richiesto, consentire l'installazione del controllo ActiveX. Al termine dell'installazione, viene visualizzata l'icona del client OfficeScan nella barra delle applicazioni di Windows. Nota. Per ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedere Icone del client a pagina 13-23. Avvio installazione basata sul browser Impostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioni per installare il client OfficeScan. Per avviare l'installazione, gli utenti devono fare clic sul collegamento per l'installazione contenuto nel messaggio e-mail. Prima di installare i client: 4-14 • Verificare i requisiti di installazione del client. • Individuare quali computer della rete non sono attualmente provvisti di protezione contro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito: • Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica la presenza di applicazioni software antivirus installate sui computer in base a un intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultare Utilizzo di Vulnerability Scanner a pagina 4-34. • Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezza per endpoint non gestiti a pagina 13-70. Installazione del Client OfficeScan Per avviare l'installazione basata sul browser: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I NSTALLAZIONE CLIENT > B ASATA 1. Se necessario, modificare la riga dell'oggetto del messaggio e-mail. 2. Fare clic su Crea e-mail. Si apre il programma di posta predefinito. 3. Inviare il messaggio ai destinatari designati. SUL BROWSER Installazione con Impostazione script di accesso L'Impostazione script di accesso automatizza l'installazione del client OfficeScan su computer non protetti quando questi accedono alla rete. L'Impostazione script di accesso aggiunge allo script di accesso del server un programma denominato AutoPcc.exe. AutoPcc.exe installa il client nei computer non protetti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script di accesso, i computer devono appartenere al dominio. Installazione client Quando il computer effettua l'accesso al server sul quale sono stati modificati gli script di accesso, AutoPcc.exe installa automaticamente il client OfficeScan sui computer Windows Server 2003 non protetti. AutoPcc.exe, tuttavia, non effettua installazioni automatiche del client sui computer con Windows 7, Vista, e Server 2008. Gli utenti devono collegarsi al computer server; accedere a \\<nome computer server>\\ofcscan, fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare Esegui come amministratore. Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe: • Il computer deve essere eseguito in modalità Mstsc.exe /console. In questo modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0. • Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da tale posizione. Aggiornamenti dei componenti e del programma AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e di Damage Cleanup Services. 4-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Script per Windows Server 2003 e Windows Server 2008 Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge un comando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file batch denominato officescan.bat che contiene il comando per eseguire AutoPcc.exe. L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di seguito. \\<Nome_server>\ofcscan\\autopcc Dove: • <Nome_server> è il nome o l'indirizzo IP del computer server OfficeScan. • "ofcscan" è il nome della cartella condivisa di OfficeScan sul server. • "autopcc" è il collegamento al file eseguibile autopcc che installa il client OfficeScan. Posizione dello script di accesso (tramite una directory condivisa mediante accesso di rete): • Windows Server 2003: \\Windows 2003 server\system drive\windir\sysvol\domain\scripts\ofcscan.bat • Windows Server 2008: \\Windows 2008 server\system drive\windir\sysvol\domain\scripts\ofcscan.bat Per aggiungere il file AutoPcc.exe allo script di accesso mediante l'Impostazione script di accesso: 1. Nel computer da cui si esegue l'installazione del server, dal menu Start di Windows, fare clic su Programmi > Server OfficeScan di Trend Micro <nome server> > Impostazione script di accesso. Viene caricata l'utilità Impostazione script di accesso. La console visualizza una struttura ad albero con tutti i domini della rete. 2. 4-16 Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo e fare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario e di disporre dei privilegi di amministratore del server. L'Impostazione script di accesso richiede un nome utente e una password. Installazione del Client OfficeScan 3. Immettere il nome utente e la password. Fare clic su OK per continuare. Viene visualizzata la schermata Selezione utente. L'elenco Utenti contiene i profili degli utenti che si collegano al server. L'elenco Utenti selezionati contiene invece i profili degli utenti di cui si desidera modificare lo script di accesso. 4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elenco Utenti e fare clic su Aggiungi. 5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti. 6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne il nome nell'elenco Utenti selezionati e fare clic su Elimina. 7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto. 8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utenti selezionati, fare clic su Applica. Viene visualizzato un messaggio in cui viene confermata la corretta modifica degli script di accesso al server. 9. Fare clic su OK. Si ritorna alla schermata iniziale dell'Impostazione script di accesso. 10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4. 11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci. Installazione con Client Packager Client Packager crea un pacchetto di installazione che può essere inviato agli utenti con supporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propri computer client per installare o aggiornare la versione del client OfficeScan e aggiornare i componenti. Client Packager risulta particolarmente utile quando si esegue l'implementazione del client OfficeScan o dei componenti sugli endpoint nelle sedi remote con ampiezza di banda ridotta. I client OfficeScan installati mediante Client Packager si collegano al server in cui è stato creato il pacchetto. Requisiti di Client Packager: • 350 MB di spazio libero su disco • Windows Installer 2.0 (per eseguire un pacchetto MSI) 4-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per creare un pacchetto di installazione con Client Packager: 1. Sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ClientPackager. 2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe. Viene aperta la console di Client Packager. 3. Selezionare il tipo di pacchetto che si desidera creare. TABELLA 4-4. Tipi di pacchetti client TIPO PACCHETTO 4-18 D ESCRIZIONE Installazione Selezionare Installazione per creare il pacchetto come file eseguibile. Il pacchetto installa il programma client OfficeScan con i componenti attualmente disponibili nel server. Se nel computer di destinazione è installata una versione precedente del client OfficeScan, il file eseguibile consente di aggiornare il client. Aggiornamento Selezionare Aggiorna per creare un pacchetto contenente i componenti attualmente disponibili nel server. Il pacchetto viene creato come file eseguibile. Utilizzare questo pacchetto nel caso si verifichino problemi con l'aggiornamento dei componenti in un computer client. MSI Selezionare MSI per creare un pacchetto conforme al formato Microsoft Installer Package. Il pacchetto installa anche il programma client OfficeScan con i componenti attualmente disponibili nel server. Se nel computer di destinazione è installata una versione precedente del client OfficeScan, il file MSI consente di aggiornare il client. Installazione del Client OfficeScan 4. 5. Configurare le impostazioni indicate di seguito (alcune impostazioni sono disponibili solo quando è selezionato un tipo di pacchetto particolare): • Tipo di sistema operativo Windows a pagina 4-20 • Metodo di scansione a pagina 4-20 • Modalità invisibile a pagina 4-21 • Disattiva pre-scansione a pagina 4-22 • Sovrascrittura forzata con ultima versione a pagina 4-22 • Funzioni di Update Agent a pagina 4-22 • Outlook Mail Scan a pagina 4-23 • Supporto Check Point SecureClient a pagina 4-23 • Componenti a pagina 4-23 Per File di origine, assicurarsi che il percorso del file ofcscan.ini sia corretto. Per modificare il percorso, fare clic su per cercare il file ofcscan.ini. Per impostazione predefinita, questo file si trova nella cartella <Cartella di installazione del server>\ PCCSRV del server OfficeScan. 6. In File di destinazione, fare clic su , specificare in quale percorso e con quale nome (ad esempio, ClientSetup.exe) si desidera creare il pacchetto del client. 7. Fare clic su Crea. Quando Client Packager ha completato la creazione del pacchetto, viene visualizzato il messaggio "Creazione pacchetto completata". Individuare il package nella directory specificata nel passaggio precedente. 8. Implementare il pacchetto. Linee guida per l'implementazione del pacchetto: 1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto client sui loro computer facendo doppio clic sul file .exe o .msi. ATTENZIONE! 2. Inviare il pacchetto solo agli utenti con OfficeScan client che riporta al server la posizione nella quale è stato creato. Informare gli utenti che installano il pacchetto .exe su computer con Windows Vista, Server 2008 o 7 che è necessario fare clic con il pulsante destro del mouse sul file .exe e selezionare Esegui come amministratore. 4-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Se è stato creato un file .msi, per implementare il pacchetto effettuare le operazioni riportate di seguito: • 4. Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di un pacchetto MSI utilizzando Active Directory a pagina 4-24 o Implementazione di un pacchetto MSI utilizzando Microsoft SMS a pagina 4-25. Avviare il pacchetto MSI tramite il prompt dei comandi e installare il client OfficeScan in modalità invisibile su un computer remoto con Windows XP, Vista o Server 2008. Tipo di sistema operativo Windows Selezionare il sistema operativo per cui si desidera creare il pacchetto. Implementare il pacchetto solo sui computer che eseguono questo tipo di sistema operativo. Creare un altro pacchetto da implementare su un altro tipo di sistema operativo. Metodo di scansione Selezionare il metodo di scansione del pacchetto. Per informazioni, vedere Metodi di scansione a pagina 6-8. I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Per ulteriori informazioni sui componenti disponibili per ciascun metodo di scansione, vedere Aggiornamenti del client OfficeScan a pagina 5-26. Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo di scansione leggere le linee guida riportate di seguito. 4-20 • Se il pacchetto verrà utilizzato per aggiornare un client a questa versione di OfficeScan, verificare il metodo di scansione del livello del dominio nella console Web. Nella console, andare a Computer collegati in rete > Gestione client, selezionare il dominio della struttura dei client a cui appartiene il client, quindi fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. • Se il pacchetto verrà utilizzato per eseguire un'installazione da zero del client OfficeScan, verificare l'impostazione di raggruppamento del client. Nella console Web, andare a Computer collegati in rete > Raggruppamento client. Installazione del Client OfficeScan • Se il raggruppamento del client avviene in base a NetBIOS, Active Directory o dominio DNS, verificare il dominio di appartenenza del computer di destinazione. Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Se il dominio non esiste, verificare il metodo di scansione del livello principale (selezionare l'icona del dominio principale nella struttura dei client e fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione). Il metodo di scansione del livello del dominio o del livello principale deve essere coerente con il metodo di scansione del pacchetto. • Se il raggruppamento dei client avviene in base ai gruppi di client personalizzati verificare Priorità di raggruppamento e Origine. FIGURA 4-1. Riquadro di anteprima Raggruppamento automatico dei client Se il computer di destinazione appartiene a un'origine particolare, verificare la Destinazione. La destinazione è il nome del dominio visualizzato all'interno della struttura dei client. Dopo l'installazione il client utilizzerà il metodo di scansione di quel dominio. • Se il pacchetto verrà utilizzato per aggiornare i componenti in un client con questa versione di OfficeScan, verificare il metodo di scansione configurato per il dominio della struttura dei client a cui appartiene il client. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. Modalità invisibile Questa opzione crea un pacchetto che viene installato in background sul computer client, in modo impercettibile per il client e senza visualizzare la finestra sullo stato dell'installazione. Attivare questa opzione se si intende implementare il pacchetto in modo remoto sul computer di destinazione. 4-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Disattiva pre-scansione Questa opzione è applicabile solo alle installazioni da zero. Se nel computer di destinazione non è installato il client OfficeScan, prima di installare il client il pacchetto esegue la scansione del computer per rilevare eventuali rischi per la sicurezza. Se si è certi che il computer di destinazione non sia infetto, è possibile disattivare la pre-scansione. Se la pre-scansione è attivata, il programma di installazione esegue la scansione per rilevare virus e minacce informatiche nelle aree del computer più vulnerabili, comprese quelle riportate di seguito: • Area boot e la directory boot (per i virus del settore boot) • Cartella Windows • Cartella Programmi Sovrascrittura forzata con ultima versione Questa opzione sovrascrive le versioni dei componenti del client con le versioni attualmente disponibili nel server. Attivare questa opzione per fare in modo che i componenti del server e del client siano sincronizzati. Funzioni di Update Agent Questa opzione consente di assegnare i privilegi di Update Agent al client del computer di destinazione. Gli Update Agent assistono il server OfficeScan nell'implementazione dei componenti sui client. Per i dettagli, consultare Update Agent a pagina 5-51. È possibile impostare Update Agent per fare in modo che esegua le seguenti operazioni. • Implementa componenti • Implementa impostazioni • Implementa programmi Per assegnare privilegi Update Agent a un client: 4-22 1. Tenere presente che se il pacchetto sarà distribuito a endpoint IPv6 puri, Update Agent può distribuire gli aggiornamenti solo ai client IPv6 puri o dual-stack. 2. Per attivare e configurare gli aggiornamenti dell'agente, utilizzare Strumento di configurazione aggiornamento pianificato. Per maggiori dettagli, consultare Metodi di aggiornamento per Update Agent a pagina 5-57. Installazione del Client OfficeScan 3. Il server OfficeScan che gestisce l'Update Agent non sarà in grado di sincronizzare o implementare le seguenti impostazioni sull'agente: • Privilegio Update Agent • Aggiornamento client pianificato • Aggiornamenti dal server ActiveUpdate di Trend Micro • Aggiornamenti da altre origini di aggiornamenti Il pacchetto client, quindi, deve essere implementato solo sui computer che non saranno gestiti da un server OfficeScan. Successivamente, configurare l'Update Agent in modo che ottenga gli aggiornamenti da un'origine di aggiornamenti diversa dal server OfficeScan, ad esempio, un'origine di aggiornamento personalizzata. Per fare in modo che il server OfficeScan sincronizzi le impostazioni con l'Update Agent, non utilizzare Client Packager e scegliere un metodo di installazione client diverso. Outlook Mail Scan Questa opzione consente di installare il programma Outlook Mail Scan che esegue la scansione delle caselle di posta di Microsoft Outlook™ per rilevare rischi per la sicurezza. Per i dettagli, consultare Privilegi scansione e-mail e altre impostazioni a pagina 6-60. Supporto Check Point SecureClient Questo strumento aggiunge il supporto Check Point™ SecureClient™ per Windows XP e Windows Server 2003. SecureClient verifica la versione del pattern dei virus prima di consentire la connessione alla rete. Per i dettagli, consultare Panoramica e configurazione dell'architettura Check Point a pagina 16-2. Nota. SecureClient non verifica la versione del pattern dei virus sui client che utilizzano Smart Scan. Componenti Selezionare i componenti e le funzioni da includere nel pacchetto. • Per ulteriori informazioni sui componenti, vedere Programmi e componenti di OfficeScan a pagina 5-2. 4-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Il modulo Protezione dati sarà disponibile solo se si installa e si attiva la Protezione dati. Per ulteriori informazioni su Protezione dati, vedere Installazione di Protezione dati a pagina 9-2. Implementazione di un pacchetto MSI utilizzando Active Directory È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchetto MSI contemporaneamente su diversi computer client. Per istruzioni sulla creazione di un file MSI, consultare Installazione con Client Packager a pagina 4-17. Per implementare un pacchetto MSI utilizzando Active Directory: 1. Eseguire le operazioni riportate di seguito: Per Windows Server 2003 e versioni precedenti: a. Aprire la console di Active Directory. b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desidera implementare il pacchetto MSI e fare clic su Proprietà. c. Nella scheda Criterio di gruppo, fare clic su Nuovo. Per Windows Server 2008 e Windows Server 2008 R2: 4-24 a. Aprire la console Gestione Criteri di gruppo. Fare clic su Start > Pannello di controllo > Strumenti di amministrazione > Gestione Criteri di gruppo. b. Nell'albero della console espandere Oggetti Criteri di gruppo nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di gruppo da modificare. c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor oggetti Criteri di gruppo. Installazione del Client OfficeScan 2. Scegliere tra Configurazione computer e Configurazione utente e aprire le relative Impostazioni software. Suggerimento. Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamente indipendentemente da quale utente accede al computer, Trend Micro consiglia di utilizzare la Configurazione computer anziché la Configurazione utente. 3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse su Installazione software, quindi selezionare Nuovo e Pacchetto. 4. Individuare e selezionare il pacchetto MSI. 5. Selezionare un metodo di implementazione e fare clic su OK. • Assegnato: il pacchetto MSI viene automaticamente implementato al successivo accesso dell'utente al computer (se è stata selezionata la Configurazione utente) o al successivo riavvio del computer (se è stata selezionata la Configurazione computer). Questo metodo non richiede alcun intervento da parte dell'utente. • Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinché apra il pannello di controllo ela schermata Installazione applicazioni e selezioni l'opzione per l'installazione di programmi in rete. All'avvio del pacchetto MSI del client OfficeScan, gli utenti possono procedere con l'installazione del client. Implementazione di un pacchetto MSI utilizzando Microsoft SMS Se Microsoft BackOffice SMS è installato nel server, è possibile implementare il pacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzioni sulla creazione di un file MSI, consultare Installazione con Client Packager a pagina 4-17. Prima di implementare il pacchetto sul computer di destinazione, il server SMS deve ottenere il file MSI dal server OfficeScan. • Locale: il server SMS e il server OfficeScan si trovano sullo stesso computer. • Remoto: il server SMS e il server OfficeScan si trovano su computer diversi. 4-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Problemi noti relativi all'installazione con Microsoft SMS • Nella colonna Run Time della console SMS appare il messaggio "Sconosciuto". • Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor del programma SMS potrebbe comunque indicare che l'installazione è stata completata. Per istruzioni su come controllare se l'installazione è stata conclusa correttamente, vedere Post-installazione a pagina 4-61. Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito. Per ottenere il pacchetto localmente: 1. Aprire la console dell'amministratore SMS. 2. Nella scheda Struttura ad albero, fare clic su Pacchetti. 3. Sul menu Operazione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata di Benvenuto della procedura guidata per la creazione del pacchetto. 4. Fare clic su Avanti. Viene visualizzata la schermata Definizione pacchetto. 5. Fare clic su Sfoglia. Viene visualizzata la schermata Apri. 6. Sfogliare e selezionare il file del pacchetto MSI creato da Client Packager, quindi fare clic su Apri. Il nome del pacchetto MSI viene visualizzato sulla schermata Definizione pacchetto. Il pacchetto mostra la versione del programma e del "Client OfficeScan di Trend Micro". 7. Fare clic su Avanti. Viene visualizzata la schermata File di origine. 8. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine con il nome del pacchetto che viene creato e la directory di origine stessa. 9. Fare clic su Unità locale sul server del sito. 10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI. 11. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. 4-26 Installazione del Client OfficeScan Per ottenere il pacchetto in remoto: 1. sul server OfficeScan, utilizzare Client Packager per creare un pacchetto di installazione con estensione .exe (non è possibile creare un pacchetto .msi). Per informazioni, vedere Installazione con Client Packager a pagina 4-17. 2. Sul computer sul quale si desidera archiviare il file di origine, creare una cartella condivisa. 3. Aprire la console dell'amministratore SMS. 4. Nella scheda Struttura ad albero, fare clic su Pacchetti. 5. Sul menu Operazione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata di Benvenuto della procedura guidata per la creazione del pacchetto. 6. Fare clic su Avanti. Viene visualizzata la schermata Definizione pacchetto. 7. Fare clic su Sfoglia. Viene visualizzata la schermata Apri. 8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata. 9. Fare clic su Avanti. Viene visualizzata la schermata File di origine. 10. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine. 11. Fare clic su Percorso di rete (nome UNC). 12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (la cartella condivisa creata in precedenza). 13. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. Per distribuire il pacchetto ai computer di destinazione: 1. Nella scheda Struttura ad albero, fare clic su Annunci. 2. Dal menu Azione, fare clic su Tutte le operazioni > Distribuisci software. Viene visualizzata la schermata iniziale della procedura guidata per la distribuzione del software. 3. Fare clic su Avanti. Viene visualizzata la schermata Pacchetto. 4. Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto di installazione creato. 5. Fare clic su Avanti. Viene visualizzata la schermata Punti di distribuzione. 4-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic su Avanti. Viene visualizzata la schermata Annuncia un programma. 7. Fare clic su Sì per annunciare il pacchetto di installazione del client, quindi su Avanti. Viene visualizzata la schermata Destinazione annuncio. 8. Fare clic su Sfoglia per selezionare i computer di destinazione. Viene visualizzata la schermata Cerca raccolta. 9. Fare clic su Tutti i sistemi Windows NT. 10. Fare clic su OK. Viene nuovamente visualizzata la schermata Destinazione annuncio. 11. Fare clic su Avanti. Viene visualizzata la schermata Nome annuncio. 12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clic su Avanti. Viene visualizzata la schermata Annuncio alle sottoraccolte. 13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere di annunciare il programma solo ai membri della raccolta specificata oppure anche ai membri delle sottoraccolte. 14. Fare clic su Avanti. Viene visualizzata la schermata Pianificazione annuncio. 15. Specificare il momento in cui annunciare il pacchetto di installazione del client digitando o selezionando la data e l'ora. Se si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una data specifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data e l'ora nelle caselle di riepilogo Data e ora di scadenza. 16. Fare clic su Avanti. Viene visualizzata la schermata Assegna programma. 17. Fare clic su Sì, assegna il programma, quindi su Avanti. Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratore SMS. 18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero il programma client OfficeScan) ai computer di destinazione, su ognuno di essi viene visualizzata una schermata. Istruire gli utenti affinché facciano clic su Sì e seguano le istruzioni fornite dalla procedura guidata per installare il client OfficeScan sul proprio computer. 4-28 Installazione del Client OfficeScan Installazione remota dalla console Web OfficeScan È possibile installare in remoto il client OfficeScan su uno o più computer collegati in rete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazione remota sui computer di destinazione. L'installazione remota non installa il client OfficeScan su un computer sul quale è già in esecuzione il server OfficeScan. Nota. Questo metodo di installazione non può essere adottato sui computer con Windows XP Home, Windows Vista Home Basic e Home Premium, Windows 7 Home Basic e Home Premium (a 32-bit e a 64-bit). Un server IPv6 server puro non può installare il client su endpoint IPv4 puri. Analogamente, un server IPv4 puro non può installare il client su endpoint IPv6 puri. Per effettuare l'installazione remota del client dalla console Web OfficeScan: 1. Se si utilizza Windows Vista Business, Enterprise o Ultimate Edition, Windows 7 Starter, Home Basic, Home Premium, Professional, Enterprise o Ultimate attenersi alla procedura riportata di seguito: a. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. b. Disattivare la condivisione dei file sull'endpoint. c. Fare clic su Start > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". e. 2. Aprire Microsoft Management Console (da Start > Esegui, digitare services.msc) e avviare i servizi Registro remoto e Remote Procedure Call. Quando si installa il client OfficeScan utilizzare l'account e la password di amministratore integrati. Nella console Web, andare a Computer collegati in rete > Installazione client > Remoto. 4-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Selezionare i computer di destinazione. • L'elenco Domini e computer contiene tutti i domini Windows della rete. Per visualizzare i computer in un dominio specifico, fare doppio clic sul nome del dominio. Selezionare un computer e fare clic su Aggiungi. • Se si conosce già il nome del computer di destinazione, immetterlo nel campo in cima alla pagina e fare clic su Cerca. OfficeScan richiede il nome utente e la password del computer di destinazione. Per proseguire utilizzare un nome utente e una password con privilegi di amministratore. 4. Immettere il nome utente e la password e fare clic su Accedi. Nell'elenco Computer selezionati viene visualizzato il computer di destinazione. 5. Per aggiungere altri computer, ripetere i passaggi 4 e 3. 6. Quando si è pronti per installare il client sui computer di destinazione, fare clic su Installa. Viene visualizzata una finestra di dialogo di conferma. 7. Fare clic su Sì per confermare l'installazione del client sui computer di destinazione. Mentre i file di programma vengono copiati sui diversi computer di destinazione, viene visualizzata una schermata di avanzamento. Quando OfficeScan ha completato l'installazione in un computer di destinazione, il nome del computer scompare dall'elenco Computer selezionati e viene visualizzato nell'elenco Domini e computer con un segno di spunta rosso. Quando tutti i computer sono visualizzati nell'elenco Domini e computer con un segno di spunta rosso, il processo di installazione remota è concluso. Nota. 4-30 Nell'installazione su diversi computer, OfficeScan riporta nei registri tutte le installazioni non completate; questo, tuttavia, non causa problemi all'installazione del software sugli altri computer. Dopo aver fatto clic su Installa, pertanto, non è più necessario supervisionare la procedura di installazione. Per vedere i risultati dell'installazione, controllare i registri al termine dell'operazione. Installazione del Client OfficeScan Installazione con Conformità sicurezza Installare i client OfficeScan nei computer dei domini della rete oppure installare il client OfficeScan in un computer di destinazione mediante il suo indirizzo IP. Prima di installare il client, tenere presente quando segue: 1. Prendere nota delle credenziali di ogni computer. Durante l'installazione, OfficeScan richiede di specificare le credenziali di accesso. 2. Il client OfficeScan non viene installato in un computer nei casi seguenti: 3. • Il server OfficeScan è installato nel computer. • Nel computer è eseguito Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7 Home Basic e Windows 7 Home Premium. Per i computer con tali piattaforme è necessario scegliere un altro metodo di installazione. Per informazioni, vedere Metodi di installazione a pagina 4-10. Se nel computer di destinazione è eseguito Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7 (Professional, Enterprise o Ultimate Edition), eseguire la procedura riportata di seguito nel computer: a. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. b. Disattivare il firewall di Windows. c. Fare clic su Start > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". e. Aprire Microsoft Management Console (da Start > Esegui, digitare services.msc) e avviare il servizio Registro remoto. Quando si installa il client OfficeScan utilizzare l'account e la password di amministratore integrati. 4-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Se nel computer sono installati programmi di protezione endpoint di Trend Micro o di terzi, verificare se OfficeScan è in grado di disinstallare automaticamente il software e sostituirlo con il client OfficeScan. Per un elenco del software di protezione endpoint che OfficeScan disinstalla automaticamente, aprire i file riportati di seguito contenuti in <Cartella di installazione del server>\PCCSRV\ Admin. Per aprire tali file utilizzare un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nel computer di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione, potrebbe essere necessario riavviare il computer. Per installare il client OfficeScan: P ERCORSO : C ONFORMITÀ 1. SICUREZZA > G ESTIONE SERVER ESTERNI Fare clic su Installa in cima alla struttura ad albero dei client. Se nel computer è già installata una versione precedente del client OfficeScan e si fa clic su Installa, l'installazione non viene eseguita e il client non viene aggiornato a questa versione. Per aggiornare il client, è necessario disattivare un'impostazione. Andare a Computer collegati in rete > Gestione client > Privilegi e altre impostazioni > scheda Altre impostazioni. Disattivare l'opzione I client possono aggiornare i componenti ma non il programma client né implementare hotfix. 4-32 2. Specificare l'account di accesso amministratore di ciascun computer e fare clic su Accesso. OfficeScan inizia l'installazione del client nel computer di destinazione. 3. Visualizzare lo stato dell'installazione. Installazione del Client OfficeScan Installazione dall'immagine disco del client La tecnologia delle immagini disco consente di creare un'immagine di un client OfficeScan e di clonarlo su altri computer della rete utilizzando un software per immagini disco. Affinché il server possa identificare i singoli client, ogni installazione client necessita di un Identificatore univoco globale (GUID). Per creare GUID diversi per ognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe. Per creare un'immagine disco di un client OfficeScan: 1. Installare il client OfficeScan su un computer. 2. Copiare ImgSetup.exe da <Cartella di installazione del server>\ PCCSRV\Admin\Utility\ImgSetup in questo computer. 3. Eseguire ImgSetup.exe su questo computer. Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE. 4. Creare un'immagine disco del client OfficeScan utilizzando un software per l'immagine disco. 5. Riavviare il clone. ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. Il client riferisce il nuovo GUID al server che crea un nuovo record per il nuovo client. ATTENZIONE! Per evitare di avere nel database di OfficeScan due computer con lo stesso nome, modificare manualmente il nome del computer o del dominio relativo al client OfficeScan clonato. 4-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Utilizzo di Vulnerability Scanner Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate, di cercare i computer non protetti presenti nella rete e di installare i client OfficeScan nei computer. Considerazioni sull'utilizzo di Vulnerability Scanner Le considerazioni riportate di seguito possono aiutare a decidere se utilizzare Vulnerability Scanner: Amministrazione della rete TABELLA 4-5. Amministrazione della rete I NSTALLAZIONE 4-34 E FFICACIA DI VULNERABILITY S CANNER Amministrazione con criteri di protezione rigidi Estremamente efficace. Vulnerability Scanner segnala se in tutti i computer è installato o meno il software antivirus Le responsabilità amministrative sono distribuite nei vari siti Mediamente efficace Amministrazione centralizzata Mediamente efficace Servizio esterno Mediamente efficace Gli utenti amministrano i propri computer Non efficace. Poiché Vulnerability Scanner esegue la scansione della rete per rilevare le installazioni del software antivirus, non è possibile fare in modo che gli utenti eseguano la scansione dei propri computer Installazione del Client OfficeScan Topologia e architettura della rete TABELLA 4-6. Topologia e architettura della rete I NSTALLAZIONE E FFICACIA DI VULNERABILITY S CANNER Sede unica Estremamente efficace. Vulnerability Scanner consente di eseguire la scansione di un intero segmento IP e di installare il client OfficeScan nella LAN con facilità Sedi diverse con connessione ad alta velocità Mediamente efficace Sedi diverse con connessione a bassa velocità Non efficace. Occorre eseguire Vulnerability Scanner in ciascuna sede e l'installazione del client OfficeScan deve essere diretta a un server OfficeScan locale. Computer remoti e isolati Non efficace. Vulnerability Scanner non è in grado di eseguire la scansione di computer non collegati alla rete Specifiche software/hardware TABELLA 4-7. Specifiche software/hardware I NSTALLAZIONE E FFICACIA DI VULNERABILITY S CANNER Sistemi operativi basati su Windows NT Estremamente efficace. Vulnerabilty Scanner è in grado di installare facilmente il client OfficeScan in remoto nei computer con sistema operativo basato su Windows NT. Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è in grado di eseguire l'installazione solo nei computer con sistemi operativi basati su Windows NT. 4-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 4-7. Specifiche software/hardware (continua) I NSTALLAZIONE E FFICACIA DI VULNERABILITY S CANNER Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essere utilizzato con software di gestione dei desktop. Tuttavia, può essere utile per tenere traccia dell'installazione del client OfficeScan. Struttura del dominio TABELLA 4-8. Struttura del dominio I NSTALLAZIONE 4-36 E FFICACIA DI VULNERABILITY S CANNER Microsoft Active Directory Estremamente efficace. Per consentire l'installazione remota del client OfficeScan, specificare l'account dell'amministratore del dominio in Vulnerability Scanner. Workgroup Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede un account di dominio Windows per installare il client OfficeScan. Peer-to-peer Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Installazione del Client OfficeScan Traffico di rete TABELLA 4-9. Traffico di rete I NSTALLAZIONE E FFICACIA DI VULNERABILITY S CANNER Connessione LAN Estremamente efficace 512 Kbps Mediamente efficace Connessione T1 e superiore Mediamente efficace Accesso remoto Non efficace. Richiede molto tempo per portare a termine l'installazione del client OfficeScan Dimensioni della rete TABELLA 4-10. Dimensioni della rete I NSTALLAZIONE E FFICACIA DI VULNERABILITY S CANNER Rete aziendale molto grande Estremamente efficace. Vulnerability Scanner si rivela molto utile con reti di grandi dimensioni per le quali è indispensabile controllare le installazioni del client OfficeScan. Piccole e medie imprese Mediamente efficace. Vulnerability Scanner è utile per installare il client OfficeScan nelle reti di piccole dimensioni. Tuttavia altri metodi di installazione del client potrebbero rivelarsi più semplici da implementare. 4-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Linee guida per l'installazione del client OfficeScan con Vulnerability Scanner Vulnerability Scanner non installa il client nei casi indicati di seguito: • Il server OfficeScan o un altro software di sicurezza è installato sulla macchina host di destinazione. • Nel computer remoto è presente Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7 Starter, Windows 7 Home Basic o Windows 7 Home Premium. Nota. È possibile installare il client sulla macchina host di destinazione utilizzando un altro dei metodi di installazione illustrati in Metodi di installazione a pagina 4-10. Prima di usare Vulnerability Scanner per installare il client, attenersi alla procedura riportata di seguito: Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7 (Professional, Enterprise o Ultimate Edition): 1. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. 2. Fare clic su Start > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. 3. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". 4. Aprire Microsoft Management Console (da Start > Esegui, digitare services.msc) e avviare il servizio Registro remoto. Quando si installa il client OfficeScan utilizzare l'account e la password di amministratore integrati. Per Windows XP Professional (versione a 32 bit o a 64 bit): 4-38 1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella. 2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione file semplice (scelta consigliata). Installazione del Client OfficeScan Esecuzione delle scansioni di vulnerabilità La scansione di vulnerabilità verifica se nelle macchine host è presente un software di sicurezza e può installare il client OfficeScan nelle macchine non protette. Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità. TABELLA 4-11. Metodi di scansione di vulnerabilità M ETODO D ETTAGLI Scansione di vulnerabilità manuale Ora gli amministratori possono eseguire scansioni di vulnerabilità su richiesta. Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità su macchine host che richiedono gli indirizzi IP da un server DHCP. Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di ascolto del server DHCP per le richieste DHCP). Se rileva una richiesta DHCP proveniente da una macchina host, la scansione di vulnerabilità viene eseguita sulla macchina. Nota. Scansione di vulnerabilità pianificata Vulnerability Scanner non rileva le richieste DHCP se partono da Windows Server 2008 o Windows 7. Le scansioni pianificate vengono eseguite in base alla pianificazione configurata dagli amministratori. Una volta eseguito, Vulnerability Scanner visualizza lo stato del client OfficeScan sulle macchine host di destinazione. Lo stato può essere: • Normale: il client OfficeScan è in esecuzione e funziona correttamente • Anomalo: i servizi del client OfficeScan non sono in esecuzione oppure il client non dispone della protezione in tempo reale 4-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • • Non installato: manca il servizio TMListen oppure il client OfficeScan non è stato installato Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire la connessione con la macchina host e di determinare lo stato del client OfficeScan Per eseguire una scansione di vulnerabilità manuale: 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro computer con Windows XP, Server 2003, Server 2008, Vista o 7: a. Sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro computer. c. Sull'altro computer, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota. 2. 3. Non è possibile avviare lo strumento da Terminal Server. Andare alla sezione Scansione manuale. Immettere l'intervallo di indirizzi IP dei computer da controllare. a. Immettere un intervallo di indirizzi IPv4. Nota. Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability Scanner supporta soltanto un intervallo di indirizzi IP che sia di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota. 4-40 Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack. Installazione del Client OfficeScan 4. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 5. Configurare le impostazioni riportate di seguito: a. Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio precedente per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 4-54. b. Metodo di recupero delle descrizioni del computer: Per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Per i dettagli, consultare Metodo per recuperare le descrizioni dei computer a pagina 4-51. c. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 4-48. d. Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente il client sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale del client e le credenziali amministrative usate per il collegamento alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 4-55. Nota. 6. Alcune condizioni possono impedire l'installazione del client nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-38. e. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 4-52. f. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 4-53. Fare clic su OK. La schermata Impostazioni si chiude. 4-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 7. Fare clic su Avvio. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione manuale. Nota. 8. Se nel computer è in esecuzione Windows Server 2008, le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Per eseguire una scansione DHCP: 1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartella riportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\ Utility\TMVS. TABELLA 4-12. Impostazioni DHCP nel file TMVS.ini I MPOSTAZIONE D ESCRIZIONE DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Il valore minimo è 3 e il valore massimo è 100. Il valore predefinito è 3. DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito il controllo del software antivirus nel computer che effettua la richiesta. Il valore minimo è 0 (senza attesa) e il valore massimo è 600. Il valore predefinito è 60. LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva. Vulnerability Scanner invia i risultati della scansione al server OfficeScan. I registri vengono visualizzati nella schermata Registri eventi di sistema nella console Web. 4-42 OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan. OsceServerPort=x La porta del server Web nel server OfficeScan. Installazione del Client OfficeScan 2. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro computer con Windows XP, Server 2003, Server 2008, Vista o 7: a. Sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro computer. c. Sull'altro computer, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota. Non è possibile avviare lo strumento da Terminal Server. 3. Nella sezione Scansione manuale, fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 4. Configurare le impostazioni riportate di seguito: a. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 4-48. b. Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente il client sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale del client e le credenziali amministrative usate per il collegamento alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 4-55. Nota. Alcune condizioni possono impedire l'installazione del client nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-38. 4-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore c. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 4-52. d. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 4-53. 5. 6. Fare clic su OK. La schermata Impostazioni si chiude. Nella tabella Risultati fare clic sulla scheda Scansione DHCP. Nota. 7. 8. La scheda Scansione DHCP non è disponibile nei computer con Windows Server 2008 e Windows 7. Fare clic su Avvio. Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli di vulnerabilità sui computer mano a mano che questi si connettono alla rete. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Per configurare le scansioni di vulnerabilità pianificate 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro computer con Windows XP, Server 2003, Server 2008, Vista o 7: a. Sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro computer. c. Sull'altro computer, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota. 4-44 Non è possibile avviare lo strumento da Terminal Server. Installazione del Client OfficeScan 2. Andare alla sezione Scansione pianificata. 3. Fare clic su Aggiungi/Modifica. Viene visualizzata la schermata Scansione pianificata. 4. Configurare le impostazioni riportate di seguito: a. Nome: digitare un nome per la scansione di vulnerabilità pianificata. b. Intervallo di indirizzi IP: Digitare l'intervallo di indirizzi IP dei computer da controllare. i. Immettere un intervallo di indirizzi IPv4. Nota. Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack con un indirizzo IPv4 disponibile. Vulnerability Scanner supporta soltanto un intervallo di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. ii. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota. c. Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack con un indirizzo IPv6 disponibile. Pianificazione: specificare un'ora di inizio con il formato 24 ore, quindi selezionare con quale frequenza si desidera eseguire la scansione. Selezionare una frequenza giornaliera, settimanale o mensile. 4-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore d. Impostazioni: selezionare le impostazioni di scansione vulnerabilità da usare. • Se sono state configurare le impostazioni di scansione vulnerabilità manuale e si desidera usarle, selezionare Usa impostazioni correnti. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità manuale, vedere Per eseguire una scansione di vulnerabilità manuale a pagina 4-40. • Se non sono state specificate le impostazioni di scansione vulnerabilità manuale o si desidera usare altre impostazioni, selezionare Modifica impostazioni e fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. È possibile configurare le seguenti impostazioni e fare clic su OK: • Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio 4b per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 4-54. • Metodo di recupero delle descrizioni del computer: Per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Per i dettagli, consultare Metodo per recuperare le descrizioni dei computer a pagina 4-51. • Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 4-48. • Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente il client sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale del client e le credenziali amministrative usate per il collegamento alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 4-55. Nota. 4-46 Alcune condizioni possono impedire l'installazione del client nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-38. Installazione del Client OfficeScan 5. • Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 4-52. • Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 4-53. Fare clic su OK. La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilità pianificata creata viene visualizzata nella sezione Scansione pianificata. Se sono state attivate le notifiche, Vulnerability Scanner invia i risultati della scansione di vulnerabilità pianificata. 6. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic su Esegui ora. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione pianificata. Nota. 7. Se nel computer è in esecuzione Windows Server 2008, le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Impostazioni di Scansione vulnerabilità Le impostazioni di Scansione vulnerabilità sono configurate da Trend Micro Vulnerability Scanner (TMVS.exe) o dal file TMVS.ini. Nota. Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug per Vulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 17-4. 4-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Query prodotto Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negli endpoint. La tabella seguente illustra in che modo avviene il controllo dei prodotti di protezione da parte di Vulnerability Scanner: TABELLA 4-13. Prodotti di protezione controllati da Vulnerability Scanner P RODOTTO D ESCRIZIONE ServerProtect per Windows Per controllare se SPNTSVC.exe è in esecuzione, Vulnerability Scanner utilizza endpoint RPC. In tal modo ottiene informazioni quali il sistema operativo e le versioni del motore di scansione virus, del pattern dei virus e dei prodotti. Vulnerability Scanner non è in grado di rilevare il server informazioni di ServerProtect o la console di gestione di ServerProtect. ServerProtect per Linux Se nel computer di destinazione non è presente Windows, Vulnerability Scanner tenta di connettersi alla porta 14942 per controllare se ServerProtect per Linux è installato. Client OfficeScan Per controllare se il client OfficeScan è installato, Vulnerability Scanner utilizza la porta del client OfficeScan. Controlla inoltre se il processo TmListen.exe è in esecuzione. Se viene eseguito dalla posizione predefinita, ottiene il numero di porta in modo automatico. Se TMVS viene avviato in un computer diverso dal server OfficeScan, controllare la porta di comunicazione dell'altro computer prima di utilizzarla. PortalProtect™ 4-48 Per controllare l'installazione del prodotto, Vulnerability Scanner carica la pagina Web http://localhost:port/PortalProtect/index.html. Installazione del Client OfficeScan TABELLA 4-13. Prodotti di protezione controllati da Vulnerability Scanner (continua) P RODOTTO D ESCRIZIONE ScanMail™ per Microsoft Exchange™ Per controllare l'installazione di ScanMail, Vulnerability Scanner carica la pagina Web http://ipaddress:port/scanmail.html. Per impostazione predefinita, ScanMail utilizza la porta 16372. Se ScanMail utilizza un numero di porta differente, specificare tale numero. In caso contrario, Vulnerability Scanner non è in grado di rilevare ScanMail. Serie InterScan™ Per controllare l'installazione dei prodotti, Vulnerability Scanner carica la pagina Web di ciascun prodotto. • InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm • InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm • InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll Trend Micro Internet Security™? (PC-cillin) Per controllare se Trend Micro Internet Security è installato, Vulnerability Scanner utilizza la porta 40116. McAfee VirusScan ePolicy Orchestrator Vulnerability Scanner invia un token speciale alla porta TCP 8081, la porta predefinita di ePolicy Orchestrator per la connessione tra server e client. Il computer con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Vulnerability Scanner non è in grado di rilevare McAfee VirusScan standalone. Norton Antivirus™ Corporate Edition Vulnerability Scanner invia un token speciale alla porta UDP 2967, la porta predefinita di Norton Antivirus Corporate Edition RTVScan. Il computer con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Poiché Norton Antivirus Corporate Edition comunica tramite UDP, il livello di accuratezza non è garantito. Inoltre il traffico di rete potrebbe influenzare il tempo di attesa UDP. 4-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati di seguito: • RPC: rileva ServerProtect per NT • UDP: rileva i client Norton AntiVirus Corporate Edition • TCP: rileva McAfee VirusScan ePolicy Orchestrator • ICMP: rileva i computer tramite l'invio di pacchetti ICMP • HTTP: rileva i client OfficeScan • DHCP: se viene rilevata una richiesta DHCP, Vulnerability Scanner è in grado di controllare se sul computer che emette la richiesta, è già stato installato un software antivirus. Per configurare le impostazioni di query dei prodotti, eseguire i passaggi descritti di seguito: 1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner (TMVS.exe): Nota. Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. a. Avviare TMVS.exe. b. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. Andare alla sezione Query prodotto. d. Selezionare i prodotti da esaminare. 4-50 e. Fare clic su Impostazioni accanto al nome del prodotto e specificare il numero di porta che verrà controllato da Vulnerability Scanner. f. Fare clic su OK. La schermata Impostazioni si chiude. Installazione del Client OfficeScan 2. Consente di impostare il numero di computer che verranno contemporaneamente controllati da Vulnerability Scanner per verificare la presenza di software di sicurezza. a. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio, Blocco note. b. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità manuale, modificare il valore per ThreadNumManual. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumManual=60 se si desidera che Vulnerability Scanner esegua il controllo su 60 computer alla volta. c. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità pianificata, modificare il valore per ThreadNumSchedule. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumSchedule=50 se si desidera che Vulnerability Scanner esegua il controllo su 50 computer alla volta. d. Salvare il file TMVS.ini. Metodo per recuperare le descrizioni dei computer Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, può reperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi di recupero delle informazioni: • Recupero rapido: recupera solo il nome del computer • Recupero normale: recupera le informazioni del dominio e del computer Per configurare le impostazioni di recupero, eseguire i passaggi seguenti: Nota. Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Metodo per recuperare le descrizioni computer. 4-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Selezionare Normale o Rapido. 5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizioni computer quando disponibili. 6. Fare clic su OK. La schermata Impostazioni si chiude. Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per configurare le impostazioni di notifica, eseguire i passaggi seguenti: Nota. Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Notifica. 4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi o ad altri amministratori nell'organizzazione: a. Selezionare Risultati e-mail all'amministratore di sistema. b. Fare clic su Configura per specificare le impostazioni e-mail. c. Nel campo A immettere l'indirizzo e-mail del destinatario. d. Nel campo Da, immettere l'indirizzo e-mail del mittente. 4-52 e. Nel campo Server SMTP digitare l'indirizzo del server SMTP. Ad esempio, digitare smtp.azienda.com. Le informazioni del server SMTP sono obbligatorie. f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppure accettare quello predefinito. g. Fare clic su OK. Installazione del Client OfficeScan 5. Per comunicare agli utenti che sui computer non è installato il software di sicurezza: a. Selezionare Visualizza una notifica sui computer non protetti. b. Fare clic su Personalizza per configurare il messaggio di notifica. c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio o accettare il messaggio predefinito. d. Fare clic su OK. 6. Fare clic su OK. La schermata Impostazioni si chiude. Risultati scansione vulnerabilità È possibile configurare Vulnerability Scanner in modo da salvare i risultati della scansione in un file CSV. Per configurare le impostazioni dei risultati della scansione di vulnerabilità, eseguire i passaggi descritti di seguito: Nota. Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Salva risultati. 4. Selezionare Salva automaticamente i risultati in un file CSV. 5. Per cambiare la cartella predefinita in cui salvare il file CSV: 6. a. Fare clic su Sfoglia. b. Selezionare una cartella di destinazione nel computer o nella rete. c. Fare clic su OK. Fare clic su OK. La schermata Impostazioni si chiude. 4-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni ping Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina di destinazione e verificare il sistema operativo usato. Se queste impostazioni sono disattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallo specificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi il tentativo di eseguire la scansione impiegherà più tempo di quanto previsto. Per configurare le impostazioni ping, eseguire i passaggi seguenti: 1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe): Nota. Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. a. Avviare TMVS.exe. b. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. Andare alla sezione Impostazioni Ping. d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping dei computer della rete per verificarne lo stato. 4-54 e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi Dimensioni pacchetto e Timeout. f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta del sistema operativo ICMP. Se si seleziona questa opzione, Vulnerability Scanner determina se una macchina host esegue Windows o un altro sistema operativo. Per le macchine host con Windows, Vulnerability Scanner è in grado di identificare la versione di Windows. g. Fare clic su OK. La schermata Impostazioni si chiude. Installazione del Client OfficeScan 2. Per impostare il numero di computer che verranno sottoposti contemporaneamente a ping da parte di Vulnerability Scanner: a. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio, Blocco note. b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64. Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner effettui il ping su 60 computer alla volta. c. Salvare il file TMVS.ini. Impostazioni server OfficeScan Le impostazioni del server OfficeScan sono usate quando: • Vulnerability Scanner è in grado di installare il client OfficeScan su macchine di destinazione non protette. Le impostazioni del server consentono a Vulnerability Scanner di identificare il server principale del client e le credenziali amministrative da usare per il collegamento alle macchine di destinazione. Nota. • Alcune condizioni possono impedire l'installazione del client nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione del client OfficeScan con Vulnerability Scanner a pagina 4-38. Vulnerability Scanner invia i registri di installazione del client al server OfficeScan. Per configurare le impostazioni del server OfficeScan, eseguire i passaggi seguenti: Nota. Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Esecuzione delle scansioni di vulnerabilità a pagina 4-39. 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Impostazioni server OfficeScan. 4. Immettere il nome e il numero della porta del server OfficeScan. 4-55 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Selezionare Installazione automatica del client OfficeScan sui computer non protetti. 6. Per configurare le credenziali amministrative: a. Fare clic su Installa nell'account. b. Nella schermata Informazioni account, digitare un nome utente e una password. c. Fare clic su OK. 7. Selezionare Invia registri al server OfficeScan. 8. Fare clic su OK. La schermata Impostazioni si chiude. Migrazione al client OfficeScan Eseguire la migrazione del software di protezione endpoint installato in un computer di destinazione al client OfficeScan. Migrazione da altro software di protezione endpoint Quando si installa il client OfficeScan il programma di installazione esegue il controllo del software di protezione endpoint di Trend Micro o di terzi installato nel computer di destinazione. Il programma di installazione è in grado di disinstallare automaticamente il software e di sostituirlo con il client OfficeScan. Per un elenco del software di protezione endpoint che OfficeScan disinstalla automaticamente, aprire i file riportati di seguito contenuti in <Cartella di installazione del server>\PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nel computer di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione, potrebbe essere necessario riavviare il computer. 4-56 Installazione del Client OfficeScan Problemi relativi alla migrazione dei client • Se la migrazione del client si è conclusa correttamente, ma l'utente ha riscontrato dei problemi nell'uso del client OfficeScan subito dopo l'installazione, riavviare il computer. • Se il programma di installazione OfficeScan ha eseguito l'installazione del client OfficeScan senza disinstallare l'altro software di protezione, si verificheranno dei conflitti tra i due software. Disinstallare entrambi i software, quindi installare il client OfficeScan utilizzando uno dei metodi descritti nella sezione Metodi di installazione a pagina 4-10. Migrazione dai normali server ServerProtect Lo strumento di migrazione di server normali ServerProtect™ consente di effettuare la migrazione di computer con server normale Trend Micro ServerProtect al client OfficeScan. Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifiche hardware e software del server OfficeScan. Eseguire lo strumento su computer con Windows Server 2003 e Windows Server 2008. Se la disinstallazione del server normale ServerProtect viene completata correttamente, lo strumento installa il client OfficeScan. Consente anche di migrare le impostazioni dell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) al client OfficeScan. Durante l'installazione del client OfficeScan, potrebbe verificarsi il timeout del programma di installazione del client dello strumento di migrazione ed essere visualizzata una notifica per avvisare che l'installazione non è riuscita. Se questo dovesse verificarsi, non è detto che il client non sia stato installato correttamente. Verificare l'installazione sul computer client dalla console Web OfficeScan. 4-57 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore La migrazione non riesce nelle seguenti situazioni: • Il client remoto ha solo un indirizzo IPv6. Lo strumento di migrazione non supporta l'indirizzamento IPv6. • Il client remoto non è in grado di utilizzare il protocollo NetBIOS. • Le porte 455, 337 e 339 sono bloccate. • Il client remoto non è in grado di utilizzare il protocollo RPC. • Il servizio Registro remoto s'interrompe. Nota. Lo strumento di migrazione di server normali ServerProtect non effettua la disinstallazione dell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallare l'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager. Per utilizzare lo strumento di migrazione di server normali ServerProtect: 4-58 1. Sul computer server OfficeScan, aprire <Cartella di installazione del server>\ PCCSRV\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in <Cartella di installazione del server>\PCCSRV\Admin. 2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento. Viene visualizzata la console dello strumento di migrazione del server normale ServerProtect. 3. Selezionare il server OfficeScan. Il percorso del server OfficeScan viene visualizzato nell'apposita sezione. Se il percorso non è quello corretto, fare clic su Sfoglia e selezionare la cartella PCCSRV nella directory di installazione di OfficeScan. Per attivare lo strumento in modo che trovi automaticamente il server OfficeScan al prossimo utilizzo, selezionare la casella di controllo Individuazione automatica percorso server (selezionata per impostazione predefinita). Installazione del Client OfficeScan 4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtect per i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nella sezione Computer di destinazione: • Struttura di rete Windows: visualizza una struttura ad albero dei domini presenti nella rete. Per selezionare i computer che utilizzano questo metodo, fare clic sui domini sui quali effettuare la ricerca dei computer client. • Nome server informazioni: ricerca effettuata per nome server informazioni. Per selezionare i computer con questo metodo, immettere il nome di un server informazioni presente sulla propria rete. Per effettuare la ricerca di diversi server informazioni, inserire un punto e virgola ";" tra i nomi dei server. • Nome server normale certo: ricerca effettuata per nome server normale. Per selezionare i computer con questo metodo, immettere il nome di un server normale presente sulla propria rete. Per effettuare la ricerca su diversi server normali, inserire un punto e virgola ";" tra i nomi dei server. • Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Per selezionare i computer con questo metodo, immettere un intervallo di indirizzi IP di classe B nella casella Intervallo IP. Nota. Se un server DNS presente in rete non risponde in fase di ricerca dei client, anche l'operazione di ricerca non risponde. Attendere il timeout della ricerca. 5. Selezionare Riavvio dopo l'installazione per riavviare automaticamente i computer di destinazione dopo la migrazione. Per completare la migrazione correttamente, è necessario riavviare il computer. Se non si seleziona questa opzione, riavviare il computer manualmente dopo la migrazione. 6. Fare clic su Cerca. I risultati della ricerca vengono visualizzati nella sezione Server normali ServerProtect. 7. Fare clic sui computer per i quali effettuare la migrazione. a. Per selezionare tutti i computer, fare clic su Seleziona tutto. b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto. c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic su Esporta in CSV. 4-59 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 8. Se per accedere ai computer di destinazione sono necessari nome utente e password, effettuare le seguenti operazioni: a. Selezionare la casella di controllo Usa account/password gruppo. b. Fare clic su Imposta account di accesso. Viene visualizzata la finestra Inserisci informazioni di amministrazione. c. Immettere il nome utente e la password. Nota. Per accedere al computer di destinazione, utilizzare l'account di amministratore locale o di dominio. Se si effettua l'accesso senza i necessari privilegi (ad esempio, come "Guest" o "Utente normale"), non sarà possibile effettuare l'installazione. d. Fare clic su OK. e. 9. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri di poter inserire il nome utente e la password nel corso del processo di migrazione nel caso in cui l'accesso risulti impossibile. Fare clic su Migra. 10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare i computer di destinazione dopo la migrazione. 4-60 Installazione del Client OfficeScan Post-installazione Al termine dell'installazione, verificare i seguenti elementi: Collegamento al client OfficeScan I collegamenti al client Trend Micro OfficeScan vengono visualizzati nel menu Start del computer client. FIGURA 4-2. Collegamento al client OfficeScan Elenco programmi Client Trend Micro OfficeScan è incluso nell'elenco Installazione applicazioni del Pannello di controllo del computer client. Servizi client OfficeScan I seguenti servizi del client OfficeScan sono visualizzati in Microsoft Management Console: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) • OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durante l'installazione • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe); solo per computer con processore di tipo x86 4-61 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri di installazione del client Il registro di installazione del client OFCNT.LOG si trova nei percorsi riportati di seguito: • %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazione del pacchetto MSI • %temp% per il metodo di installazione con il pacchetto MSI Attività post-installazione consigliate Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni: Aggiornamento dei componenti Per essere sicuri che tutti i client siano dotati della protezione contro i rischi per la sicurezza, aggiornare i componenti dei client. È possibile eseguire gli aggiornamenti manuali dei client dalla console Web oppure chiedere agli utenti di eseguire "Aggiorna ora" dai propri computer. Scansione di prova mediante lo script di prova EICAR L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per la ricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consente di controllare in modo sicuro la corretta installazione e configurazione del software antivirus. Per ulteriori informazioni, visitare il sito Web EICAR: http://www.eicar.org Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo file non è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei software antivirus reagiscono a tale file come se si trattasse di un virus. È possibile utilizzare il file per simulare un'infezione virale e verificare così il corretto funzionamento delle notifiche e-mail e dei registri dei virus. ATTENZIONE! 4-62 Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus. Installazione del Client OfficeScan Per eseguire una scansione di prova: 1. Attivare la scansione in tempo reale sul client. 2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testo semplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* 3. Salvare il file nominandolo EICAR.com in una directory temporanea. OfficeScan rileva immediatamente il file. 4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato in un messaggio e-mail e inviarlo ad uno dei computer. Suggerimento. Trend Micro consiglia di comprimere il file EICAR utilizzando un software di compressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova. Disinstallazione del client Per disinstallare il programma OfficeScan dagli endpoint, è possibile procedere in due modi: • Disinstallazione del client dalla console Web a pagina 4-64 • Esecuzione del programma di disinstallazione del client a pagina 4-65 Se sul client è installato anche Cisco Trust Agent (CTA), disinstallando il programma client OfficeScan è possibile rimuovere anche l'agente o lasciarlo nel computer. Ciò dipende dalle impostazioni configurate durante l'implementazione dell'agente. Per ulteriori informazioni, consultare Implementazione di Cisco Trust Agent a pagina 15-32. Se Cisco Trust Agent è presente dopo aver disinstallato il client OfficeScan, rimuoverlo manualmente dalla schermata Installazione applicazioni. Se non è possibile disinstallare il client con i metodi illustrati, rimuoverlo manualmente. Per i dettagli, consultare Disinstallazione manuale del client a pagina 4-66. 4-63 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Disinstallazione del client dalla console Web Disinstallare il programma client dalla console Web. Eseguire la disinstallazione solo in caso di problemi con il programma. Per mantenere il computer protetto dai rischi per la sicurezza, reinstallare subito il programma. Per disinstallare il client tramite la console Web: P ERCORSO : C OMPUTER 4-64 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Operazioni > Disinstallazione client. 3. Nella schermata Disinstallazione client, fare clic su Avvia disinstallazione. Il server invia una notifica al client. 4. Controllare lo stato della notifica e verificare che tutti i client abbiano ricevuto la notifica. a. Fare clic su Seleziona computer senza notifiche, quindi su Avvia disinstallazione per inviare nuovamente la notifica ai client che non l'hanno ricevuta. b. Se si desidera che OfficeScan interrompa l'invio della notifica ai client, fare clic su Interrompi disinstallazione. I client che hanno già ricevuto la notifica, hanno già avviato il processo di disinstallazione e pertanto ignorano questo comando. Installazione del Client OfficeScan Esecuzione del programma di disinstallazione del client Assegnare agli utenti i privilegi per disinstallare il programma client e richiedere loro di eseguire il programma di disinstallazione del client dai loro computer. In base alla configurazione, la disinstallazione può richiedere o meno una password. Se è richiesta una password, assicurarsi di condividere la password solo con gli utenti che devono eseguire il programma di disinstallazione e cambiarla immediatamente se viene divulgata ad altri utenti. Per assegnare i privilegi di disinstallazione del client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, andare alla sezione Disinstallazione. 4. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionare Consenti agli utenti di disinstallare il client OfficeScan. Se è richiesta una password, selezionare Richiedi una password per disinstallare il client OfficeScan, digitare la password e confermarla. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. 4-65 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per eseguire il programma di disinstallazione del client: 1. Nel menu Start di Windows, fare clic su Programmi > Trend Micro OfficeScan Client > Disinstallazione client OfficeScan. È inoltre possibile eseguire la procedura riportata di seguito: 2. a. Fare clic su Pannello di controllo > Installazione applicazioni. b. Individuare Client Trend Micro OfficeScan e fare clic su Cambia. c. Seguire le istruzioni visualizzate. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza una finestra che informa l'utente sul progresso e il completamento della disinstallazione. Per completare la disinstallazione, non è necessario riavviare il computer. Disinstallazione manuale del client Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione del client dalla console Web o dopo aver eseguito il programma di disinstallazione. Per eseguire la disinstallazione manuale: 1. Accedere al computer client mediante un account con privilegi di amministratore. 2. Fare clic con il tasto destro del mouse sull'icona del client OfficeScan presente nella barra delle applicazioni, quindi fare clic su Scarica OfficeScan. Se viene richiesta una password, specificare la password per la rimozione, quindi fare clic su OK. Nota. 4-66 Disattivare la password nei computer in cui il client verrà rimosso. Per i dettagli, consultare Privilegi e altre impostazioni del client a pagina 13-85. Installazione del Client OfficeScan 3. Se la password per la rimozione non è stata specificata, utilizzare Microsoft Management Console per interrompere i servizi riportati di seguito: • OfficeScan NT Listener • OfficeScan NT Firewall • Scansione in tempo reale di OfficeScan NT • OfficeScan NT Proxy Service • Servizio prevenzione modifiche non autorizzate di Trend Micro (se il computer utilizza una piattaforma di tipo x86) 4. Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse su Client Trend Micro OfficeScan, quindi fare clic su Elimina. 5. Aprire l'editor del Registro di sistema (regedit.exe). ATTENZIONE! 6. La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se si apportano modifiche errate al registro di sistema, possono verificarsi seri problemi nel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre una copia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor del registro. Eliminare le chiavi di registro riportate di seguito: Se nel computer non sono installati altri prodotti Trend Micro: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro 4-67 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Se nel computer non sono installati altri prodotti Trend Micro, eliminare solo le chiavi di registro riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp 7. Eliminare i valori o le chiavi di registro riportati di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Uninstall\OfficeScanNT • OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run 8. Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati di seguito: Percorsi: • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services Chiavi: 4-68 • NTRtScan • tmcfw • tmcomm • TmFilter • TmListen • tmpfw Installazione del Client OfficeScan 9. • TmPreFilter • TmProxy • tmtdi • VSApiNt • tmlwf (per computer con Windows Vista/Server 2008/7) • tmwfp (per computer con Vista/Server 2008/7) • tmactmon • TMBMServer • tmevtmgr Chiudere l'editor del Registro di sistema. 10. Fare clic su Start > Impostazioni > Pannello di controllo e fare doppio clic su Sistema. 11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi. 12. Fare clic su Visualizza > Mostra dispositivi nascosti. 13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati di seguito: • tmcomm • tmactmon • tmevtmgr • Trend Micro Filter • Trend Micro PreFilter • Trend Micro TDI Driver • Trend Micro VSAPI NT • Servizio prevenzione modifiche non autorizzate di Trend Micro • Trend Micro WFP Callout Driver (per computer con Windows Vista/Server 2008/7) 4-69 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 14. Disinstallare il Driver comune Firewall. a. Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic su Proprietà. b. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. c. Nella scheda Generale selezionare Driver comune Firewall di Trend Micro e fare clic su Disinstalla. Nei computer con Windows Vista/Server 2008/7, effettuare le operazioni riportate di seguito: a. Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà. b. Fare clic su Gestisci connessioni di rete. c. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. d. Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fare clic su Disinstalla. 15. Riavviare il computer client. 16. Se nel computer non sono installati altri prodotti Trend Micro, eliminare la cartella di installazione Trend Micro (normalmente C:\Programmi\Trend Micro). Nei computer a 64 bit la cartella di installazione è in C:\Programmi (x86)\Trend Micro. 17. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelle riportate di seguito: 4-70 • <Cartella di installazione del client> • La cartella BM nella cartella di installazione Trend Micro (normalmente C:\Programmi\Trend Micro\BM) Capitolo 5 Come mantenere la protezione aggiornata In questo capitolo vengono descritte le procedure di aggiornamento e i componenti di Trend Micro™ OfficeScan™. Argomenti di questo capitolo: • Programmi e componenti di OfficeScan a pagina 5-2 • Panoramica sugli aggiornamenti a pagina 5-10 • Aggiornamenti server OfficeScan a pagina 5-14 • Aggiornamenti di Integrated Smart Protection Server a pagina 5-25 • Aggiornamenti del client OfficeScan a pagina 5-26 • Update Agent a pagina 5-51 • Riepilogo aggiornamento componenti a pagina 5-59 5-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Programmi e componenti di OfficeScan OfficeScan utilizza i componenti e i programmi per mantenere i computer client protetti dai rischi per la protezione più recenti. Per mantenere questi componenti e programmi aggiornati, eseguire gli aggiornamenti manuali o pianificati. Oltre ai componenti, i client OfficeScan ricevono dal server OfficeScan anche dei file di configurazione aggiornati. I client necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. I componenti sono raggruppati come segue: 5-2 • Componenti antivirus • Componenti di Damage Cleanup Services • Componenti anti-spyware • Componenti firewall • Componente di Reputazione Web • Componenti monitoraggio del comportamento • Programmi Come mantenere la protezione aggiornata Componenti antivirus Pattern dei virus Il pattern dei virus disponibile in un computer client dipende dal metodo di scansione utilizzato dal client. Per informazioni sui metodi di scansione, vedere Metodi di scansione a pagina 6-8. TABELLA 5-1. M ETODO DI SCANSIONE Scansione convenzionale Pattern dei virus P ATTERN IN USO Il Pattern dei virus, contiene informazioni che consentono a OfficeScan di identificare i virus, le minacce informatiche e le minaccia di tipo misto più recenti. Trend Micro crea e distribuisce nuove versioni del pattern antivirus diverse volte alla settimana e ogniqualvolta viene scoperta una particolare minaccia. Trend Micro consiglia di pianificare gli aggiornamenti automatici in modo che vengano effettuati almeno ogni ora; questa è l'impostazione predefinita per tutti i prodotti. 5-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 5-1. Pattern dei virus (continua) M ETODO DI P ATTERN IN USO SCANSIONE Smart Scan Nella modalità Smart Scan i client OfficeScan utilizzano due pattern leggeri che collaborano per fornire lo stesso livello di protezione dei pattern anti-malware e anti-spyware convenzionali. Un'origine Smart Protection ospita lo Smart Scan Pattern. Questo pattern viene aggiornato ogni ora e contiene la maggior parte delle definizioni dei pattern. Questo pattern non viene scaricato dai client Smart Scan. I client verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. L'origine aggiornamenti del client (il server OfficeScan oppure una delle origini di aggiornamento personalizzate) ospita Smart Scan Agent Pattern. Questo pattern viene aggiornato quotidianamente e contiene tutte le altre definizioni dei pattern non disponibili in Smart Scan Pattern. I client scaricano questo pattern dall'origine di aggiornamento utilizzando gli stessi metodi di download degli altri componenti OfficeScan. Per ulteriori informazioni su Smart Scan Pattern e Smart Scan Agent Pattern, vedere File Smart Protection Pattern a pagina 3-9. Motore di scansione virus Il motore di scansione rappresenta il fulcro dei prodotti Trend Micro e originariamente è stato sviluppato in risposta ai primi virus basati su file dei computer. Il motore di scansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi di virus e minacce informatiche. Il motore di scansione inoltre rileva i virus controllati sviluppati e utilizzati per la ricerca. Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei pattern collaborano per identificare gli elementi riportati di seguito: 5-4 • Caratteristiche riconoscibili del codice del virus • La posizione precisa del virus all'interno del file Come mantenere la protezione aggiornata OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristina l'integrità del file. Le organizzazioni internazionali sulla sicurezza informatica, tra cui l'ICSA (International Computer Security Association), certificano il motore di scansione Trend Micro ogni anno. Aggiornamento del motore di scansione Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su virus o minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre al minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti circostanze: • Implementazione di nuove tecnologie di scansione e rilevamento all'interno del software. • Scoperta di un nuovo virus potenzialmente molto dannoso che il motore di scansione non è in grado di gestire • Miglioramento delle prestazioni di scansione • Aggiunta di formati di file, linguaggi per script, codifica e/o formati di compressione Driver scansione dei virus Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Le operazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sono TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazione in tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delle operazioni degli utenti. Nota. Questo componente non viene visualizzato nella console. Per controllare la versione in uso, accedere a <Cartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsante destro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione. 5-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Pattern IntelliTrap Il pattern IntelliTrap rileva i file compressi in tempo reale impacchettati come file eseguibili. Pattern eccezioni IntelliTrap Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati". Componenti di Damage Cleanup Services Motore di disinfezione virus Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativi processi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit. Modello disinfezione virus Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus per individuare i file dei cavalli di Troia e i relativi processi per consentire al motore di eliminarli. Componenti anti-spyware Pattern Spyware Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli di memoria, nel registro di Windows e nei collegamenti URL. Motore di scansione spyware Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata su spyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit. 5-6 Come mantenere la protezione aggiornata Pattern di monitoraggio attivo spyware Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo reale di spyware/grayware. Solo i client con scansione convenzionale utilizzano questo pattern. I client con Smart Scan utilizzano Smart Scan Agent Pattern per la scansione in tempo reale di spyware/grayware. Se non è possibile determinare il rischio della destinazione della scansione, i client inviano query di scansione a un'origine Smart Protection. Componenti firewall Driver comune Firewall Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire la scansione dei computer client per rilevare virus di rete. Questo driver supporta piattaforme a 32 bit e a 64 bit. Pattern comune firewall Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuare le impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus di rete. Componente di Reputazione Web Motore Filtro URL Il motore Filtro URL consente la comunicazione tra OfficeScan e il servizio di filtro URL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL e trasmette a OfficeScan le informazioni sulla valutazione. Componenti monitoraggio del comportamento Pattern rilevamento monitoraggio del comportamento Questo pattern contiene le regole per rilevare il comportamento relativo a minacce sospette. 5-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Driver monitoraggio del comportamento Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principale monitoraggio del comportamento per implementare i criteri. Servizio principale monitoraggio del comportamento Questo servizio in modalità utente ha le seguenti funzioni: • Rileva rootkit • Regola l'accesso ai dispositivi esterni • Protegge file, chiavi di registro e servizi Pattern di configurazione monitoraggio del comportamento Driver monitoraggio del comportamento utilizza questo pattern per individuare gli eventi di sistema normali ed escluderli dall'implementazione dei criteri. Digital Signature Pattern Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principale monitoraggio del comportamento per determinare se un programma responsabile di un evento di sistema è sicuro. Pattern implementazione dei criteri Servizio principale monitoraggio del comportamento controlla gli eventi di sistema rispetto ai criteri contenuti in questo pattern. Programmi Programma client Il programma client OfficeScan fornisce una protezione reale contro i rischi per la sicurezza. Cisco Trust Agent Cisco Trust Agent consente la comunicazione tra il client e i router che supportano Cisco NAC. Questo agente funziona solo se si disinstalla Policy Server per Cisco NAC. 5-8 Come mantenere la protezione aggiornata Hot fix, patch e service pack Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch e service pack come quelli riportati di seguito per risolvere problemi, migliorare le prestazioni del prodotto oppure aggiungere nuove funzioni. • Hot fix • Patch • Patch di protezione • Service Pack Quando questi elementi vengono resi disponibili, l'utente viene informato dal rivenditore o dal fornitore dell'assistenza. Per informazioni sul rilascio di hot fix, patch e service pack, consultare il sito Web di Trend Micro: http://www.trendmicro.com/download/emea/?lng=it Tutte le release includono un file readme che contiene informazioni su installazione, implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamente il file readme. Cronologia hot fix e patch Quando il server OfficeScan implementa file di hot fix o patch nei client OfficeScan, il programma client registra le informazioni su hot fix e patch nell'editor del Registro di sistema. È possibile inviare una query su queste informazioni a più client utilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™. Nota. Questa funzione non registra hot fix e patch implementate solo nel server. Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1. • I client che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1 con patch 3.1 o successive registrano le hot fix le e patch installate per le versioni 8.0 e successive. • I client che hanno eseguito l'aggiornamento dalle versioni precedenti alla versione 8.0 Service Pack 1 con patch 3.1 registrano solo le hot fix e le patch installate per la versione 10.0 e successive. 5-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Le informazioni sono memorizzate nelle chiavi riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\ CurrentVersion\HotfixHistory\<Product version> • Per computer con piattaforme di tipo x64: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version> Controllare le chiavi riportate di seguito: • Chiave: HotFix_installed Tipo: REG_SZ Valore: <Nome patch o hot fix> • Chiave: HotfixInstalledNum Tipo: DWORD Valore: <Numero patch o hot fix> Panoramica sugli aggiornamenti Tutti gli aggiornamenti dei componenti provengono dal server Trend Micro ActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le origini Smart Protection (Smart Protection Server o Smart Protection Network) scaricano i componenti aggiornati. I download delle origini Smart Protection e del server OfficeScan non si sovrappongono in quanto ciascun server scarica un insieme di componenti specifico. Nota. 5-10 È possibile configurare sia il server OfficeScan che Smart Protection Server in modo che eseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. A tale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per la configurazione di questa origine di aggiornamento, contattare l'assistenza tecnica. Come mantenere la protezione aggiornata Aggiornamento dei client e del server OfficeScan Il server OfficeScan scarica la maggior parte dei componenti necessari ai client. L'unico componente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini Smart Protection. Se un server OfficeScan gestisce un numero considerevole di client, l'aggiornamento potrebbe utilizzare una grande quantità risorse del computer server e influire quindi sulla stabilità e sulle prestazioni del server. Per ovviare a questo problema OfficeScan dispone della funzione Update Agent che consente ad alcuni client di condividere l'attività di distribuzione degli aggiornamenti agli altri client. La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento dei componenti per i client e il server OfficeScan e i consigli su quando utilizzarle: TABELLA 5-2. Opzioni di aggiornamento server-client OPZIONE DI AGGIORNAMENTO Server ActiveUpdate | Server OfficeScan | D ESCRIZIONE R ACCOMANDAZIONE Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate di Trend Micro (o da un'altra origine di aggiornamento) e avvia l'aggiornamento dei componenti sui client. Utilizzare questo metodo se non ci sono sezioni ad ampiezza di banda ridotta tra il server OfficeScan e i client. Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate (o da un'altra origine di aggiornamento) e avvia l'aggiornamento dei componenti sui client. Alcuni client designati come Update Agent segnalano agli altri client di aggiornare i componenti. Se ci sono sezioni ad ampiezza di banda ridotta tra il server OfficeScan e i client, utilizzare questo metodo per bilanciare il carico del traffico nella rete. Client Server ActiveUpdate | Server OfficeScan | Update Agent | Client 5-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 5-2. Opzioni di aggiornamento server-client (continua) OPZIONE DI AGGIORNAMENTO Server ActiveUpdate | Update Agent | Client Server ActiveUpdate | Client 5-12 D ESCRIZIONE R ACCOMANDAZIONE Gli Update Agent ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine di aggiornamento) e segnalano ai client di aggiornare i componenti. Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento di Update Agent dal server OfficeScan o da un altro Update Agent. I client OfficeScan ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine di aggiornamento). Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento dei client dal server OfficeScan o da un altro Update Agent. Nella maggior parte dei casi, gli Update Agent ricevono gli aggiornamenti più velocemente dal server OfficeScan o da altri Update Agent, piuttosto che da un'origine di aggiornamenti esterna. Nella maggior parte dei casi, i client ricevono gli aggiornamenti più velocemente dal server OfficeScan o dagli Update Agent, piuttosto che da un'origine di aggiornamenti esterna. Come mantenere la protezione aggiornata Aggiornamento dell'origine Smart Protection Un'origine Smart Protection (Smart Protection Server o Smart Protection Network) scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dai client Smart Scan. I client verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. Nota. Consultare Origini Smart Protection a pagina 3-6 per ulteriori informazioni sulle origini Smart Protection. Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle origini Smart Protection. TABELLA 5-3. Processo di aggiornamento delle origini Smart Protection P ROCESSO DI AGGIORNAMENTO Server ActiveUpdate | Smart Protection Network Server ActiveUpdate | Smart Protection Server Smart Protection Network | Smart Protection Server D ESCRIZIONE Trend Micro Smart Protection Network riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. I client con Smart Scan che non sono connessi alla rete aziendale inviano query a Trend Micro Smart Protection Network. Smart Protection Server (integrato o standalone) riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. I client Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. Smart Protection Server (integrato o standalone) riceve gli aggiornamenti da Trend Micro Smart Protection Network. I client Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. 5-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamenti server OfficeScan Il server OfficeScan scarica i componenti riportati di seguito e li implementa nei client: TABELLA 5-4. Componenti scaricati dal server OfficeScan C OMPONENTE D ISTRIBUZIONE C LIENT CON C LIENT CON S MART S CAN SCANSIONE CONVENZIONALE 5-14 Smart Scan Agent Pattern No Sì Pattern dei virus Sì No Motore di scansione virus Sì Sì Driver scansione dei virus Sì Sì Pattern IntelliTrap Sì Sì Pattern eccezioni IntelliTrap Sì Sì Motore di disinfezione virus Sì Sì Modello disinfezione virus Sì Sì Pattern spyware Sì Sì Motore di scansione spyware Sì Sì Pattern di monitoraggio attivo spyware Sì No Driver comune Firewall Sì Sì Pattern comune firewall Sì Sì Motore Filtro URL Sì Sì Driver monitoraggio del comportamento Sì Sì Come mantenere la protezione aggiornata TABELLA 5-4. Componenti scaricati dal server OfficeScan (continua) C OMPONENTE D ISTRIBUZIONE C LIENT CON C LIENT CON S MART S CAN SCANSIONE CONVENZIONALE Servizio principale monitoraggio del comportamento Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Pattern rilevamento monitoraggio del comportamento Sì Sì Digital Signature Pattern Sì Sì Pattern implementazione dei criteri Sì Sì Suggerimenti e promemoria per gli aggiornamenti: • Per consentire al server per implementare i componenti aggiornati sui client, attivare l'aggiornamento automatico. Per i dettagli, consultare Aggiornamenti automatici del client OfficeScan a pagina 5-34. Se l'aggiornamento automatico del client è disattivato, il server scarica gli aggiornamenti ma non li implementa nei client. • Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente ai client IPv4 puri. Analogamente, un server OfficeScan IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente ai client IPv6 puri. Per consentire a un server OfficeScan di distribuire gli aggiornamenti ai client, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. • Trend Micro rilascia i file di pattern a cadenza regolare, in modo da mantenere aggiornata la protezione del client. Poiché i file di pattern sono disponibili regolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione dei componenti che consente un download più rapido dei file di pattern. Per ulteriori informazioni, consultare Duplicazione dei componenti del server OfficeScan a pagina 5-18. 5-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • • Se per il collegamento a Internet si utilizza un server proxy, utilizzare le impostazioni proxy corrette per il download degli aggiornamenti. Nella dashboard Riepilogo della console Web, aggiungere il widget Aggiornamenti client per visualizzare le versioni correnti dei componenti e determinare il numero di client con componenti aggiornati e obsoleti. Origini aggiornamenti del server OfficeScan Configurare il server OfficeScan per scaricare i componenti dal server Active Update di Trend Micro o da un'altra origine. È possibile specificare un'altra origine se il server OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per uno scenario esemplificativo, vedere Aggiornamento del server OfficeScan isolato a pagina 5-21. Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamente notificare ai client di effettuare l'aggiornamento dei componenti sulla base delle impostazioni specificate in Aggiornamenti > Computer collegati in rete > Aggiornamento automatico. Se l'aggiornamento di un componente è particolarmente importante, fare in modo che il server invii la notifica ai client immediatamente accedendo a Aggiornamenti > Computer collegati in rete > Aggiornamento manuale. Nota. Se non si specifica una pianificazione o delle impostazioni di aggiornamento attivate da eventi all'interno di Aggiornamenti > Computer collegati in rete > Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà la notifica ai client perché effettuino l'aggiornamento. Supporto IPv6 per gli aggiornamenti del server OfficeScan Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamento direttamente da origini IPv4 pure, come: • Server ActiveUpdate di Trend Micro • Control Manager 5.5 • Control Manager 5.0 Nota. • 5-16 Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 SP1. Qualsiasi origine aggiornamenti personalizzata IPv4 pura Come mantenere la protezione aggiornata Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguire l'aggiornamento direttamente da origini personalizzate IPv6 pure. Per consentire a un server di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Per configurare l'origine aggiornamenti server: P ERCORSO : A GGIORNAMENTI > S ERVER > O RIGINE 1. AGGIORNAMENTI Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti. Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessione a Internet e, se si utilizza un server proxy, provare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 5-18. Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. Nota. 2. Il server OfficeScan utilizza la duplicazione dei componenti per scaricare i componenti dall'origine di aggiornamento. Per informazioni, vedere Duplicazione dei componenti del server OfficeScan a pagina 5-18. Fare clic su Salva. 5-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Proxy per gli aggiornamenti del server OfficeScan Configurare i programmi server ospitati nel computer server per utilizzare le impostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di Trend Micro. I programmi server comprendono il server OfficeScan e Integrated Smart Protection Server. Per configurare le impostazioni proxy: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI PROXY 1. Fare clic sulla scheda Proxy esterno. 2. Andare alla sezione Aggiornamenti del computer server OfficeScan. 3. Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motore e licenza. 4. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero di porta. 5. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. 6. Fare clic su Salva. Duplicazione dei componenti del server OfficeScan Quando la versione più recente di un file di pattern completo è disponibile per il download dal server Trend Micro ActiveUpdate, sono disponibili anche 14 pattern incrementali. I pattern incrementali sono versioni ridotte del file di pattern completo che colmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti. Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175 contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (la versione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto i numeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175 contiene i dati presenti nella versione 175 e non presenti nella versione 171. Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScan esegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti in cui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Per informazioni sul modo in cui gli Update Agent eseguono la duplicazione dei componenti, consultare Duplicazione dei componenti di Update Agent a pagina 5-56. 5-18 Come mantenere la protezione aggiornata La duplicazione dei componenti si applica ai seguenti componenti: • Pattern dei virus • Smart Scan Agent Pattern • Modello disinfezione virus • Pattern eccezioni IntelliTrap • Pattern Spyware • Pattern di monitoraggio attivo spyware Scenario di duplicazione dei componenti Per comprendere la duplicazione dei componenti per il server, considerare il seguente scenario: TABELLA 5-5. Scenario di duplicazione dei componenti del server Pattern completi sul server OfficeScan Versione attuale: 171 Versione più recente sul server ActiveUpdate 173.175 1. Altre versioni disponibili: 169 167 165 171.175 163 161 169.175 159 167.175 165.175 155.175 163.175 161.175 159.175 157.175 153.175 151.175 149.175 147.175 Il server OfficeScan confronta la versione attuale del pattern completo con la versione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è al massimo 14, il server scarica solo il pattern incrementale per colmare la differenza tra le due versioni. Nota. Se la differenza è superiore a 14, il server scarica automaticamente la versione completa del file di pattern e 14 pattern incrementali. 5-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Esempio: 2. • La differenza tra le versioni 171 e 175 è 2. Questo significa che il server non dispone delle versioni 173 e 175. • Il server scarica il pattern incrementale 171.175. Questo pattern incrementale colma la differenza tra le versioni 171 e 175. Il server integra il pattern incrementale con il pattern completo corrente per generare il pattern completo più recente. Esempio: 3. • Sul server, OfficeScan integra la versione 171 con il pattern incrementale 171.175 per generare la versione 175. • Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente (versione 175). Il server genera pattern incrementali sulla base degli altri pattern completi disponibili sul server. Se il server non genera questi pattern incrementali, i client che non hanno scaricato in precedenza i pattern incrementali, scaricano automaticamente il file di pattern completo, che genererà poi ulteriore traffico di rete. Esempio: • Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, può generare i seguenti pattern incrementali: 169.175 165.175 163.175 161.175 159.175 • Il server non deve utilizzare la versione 171 perché dispone già del pattern incrementale 171.175. • Ora il server dispone di 7 pattern incrementali: 171.175 • 5-20 167.175 169.175 167.175 165.175 163.175 161.175 159.175 Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169, 167, 165, 163, 161). Le versioni precedenti vengono rimosse (159). Come mantenere la protezione aggiornata 4. Il server confronta i pattern incrementali correnti con i pattern incrementali disponibili sul server ActiveUpdate. Il server scarica i pattern incrementali non presenti. Esempio: • • Il server ActiveUpdate ha 14 pattern incrementali: 173.175 171.175 169.175 167.175 165.175 163.175 161.175 159.175 157.175 155.175 153.175 151.175 149.175 147.175 161.175 159.175 149.175 147.175 Il server OfficeScan ha 7 pattern incrementali: 171.175 • 173.175 • 5. 169.175 167.175 165.175 163.175 Il server OfficeScan scarica altri 7 pattern incrementali: 157.175 155.175 153.175 151.175 Ora il server dispone di tutti i pattern incrementali disponibili sul server ActiveUpdate. Il pattern completo più recente e i 14 pattern incrementali sono disponibili per i client. Aggiornamento del server OfficeScan isolato Se il server OfficeScan appartiene a una rete completamente isolata da tutte le origini esterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguire l'aggiornamento da un'origine interna che contiene i componenti più recenti. In questo argomento vengono descritte le operazioni necessarie per eseguire l'aggiornamento di un server OfficeScan isolato. 5-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiornare un server OfficeScan isolato: Nota. 1. Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte le operazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggi dettagliati di ciascuna operazione. Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager o un'altra macchina host. L'origine aggiornamenti deve disporre di: • Una connessione Internet in modo da poter per scaricare i componenti più recenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet, il solo modo per ottenere i componenti aggiornati necessari le origini aggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelle origini aggiornamenti. • Una connessione funzionante con il server OfficeScan. Se tra il server OfficeScan e le origini aggiornamenti esiste un server proxy, configurare le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 5-18. • Spazio su disco sufficiente per i componenti scaricati. 2. Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli, consultare Origini aggiornamenti del server OfficeScan a pagina 5-16. 3. Identificare i componenti in cui il server implementa i client. Per un elenco dei componenti implementabili, vedere Aggiornamenti del client OfficeScan a pagina 5-26. Suggerimento. 4. 5-22 Per determinare se un componente viene implementato sui client, si può andare alla schermata Riepilogo aggiornamento nella console Web (Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamento per un componente che viene implementato è sempre maggiore dello 0%. Determinare la frequenza di scaricamento dei componenti. I file di pattern vengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia di aggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenza tecnica di notificare gli aggiornamenti importanti. Come mantenere la protezione aggiornata 5. Su un'origine aggiornamenti: a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia in base alla versione OfficeScan. b. Scaricare i seguenti elementi: c. • Il file server.ini. Questo file contiene informazioni sui componenti più recenti. • I componenti identificati in passaggio 3. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti. 6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultare Aggiornamenti manuali del server OfficeScan a pagina 5-24. 7. Ripetere da passaggio 5 a passaggio 6 ogni volta che si devono aggiornare i componenti. Metodi di aggiornamento del server OfficeScan I componenti del server OfficeScan possono essere aggiornati manualmente oppure configurando una pianificazione di aggiornamento. Per consentire al server per implementare i componenti aggiornati sui client, attivare l'aggiornamento automatico. Per i dettagli, consultare Aggiornamenti automatici del client OfficeScan a pagina 5-34. Se l'aggiornamento automatico del client è disattivato, il server scarica gli aggiornamenti ma non li implementa nei client. I metodi aggiornamento includono: • Aggiornamento server manuale: Quando un aggiornamento è importante, eseguire l'aggiornamento manuale in modo che il server possa ottenere gli aggiornamenti immediatamente. Per informazioni, vedere Aggiornamenti manuali del server OfficeScan a pagina 5-24. • Aggiornamento server pianificato: Il server OfficeScan si connette all'origine aggiornamenti nella data e orario pianificati per ottenere i componenti più recenti. Per informazioni, vedere Aggiornamenti pianificati del server OfficeScan a pagina 5-24. 5-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamenti pianificati del server OfficeScan Configurare il server OfficeScan affinché controlli con regolarità l'origine di aggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di norma i client ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è un modo semplice ed efficace per assicurare una protezione continua contro i rischi per la sicurezza. Per configurare la pianificazione dell'aggiornamento del server: P ERCORSO : A GGIORNAMENTI > S ERVER > A GGIORNAMENTO PIANIFICATO 1. Selezionare Attiva aggiornamento pianificato del server OfficeScan. 2. Selezionare i componenti da aggiornare. 3. Specificare la pianificazione dell'aggiornamento. Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti di OfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallo temporale. 4. Fare clic su Salva. Aggiornamenti manuali del server OfficeScan Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato o aggiornato il server e quando si verifica un'infezione. Per aggiornare il server manualmente: P ERCORSO : A GGIORNAMENTI > S ERVER > A GGIORNAMENTO F ARE W EB . 5-24 CLIC SU "A GGIORNA S ERVER O RA " MANUALE NEL MENU PRINCIPALE DELLA CONSOLE 1. Selezionare i componenti da aggiornare. 2. Fare clic su Aggiorna. Il server scarica i componenti aggiornati. Come mantenere la protezione aggiornata Registri aggiornamenti server OfficeScan Verificare i registri di aggiornamento del server per determinare se esistono dei problemi di aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti dei componenti del server OfficeScan. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di aggiornamento dei server: P ERCORSO : R EGISTRI > R EGISTRI AGGIORNAMENTI SERVER 1. Controllare la colonna Risultato per verificare se alcuni componenti non sono stati aggiornati. 2. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Aggiornamenti di Integrated Smart Protection Server Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern e l'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e come aggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 3-16. 5-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamenti del client OfficeScan Per garantire la continua protezione dei client contro i più recenti rischi per la sicurezza, è necessario aggiornare regolarmente i componenti del client. Prima di aggiornare i client, verificare che la loro origine aggiornamenti (server OfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti più recenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamenti server OfficeScan a pagina 5-14. Tabella 5-6 comprende un elenco di tutti i componenti implementati dalle origini aggiornamenti sui client e i componenti utilizzati con un determinato metodo di scansione. TABELLA 5-6. Componenti OfficeScan implementati sui client C OMPONENTE D ISPONIBILITÀ C LIENT CON SCANSIONE CONVENZIONALE 5-26 C LIENT CON S MART S CAN Smart Scan Agent Pattern No Sì Pattern dei virus Sì No Motore di scansione virus Sì Sì Driver scansione dei virus Sì Sì Pattern IntelliTrap Sì Sì Pattern eccezioni IntelliTrap Sì Sì Motore di disinfezione virus Sì Sì Modello disinfezione virus Sì Sì Pattern spyware Sì Sì Motore di scansione spyware Sì Sì Come mantenere la protezione aggiornata TABELLA 5-6. Componenti OfficeScan implementati sui client (continua) C OMPONENTE D ISPONIBILITÀ C LIENT CON SCANSIONE CONVENZIONALE C LIENT CON S MART S CAN Pattern di monitoraggio attivo spyware Sì No Driver comune Firewall Sì Sì Pattern comune firewall Sì Sì Motore Filtro URL Sì Sì Pattern rilevamento monitoraggio del comportamento Sì Sì Driver monitoraggio del comportamento Sì Sì Servizio principale monitoraggio del comportamento Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Digital Signature Pattern Sì Sì Pattern implementazione dei criteri Sì Sì Origini di aggiornamento client OfficeScan I client possono ottenere gli aggiornamenti dall'origine di aggiornamento standard (server OfficeScan) o componenti specifici dalle origini aggiornamenti personalizzate, come il server ActiveUpdate di Trend Micro. Per ulteriori dettagli, vedere Origine aggiornamenti standard per i client OfficeScan a pagina 5-28 e Origini aggiornamenti personalizzate per i client OfficeScan a pagina 5-29. 5-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Supporto IPv6 per gli aggiornamenti del client OfficeScan Un client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente da origini IPv4 pure, come: • Un server OfficeScan IPv4 puro • Un Update Agent IPv4 puro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro Analogamente, un client IPv4 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro o un Update Agent: Per consentire ai client di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origine aggiornamenti standard per i client OfficeScan Il server OfficeScan server è l'origine di aggiornamento standard per i client. Se il server OfficeScan non è raggiungibile, i client non avranno un'origine di backup e quindi non saranno aggiornati. Per aggiornare i client che non sono in grado di raggiungere il server OfficeScan, Trend Micro consiglia di usare Client Packager. Usare questo strumento per creare un pacchetto con i componenti più recenti disponibili sul server, quindi eseguire il pacchetto sui client. Nota. L'indirizzo IP del client (IPv4 o IPv6) determina se è possibile stabilire la connessione al server OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti client, vedere Origini di aggiornamento client OfficeScan a pagina 5-27. Per configurare l'origine aggiornamenti standard per i client: P ERCORSO : A GGIORNAMENTI > C OMPUTER 5-28 COLLEGATI IN RETE > O RIGINE AGGIORNAMENTI 1. Selezionare Origini di aggiornamento standard (aggiorna dal server OfficeScan). 2. Fare clic su Notifica tutti i client. Come mantenere la protezione aggiornata Processo di aggiornamento client Nota. In questo argomento viene illustrato il processo di aggiornamento per i client. Il processo di aggiornamento per gli Update Agent è trattato in un altro argomento. Per i dettagli, consultare Origine aggiornamenti standard per gli Update Agent a pagina 5-53. Se i client vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento avviene come riportato di seguito: 1. Il client ottiene gli aggiornamenti dal server OfficeScan. 2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, il client tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se l'opzione I client scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata in Computer collegati in rete > Gestione client > Impostazioni > Privilegi e Altre impostazioni > scheda Altre impostazioni > Aggiorna impostazioni. Nota. È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare le hot fix, i programmi e le impostazioni dei domini solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare i client in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine di aggiornamento del client OfficeScan a pagina 5-33. Origini aggiornamenti personalizzate per i client OfficeScan Oltre che dal server OfficeScan i client possono eseguire l'aggiornamento da Origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate contribuiscono a ridurre il traffico degli aggiornamenti diretto al server OfficeScan e consentono ai client che non riescono a connettersi al server OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. Suggerimento. Trend Micro consiglia di assegnare alcuni client come Update Agent e poi aggiungerli all'elenco. 5-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare le origini aggiornamenti personalizzate per i client: P ERCORSO : A GGIORNAMENTI > C OMPUTER > O RIGINE AGGIORNAMENTI 1. Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi. 2. Nella schermata visualizzata, specificare gli indirizzi IP dei client. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. 3. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent se è stato assegnato oppure digitare l'URL di un'origine specifica. Nota. Accertarsi che i client siano in grado di connettersi all'origine aggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamenti deve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti client, vedere Origini di aggiornamento client OfficeScan a pagina 5-27. 4. Fare clic su Salva. 5. Eseguire operazioni varie nella schermata. a. 5-30 COLLEGATI IN RETE Selezionare una delle impostazioni riportate di seguito. Per ulteriori informazioni sul funzionamento di queste impostazioni, vedere Processo di aggiornamento client a pagina 5-31. • Aggiorna componenti dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate • Aggiorna impostazioni dominio dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate • Aggiorna programmi client e hot fix dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate b. Se come origine è stato specificato almeno un Update Agent, fare clic su Segnalazione analitica di Update Agent per generare una segnalazione che evidenzi lo stato di aggiornamento dei client. Per ulteriori informazioni sulla segnalazione, vedere Segnalazione analitica di Update Agent a pagina 5-58. c. Modificare un'origine aggiornamenti facendo clic sul collegamento dell'intervallo di indirizzi IP. Modificare le impostazioni nella schermata visualizzata e fare clic su Salva. Come mantenere la protezione aggiornata d. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella di controllo e facendo clic su Elimina. e. 6. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. È possibile spostare solo un'origine per volta. Fare clic su Notifica tutti i client. Processo di aggiornamento client Nota. In questo argomento viene illustrato il processo di aggiornamento per i client. Il processo di aggiornamento per gli Update Agent è trattato in un altro argomento. Per i dettagli, consultare Origini aggiornamenti personalizzate per gli Update Agent a pagina 5-54. Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, il processo di aggiornamento prosegue come riportato di seguito: 1. Un client esegue l'aggiornamento dalla prima origine dell'elenco. 2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, il client utilizza la seconda voce e così via. 5-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, il client controlla le impostazioni seguenti nella schermata Origine aggiornamenti: TABELLA 5-7. Altre impostazioni per le origini aggiornamenti personalizzate I MPOSTAZIONE Aggiorna componenti dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate D ESCRIZIONE Se questa opzione è attivata, il client esegue l'aggiornamento dei componenti dal server OfficeScan. Se l'opzione è disattivata, il client tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica una delle seguenti condizioni: • In Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Altre impostazioni > Aggiorna impostazioni, l'opzione I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. Nota. È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare le hot fix, i programmi e le impostazioni dei domini solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare i client in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine di aggiornamento del client OfficeScan a pagina 5-33. 5-32 Come mantenere la protezione aggiornata TABELLA 5-7. Altre impostazioni per le origini aggiornamenti personalizzate (continua) I MPOSTAZIONE 4. D ESCRIZIONE Aggiorna impostazioni dominio dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate Se questa opzione è attivata, il client esegue l'aggiornamento delle impostazioni del dominio dal server OfficeScan. Aggiorna programmi client e hot fix dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate Se questa opzione è attivata, il client esegue l'aggiornamento dei programmi e delle hot fix dal server OfficeScan. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, il client interrompe il processo di aggiornamento. Server ActiveUpdate come origine di aggiornamento del client OfficeScan Quando i client sono configurati per scaricare gli aggiornamenti direttamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di pattern per ridurre la larghezza di banda utilizzata durante gli aggiornamenti e rendere più rapido il processo di aggiornamento. I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenza dei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern. Un client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire ai client di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 5-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per limitare i download dal server ActiveUpdate: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Andare alla sezione Aggiornamenti. 2. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gli aggiornamenti. Metodi di aggiornamento del client OfficeScan I client che eseguono l'aggiornamento dei componenti dal server OfficeScan o da un'origine di aggiornamento personalizzata possono utilizzare uno dei metodi di aggiornamento riportati di seguito: • Aggiornamenti automatici del client: L'aggiornamento dei client viene eseguito automaticamente quando si verificano alcuni eventi o in base a una pianificazione. Per i dettagli, consultare Aggiornamenti automatici del client OfficeScan a pagina 5-34. • Aggiornamenti manuali del client: Quando un aggiornamento è importante, utilizzare l'aggiornamento manuale per notificare immediatamente ai client di eseguire l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manuali del client OfficeScan a pagina 5-40. • Aggiornamenti basati su privilegi: Gli utenti con privilegi di aggiornamento hanno maggiore controllo sull'aggiornamento del client OfficeScan nei propri computer. Per i dettagli, consultare Privilegi di aggiornamento e altre impostazioni per i client OfficeScan a pagina 5-41. Aggiornamenti automatici del client OfficeScan La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento ai client ed elimina il rischio che i componenti dei computer client diventino obsoleti. Nel corso dell'aggiornamento automatico, oltre ai componenti, i client OfficeScan ricevono anche dei file di configurazione aggiornati. I client necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Per specificare la frequenza in base alla quale i file di configurazione vengono applicati ai client, vedere il passaggio 3 riportato di seguito. 5-34 Come mantenere la protezione aggiornata Nota. È possibile configurare i client in modo che utilizzino le impostazioni proxy nel corso dell'aggiornamento automatico. Per informazioni, vedere Proxy per gli aggiornamenti dei componenti del client OfficeScan a pagina 5-45. Esistono due tipi di aggiornamento automatico: Aggiornamento provocato da un evento Il server può notificare ai client di effettuare l'aggiornamento dei componenti dopo aver effettuato il download dei più recenti componenti e notificare ai client offline di effettuare l'aggiornamento quando avranno ristabilito la connessione con il server. Al termine dell'aggiornamento, è possibile avviare una Scansione manuale dei computer. Nota. Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento ai client al termine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15 minuti. Il server continuerà a inviare le notifiche di aggiornamento fino a ottenere risposta dal client per un massimo di 5 volte. Se il quinto tentativo non riesce, il server non invierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti quando i client si riavviano e si connettono al server, l'aggiornamento dei componenti avverrà in ogni caso. Aggiornamento pianificato L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare i client che dispongono di tale privilegio e tali client potranno eseguire gli aggiornamenti in base alla pianificazione. Nota. Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultare Aggiornamenti pianificati del client con NAT a pagina 5-39. 5-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiornare automaticamente i componenti dei computer collegati in rete: P ERCORSO : A GGIORNAMENTI > C OMPUTER 1. COLLEGATI IN RETE > A GGIORNAMENTO AUTOMATICO Selezionare gli eventi che attiveranno l'aggiornamento dei componenti. TABELLA 5-8. Opzioni di aggiornamento provocate da un evento O PZIONE D ESCRIZIONE Avvia l'aggiornamento dei componenti dei client subito dopo che il server OfficeScan ha scaricato un nuovo componente Non appena completato un aggiornamento, il server notifica ai client di eseguirlo. I client aggiornati di frequente devono scaricare pattern incrementali, riducendo in tal modo il tempo necessario per completare l'aggiornamento (per maggiori dettagli sui pattern incrementali, vedere Duplicazione dei componenti del server OfficeScan a pagina 5-18). Tuttavia gli aggiornamenti frequenti potrebbero incidere negativamente sulle prestazioni del server, soprattutto se molti client eseguono l'aggiornamento contemporaneamente. Per includere i client roaming nell'aggiornamento, selezionare Includi client in roaming e offline. Per maggiori dettagli sulla modalità roaming, vedere Privilegio di roaming del client a pagina 13-18. 5-36 Consenti ai client di avviare l'aggiornamento dei componenti quando si riavviano e si connettono al server OfficeScan (i client in roaming sono esclusi) Se un client non ha eseguito un aggiornamento, i componenti vengono scaricati non appena questo stabilisce la connessione con il server. Un client potrebbe non eseguire un aggiornamento se è offline o se il computer dove è installato non è in funzione. Effettua Esegui scansione dopo l'aggiornamento (escludendo i client in roaming) Il server invia una notifica ai client per l'esecuzione della scansione dopo un'aggiornamento provocato da un evento. Attivare questa opzione se un aggiornamento specifico risponde a un rischio per la sicurezza già diffuso nella rete. Come mantenere la protezione aggiornata 2. Stabilire con quale frequenza i client con il privilegio dell'aggiornamento pianificato effettueranno tale aggiornamento. Se i client dispongono del privilegio di aggiornamento pianificato, andare al passaggio successivo. Se i client non dispongono del privilegio di aggiornamento pianificato, occorre prima attenersi alla procedura riportata di seguito: a. Accedere a Computer collegati alla rete > Gestione client. b. Nella struttura client, selezionare i client che disporranno del privilegio. c. Fare clic su Impostazioni > Privilegi e altre impostazioni. opzione 1: Nella scheda Privilegi, andare alla sezione Privilegi aggiornamento componenti. È presente l'opzione Attiva aggiornamento pianificato. opzione 2: Nella scheda Altre impostazioni, andare alla sezione Aggiorna impostazioni. È presente un'altra opzione Attiva aggiornamento pianificato. Per concedere agli utenti client la possibilità di attivare o disattivare l'aggiornamento pianificato nella console del client, attivare le opzioni 1 e 2. Dopo aver salvato le impostazioni, gli aggiornamenti verranno eseguiti nel computer client in base alla pianificazione. L'esecuzione degli aggiornamenti pianificati si interrompe quando un utente client fa clic con il pulsante destro del mouse sull'icona OfficeScan nella barra delle applicazioni e seleziona Disattiva aggiornamento pianificato. Per fare in modo che l'aggiornamento pianificato venga eseguito sempre e per impedire agli utenti client di disattivare l'aggiornamento pianificato, attivare l'opzione 1 e disattivare l'opzione 2. d. Salvare le impostazioni. 5-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Configurare la pianificazione. a. Se si seleziona Minuto/i o Ora/e, è possibile selezionare l'opzione Aggiorna le configurazioni dei client solo una volta al giorno. Se non si seleziona questa opzione, il client OfficeScan recupera sia i componenti aggiornati sia eventuali file di configurazione disponibili sul server negli intervalli specificati. Se si seleziona questa opzione, OfficeScan aggiorna i componenti negli intervalli specificati e i file di configurazione una sola volta al giorno. Suggerimento. b. 4. Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che le impostazioni di configurazione di OfficeScan cambino con minore frequenza. L'aggiornamento dei file di configurazione effettuato insieme a quello dei componenti, richiede una maggiore ampiezza di banda e aumenta il tempo necessario affinché OfficeScan completi l'aggiornamento. Per questo motivo, Trend Micro consiglia di aggiornare le configurazioni dei client solo una volta al giorno. Se si seleziona Frequenza giornaliera o Frequenza settimanale, specificare l'ora dell'aggiornamento e il periodo di tempo in cui il server OfficeScan ordinerà ai client di aggiornare i componenti. Se, ad esempio, l'ora di inizio è fissata alle 12 e il periodo di tempo è fissato a 2 ore, OfficeScan invia la notifica di aggiornamento dei componenti a tutti i client online in modo casuale dalle 12:00 alle 14:00. Questa impostazione consente di evitare che tutti i client online si connettano contemporaneamente al server nell'ora di inizio indicata e di ridurre la quantità di traffico indirizzato al server. Fare clic su Salva. I client offline non riceveranno la notifica. I client offline che si connettono quando il periodo di tempo per l'aggiornamento è già scaduto, possono aggiornare comunque i componenti se è stata selezionata l'opzione Consenti ai client di avviare l'aggiornamento dei componenti quando si riavviano in Aggiornamento provocato da un evento. In caso contrario, effettueranno l'aggiornamento dei componenti durante la successiva sessione di aggiornamento pianificato o quando viene avviato un aggiornamento manuale. 5-38 Come mantenere la protezione aggiornata Aggiornamenti pianificati del client con NAT Se la rete utilizza NAT, potrebbero verificarsi i problemi riportati di seguito: • I client sono rappresentati offline nella console Web. • Il server OfficeScan non è in grado di notificare ai client le modifiche degli aggiornamenti e della configurazione. Per risolvere questi problemi, implementare i componenti aggiornati e i file di configurazione dal server al client con un aggiornamento pianificato. Attenersi alla procedura riportata di seguito: 1. 2. Prima di installare il client OfficeScan sui computer client: a. Configurare la pianificazione degli aggiornamenti del client in Aggiornamenti > Computer collegati in rete > Aggiornamento automatico > Aggiornamento pianificato. b. Assegnare ai client i privilegi per attivare l'aggiornamento pianificato in Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Privilegi > Privilegi aggiornamento componenti. Se il client OfficeScan è già presente sui computer client: a. Concedere ai client i privilegi per eseguire "Aggiorna ora" in Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Privilegi > Privilegi aggiornamento componenti. b. Chiedere agli utenti di aggiornare manualmente i componenti sul computer client (fare clic con il tasto destro del mouse sull'icona OfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") per ottenere le impostazioni di configurazione aggiornate. Quando i client eseguono un aggiornamento, ricevono sia i componenti aggiornati che i file di configurazione. 5-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiornamenti manuali del client OfficeScan Aggiornare i componenti del client manualmente quando questi sono estremamente obsoleti e ogniqualvolta viene rilevata un'infezione. I componenti del client sono estremamente obsoleti quando il client non è in grado di aggiornare i componenti dall'origine aggiornamenti per un periodo di tempo prolungato. Nel corso dell'aggiornamento manuale, oltre ai componenti, i client OfficeScan ricevono anche dei file di configurazione aggiornati. I client necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Nota. Oltre ai privilegi per avviare gli aggiornamenti manuali, è possibile concedere agli utenti il privilegio di eseguire gli aggiornamenti manuali (ovvero Aggiorna ora) sui computer client. Per i dettagli, consultare Privilegi di aggiornamento e altre impostazioni per i client OfficeScan a pagina 5-41. Per aggiornare i client manualmente: P ERCORSO : A GGIORNAMENTI > C OMPUTER 1. > A GGIORNAMENTO MANUALE Nella parte superiore della schermata vengono visualizzati i componenti attualmente disponibili nel server OfficeScan e la data in cui tali componenti sono stati aggiornati. Prima di notificare l'aggiornamento ai client, accertarsi che i componenti siano aggiornati. Nota. 5-40 COLLEGATI IN RETE Aggiornare manualmente i componenti obsoleti nel server. Per informazioni, vedere Aggiornamenti manuali del client OfficeScan a pagina 5-40. Come mantenere la protezione aggiornata 2. Per aggiornare solo i client con componenti non aggiornati: a. Fare clic su Seleziona client con componenti non aggiornati. b. Facoltativamente, selezionare Includi client in roaming e offline. c. • Per aggiornare i client in roaming con connessione attiva sul server. • Per aggiornare i client offline quando tornano online. Fare clic su Avvia aggiornamento. Il server cerca i client con componenti di versioni precedenti alle versioni del server e invia ai client la notifica dell'aggiornamento. Per controllare lo stato delle notifiche, accedere a Aggiornamenti > schermata Riepilogo. 3. Per aggiornare client selezionati: a. Selezionare Seleziona client manualmente. b. Fare clic su Seleziona. c. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per d. Fare clic su Avvia aggiornamento componenti. Il server inizia a inviare a ogni client la notifica del download degli aggiornamenti. Per controllare lo stato delle notifiche, accedere a Aggiornamenti > schermata Riepilogo. Privilegi di aggiornamento e altre impostazioni per i client OfficeScan Concedere agli utenti client alcuni privilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamento pianificato. Per concedere i privilegi di aggiornamento: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. per 5-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamento componenti. 4. Selezionare le seguenti opzioni: • Esecuzione di "Aggiorna ora" • Attiva aggiornamento pianificato 5. Nella scheda Altre impostazioni, andare alla sezione Aggiorna impostazioni. 6. Selezionare le seguenti opzioni: 7. • I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro • Attiva aggiornamento pianificato • I client possono aggiornare i componenti ma non possono aggiornare il programma client né implementare hot fix Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Esecuzione di "Aggiorna ora" Gli utenti con questo privilegio possono aggiornare i componenti su richiesta facendo clic con il pulsante destro del mouse sull'icona OfficeScan nella barra delle applicazioni e selezionando Aggiorna ora. È possibile consentire agli utenti dei client di utilizzare le impostazioni proxy durante l'operazione "Aggiorna ora". Per i dettagli, consultare Privilegi configurazione proxy per client a pagina 13-54. ATTENZIONE! 5-42 Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie impostazioni proxy. Come mantenere la protezione aggiornata Attiva aggiornamento pianificato Questo privilegio consente agli utenti dei client di attivare o disattivare l'aggiornamento pianificato. Gli utenti con questo privilegio possono attivare/disattivare l'aggiornamento pianificato, non possono configurare la pianificazione effettiva. La pianificazione deve essere configurata accedendo a Aggiornamenti > Computer collegati in rete > Aggiornamento automatico > Aggiornamento pianificato. I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro Quando gli aggiornamenti vengono avviati, i client OfficeScan tentano di ottenere gli aggiornamenti per prima cosa dall'origine aggiornamenti specificata nella schermata Aggiornamenti > Computer collegati in rete > Origine aggiornamenti. Se l'aggiornamento non riesce, i client tentano di eseguirlo dal server OfficeScan. Se si seleziona questa opzione, si consente ai client di tentare l'aggiornamento dal server Trend Micro ActiveUpdate, qualora l'aggiornamento dal server OfficeScan non riesca. Un client IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire ai client di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Attiva aggiornamento pianificato Se si seleziona questa opzione si forzano i client selezionati a eseguire sempre l'aggiornamento pianificato ad eccezione dei casi in cui gli utenti dispongano del privilegio di attivare/disattivare l'aggiornamento pianificato e l'utente disattivi l'aggiornamento pianificato. Specificare la pianificazione degli aggiornamenti in Aggiornamenti > Computer collegati in rete > Aggiornamento automatico > Aggiornamento pianificato. 5-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore I client possono aggiornare i componenti ma non possono aggiornare il programma client né implementare hot fix Questa opzione consente agli aggiornamenti dei componenti di proseguire ma impedisce l'implementazione delle hot fix e l'aggiornamento del client. Se questa opzione non viene selezionata, tutti i client si collegheranno contemporaneamente al server per effettuare l'aggiornamento o installare una hot fix. Questo potrebbe influire negativamente sulle prestazioni di un server dotato di un gran numero di client. Se si seleziona questa opzione, è necessario pensare in che modo ridurre l'impatto dell'aggiornamento del client o dell'implementazione delle hot fix sul server. Spazio su disco riservato per gli aggiornamenti del client OfficeScan OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco del client per hot fix, file di pattern, motori di scansione e aggiornamenti dei programmi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco. Per configurare lo spazio su disco riservato per gli aggiornamenti del client: P ERCORSO : C OMPUTER 5-44 COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Andare alla sezione Spazio su disco riservato. 2. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti. 3. Selezionare lo quantità di spazio su disco. 4. Fare clic su Salva. Come mantenere la protezione aggiornata Proxy per gli aggiornamenti dei componenti del client OfficeScan I client OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamento automatico oppure se dispongono del privilegio di eseguire "Aggiorna ora". TABELLA 5-9. Impostazioni proxy utilizzate nel corso dell'aggiornamento dei componenti del client METODO DI AGGIORNAMENTO Aggiornamento automatico del client I MPOSTAZIONI PROXY UTILIZZATE • Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per client a pagina 13-55. • Impostazioni proxy interne. Per i dettagli, consultare Proxy interno per client a pagina 13-51. U TILIZZO 1. Per aggiornare i componenti, i client OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy interne. 3. Se entrambe sono disattivate, i client non utilizzeranno alcuna impostazione proxy. 5-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 5-9. Impostazioni proxy utilizzate nel corso dell'aggiornamento dei componenti del client (continua) METODO DI AGGIORNAMENTO Aggiorna ora I MPOSTAZIONI PROXY UTILIZZATE • Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per client a pagina 13-55. • Impostazioni proxy configurate dall'utente. È possibile concedere agli utenti client il privilegio di configurare le impostazioni proxy. Per i dettagli, consultare Privilegi configurazione proxy per client a pagina 13-54. 5-46 U TILIZZO 1. Per aggiornare i componenti, i client OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy configurare dall'utente. 3. Se entrambe le impostazioni sono disattivate o se le impostazioni proxy automatiche sono disattivare e gli utenti dei client non dispongono degli appositi privilegi, i client non utilizzeranno nessun proxy per l'aggiornamento dei componenti. Come mantenere la protezione aggiornata Notifiche di aggiornamento del client OfficeScan OfficeScan notifica agli utenti client quando si verificano i seguenti eventi relativi all'aggiornamento: Per configurare le notifiche di aggiornamento del client P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI 1. Andare alla sezione Impostazioni avvisi. 2. Selezionare le seguenti opzioni: 3. CLIENT GLOBALI • Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da __ girono/i • Visualizza un messaggio di notifica se è necessario un riavvio del computer client per caricare un driver in modalità kernel Fare clic su Salva. Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da __ girono/i Un'icona di avviso viene visualizzata nella barra delle applicazioni di Windows per ricordare agli utenti di aggiornare un Pattern dei virus che non è stato aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usare uno dei metodi di aggiornamento illustrati in Metodi di aggiornamento del client OfficeScan a pagina 5-34. Questa impostazione viene applicata a tutti i client gestiti dal server. Visualizza un messaggio di notifica se è necessario un riavvio del computer client per caricare un driver in modalità kernel Dopo l'installazione di una hot fix o di un pacchetto di aggiornamento che contiene una nuova versione di un driver in modalità kernel, la precedente versione del driver potrebbe essere ancora presente sul computer. L'unico modo per eliminare la versione precedente e caricare quella nuova è riavviare il computer. Dopo aver riavviato il computer, la nuova versione viene automaticamente installata e non sono necessari altri riavvii. Subito dopo l'installazione dell'hot fix o del pacchetto di aggiornamento, sul computer client viene visualizzato un messaggio di notifica. 5-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri aggiornamenti client OfficeScan Esaminare i registri di aggiornamento client per determinare eventuali problemi di aggiornamento del pattern dei virus nei client. Nota. In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern dei virus possono essere inviate dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di aggiornamento dei client P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > A GGIORNAMENTO COMPONENTI 1. Per visualizzare il numero di aggiornamenti dei client, fare clic su Visualizza all'interno della colonna Avanzamento. Nella schermata Avanzamento aggiornamento componenti, controllare il numero di client aggiornati ogni 15 minuti e il numero totale di client aggiornati. 2. Per visualizzare i client il cui pattern dei virus è stato aggiornato, fare clic su Visualizza nella colonna Dettagli. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Implementazione degli aggiornamenti del client OfficeScan Utilizzare Conformità sicurezza per garantire che i client dispongano dei componenti più recenti. La conformità della sicurezza consente di determinare le incoerenze dei componenti tra i client e il server OfficeScan. In genere le incoerenze si verificano quando i client non riescono a connettersi al server per aggiornare i componenti. Se il client ottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate), è possibile che un componente del client sia più recente rispetto a uno del server. Per ulteriori informazioni, consultare Conformità sicurezza per i client gestiti a pagina 13-58. 5-48 Come mantenere la protezione aggiornata Rollback dei componenti per i client OfficeScan Il termine rollback si riferisce all'azione di ripristino della versione precedente del Pattern dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questi componenti non funzionano correttamente, ripristinare le versioni precedenti. OfficeScan conserva la versione attuale e quella precedente del Motore di scansione virus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern. Nota. Il rollback è consentito solo per i componenti riportati sopra. OfficeScan utilizza diversi motori di scansione per i client con piattaforme a 32 e 64 bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura di ripristino per tutti i tipi di motore di scansione è identica. Per eseguire il rollback del Pattern dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus: P ERCORSO : A GGIORNAMENTI > R OLLBACK 1. 2. Nella sezione appropriata, fare clic su Sincronizza con il server. a. Nella struttura client visualizzata, fare clic sull'icona del domino root includere tutti i client o selezionare client o domini specifici. per b. Fare clic su Rollback. c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati o su Indietro per tornare alla schermata Rollback. Se sul server è presente una versione precedente del file di pattern, è possibile ripristinare il file di pattern sia per il client che per il server facendo clic su Ripristina versioni server e client. 5-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Touch Tool per hot fix del client OfficeScan Il modulo Touch Tool esegue la sincronizzazione dell'indicatore data e ora con l'indicatore data e ora di un altro file o con l'orario di sistema del computer. Se non si riesce a implementare correttamente hot fix nel server OfficeScan, utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente di implementarlo automaticamente. Per eseguire Touch Tool: 1. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ Touch nel server OfficeScan. 2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Per sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare entrambi i file nella stessa posizione di Touch Tool. 3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool. 4. Digitare i comandi seguenti: TmTouch.exe <nome file di destinazione> <nome file di origine> Dove: <nome file destinazione> è il nome dell'hot fix di cui si desidera modificare l'indicatore data e ora <nome file origine> è il nome del file di cui si desidera replicare l'indicatore data e ora Nota. Se non viene specificato un nome di file di origine, lo strumento imposta l'indicatore data e ora del file di destinazione su data e ora di sistema del computer. Utilizzare il carattere jolly (*) per il file di destinazione ma non per il nome del file di origine. 5. 5-50 Per verificare se la modifica dell'indicatore data e ora è stata applicata, immettere dir nel prompt dei comandi oppure verificare le proprietà del file in Esplora risorse. Come mantenere la protezione aggiornata Update Agent Per distribuire l'attività di implementazione dei componenti, delle impostazioni di dominio o dei programmi client e delle hot fix ai client OfficeScan, occorre impostare alcuni client OfficeScan Update Agent o origini di aggiornamento per altri client. In questo modo si ha la certezza che i client ricevano tempestivamente gli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al server OfficeScan. Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti è caratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent a ciascuna località. Requisiti di sistema per gli Update Agent Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Configurazione di Update Agent Il processo di configurazione di Update Agent prevede due operazioni: 1. Assegnare un client come Update Agent per componenti specifici. 2. Specificare i client che eseguiranno l'aggiornamento da tale Update Agent. Nota. Il numero di connessioni dei client che un singolo Update Agent può gestire dipende dalle specifiche hardware del computer. 5-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per assegnare un client come Update Agent: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura client, selezionare i client da designare come Update Agent. Nota. Non è possibile selezionare l'icona del dominio root in quanto questa operazione designerebbe tutti i client come Update Agent. Un Update Agent IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente ai client IPv4 puri. Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente ai client IPv6 puri. Per consentire ad un Update Agent di distribuire gli aggiornamenti ai client, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 2. 3. 4. Fare clic su Impostazioni > Impostazioni Update Agent. Selezionare gli elementi che Update Agent possono condividere. • Aggiornamento dei componenti • Impostazioni dominio • Programmi client e hot fix Fare clic su Salva. Per specificare i client che eseguiranno l'aggiornamento da un Update Agent: P ERCORSO : A GGIORNAMENTI > C OMPUTER 1. 2. 3. 5-52 > O RIGINE AGGIORNAMENTI In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi. Nella schermata visualizzata, specificare gli indirizzi IP dei client. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. Nel campo Update Agent, selezionare l'Update Agent da assegnare ai client. Nota. 4. COLLEGATI IN RETE Accertarsi che i client siano in grado di connettersi all'Update Agent utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6. Fare clic su Salva. Come mantenere la protezione aggiornata Origini aggiornamenti per gli Update Agent Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il server OfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origine aggiornamenti dalla schermata Origine aggiornamenti della console Web. Supporto IPv6 per gli Update Agent Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv4 pure, come: • Un server OfficeScan IPv4 puro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro: Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Per configurare un'origine di aggiornamento per Update Agent: P ERCORSO : A GGIORNAMENTI > C OMPUTER COLLEGATI IN RETE > O RIGINE AGGIORNAMENTI 1. Selezionare se eseguire l'aggiornamento da origine aggiornamenti standard per gli update agent (server OfficeScan) o origini aggiornamenti personalizzate per gli update agent. 2. Fare clic su Notifica tutti i client. Origine aggiornamenti standard per gli Update Agent Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gli agenti vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento avviene come riportato di seguito: 1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan. 5-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Altre impostazioni > Aggiorna impostazioni, l'opzione I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. Suggerimento. 3. Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando gli Update Agent eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Origini aggiornamenti personalizzate per gli Update Agent Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento da origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate contribuiscono a ridurre il traffico degli aggiornamenti diretto al server OfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. Vedere Origini aggiornamenti personalizzate per i client OfficeScan a pagina 5-29 per la procedura per configurare l'elenco. Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue come riportato di seguito: 5-54 1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco. 2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza la seconda voce e così via. Come mantenere la protezione aggiornata 3. Se non è in grado di eseguire l'aggiornamento da nessuna delle voci, l'agente controlla le opzioni seguenti: • Aggiorna componenti dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: Nota. 4. È possibile eseguire l'aggiornamento dei componenti solo dal server Active Update. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio dal server o dagli Update Agent. • In Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Altre impostazioni > Aggiorna impostazioni, l'opzione I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. • Aggiorna impostazioni dominio dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. • Aggiorna programmi client e hot fix dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Il processo di aggiornamento è diverso se l'opzione Update Agent: aggiorna sempre da origini di aggiornamento standard (server OfficeScan) è attivata e il server OfficeScan notifica all'agente di aggiornare i componenti. Il processo è il seguente: 1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignora l'elenco delle origini di aggiornamento. 5-55 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Altre impostazioni > Aggiorna impostazioni, l'opzione I client scaricano gli aggiornamenti dal Server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. Suggerimento. 3. Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando i client eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Duplicazione dei componenti di Update Agent Come il server OfficeScan, anche gli Update Agent utilizzano il metodo della duplicazione per scaricare i componenti. Per informazioni sul modo in cui il server esegue la duplicazione dei componenti, consultare Duplicazione dei componenti del server OfficeScan a pagina 5-18. Il processo di duplicazione dei componenti per gli Update Agent è il seguente: 1. Update Agent confronta la versione corrente del pattern completo con la versione più recente sull'origine aggiornamenti. Se la differenza tra le due versioni è al massimo 14, Update Agent scarica il pattern incrementale per colmare la differenza tra le due versioni. Nota. 2. 5-56 Se la differenza è superiore a 14, Update Agent scarica automaticamente la versione completa del file di pattern. Update Agent integra il pattern incrementale scaricato con il pattern completo corrente per generare il pattern completo più recente. Come mantenere la protezione aggiornata 3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti. 4. Il pattern completo più recente e tutti i pattern incrementali sono disponibili per i client. Metodi di aggiornamento per Update Agent Gli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per i client normali. Per i dettagli, consultare Metodi di aggiornamento del client OfficeScan a pagina 5-34. È possibile utilizzare lo strumento di configurazione aggiornamento pianificato per attivare e configurare gli aggiornamenti pianificati di un Update Agent installato mediante Client Packager. Nota. Questo strumento non è disponibile se l'Update Agent è stato installato mediante altri metodi di installazione. Per ulteriori informazioni, consultare Metodi di installazione a pagina 4-10. Per utilizzare lo Strumento di configurazione aggiornamento pianificato: 1. Nei computer Update Agent, andare a <Cartella di installazione del client>. 2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la console dello Strumento di configurazione aggiornamento pianificato. 3. Selezionare Attiva aggiornamento pianificato. 4. Specificare la frequenza e l'orario dell'aggiornamento. 5. Fare clic su Applica. 5-57 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Segnalazione analitica di Update Agent La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura di aggiornamento e determinare quali client scaricano dal server OfficeScan, dagli Update Agent o dal server ActiveUpdate. Questa segnalazione è utile anche per controllare se il numero di client che richiedono aggiornamenti dalle origini di aggiornamento supera il limite di risorse disponibili ed, eventualmente, per reindirizzare il traffico di rete alle risorse appropriate. Nota. Questa segnalazione comprende tutti gli Update Agent. Se l'attività di gestione di uno o più domini è stata delegata ad altri amministratori, essi vedranno anche gli Update Agent appartenenti ai domini non gestiti da loro. OfficeScan esporta la segnalazione analitica di Update Agent in un file .csv (comma-separated value). In questa segnalazione sono contenute le seguenti informazioni: • Computer client OfficeScan • Indirizzo IP • Percorso struttura dei client • Origine aggiornamenti • Se i client scaricano i seguenti elementi dagli Update Agent: • Componenti • Impostazioni dominio • Programmi client e hot fix Per ulteriori informazioni sulla generazione della segnalazione, vedere Origini aggiornamenti personalizzate per i client OfficeScan a pagina 5-29. 5-58 Come mantenere la protezione aggiornata Riepilogo aggiornamento componenti La schermata Riepilogo aggiornamento della console Web (andare a Aggiornamenti > Riepilogo) contiene informazioni sullo stato dell'aggiornamento dei componenti e consente di aggiornare quelli obsoleti. Se è stato attivato l'aggiornamento server pianificato, la schermata informa anche sulla data prevista per il prossimo aggiornamento. Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare la schermata periodicamente. Nota. Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server, andare a Smart Protection > Server integrato. Stato aggiornamento dei computer collegati in rete Se si avvia l'aggiornamento dei componenti sui client, è possibile visualizzare in questa sezione le seguenti informazioni: • Numero di client ai quali è stata inviata la notifica per l'aggiornamento dei componenti. • Numero di client che non hanno ancora ricevuto la notifica, ma che sono presenti nella coda di notifica. Per annullare l'invio della notifica a questi client, fare clic su Annulla notifica. Componenti Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascun componente scaricato e distribuito dal server OfficeScan. Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimo aggiornamento. Fare clic sul collegamento numerato per visualizzare i client con componenti obsoleti. Aggiornare manualmente i client con componenti obsoleti. 5-59 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5-60 Capitolo 6 Analisi dei rischi per la sicurezza Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza utilizzando l'analisi basata su file. Argomenti di questo capitolo: • Informazioni sui rischi per la sicurezza a pagina 6-2 • Metodi di scansione a pagina 6-8 • Tipi di scansione a pagina 6-15 • Impostazioni comuni a tutti i tipi di scansione a pagina 6-28 • Privilegi scansione e altre impostazioni a pagina 6-52 • Impostazioni globali di scansione a pagina 6-67 • Notifiche sui rischi per la sicurezza a pagina 6-77 • Registri dei rischi per la sicurezza a pagina 6-84 • Rischi per la sicurezza a pagina 6-95 6-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni sui rischi per la sicurezza Rischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche, spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere le infezioni, implementando i criteri di prevenzione delle infezioni e isolando i computer infetti fino a quando sono completamente privi di rischi. Le notifiche e i registri contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fosse necessaria un'azione tempestiva. Virus e minacce informatiche Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengono creati molti altri. I virus informatici attuali, possono causare notevoli danni grazie alla loro capacità di sfruttare le vulnerabilità delle reti aziendali, dei sistemi e-mail e dei siti Web. OfficeScan protegge i computer dai seguenti tipi di virus/minacce informatiche: Programma Joke Un programma Joke è simile a un virus che spesso manipola l'aspetto degli oggetti sul monitor di un computer. Programma cavallo di Troia Un cavallo di Troia è un programma eseguibile che non si riproduce e che risiede nei computer per compiere operazioni dannose quali, ad esempio, l'apertura delle porte per consentire l'ingresso degli hacker. Questo programma utilizza spesso una Porta dei cavalli di Troia per accedere ai computer. Un esempio di cavallo di Troia è un'applicazione che a prima vista serve per eliminare i virus dai computer ma in realtà li introduce. Le soluzioni antivirus tradizionali sono in grado di rilevare e rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già in esecuzione nel sistema. 6-2 Analisi dei rischi per la sicurezza Virus Un virus è un programma che si riproduce. Per riprodursi, un virus deve essere associato ad altri file di programma, che gli consentono di attivarsi quando il programma che lo ospita va in esecuzione. • Codice dannoso ActiveX: codice presente nelle pagine Web che esegue dei comandi ActiveX™. • Virus da settore boot: virus che infetta il settore boot o una partizione del disco. • File COM ed EXE infettante: programma eseguibile con estensione .com o .exe. • Codice dannoso Java: codice virus indipendente dal sistema operativo scritto o incluso in un codice Java™. • Virus da macro: virus codificato come macro di un'applicazione e spesso incluso in un documento. • Virus VBScript, JavaScript o HTML: virus presente in una pagina Web e scaricato tramite un browser. • Worm: programma (o gruppo di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti ad altri computer, spesso tramite e-mail. Virus di prova Un virus di prova è un file intero rilevabile da software di scansione dei virus. I virus di prova, come gli script di prova EICAR, possono essere utilizzati per verificare che l'antivirus installato funzioni correttamente. Packer I packer sono programmi eseguibili compressi e/o codificati per Windows o Linux™, spesso sono cavalli di Troia. La compressione di programmi eseguibili rende i packer più difficili da rilevare per i prodotti antivirus. Probabile virus/minaccia informatica I file sospetti che possiedono alcune caratteristiche di virus/minacce informatiche vengono classificati come tali. Per maggiori dettagli su virus/minacce informatiche probabili, vedere la pagina seguente nell'Enciclopedia dei virus online di Trend Micro: http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=POSSIBLE_ VIRUS 6-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Virus di rete Un virus che si diffonde su una rete non è necessariamente un virus di rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm, possono essere considerati virus di rete. In particolare, per moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i file di sistema né modificano i settori boot dei dischi rigidi. I virus di rete hanno per lo più lo scopo di infettare la memoria dei computer, obbligandoli a invadere di traffico la rete causando rallentamenti o persino errori nell'intera rete. Poiché i virus di rete rimangono in memoria, spesso non sono rilevabili mediante i tradizionali metodi di scansione I/O dei file. Il firewall OfficeScan utilizza il Pattern comune firewall per identificare e bloccare i virus di rete. Per informazioni, vedere Informazioni sul Firewall di OfficeScan a pagina 11-2. Altre "Altri" includono virus/minacce informatiche non classificati come altri tipi di virus/minacce informatiche. Spyware e grayware Con i termini spyware e grayware si definiscono le applicazioni o i file non classificati come virus o cavalli di Troia, che tuttavia hanno un effetto negativo sulle prestazioni dei computer della rete. Spyware e grayware introducono notevoli rischi per la sicurezza, la riservatezza e conformità legale nelle organizzazioni. Spesso spyware e grayware attivano una varietà di azioni indesiderate e pericolose come la visualizzazione di fastidiose finestre pop-up, la registrazione delle sequenze di tasti premute dall'utente o l'esposizione delle vulnerabilità del computer agli attacchi. OfficeScan protegge i computer dai seguenti tipi di spyware/grayware: Spyware Lo spyware raccoglie dati come nomi utente, password, numeri di carta di credito e altre informazioni riservate allo scopo di trasmetterli a terzi. Adware L'adware visualizza delle pubblicità e raccoglie dati come le preferenze di navigazione Web in modo da indirizzare pubblicità mirata all'utente. 6-4 Analisi dei rischi per la sicurezza Dialer Un dialer modifica le impostazioni Internet del client e può forzare il computer a chiamare numeri telefonici predeterminati attraverso un modem. Si tratta in genere di numeri a pagamento o internazionali che rappresentano un notevole costo per l'organizzazione. Strumento di hacking Uno strumento di hacking consente agli hacker di entrare in un computer. Strumento di accesso remoto Uno strumento di accesso remoto consente agli hacker di accedere a un computer e di controllarlo in remoto. Applicazione per decodifica di password Questo tipo di applicazione consente di decifrare nomi utente e password degli account. Altre "Altri" includono programmi potenzialmente pericolosi non classificati come altri tipi di spyware/grayware. In che modo spyware e grayware penetrano nelle reti Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utenti scaricano un software legittimo contenente applicazioni grayware all'interno del pacchetto di installazione. La maggior parte dei programmi contiene un contratto di licenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spesso nel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di dati personali, tuttavia molto frequentemente, gli utenti non leggono attentamente il contratto o non comprendono il linguaggio legale. 6-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Rischi e minacce potenziali L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguenti problemi: Riduzione delle prestazioni del computer Per svolgere la loro azione, le applicazioni spyware e grayware utilizzano spesso una quantità considerevole di risorse di memoria del sistema e della CPU. Aumento dei malfunzionamenti del browser Web Alcuni tipi di grayware, come ad esempio l'adware, visualizzano informazioni in riquadri o finestre del browser. A seconda del modo in cui il codice di queste applicazioni interagisce con i processi di sistema, il grayware può bloccare o interrompere il funzionamento del browser o richiedere un riavvio del computer. Riduzione dell'efficienza dell'utente Costretto a chiudere frequentemente le finestre pop-up pubblicitarie e affrontare gli effetti negativi dei programmi Joke, l'utente viene spesso distratto dalla propria attività principale. Riduzione dell'ampiezza di banda della rete Le applicazioni spyware e grayware spesso trasmettono regolarmente i dati raccolti ad altre applicazioni in esecuzione sulla rete o al di fuori della rete. Perdita di informazioni personali e aziendali Non tutti i dati che le applicazioni spyware/grayware raccolgono sono innocui come può esserlo un elenco di pagine Web visitate dall'utente. Spyware e grayware inoltre sono in grado di ottenere le credenziali dell'utente quali quelle di accesso ai conti bancari online e alle reti aziendali. Rischio elevato di responsabilità legali Se le risorse della rete vengono manomesse, gli hacker sono in grado di utilizzare i computer client per lanciare attacchi o installare spyware e grayware su computer situati al di fuori della rete. La partecipazione delle risorse di rete a questo tipo di attività potrebbe rendere un'azienda legalmente responsabile di danni causati a terzi. 6-6 Analisi dei rischi per la sicurezza Protezione da spyware e grayware Esistono molti modi per impedire l'installazione di spyware/grayware nel computer. Trend Micro suggerisce di seguire le seguenti pratiche standard: • Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale, Scansione pianificata e Esegui scansione) per individuare e rimuovere file e applicazioni spyware/grayware. Per ulteriori informazioni, consultare Tipi di scansione a pagina 6-15. • Informare gli utenti dei client sull'importanza di svolgere le seguenti operazioni: • Leggere il contratto di licenza (EULA) e la documentazione forniti con le applicazioni scaricate e installate sui computer. • Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione per scaricare e installare software, a meno che non si sia certi dell'affidabilità sia del creatore del software sia del sito Web. • Ignorare messaggi e-mail di natura commerciale non richiesti (spam), soprattutto se viene richiesto di fare clic su un pulsante o un collegamento. • Configurare le impostazioni del browser Web in modo che assicurino un livello di sicurezza alto. Configurare i browser Web in modo che, prima di installare i comandi ActiveX, ne chiedano conferma agli utenti. Per aumentare il livello di sicurezza per Internet Explorer™, accedere a Strumenti > Opzioni Internet > Protezione e spostare il selettore su un livello superiore. Se l'impostazione causa dei problemi ai siti Web che si visitano, fare clic su Siti e aggiungere i siti che si desidera visitare all'elenco dei siti affidabili. • Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo che Outlook non scarichi automaticamente elementi HTML, come immagini inviate in messaggi spam. • Non permettere l'uso di servizi di condivisione file peer-to-peer. Lo spyware e altre applicazioni grayware potrebbero essere mascherati come altri tipi di file che gli utenti potrebbero scaricare, come file musicali MP3. 6-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Esaminare periodicamente il software installato sui computer client e cercare applicazioni che possano essere spyware o altro grayware. Se si trova un'applicazione o un file che OfficeScan non riesce a rilevare come grayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro alla pagina seguente: http://subwiz.trendmicro.com/SubWiz TrendLabs analizzerà i file e le applicazioni ricevute. • Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con le patch più recenti di Microsoft. Per ulteriori dettagli, consultare il sito Web Microsoft. Metodi di scansione I client OfficeScan sono in grado di utilizzare uno dei due metodi di scansione quando eseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: Smart Scan e Scansione convenzionale. Smart Scan I client che utilizzano Smart Scan, in questo documento vengono definiti client Smart Scan. I client Smart Scan utilizzano le scansioni locali e le query in-the-cloud fornite da Servizi di reputazione file. Scansione convenzionale I client che non utilizzano Smart Scan sono definiti Client con scansione convenzionale. Un client con scansione convenzionale memorizza tutti i componenti OfficeScan nel computer client ed esegue la scansione locale di tutti i file. 6-8 Analisi dei rischi per la sicurezza Metodi di scansione a confronto La tabella riportata di seguito consente di confrontare i due metodi di scansione: TABELLA 6-1. C RITERI DI CONFRONTO Confronto tra Scansione convenzionale e Smart Scan S CANSIONE CONVENZIONALE Disponibilità Disponibile in questa versione di OfficeScan e in tutte quelle precedenti Comportamen to della scansione Il client con scansione convenzionale esegue la scansione nel computer locale. S MART S CAN Disponibile a partire da OfficeScan 10 • Il client con Smart Scan esegue la scansione nel computer locale. • Se non è in grado di determinare il rischio del file durante la scansione, il client verifica il rischio inviando una query di scansione a un'origine Smart Protection. • Il client memorizza il risultato della query di scansione per migliorare le prestazioni della scansione. Componenti in uso e aggiornati Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Smart Scan Agent Pattern Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Pattern dei virus e Pattern di monitoraggio attivo spyware Origine di aggiornamento tipica Server OfficeScan Server OfficeScan 6-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Metodo di scansione predefinito In questa versione di OfficeScan, il metodo di scansione predefinito per una nuova installazione è Smart Scan. Questo significa che se si esegue una nuova installazione del server OfficeScan e non si modifica il metodo di scansione sulla console Web, tutti i client gestiti dal server utilizzeranno il metodo Smart Scan. Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attiva l'aggiornamento automatico dei client, tutti i client gestiti dal server utilizzeranno il metodo di scansione configurato prima dell'aggiornamento della versione. Ad esempio, se si esegue l'aggiornamento da OfficeScan 8.x, che supporta solamente la Scansione convenzionale, tutti i client utilizzeranno la Scansione convenzionale a seguito dell'aggiornamento. Se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan e la Scansione convenzionale, tutti i client aggiornati che utilizzano Smart Scan continueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano la Scansione convenzionale continueranno ad utilizzare quest'ultima. Passaggio da Smart Scan a Scansione convenzionale Quando i client passano alla scansione convenzionale, tenere presente quanto segue: TABELLA 6-2. Considerazioni sul passaggio alla Scansione convenzionale C ONSIDERAZIONE Numero dei client che effettuano il passaggio 6-10 D ETTAGLI Se il numero di client che passa contemporaneamente alla Scansione convenzionale è relativamente esiguo, l'operazione consente di utilizzare in maniera efficiente le risorse del server OfficeScan. Il server OfficeScan è in grado di eseguire altre operazioni importanti durante il passaggio da un metodo di scansione all'altro. Analisi dei rischi per la sicurezza TABELLA 6-2. Considerazioni sul passaggio alla Scansione convenzionale (continua) C ONSIDERAZIONE Tempistica D ETTAGLI Quando si passa di nuovo alla scansione convenzionale, è probabile che i client scarichino la versione completa di Pattern dei virus e Pattern di monitoraggio attivo spyware dal server OfficeScan. Questi file di pattern vengono utilizzati solo dai client con scansione convenzionale. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per i client non sono pianificati aggiornamenti dal server. Disattivare temporaneamente anche "Aggiorna ora" nei client e riattivare la funzione una volta effettuato il passaggio a Smart Scan. Impostazioni della struttura dei client Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo client. Quando si passa alla scansione convenzionale è possibile: • Creare un nuovo dominio della struttura dei client e assegnare ad esso la scansione convenzionale come metodo di scansione. I client trasferiti in questo dominio utilizzano la scansione convenzionale. Quando si trasferisce il client, attivare l'impostazione Applica le impostazioni del nuovo dominio ai client selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi la scansione convenzionale. I client con Smart Scan che appartengono al dominio passeranno alla scansione convenzionale. • Selezionare uno o più client con Smart Scan da un dominio e poi effettuare il passaggio alla scansione convenzionale. Nota. I cambiamenti al metodo di scansione del dominio hanno la precedenza sul metodo di scansione configurato per i singoli client. 6-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Passaggio da Scansione convenzionale a Smart Scan Se si esegue il passaggio dei client da Scansione convenzionale a Smart Scan, assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultare Impostazione dei Servizi Smart Protection a pagina 3-14. La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan: TABELLA 6-3. Considerazioni sul passaggio a Smart Scan C ONSIDERAZIONE D ETTAGLI Funzionalità e funzioni non disponibili I client Smart Scan non sono in grado comunicare informazioni relative a Smart Scan Pattern e Smart Scan Agent Pattern al Policy Server. Licenza del prodotto Per utilizzare Smart Scan accertarsi di aver attivato le licenze dei servizi riportati di seguito e che le licenze non siano scadute: • Antivirus • Reputazione Web e anti-spyware Server OfficeScan Accertarsi che i client siano in grado di connettersi al server OfficeScan. Solo i client online ricevono la notifica del passaggio a Smart Scan. I client offline ricevono la notifica non appena sono online. I client roaming ricevono la notifica quando sono online oppure, se il client possiede privilegi di aggiornamento pianificato, quando viene eseguito un aggiornamento pianificato. Verificare inoltre che il server OfficeScan disponga dei componenti più recenti perché i client Smart Scan devono scaricare Smart Scan Agent Pattern dal server. Per aggiornare i componenti, vedere Aggiornamenti server OfficeScan a pagina 5-14. Numero dei client che effettuano il passaggio 6-12 Se il numero di client che passa contemporaneamente alla Scansione convenzionale è relativamente esiguo, l'operazione consente di utilizzare in maniera efficiente le risorse del server OfficeScan. Il server OfficeScan è in grado di eseguire altre operazioni importanti durante il passaggio da un metodo di scansione all'altro. Analisi dei rischi per la sicurezza TABELLA 6-3. Considerazioni sul passaggio a Smart Scan (continua) C ONSIDERAZIONE Tempistica D ETTAGLI Quando i client passano a Smart Scan per la prima volta, devono scaricare la versione completa di Smart Scan Agent Pattern dal server OfficeScan. Smart Scan Pattern viene utilizzato solo dai client Smart Scan. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per i client non sono pianificati aggiornamenti dal server. Disattivare temporaneamente anche "Aggiorna ora" nei client e riattivare la funzione una volta effettuato il passaggio a Smart Scan. Impostazioni della struttura dei client Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo client. Quando si passa a Smart Scan è possibile: • Creare un nuovo dominio della struttura dei client e assegnargli Smart Scan come metodo di scansione. I client trasferiti su questo dominio utilizzano Smart Scan. Quando si trasferisce il client, attivare l'impostazione Applica le impostazioni del nuovo dominio ai client selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi Smart Scan. I client con la scansione convenzionale che appartengono al dominio passeranno a Smart Scan. • Selezionare uno o più client con scansione convenzionale da un dominio e poi effettuare il passaggio a Smart Scan. Nota. I cambiamenti al metodo di scansione del dominio hanno la precedenza sul metodo di scansione configurato per i singoli client. 6-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-3. Considerazioni sul passaggio a Smart Scan (continua) C ONSIDERAZIONE Supporto IPv6 D ETTAGLI I client Smart Scan inviano query di scansione alle origini Smart Protection. Un client Smart Scan IPv6 puro non è in grado di inviare query direttamente alle origini IPv4, come: • Smart Protection Server 2.0 (integrato o standalone) Nota. Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. • Trend Micro Smart Protection Network Analogamente, un client Smart Scan IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire ai client Smart Scan di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 6-14 Analisi dei rischi per la sicurezza Per cambiare il metodo di scansione: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni scansione > Metodi di scansione. 3. Selezionare Scansione convenzionale oppure Smart Scan. 4. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Tipi di scansione Per proteggere il computer client dai rischi per la sicurezza OfficeScan fornisce i seguenti tipi di scansione: TABELLA 6-4. TIPO DI SCANSIONE Scansione in tempo reale Tipi di scansione D ESCRIZIONE Esegue la scansione automatica di un file sul computer quando viene ricevuto, aperto, scaricato, copiato o modificato Per informazioni, vedere Scansione in tempo reale a pagina 6-16. Scansione manuale Una scansione avviata dall'utente che analizza un file o un insieme di file per iniziativa dell'utente. Per informazioni, vedere Scansione manuale a pagina 6-19. 6-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-4. Tipi di scansione (continua) TIPO DI SCANSIONE Scansione pianificata D ESCRIZIONE Esegue la scansione automatica di un file sul computer in base alla pianificazione configurata dall'utente finale o dall'amministratore. Per informazioni, vedere Scansione pianificata a pagina 6-21. Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in uno o più computer di destinazione Per informazioni, vedere Esegui scansione a pagina 6-24. Scansione in tempo reale La scansione in tempo reale è una scansione continua e costante. Ogni volta che un file viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale analizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rileva rischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. Se OfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informatica probabili, visualizza un messaggio di notifica che indica il nome del file infetto e il rischio per la sicurezza specifico. Nota. Per modificare il messaggio di notifica, aprire la console Web e andare a Notifica > Notifiche all'utente client. Configurare e applicare Scansione in tempo reale a uno o più client e domini oppure a tutti i client gestiti dal server. Per configurare le impostazioni della scansione in tempo reale: P ERCORSO : C OMPUTER 6-16 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni scansione > Impostazioni di scansione in tempo reale. Analisi dei rischi per la sicurezza 3. Nella scheda Destinazione, selezionare le seguenti opzioni: • Attiva scansione antivirus/minacce informatiche • Attiva scansione spyware/grayware Nota. Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. Durante un'infezione virale, per impedire al virus di modificare o eliminare i file e le cartelle nei computer client, non è possibile disattivare Scansione in tempo reale (altrimenti, se originariamente disattivata, viene attivata automaticamente). 4. Configurare gli elementi riportati di seguito. TABELLA 6-5. Criteri di Scansione in tempo reale C RITERI R IFERIMENTO Attività utente sui file Attività utente sui file a pagina 6-28 File da esaminare File da esaminare a pagina 6-28 Impostazioni di scansione Impostazioni di scansione a pagina 6-29 Esclusioni scansione Esclusioni scansione a pagina 6-32 6-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 6-6. Azioni di Scansione in tempo reale A ZIONE Azione di Virus e minacce informatiche R IFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 6-38 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 6-40 • Azione specifica per ogni tipo di virus o minaccia a pagina 6-40 Nota. Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 6-36. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 6-40 • Crea copia di backup prima di disinfettare a pagina 6-43 • Damage Cleanup Services a pagina 6-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 6-44 • Mostra notifica al rilevamento di probabile spyware/grayware a pagina 6-44 Azione di spyware/grayware Azione primaria: • Azioni di scansione spyware/grayware a pagina 6-48 Ulteriori azioni di spyware/grayware: • Mostra notifica al rilevamento di spyware/grayware a pagina 6-49 6-18 Analisi dei rischi per la sicurezza 6. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Scansione manuale Scansione manuale è un metodo di scansione su richiesta che inizia immediatamente dopo che un utente esegue la scansione nella console del client. Il tempo necessario per completare la scansione dipende dal numero di file da analizzare e dalle risorse hardware del computer client. Configurare e applicare Scansione manuale a uno o più client e domini oppure a tutti i client gestiti dal server. Per configurare le impostazioni della scansione manuale: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni scansione > Impostazioni scansione manuale. 6-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Nella scheda Destinazione, configurare le opzioni riportate di seguito: TABELLA 6-7. Criteri di scansione manuale C RITERI 4. R IFERIMENTO File da esaminare File da esaminare a pagina 6-28 Impostazioni di scansione Impostazioni di scansione a pagina 6-29 Uso della CPU Uso della CPU a pagina 6-30 Esclusioni scansione Esclusioni scansione a pagina 6-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 6-8. Azioni di scansione manuale A ZIONE Azione di Virus e minacce informatiche R IFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 6-38 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 6-40 • Azione specifica per ogni tipo di virus o minaccia a pagina 6-40 Nota. Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 6-36. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 6-40 • Crea copia di backup prima di disinfettare a pagina 6-43 • Damage Cleanup Services a pagina 6-43 6-20 Analisi dei rischi per la sicurezza TABELLA 6-8. Azioni di scansione manuale (continua) A ZIONE R IFERIMENTO Azione di spyware/grayware 5. Azioni di scansione spyware/grayware a pagina 6-48 Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Scansione pianificata Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate. La scansione pianificata permette di automatizzare le scansioni di routine dei client, per una più efficiente gestione delle scansioni. Configurare e applicare Scansione pianificata a uno o più client e domini oppure a tutti i client gestiti dal server. Per configurare le impostazioni della scansione pianificata: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Impostazioni scansione > Impostazioni scansione pianificata. 3. per Nella scheda Destinazione, selezionare le seguenti opzioni: • Attiva scansione antivirus/minacce informatiche 6-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Attiva scansione spyware/grayware Nota. 4. Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. Configurare gli elementi riportati di seguito. TABELLA 6-9. 6-22 Criteri di Scansione pianificata C RITERI R IFERIMENTO Pianificazione Pianificazione a pagina 6-31 File da esaminare File da esaminare a pagina 6-28 Impostazioni di scansione Impostazioni di scansione a pagina 6-29 Uso della CPU Uso della CPU a pagina 6-30 Esclusioni scansione Esclusioni scansione a pagina 6-32 Analisi dei rischi per la sicurezza 5. Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 6-10. Azioni di Scansione pianificata A ZIONE Azione di Virus e minacce informatiche R IFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 6-38 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 6-40 • Azione specifica per ogni tipo di virus o minaccia a pagina 6-40 Nota. Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 6-36. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 6-40 • Crea copia di backup prima di disinfettare a pagina 6-43 • Damage Cleanup Services a pagina 6-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 6-44 • Mostra notifica al rilevamento di probabile spyware/grayware a pagina 6-44 Azione di spyware/grayware Azione primaria: • Azioni di scansione spyware/grayware a pagina 6-48 Ulteriori azioni di spyware/grayware: • Mostra notifica al rilevamento di spyware/grayware a pagina 6-49 6-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 6. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Esegui scansione Esegui scansione viene avviata in remoto da un amministratore di OfficeScan mediante la console Web e può essere destinata a uno o più computer client. Configurare e applicare Esegui scansione a uno o più client e domini oppure a tutti i client gestiti dal server. Per configurare le impostazioni di Esegui scansione: P ERCORSO : C OMPUTER > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Impostazioni scansione > Impostazioni funzione Esegui scansione. 3. per Nella scheda Destinazione, selezionare le seguenti opzioni: • Attiva scansione antivirus/minacce informatiche • Attiva scansione spyware/grayware Nota. 6-24 COLLEGATI IN RETE Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. Analisi dei rischi per la sicurezza 4. Configurare gli elementi riportati di seguito. TABELLA 6-11. Criteri di Esegui scansione C RITERI 5. R IFERIMENTO File da esaminare File da esaminare a pagina 6-28 Impostazioni di scansione Impostazioni di scansione a pagina 6-29 Uso della CPU Uso della CPU a pagina 6-30 Esclusioni scansione Esclusioni scansione a pagina 6-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 6-12. Azioni di Esegui scansione A ZIONE Azione di Virus e minacce informatiche R IFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 6-38 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 6-40 • Azione specifica per ogni tipo di virus o minaccia a pagina 6-40 Nota. Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 6-36. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 6-40 • Crea copia di backup prima di disinfettare a pagina 6-43 • Damage Cleanup Services a pagina 6-43 6-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-12. Azioni di Esegui scansione (continua) A ZIONE R IFERIMENTO Azione di spyware/grayware 6. Azioni di scansione spyware/grayware a pagina 6-48 Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Avvio di Esegui scansione Avviare Esegui scansione nei computer che si sospetta siano infetti. Per avviare Esegui scansione: P ERCORSO : C OMPUTER > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Operazioni > Esegui scansione. Nota. 3. 6-26 COLLEGATI IN RETE per È anche possibile fare clic su Esegui scansione per tutti i domini nella parte superiore del menu principale. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviare la scansione, fare clic su Impostazioni. Si apre la schermata Impostazioni funzione Esegui scansione. Per informazioni, vedere Esegui scansione a pagina 6-24. Analisi dei rischi per la sicurezza 4. Nella struttura dei client, selezionare i client su cui eseguire la scansione e fare clic su Avvia scansione ora. Il server invia una notifica al client. Nota. Se non si seleziona alcun client, OfficeScan invia automaticamente una notifica a tutti i client della struttura dei client. 5. Controllare lo stato della notifica e verificare che tutti i client abbiano ricevuto la notifica. 6. Fare clic su Seleziona computer senza notifiche e quindi su Avvia scansione ora per inviare nuovamente la notifica ai client che non l'hanno ricevuta. Esempio: Numero totale di client: 50 TABELLA 6-13. Scenari di client non notificati S ELEZIONE STRUTTURA CLIENT C LIENT NOTIFICATI ( DOPO AVER FATTO CLIC SU "E SEGUI SCANSIONE ORA ") C LIENT NON NOTIFICATI Nessuno (tutti i 50 client selezionati automaticamente) 35 su 50 client 15 client Selezione manuale (45 su 50 client selezionati) 40 su 45 client 5 client + altri 5 client non inclusi nella selezione manuale 7. Se si desidera che OfficeScan interrompa l'invio della notifica ai client, fare clic su Interrompi notifica. I client che hanno già ricevuto la notifica e hanno già avviato il processo di scansione ignoreranno questo comando. 8. Per i client che stanno già eseguendo la scansione, fare clic su Interrompi scansione ora per richiedere l'interruzione della scansione. 6-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni comuni a tutti i tipi di scansione Per ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri di scansione, esclusioni scansione e azioni di scansione. Implementare queste impostazioni su uno o più client e domini oppure su tutti i client gestiti dal server. Parametri di scansione Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributi dei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano la scansione. Ad esempio configurare Scansione in tempo reale per ciascun tipo di file dopo averlo scaricato nel computer. Attività utente sui file Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delle opzioni seguenti: • Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdotti nel computer (ad esempio dopo il download di un file) o dei file modificati • Scansione dei file recuperati: esegue la scansione dei file alla loro apertura • Scansione dei file creati/modificati e recuperati Ad esempio se viene selezionata la terza opzione, un nuovo file scaricato nel computer viene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimane nella posizione attuale. Lo stesso file viene sottoposto a scansione quando un utente lo apre e, se l'utente lo modifica, prima che le modifiche vengano salvate. File da esaminare Selezionare una delle opzioni seguenti: 6-28 • Tutti i file analizzabili: esegue la scansione di tutti i file. • Tipi di file analizzati da IntelliScan : esegue solo la scansione dei file soggetti a ospitare del codice maligno, compresi quelli mascherati da estensioni non pericolose. Per informazioni, vedere IntelliScan a pagina C-10. • File con estensioni specifiche: esegue solo la scansione dei file con estensione compresa nell'elenco delle estensioni di file. Aggiungere nuove estensioni o rimuovere quelle esistenti. Analisi dei rischi per la sicurezza Impostazioni di scansione Selezionare una o più opzioni tra quelle elencate di seguito: • Analizza unità di rete: esegue la scansione delle cartelle o delle unità di rete mappate al computer client durante la Scansione manuale o la Scansione in tempo reale. • Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascoste del computer e di eseguirne la scansione durante Scansione manuale. • Esegui la scansione del settore boot del dispositivo di archiviazione USB dopo il collegamento: Esegue la scansione automatica del settore boot di un dispositivo di archiviazione USB quando viene collegato. • Scansione dei file compressi: consente a OfficeScan di eseguire la scansione del numero specificato di livelli di compressione e di ignorare tutti i livelli in eccesso. Inoltre OfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio, se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli, OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compresso contiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file. Nota. OfficeScan considera i file Microsoft Office 2007 in formato Office Open XML come file compressi. Office Open XML, il formato file per le applicazioni Office 2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati con queste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, è necessario attivare la scansione dei file compressi. • Scansione del disco floppy allo spegnimento del sistema: esegue la scansione del disco floppy per rilevare virus da boot prima dello spegnimento del computer. Ciò impedisce l'esecuzione di virus/minacce informatiche quando un utente riavvia il computer dal disco. • Analizza oggetti OLE: quando un file contiene più livelli OLE (Object Linking and Embedding), OfficeScan esegue la scansione del numero di livelli specificato e ignora i livelli rimanenti. Tutti i client gestiti dal server controllano questa impostazioni durante le funzioni Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. La scansione per rilevare virus/minacce informatiche e spyware/grayware viene eseguita su ciascun livello. 6-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Ad esempio: si supponga che il numero di livelli specificati sia 2 e che un file abbia un documento Microsoft Word incorporato (primo livello) all'interno del quale è presente un foglio di calcolo Microsoft Excel (secondo livello) che contiene un file .exe (terzo livello). OfficeScan esegue la scansione del documento Word e del foglio di calcolo Excel, ma ignora il file .exe. • Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consente di identificare in modo euristico eventuali minacce informatiche controllando che i file Microsoft Office non contengano codice di minaccia. Nota. Il numero di livelli specificato è applicabile a entrambe le opzioni Analizza oggetti OLE e Rileva codice maligno. • Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibili compressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Per informazioni, vedere IntelliTrap a pagina C-11. • Esamina settore boot: esegue la scansione del settore boot del disco rigido del computer client per rilevare virus/minacce informatiche durante Scansione manuale, Scansione pianificata ed Esegui scansione. Uso della CPU È possibile impostare in OfficeScan una pausa tra una scansione di un file e quella successiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansione pianificata ed Esegui scansione. Selezionare una delle opzioni seguenti: 6-30 • Alto: nessuna pausa tra le scansioni • Medio: effettua una pausa tra una scansione file e quella successiva, se il consumo di risorse della CPU è superiore al 50%; in caso contrario non effettua la pausa • Basso: effettua una pausa tra una scansione file e quella successiva, se il consumo di risorse della CPU è superiore al 20%; in caso contrario non effettua la pausa Analisi dei rischi per la sicurezza Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU è inferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa riducendo in tal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo ma poiché il consumo di CPU è ottimale, le prestazioni del computer non ne risentono in modo sensibile. Quando il consumo di CPU comincia ad eccedere il valore di soglia, OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando il consumo torna al di sotto del valore di soglia. Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue la scansione dei file senza pause. Pianificazione Configurare la frequenza (giornaliera, settimanale o mensile) e l'ora di esecuzione della Scansione pianificata. Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno del mese o della settimana e l'ordine di ricorrenza. • • Un determinato giorno del mese: Selezionare un giorno compreso tra 1 e 31. Se si seleziona il 29, 30 o 31 di un mese che non ha tale giorno, la Scansione pianificata viene eseguita l'ultimo giorno del mese. Quindi: • Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (ad eccezione degli anni bisestili) e il 29 di tutti gli altri mesi. • Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraio e il 30 di tutti gli altri mesi. • Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio, il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi. Un giorno della settimana e l'ordine di ricorrenza: Un giorno della settimana ricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattro lunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Ad esempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ogni mese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste la quinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza. 6-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Esclusioni scansione La configurazione delle esclusioni di scansione consente di migliorare le prestazioni della scansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione della scansione per determinare i file del computer che devono essere esclusi dalla scansione per il rilevamento di virus/minacce informatiche e spyware/grayware. Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di un file negli scenari riportati di seguito: • Il file si trova in una directory specifica. • Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione. • L'estensione del file corrisponde a un'estensione contenuta nell'elenco di esclusione. Eccezioni con caratteri jolly Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratteri jolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione di diversi caratteri. Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del carattere jolly potrebbero comportare l'esclusione dalla scansione delle directory e dei file sbagliati. Ad esempio C:\* esclude completamente l'unità C:\. TABELLA 6-14. Esclusioni dalla scansione con caratteri jolly VALORE c:\director*\fil\*.txt E SCLUSI N ON ESCLUSI c:\directory\fil\doc.txt c:\directory\file\ c:\directories\fil\files\doc ument.txt c:\directories\files\ c:\directory\file\doc.txt c:\directories\files\docum ent.txt c:\director?\file\*.txt 6-32 c:\directory\file\doc.txt c:\directories\file\docum ent.txt Analisi dei rischi per la sicurezza TABELLA 6-14. Esclusioni dalla scansione con caratteri jolly (continua) VALORE c:\director?\file\?.txt E SCLUSI c:\directory\file\1.txt N ON ESCLUSI c:\directory\file\doc.txt c:\directories\file\docum ent.txt c:\*.txt c:\doc.txt c:\directory\file\doc.txt c:\directories\files\docum ent.txt [] Non supportato Non supportato *.* Non supportato Non supportato Elenco di esclusione scansione (directory) OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica del computer. È possibile specificare al massimo 250 directory. Inoltre è possibile selezionare l'opzione Escludi directory di installazione dei programmi Trend Micro. Se si seleziona questa opzione OfficeScan esclude automaticamente dalla scansione le directory dei seguenti prodotti Trend Micro: • <Cartella di installazione del server> • ScanMail™ per Microsoft Exchange (tutte le versioni tranne la versione 7). Se si utilizza la versione 7, aggiungere all'elenco di esclusione le seguenti cartelle: • \Smex\Temp • \Smex\Storage • \Smex\ShareResPool • ScanMail eManager™ 3.11, 5.1, 5.11, 5.12 • ScanMail for Lotus Notes™ eManager NT • InterScan™ Messaging Security Suite • InterScan Web Security Suite • InterScan Web Protect • InterScan VirusWall 3.53 6-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • InterScan FTP VirusWall • InterScan Web VirusWall • InterScan E-Mail VirusWall • InterScan NSAPI Plug-in • InterScan eManager 3.5x Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungere manualmente la directory del prodotto all'elenco di esclusione dalla scansione. Inoltre per configurare OfficeScan in modo da escludere le directory di Microsoft Exchange 2000/2003 andare a Computer collegati in rete > Impostazioni client globali > Impostazioni di scansione. Se si utilizza Microsoft Exchange 2007 o versioni successive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione. Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: 6-34 • Conserva l'elenco di esclusione del computer client: questa è la selezione predefinita. Se si apportano modifiche all'elenco di esclusione e questa opzione è attivata, le modifiche non potranno essere salvate. Questa opzione viene fornita per impedire la sovrascrittura accidentale dell'elenco di esclusione esistente del client. Per implementare le modifiche effettuate, selezionare un'altra opzione. • Sovrascrive l'elenco di esclusione del computer client: questa opzione rimuove l'intero elenco di esclusione sul client e lo sostituisce con l'elenco appena configurato. Se si sceglie questa opzione, OfficeScan visualizza un avviso. Per passare alla fase successiva, fare clic su OK nella finestra di messaggio. • Aggiunge un percorso all'elenco di esclusione del computer client: questa opzione aggiunge gli elementi dell'elenco appena configurato all'elenco di esclusione esistente del client. Se un elemento esiste già nell'elenco di esclusione del client, il client lo ignorerà. • Rimuove un percorso dall'elenco di esclusione del computer client: il client rimuoverà un elemento dall'elenco di esclusione se questo corrisponde ad un elemento dell'elenco appena configurato. Analisi dei rischi per la sicurezza Elenco di esclusione scansione (file) OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno dei nomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in un determinato percorso del computer, includere il percorso, ad esempio C:\Temp\esempio.jpg. È possibile specificare al massimo 250 file. Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: • Conserva l'elenco di esclusione del computer client: questa è la selezione predefinita. Se si apportano modifiche all'elenco di esclusione e questa opzione è attivata, le modifiche non potranno essere salvate. Questa opzione viene fornita per impedire la sovrascrittura accidentale dell'elenco di esclusione esistente del client. Per implementare le modifiche effettuate, selezionare un'altra opzione. • Sovrascrive l'elenco di esclusione del computer client: questa opzione rimuove l'intero elenco di esclusione sul client e lo sostituisce con l'elenco appena configurato. Se si sceglie questa opzione, OfficeScan visualizza un avviso. Per passare alla fase successiva, fare clic su OK nella finestra di messaggio. • Aggiunge un percorso all'elenco di esclusione del computer client: questa opzione aggiunge gli elementi dell'elenco appena configurato all'elenco di esclusione esistente del client. Se un elemento esiste già nell'elenco di esclusione del client, il client lo ignorerà. • Rimuove un percorso dall'elenco di esclusione del computer client: il client rimuoverà un elemento dall'elenco di esclusione se questo corrisponde ad un elemento dell'elenco appena configurato. Elenco di esclusione scansione (estensione file) OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a una delle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo 250 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione. Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando si specificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti i file le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitare D*. Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un punto interrogativo (?) o un asterisco (*) come carattere jolly. 6-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Applica impostazioni di esclusione scansione a tutti i tipi di scansione OfficeScan consente di configurare le impostazioni di esclusione per un tipo di scansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione. Ad esempio: Il primo gennaio, Mario, l'amministratore OfficeScan, trova molti file JPG nei computer client e si rende conto che questi file non rappresentano una minaccia alla sicurezza. Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applica questa impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale, Esegui scansione e Scansione pianificata sono impostate in modo da ignorare i file .jpg. Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione in tempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Ora i file JPG vengono sottoposti a scansione solo con Scansione in tempo reale. Azioni di scansione Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva un rischio per la sicurezza. OfficeScan ha gruppi di azioni o operazioni di scansione differenti per virus/minacce informatiche e spyware/grayware. Azioni di scansione di virus/minacce informatiche L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minaccia informatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Ad esempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minaccia informatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) del file infetto. Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacce informatiche a pagina 6-2. 6-36 Analisi dei rischi per la sicurezza Di seguito sono riportate le operazioni di OfficeScan contro virus/minacce informatiche: TABELLA 6-15. A ZIONE Azioni di scansione di virus/minacce informatiche D ESCRIZIONE Elimina OfficeScan elimina il file infetto. Metti in quarantena OfficeScan rinomina e sposta il file infetto in una directory di quarantena temporanea sul computer client, che si trova in <Cartella di installazione del client>\Suspect. Il client OfficeScan invia i file in quarantena alla directory di quarantena designata. Per informazioni, vedere Directory di quarantena a pagina 6-40. La directory di quarantena predefinita si trova sul server OfficeScan in <Cartella di installazione del client>\PCCSRV\ Virus. OfficeScan codifica i file in quarantena inviati a questa directory. Per occorre ripristinare i file in quarantena utilizzare lo strumento VSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento, vedere Server Tuner a pagina 12-44. Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il file infetto. Se il file non può essere disinfettato, OfficeScan esegue una seconda operazione: Metti in quarantena, Elimina, Rinomina, e Ignora. Per configurare la seconda operazione, accedere alla scheda Computer collegati in rete > Gestione client > Impostazioni > {Tipo di scansione} > Operazione. Questa operazione può essere eseguita su tutti i tipi di minacce informatiche ad eccezione di virus/minacce informatiche probabili. Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti non possono aprire il file rinominato immediatamente ma solo se lo associano a una determinata applicazione. All'apertura del file infetto rinominato, il virus o la minaccia informatica in esso contenuti potrebbero entrare in azione. 6-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-15. Azioni di scansione di virus/minacce informatiche (continua) A ZIONE D ESCRIZIONE Ignora OfficeScan può utilizzare questa operazione di scansione solo se rileva un tipo di virus durante Scansione manuale, Scansione pianificata ed Esegui scansione. OfficeScan non può utilizzare questa operazione di scansione durante la Scansione in tempo reale perché la mancata esecuzione di un'operazione quando si rileva un tentativo di aprire o eseguire un file infetto consente l'esecuzione del virus/della minaccia. Tutte le altre azioni di scansione possono essere utilizzate. Impedisci l'accesso Questa operazione di scansione può essere eseguita solo durante la scansione in tempo reale. Quando OfficeScan rileva un tentativo di aprire o eseguire un file infetto, blocca immediatamente l'operazione. Gli utenti possono eliminare manualmente il file infetto. Usa ActiveAction Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. La personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce informatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveAction per contrastare questi problemi. ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacce informatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione o se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction. L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito. • ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è necessario dedicare tempo alla configurazione delle operazioni. • Gli sviluppatori di virus/minacce informatiche modificano costantemente il modo in cui i virus attaccano i computer. Le impostazioni di ActiveAction vengono aggiornate per fornire protezione dalle minacce più recenti e dalle modalità di attacco di virus/minacce informatiche più recenti. Nota. 6-38 ActiveAction non è disponibile per la scansione spyware/grayware. Analisi dei rischi per la sicurezza La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus e minacce informatiche. TABELLA 6-16. Operazioni di scansione consigliate da Trend Micro contro virus e minacce informatiche TIPO DI VIRUS / MINACCIA INFORMATICA S CANSIONE IN TEMPO REALE S CANSIONE MANUALE /S CANSIONE PIANIFICATA /E SEGUI SCANSIONE P RIMA OPERAZIONE S ECONDA OPERAZIONE P RIMA OPERAZIONE S ECONDA OPERAZIONE Programma Joke Metti in quarantena Elimina Metti in quarantena Elimina Programma cavallo di Troia Metti in quarantena Elimina Metti in quarantena Elimina Virus Disinfetta Metti in quarantena Disinfetta Metti in quarantena virus di prova Impedisci l'accesso N.D. Ignora N.D. Packer Metti in quarantena N.D. Metti in quarantena N.D. Altre Disinfetta Metti in quarantena Disinfetta Metti in quarantena Probabile virus/minaccia informatica Impedisci l'accesso o azione configurata dall'utente N.D. Ignora o azione configurata dall'utente N.D. Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso" durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansione pianificata ed Esegui scansione. Se non si desidera impostare queste azioni come preferite, è possibile modificarle in Quarantena, Elimina o Rinomina. 6-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Stessa operazione per tutti i tipi virus o minaccia informatica Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azione quando rileva probabili virus/minacce informatiche. Azione specifica per ogni tipo di virus o minaccia Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus o minaccia informatica. Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione, ad eccezione di "Disinfetta". Directory di quarantena Se l'operazione di un file infetto è "Quarantena", il client OfficeScan codifica il file e lo trasferisce in una cartella di quarantena temporanea in <Cartella di installazione del server>\SUSPECT e poi invia il file alla directory di quarantena designata. Nota. 6-40 Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, è possibile ripristinarli. Per i dettagli, consultare Ripristino dei file crittografati a pagina 6-44. Analisi dei rischi per la sicurezza Accettare la directory di quarantena predefinita, che si trova nel computer server OfficeScan. La directory è in formato URL e contiene il nome host del server o l'indirizzo IP. • Se il server gestisce client IPv4 e IPv6, usare il nome host in modo che tutti i client possano inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo), solo i client IPv4 puri e dual-stack possono inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo), solo i client IPv6 puri e dual-stack possono inviare file in quarantena al server. È anche possibile specificare una directory di quarantena alternativa immettendo il percorso in formato URL o UNC o un percorso di file assoluto. I client devono essere in grado di connettersi a questa directory alternativa. Ad esempio, la directory alternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da client dual-stack e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa, identificando la directory con il corrispondente nome host e specificando la directory con un percorso UNC. Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL, percorso UNC o percorso di file assoluto: TABELLA 6-17. D IRECTORY DI QUARANTENA Una directory sul computer server OfficeScan Directory di quarantena F ORMATO ACCETTATO E SEMPIO URL http:// <osceserver> Percorso UNC \\<osceserver>\ ofcscan\Virus N OTE Questa è la directory predefinita. Configurare le impostazioni di questa directory, quali le dimensioni della cartella di quarantena. Per i dettagli, consultare Gestore della quarantena a pagina 12-43. 6-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-17. D IRECTORY DI QUARANTENA Directory di quarantena (continua) F ORMATO ACCETTATO E SEMPIO URL http:// <osceserver2> Percorso UNC \\<osceserver2>\ ofcscan\Virus Un altro computer della rete Percorso UNC \\<nome_ computer>\ temp Una diversa directory sul computer client Percorso assoluto C:\temp Una directory su un altro computer server OfficeScan (se sono presenti altri server OfficeScan nella rete) N OTE Accertarsi che i client siano in grado di connettersi a questa directory. Se si specifica una directory di quarantena non valida, il client OfficeScan conserva i file di quarantena nella cartella SUSPECT fino a quando non viene specificata una directory di quarantena valida. Nei registri di virus e minacce informatiche sul server, il risultato della scansione è "Impossibile inviare il file da mettere in quarantena alla cartella in quarantena specificata". Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo "Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. 6-42 Analisi dei rischi per la sicurezza Crea copia di backup prima di disinfettare Se OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire il backup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro. OfficeScan codifica il file di backup per prevenirne l'apertura e lo memorizza nella cartella <Cartella di installazione del client>\Backup. Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina 6-44. Damage Cleanup Services Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali). Il client avvia Damage Cleanup Services prima o dopo la scansione di virus/minacce informatiche, in base al tipo di scansione. • Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, il client avvia prima Damage Cleanup Services, quindi continua con la scansione di virus/minacce informatiche. Durante la scansione di virus/minacce informatiche, il client può avviare di nuovo Damage Cleanup Services, se necessario. • Durante Scansione in tempo reale, il client esegue la scansione di virus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario. È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services: • Disinfezione standard: durante la disinfezione standard, il client esegue una delle seguenti azioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia • Disinfezione avanzata: oltre alle azioni di disinfezione standard, il client blocca le attività dei software di sicurezza non legittimi, noti anche come FakeAV. Il client utilizza anche regole di disinfezione avanzate per rilevare e interrompere in modo proattivo le applicazioni che manifestano un comportamento da falso antivirus. Nota. Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altro numero di falsi allarmi. 6-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Damage Cleanup Services non esegue la scansione di virus/minacce informatiche probabili a meno che non si selezioni l'opzione Esegui disinfezione quando viene rilevato probabile virus/minaccia informatica. Selezionare questa opzione solo se l'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso. Ad esempio, se il client rileva virus/minacce informatiche probabili durante Scansione in tempo reale e l'azione è Metti in quarantena, il client prima mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo di disinfezione (standard o avanzata) dipende dalle opzioni selezionate. Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, accedere Notifiche > Notifiche all'utente client > scheda Virus/minaccia informatica. Mostra notifica al rilevamento di probabile spyware/grayware Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, accedere Notifiche > Notifiche all'utente client > scheda Virus/minaccia informatica. Ripristino dei file crittografati Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportati di seguito: 6-44 • Prima di mettere un file in quarantena • Quando si esegue un backup di un file prima di disinfettarlo Analisi dei rischi per la sicurezza OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sia necessario recuperare le informazioni in esso contenute. OfficeScan può decodificare e ripristinare i file seguenti: TABELLA 6-18. File soggetti a decodifica e ripristino in OfficeScan F ILE D ESCRIZIONE File messi in quarantena nel computer client Questi file si trovano in <Cartella di installazione del client>\ SUSPECT\Backup e vengono automaticamente cancellati dopo 7 giorni. Questi file inoltre vengono caricati nella directory di quarantena nel server OfficeScan. File in quarantena nella directory di quarantena designata Per impostazione predefinita questa directory si trova nel computer server OfficeScan. Per i dettagli, consultare Directory di quarantena a pagina 6-40. File crittografati di backup I file di backup dei file infetti disinfettati da OfficeScan. Questi file si trovano in <Cartella di installazione del client>\ Backup. Per ripristinare questi file gli utenti devono trasferirli nella cartella <Cartella di installazione del client>\ SUSPECT\Backup. OfficeScan esegue il backup e la crittografia dei file prima di disinfettarli solo se si seleziona Esegui backup dei file prima della disinfezione in Computer collegati in rete > Gestione client > Impostazioni > {Tipo scansione} > scheda Operazione. ATTENZIONE! Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche ad altri file e computer. Prima di ripristinare il file, isolare il computer infetto e trasferire i file importanti del computer in un percorso di backup. 6-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per decodificare e ripristinare i file: Se il file si trova nel computer client OfficeScan: 1. Aprire il prompt dei comandi e accedere a <Cartella di installazione del client>. 2. Digitare il comando riportato di seguito per eseguire VSEncode.exe: VSEncode.exe /u Questo parametro apre una schermata contenente un elenco dei file presenti in <Cartella di installazione del client>\SUSPECT\Backup. 3. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in grado di ripristinare un solo file alla volta. 4. Nella schermata visualizzata specificare la cartella nella quale deve essere ripristinato il file. 5. Fare clic su OK. Il file viene ripristinato nella cartella specificata. Nota. 6. Se OfficeScan esegue di nuovo la scansione del file subito dopo che è stato ripristinato, è possibile che venga considerato infetto. Per impedire la scansione del file, aggiungerlo all'elenco di esclusione della scansione. Per informazioni, vedere Esclusioni scansione a pagina 6-32. Terminato il ripristino dei file, fare clic su Chiudi. Se il file si trova nel server OfficeScan o in una directory di quarantena personalizzata: 1. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandi e passare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ VSEncrypt. Se il file si trova in una directory di quarantena personalizzata, passare a <Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella VSEncrypt nel computer contenente la directory di quarantena personalizzata. 2. Creare un file di testo e digitare l'intero percorso dei file da codificare o decodificare. Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare nel file di testo C:\Documenti\Reports\*.*. I file in quarantena nel computer server OfficeScan si trovano in <Cartella di installazione del server>\PCCSRV\Virus. 6-46 Analisi dei rischi per la sicurezza 3. Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con il nome PerCrittografia.ini nell'unità C:. 4. Aprire un prompt dei comandi e accedere alla directory in cui si trova la cartella VSEncrypt. 5. Digitare il comando riportato di seguito per eseguire VSEncode.exe: VSEncode.exe /d /i <percorso del file INI o TXT> Dove: <percorso del file INI o TXT> è il percorso del file INI o TXT creato (ad esempio C:\ForEncryption.ini). 6. Utilizzare gli altri parametri per ottenere comandi diversi. TABELLA 6-19. Parametri di ripristino P ARAMETRO D ESCRIZIONE Nessuno (nessun parametro) Codifica i file /d Decodifica i file /debug Crea un registro di debug e lo salva nel computer. Nel computer client, il registro di debug VSEncrypt.log viene creato in <Cartella di installazione del client>. /o Sovrascrive il file crittografato o decrittografato già esistente /f <nomefile> Codifica o decodifica un solo file /nr Non ripristina il nome del file originale /v Visualizza le informazioni sullo strumento /u Avvia l'interfaccia utente dello strumento /r <Cartella di destinazione> Cartella contenente il file ripristinato 6-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-19. Parametri di ripristino (continua) P ARAMETRO /s <Nome del file originale> D ESCRIZIONE Il nome del file crittografato originale Ad esempio, è possibile digitare VSEncode [/d] [/debug] per decodificare i file nella cartella Suspect e creare un registro di debug. Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato o codificato nella stessa cartella. Prima di decodificare o codificare un file, accertarsi che il file non sia bloccato. Azioni di scansione spyware/grayware L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che ha rilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche per ciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida per tutti i tipi di spyware/grayware (per informazioni sui diversi tipi di spyware/grayware, vedere Spyware e grayware a pagina 6-4). Ad esempio, quando OfficeScan rileva qualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) delle relative risorse di sistema. Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware: TABELLA 6-20. A ZIONE Disinfetta Azioni di scansione spyware/grayware D ESCRIZIONE OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. Dopo aver effettuato la disinfezione di spyware e grayware, i client OfficeScan effettuano una copia di backup dei dati relativi a spyware e grayware così da consentirne il ripristino nel caso in cui l'utente li consideri sicuri. Per informazioni, vedere Ripristino spyware/grayware a pagina 6-51. 6-48 Analisi dei rischi per la sicurezza TABELLA 6-20. Azioni di scansione spyware/grayware (continua) A ZIONE Ignora D ESCRIZIONE OfficeScan non esegue alcuna operazione sui componenti spyware/grayware rilevati, ma registra il rilevamento di spyware/grayware. Questa azione può essere utilizzata solo durante Scansione manuale, Scansione pianificata ed Esegui scansione. Durante Scansione in tempo reale, l'azione è "Impedisci l'accesso". OfficeScan non esegue azioni se lo spyware/grayware rilevato non è incluso nell'elenco approvato. Per informazioni, vedere Elenco approvati spyware/grayware a pagina 6-49. Impedisci l'accesso OfficeScan nega all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. Questa azione può essere eseguita solo durante Scansione in tempo reale. Durante Scansione manuale, Scansione pianificata ed Esegui scansione, l'azione è "Ignora". Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, accedere Notifiche > Notifiche all'utente client > scheda Spyware/Grayware. Elenco approvati spyware/grayware OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file e le applicazioni che non devono essere considerati spyware o grayware. Quando uno spyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non esegue alcuna azione. Applicare l'elenco approvati a uno o più client e domini oppure a tutti i client gestiti dal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso elenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. 6-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiungere lo spyware/grayware già rilevato all'elenco approvati: P ERCORSO : C OMPUTER COLLEGATI IN RETE R EGISTRI > R EGISTRI > G ESTIONE CLIENT DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICU - REZZA 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Registri > Registri di spyware/grayware oppure su Visualizza registri > Registri di spyware/grayware. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati. 5. Applicare gli spyware/grayware approvati solo ai computer client selezionati o a determinati domini. 6. Fare clic su Salva. I client selezionati applicano l'impostazione e il server OfficeScan aggiunge gli spyware/grayware all'elenco Approvati che si trova in Computer collegati in rete > Gestione client > Impostazioni > Elenco Approvati spyware/grayware. Nota. OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elenco approvati. Per gestire l'elenco approvati spyware/grayware: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Elenco Approvati spyware/grayware. 3. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/grayware. Per selezionare vari nomi tenere premuto il tasto Ctrl durante la selezione. Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca. OfficeScan aggiorna la tabella con i nomi che corrispondono alla parola chiave. 4. 6-50 Fare clic su Aggiungi. Il nome viene aggiunto alla tabella Elenco approvati. Analisi dei rischi per la sicurezza 5. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic su Rimuovi. Per selezionare vari nomi tenere premuto il tasto Ctrl durante la selezione. 6. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, i client OfficeScan eseguono il backup dei relativi dati. Notificare a un client online di ripristinare i file di backup, se tali dati sono considerati sicuri. Scegliere i dati spyware/grayware da ripristinare basandosi sull'orario di backup. Nota. Gli utenti dei client OfficeScan non possono avviare il ripristino di spyware/grayware e ricevono la notifica sui dati di backup che il client ha ripristinato. Per ripristinare spyware e grayware: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura del client, aprire un dominio e selezionare un client. Nota. Gli spyware/grayware possono essere ripristinati solo da un client alla volta. 2. Fare clic su Operazioni > Ripristino spyware/grayware. 3. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic su Visualizza. Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fare clic su Indietro. 6-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Selezionare i segmenti di dati che si desidera ripristinare. 5. Fare clic sul pulsante Ripristina. OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo, consultare i registri di ripristino spyware/grayware. Per informazioni, vedere Registri di ripristino spyware/grayware a pagina 6-93. Privilegi scansione e altre impostazioni Gli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file nei propri computer. I privilegi di scansione consentono ai client OfficeScan di effettuare le operazioni riportate di seguito: • Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansione a pagina 6-52. • Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 6-55. • Gli utenti possono attivare la scansione dei messaggi e-mail Microsoft Outlook e POP3 per rilevare virus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altre impostazioni a pagina 6-60. • Il client OfficeScan può usare le impostazioni delle cache per migliorare le proprie prestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni a pagina 6-63. Privilegi tipo di scansione Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. Per concedere i privilegi per tipo di scansione: P ERCORSO : C OMPUTER 6-52 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. per Analisi dei rischi per la sicurezza 3. Nella scheda Privilegi, andare alla sezione Privilegi scansione. 4. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. 6-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare le impostazioni di scansione dal computer client: 1. Fare clic con il tasto destro del mouse sull'icona OfficeScan presente nella barra delle applicazioni e selezionare Console OfficeScan. 2. Fare clic su Impostazioni > {Tipo di scansione}. FIGURA 6-1. 6-54 Impostazioni di scansione nella console del client Analisi dei rischi per la sicurezza 3. 4. Configurare le impostazioni riportate di seguito: • Impostazioni scansione manuale: File da esaminare, Impostazioni di scansione, Uso della CPU, Esclusioni scansione, Azioni di scansione • Impostazioni scansione in tempo reale: Attività utente sui file, File da esaminare, Impostazioni di scansione, Esclusioni scansione, Azioni di scansione • Impostazioni scansione pianificata: Pianificazione, File da esaminare, Impostazioni di scansione, Uso della CPU, Esclusioni scansione, Azioni di scansione Fare clic su OK. Privilegi scansione pianificata e altre impostazioni I Scansione pianificata è impostata per l'esecuzione sull'endpoint, gli utenti possono rimandare, saltare o interrompere la Scansione pianificata. Rimanda scansione pianificata Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le seguenti operazioni: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. La scansione pianificata può essere postposta una sola volta. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. È possibile interrompere e riavviare la scansione pianificata una sola volta. Nota. Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15 minuti. Il tempo massimo è 12 ore e 45 minuti, e può essere ridotto da Computer collegati in rete > Impostazioni Client globali > Impostazioni scansione pianificata > Rimanda scansione pianificata fino a __ ore e __ minuti. Salta e interrompi scansione pianificata Questo privilegio consente agli utenti di eseguire le operazioni seguenti: • Salta scansione pianificata prima che venga eseguita • Interrompi scansione pianificata mentre è in corso 6-55 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Notifica di privilegio Scansione pianificata Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibile ricordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notifica prima dell'esecuzione di Scansione pianificata. Per concedere i privilegi di Scansione pianificata e visualizzare la relativa notifica: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. per 3. Nella scheda Privilegi, andare alla sezione Privilegi scansione pianificata. 4. Selezionare le seguenti opzioni: • Rimanda scansione pianificata • Salta e interrompi scansione pianificata 5. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni scansione pianificata. 6. Selezionare Visualizza una notifica prima dell'esecuzione della scansione pianificata. Quando questa opzione è attivata, nel computer client viene visualizzato un messaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata. Gli utenti vengono informati della pianificazione della scansione (data e ora) e dei loro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare o interrompere la scansione pianificata. Nota. 6-56 È possibile configurare il numero di minuti. Per configurare il numero di minuti, accedere a Computer collegati in rete > Impostazioni client globali > Impostazioni scansione pianificata > Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione. Analisi dei rischi per la sicurezza 7. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per rimandare, saltare e interrompere Scansione pianificata nel computer client: A. Se la scansione pianificata non è stata avviata: 1. Fare clic con il pulsante destro del mouse sull'icona nella barra delle applicazioni e selezionare Impostazioni avanzate della scansione pianificata. FIGURA 6-2. Nota. Opzione Impostazioni avanzate della scansione Se il messaggio di notifica è attivato ed è impostato in modo da essere visualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non è necessario che gli utenti eseguano questo passaggio. Per ulteriori informazioni sul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina 6-56. 6-57 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Postponi scansione di __ ore e __ minuti. • Salta questa scansione pianificata. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>. FIGURA 6-3. 6-58 Privilegi di Scansione pianificata sul computer client Analisi dei rischi per la sicurezza B. Se la scansione pianificata è in corso: 1. Fare clic con il pulsante destro del mouse sull'icona nella barra delle applicazioni e selezionare Impostazioni avanzate della scansione pianificata. 2. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti. • Interrompi scansione. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>. FIGURA 6-4. Privilegi di Scansione pianificata sul computer client 6-59 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Privilegi scansione e-mail e altre impostazioni Quando i client dispongono dei privilegi di scansione e-mail, la scheda Scansione e-mail viene visualizzata nella console del client. Nella scheda Scansione e-mail sono presenti due programmi di posta elettronica: Outlook Mail Scan e Scansione e-mail POP3. FIGURA 6-5. 6-60 La scheda Scansione e-mail nella console del client Analisi dei rischi per la sicurezza Nella tabella seguente vengono descritti i programmi Outlook Mail Scan e Scansione e-mail POP3. TABELLA 6-21. D ETTAGLI Programmi di scansione e-mail O UTLOOK M AIL S CAN Scopo Esegue la scansione dei messaggi e-mail Microsoft Outlook per rilevare virus o minacce informatiche Prerequisiti Prima di poterlo utilizzare, gli utenti devono installarlo dalla console del client S CANSIONE E - MAIL POP3 Esegue la scansione dei messaggi e-mail POP3 per rilevare virus o minacce informatiche • Prima che gli utenti possano utilizzarlo, gli amministratori devono attivarlo dalla console Web Nota. Per abilitare la scansione e-mail POP3, vedere Per concedere i privilegi di scansione e-mail e attivare Scansione e-mail POP3 a pagina 6-62. • È possibile configurare azioni per contrastare virus e minacce informatiche dalla console del client, ma non dalla console Web Tipi di scansione supportati Scansione manuale Scansione in tempo reale La scansione ha luogo solo quando gli utenti fanno clic su Esegui scansione dalla scheda Scansione e-mail sulla console del client. La scansione viene eseguita quando i messaggi e-mail vengono scaricati dal server di posta POP3. 6-61 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-21. Programmi di scansione e-mail (continua) D ETTAGLI Risultati scansione O UTLOOK M AIL S CAN S CANSIONE E - MAIL POP3 • Informazioni sui rischi per • Informazioni sui rischi per sicurezza rilevati disponibili dopo il completamento della scansione • Risultati di scansione non • Risultati di scansione non registrati nella schermata Registri della console del client registrati nella schermata Registri della console del client • Risultati di scansione non • Risultati di scansione non inviati al server Altri dettagli sicurezza rilevati disponibili dopo il completamento della scansione inviati al server nessuna Condivide OfficeScan NT Proxy Service ( TMProxy.exe) con la funzione di reputazione Web Per concedere i privilegi di scansione e-mail e attivare Scansione e-mail POP3: P ERCORSO : C OMPUTER 6-62 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, andare alla sezione Privilegi scansione e-mail. 4. Selezionare Visualizza la scheda Scansione e-mail nella console del client. 5. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni Scansione e-mail POP3. 6. Selezionare Analizza i messaggi e-mail POP3. Analisi dei rischi per la sicurezza 7. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Impostazioni cache per le scansioni Il client OfficeScan è in grado di creare la firma digitale e i file di cache per la scansione su richiesta per migliorare le proprie prestazioni di scansione. Quando viene eseguita una scansione su richiesta, il client verifica innanzitutto il file di cache della firma digitale e successivamente il file di cache per la scansione su richiesta per individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti se dalla scansione viene escluso un elevato numero di file. Cache della firma digitale Il file di cache della firma digitale viene utilizzato durante Scansione manuale, Scansione pianificata ed Esegui scansione. I client non effettuano la scansione dei file le cui cache sono state aggiunte al file di cache della firma digitale. Il client OfficeScan impiega lo stesso Digital Signature Pattern utilizzato da Monitoraggio del comportamento per creare il file di cache della firma digitale. Il Digital Signature Pattern contiene un elenco di file che Trend Micro considera affidabili e che pertanto è possibile escludere dalle scansioni. Nota. Monitoraggio del comportamento viene disattivato automaticamente sulle piattaforme server Windows e non può essere utilizzato sulle piattaforme a 64 bit. Se la cache della firma digitale è attivata, i client presenti su queste piattaforme scaricano il Digital Signature Pattern per utilizzarlo nella cache, senza scaricare gli altri componenti di Monitoraggio del comportamento. 6-63 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore I client creano il file di cache della firma digitale in base a una pianificazione, configurabile dalla console Web. I client eseguono questa operazione per: • Aggiungere la cache per i nuovi file introdotti nel sistema dall'ultima volta in cui il file di cache è stato creato • Rimuovere la cache per i file che sono stati modificati o eliminati dal sistema Durante il processo di creazione della cache, i client eseguono un controllo sulle seguenti cartelle per individuare i file affidabili, quindi aggiungono le cache per questi file al file di cache della firma digitale: • %PROGRAMFILES% • %WINDIR% Il processo di creazione della cache non influisce sulle prestazioni del computer perché i client utilizzano risorse di sistema minime durante tale processo. I client sono anche in grado di riprendere un'operazione di creazione della cache che per qualche motivo era stata interrotta, ad esempio quando una macchina host viene spenta oppure quando un adattatore del computer wireless viene scollegato. Impostazione cache scansione su richiesta Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale, Scansione pianificata ed Esegui scansione. I client non effettuano la scansione dei file le cui cache sono state aggiunte al file di cache della scansione su richiesta. Ogni qualvolta si esegue una scansione, il client verifica le proprietà dei file privi di minacce. Se un file privo di minacce non è stato modificato per un certo periodo di tempo, (è possibile configurare il periodo di tempo), il client aggiunge la cache del file al file di cache della scansione su richiesta. Quando viene eseguita la scansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta. La cache di un file privo di minacce scade entro un determinato numero di giorni (è possibile configurare anche il periodo di tempo). Quando si esegue una scansione o successivamente alla scadenza della cache, il client rimuove la cache scaduta ed esegue nuovamente la scansione del file per verificare la presenza di minacce. Se il file è privo di minacce e non viene modificato, la cache del file viene aggiunta nuovamente al file di cache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato di recente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione la volta successiva. 6-64 Analisi dei rischi per la sicurezza La cache per il file privo di minacce scade per impedire di escludere dalla scansione i file infetti, così come illustrato nei seguenti esempi: • È possibile che un file di pattern estremamente obsoleto possa aver considerato un file infetto non modificato come file privo di minacce. Se la cache non è scaduta, il file infetto resta nel sistema fino a quando non viene modificato e rilevato da Scansione in tempo reale. • Se un file memorizzato nella cache è stato modificato e Scansione in tempo reale non è operativa durante la modifica del file, la cache deve scadere in modo che il file modificato possa essere sottoposto alla scansione per le minacce. Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipo di scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minore se il client ha sottoposto a scansione solo 200 dei 1.000 file presenti nel computer durante la Scansione manuale. Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache della scansione su richiesta riduce significativamente il tempo di scansione. In un'operazione di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12 minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deve rimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni. Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, al file di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza più estesa, ciò significa che dalla scansione vengono esclusi più file. Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare la cache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguita la scansione successiva. Per configurare le impostazioni delle cache per le scansioni: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni cache per le scansioni. 6-65 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. 5. Configurare le impostazioni per la cache della firma digitale. a. Selezionare Attiva cache firma digitale. b. In Costruisci cache ogni __ giorni, specificare con quale frequenza il client dovrà creare la cache. Configurare le impostazioni per la cache della scansione su richiesta. a. Selezionare Attiva cache scansione su richiesta. b. In Aggiungi la cache per i file sicuri non modificati per __ giorni, specificare il numero di giorni per i quali un file deve restare inalterato prima di essere memorizzato nella cache. c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numero massimo di giorni in cui una cache deve restare nel file di cache. Nota. 6. 6-66 Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lo stesso giorno, le cache scadono in modo casuale nell'arco del numero massimo di giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono state aggiunte 500 cache ed il numero massimo di giorni specificato è 10, una parte delle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Il decimo giorno, tutte le cache rimaste scadranno. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Analisi dei rischi per la sicurezza Impostazioni globali di scansione Le impostazioni globali di scansione possono essere applicate ai client in vari modi. • Un'impostazione di scansione particolare può essere applicata a tutti i client gestiti dal server o solo ai client con determinati privilegi di scansione. Ad esempio, se si è configurato di rinviare la durata di Scansione pianificata, solo i client con tale privilegio utilizzeranno questa impostazione. • Un'impostazione di scansione particolare può essere applicata a tutti i tipi di scansione o a uno in particolare. Ad esempio, nei computer in cui sono installati sia il client che il server OfficeScan, è possibile escludere il database del server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solo durante Scansione in tempo reale. • Un'impostazione di scansione particolare può essere applicata alla scansione per rilevare virus/minacce informatiche o a quella per rilevare spyware/grayware oppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durante la scansione per rilevare spyware/grayware. 6-67 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare le impostazioni di scansione globali: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI Andare alla sezione seguente e configurare le impostazioni: TABELLA 6-22. Impostazioni globali di scansione S EZIONE Impostazioni di scansione I MPOSTAZIONI • Configurare le impostazioni di scansione per file compressi di grandi dimensioni • Aggiungi scansione manuale al menu dei collegamenti di Windows nei computer client • Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale • Escludi cartelle e file del server Microsoft Exchange dalla scansione • Disinfetta/Elimina file infetti all'interno dei file compressi • Attiva modalità di valutazione • Esegui scansione cookie Impostazioni scansione pianificata Le impostazioni riportate di seguito vengono utilizzate esclusivamente dai client impostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado di rilevare virus/minacce informatiche e spyware/grayware. • Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione • Rimanda scansione pianificata fino a __ ore e __ minuti • Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti • Salta la scansione pianificata quando la durata residua della batteria del computer wireless è inferiore a __ % e l'adattatore è scollegato dalla presa a muro • Riprendi una scansione pianificata non effettuata 6-68 Analisi dei rischi per la sicurezza TABELLA 6-22. Impostazioni globali di scansione (continua) S EZIONE Impostazioni di banda del registro virus/minacce informatiche 2. I MPOSTAZIONI • Consenti ai client OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora Fare clic su Salva. Configurare le impostazioni di scansione per file compressi di grandi dimensioni Durante la scansione dei file compressi per rilevare virus/minacce informatiche e spyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione, tutti i client gestiti dal server controllano le impostazioni seguenti: • Non esaminare i file presenti in file compressi se la dimensione supera i __ MB: OfficeScan non analizza i file che superano questo limite. • Nei file compressi, esamina solo i primi __ file: dopo aver decompresso un file compresso, OfficeScan esegue la scansione del numero di file specificato e ignora eventuali altri file presenti. 6-69 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Aggiungi scansione manuale al menu dei collegamenti di Windows nei computer client Quando questa impostazione è attivata, in tutti i client gestiti dal server viene aggiunta l'opzione Esegui scansione con client OfficeScan al menu di scelta rapida in Esplora risorse. Quando gli utenti fanno clic con il pulsante destro del mouse su un file o una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione, Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacce informatiche e spyware/grayware. FIGURA 6-6. Opzione Esegui scansione con client OfficeScan Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale Se il client e il server OfficeScan coesistono nello stesso computer, con Scansione in tempo reale il client non eseguirà la scansione del database del server per rilevare virus/minacce informatiche e spyware/grayware. Suggerimento. 6-70 Attivare questa impostazione per impedire il verificarsi di eventuali danni al database durante la scansione. Analisi dei rischi per la sicurezza Escludi cartelle e file del server Microsoft Exchange dalla scansione Se il client OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nello stesso computer, con Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione, OfficeScan non esegue la scansione delle seguenti cartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/grayware. • Le seguenti cartelle in .\Exchsrvr\Mailroot\vsi 1: Queue, PickUp, e BadMail • .\Exchsrvr\mdbdata, inclusi questi file: priv1.stm, priv1.edb, pub1.stm, e pub1.edb • .\Exchsrvr\Gruppo di archiviazione Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunte all'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulle esclusioni dalla scansione, visitare il sito Web riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione, vedere Esclusioni scansione a pagina 6-32. Disinfetta/Elimina file infetti all'interno dei file compressi Quando tutti i client gestiti dal server rilevano virus/minacce informatiche all'interno dei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i file infetti vengono disinfettati o eliminati dai client. • "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Controllare l'operazione eseguita da OfficeScan sui file infetti su Computer collegati in rete > Gestione client > {Tipo di scansione} > scheda Operazione. • Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo delle risorse del computer durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan deve decomprimere il file compresso, disinfettare/eliminare i file infetti all'interno del file compresso e infine comprimere di nuovo il file. • Il formato file compresso è supportato. OfficeScan supporta solo alcuni formati file compressi, tra cui ZIP e Office Open XML, che utilizza tecnologie di compressione ZIP. Office Open XML è il formato predefinito per le applicazioni Microsoft Office 2007 come Excel, PowerPoint e Word. 6-71 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Nota. Per un elenco completo dei formati file compressi supportati, contattare l'assistenza tecnica. Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus. Quando Scansione in tempo reale decomprime un file compresso denominato abc.zip e rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc e comprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essere aperto. La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta. TABELLA 6-23. S TATO DI "D ISINFETTA / E LIMINA FILE INFETTI ALL ' INTERNO DEI FILE COMPRESSI " Attivato Disattivato Scenari e risultati dei file compressi O PERAZIONE CHE O FFICE S CAN DEVE ESEGUIRE F ORMATO FILE COMPRESSO Disinfetta o elimina Non supportato Disinfetta o elimina Supportato/Non supportato Esempio: def.rar contiene un file infetto 123.doc. Esempio: abc.zip contiene un file infetto 123.doc. 6-72 R ISULTATO OfficeScan codifica def.rar ma non disinfetta, elimina o esegue altre operazioni su 123.doc. OfficeScan non disinfetta, elimina o esegue altre operazioni su abc.zip e 123.doc. Analisi dei rischi per la sicurezza TABELLA 6-23. S TATO DI "D ISINFETTA / E LIMINA FILE INFETTI ALL ' INTERNO DEI FILE COMPRESSI " Attivato/ Disattivato Scenari e risultati dei file compressi (continua) O PERAZIONE CHE O FFICE S CAN DEVE ESEGUIRE Non disinfettare o eliminare (in altre parole, una delle seguenti: Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) F ORMATO FILE COMPRESSO Supportato/Non supportato Esempio: abc.zip contiene un file infetto 123.doc. R ISULTATO OfficeScan esegue l'operazione configurata (Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) su abc.zip, non su 123.doc. Se l'operazione è: Rinomina: OfficeScan rinomina abc.zip in abc.vir, ma non rinomina 123.doc. Quarantena: OfficeScan mette in quarantena abc.zip (123.doc e tutti i file non infetti vengono messi in quarantena). Ignora: OfficeScan non esegue alcuna operazione su abc.zip e 123.doc, ma registra il rilevamento del virus. Impedisci l'accesso: OfficeScan impedisce l'accesso a abc.zip quando si tenta di aprirlo (123.doc e tutti i file non infetti non possono essere aperti). 6-73 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Attiva modalità di valutazione Durante la modalità di valutazione, tutti i client gestiti dal server registreranno spyware e grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione ma non disinfetterà i componenti spyware e grayware. La disinfezione interrompe i processi o elimina registri, file, cookie e collegamenti. La modalità di valutazione di Trend Micro consente di valutare gli elementi che Trend Micro considera spyware/grayware e di prendere provvedimenti in base alla valutazione. Ad esempio, lo spyware/grayware rilevato non considerato un rischio per la sicurezza può essere aggiunto a elenco approvati spyware/grayware. In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione: • Ignora: Durante Scansione manuale, Scansione pianificata ed Esegui scansione • Impedisci l'accesso: Durante l'utilizzo di Scansione in tempo reale Nota. La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configurate dall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansione durante Scansione manuale, "Ignora" resta l'operazione di scansione quando il client è in modalità di valutazione. Esegui scansione cookie Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per la sicurezza. Quando l'opzione è selezionata, tutti i client gestiti dal server eseguiranno la scansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione. Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansione pianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e per ricordargli i privilegi della scansione pianificata concessi. Per attivare/disattivare il messaggio di notifica, accedere a Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Altre impostazioni > Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria non viene visualizzato. 6-74 Analisi dei rischi per la sicurezza Rimanda scansione pianificata fino a __ ore e __ minuti Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le seguenti operazioni: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di 12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negli appositi campi. Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti Quando viene superato il periodo di tempo massimo specificato e la scansione non è ancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agli utenti i rischi per la sicurezza rilevati durante la scansione. Salta la scansione pianificata quando la durata residua della batteria del computer wireless è inferiore a __ % e l'adattatore è scollegato dalla presa a muro Se rileva che la durata residua della batteria del computer wireless si sta esaurendo e l'adattatore non è collegato a una presa di alimentazione, non appena viene avviata Scansione pianificata OfficeScan salta immediatamente la scansione. Se la durata residua della batteria è limitata ma l'adattatore è collegato all'alimentazione, la scansione prosegue. 6-75 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Riprendi una scansione pianificata non effettuata Quando la Scansione pianificata non viene avviata perché OfficeScan non è in esecuzione nel giorno e all'ora specificati per la Scansione pianificata, è possibile specificare quando OfficeScan riprenderà la scansione: • Stessa ora giorno successivo: se OfficeScan viene eseguito alla stessa ora del giorno successivo, la scansione riprende. • __ minuti dopo l'avvio del computer: OfficeScan riprende la scansione un determinato numero di minuti dopo che l'utente avvia il computer. Il numero di minuti è compreso tra 10 e 120. Nota. Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongono dei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 6-55. Consenti ai client OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioni derivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo di tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica più volte compilando rapidamente il registro relativo a virus/minacce informatiche e consumando ampiezza di banda quando il client invia le informazioni del registro al server. L'attivazione di questa funzione consente di ridurre sia il numero di voci di registro relative a virus/minacce informatiche sia la quantità di ampiezza di banda utilizzata dai client quando trasmettono le informazioni del registro dei virus al server. 6-76 Analisi dei rischi per la sicurezza Notifiche sui rischi per la sicurezza OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente, altri amministratori di OfficeScan e gli utenti client sui rischi per la sicurezza rilevati. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 6-77. Per ulteriori informazioni sulle notifiche inviate agli utenti client, vedere Notifiche dei rischi per la sicurezza per gli utenti client a pagina 6-81. Notifiche dei rischi per la sicurezza per gli amministratori Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori di OfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quando l'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto, l'intervento dell'utente. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Nota. OfficeScan è in grado di inviare notifiche tramite e-mail, cercapersone, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30. Per configurare le notifiche dei rischi per la sicurezza per gli amministratori: P ERCORSO : N OTIFICHE > N OTIFICHE 1. AMMINISTRATORE > N OTIFICHE STANDARD Nella scheda Criteri: a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware. b. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/minacce informatiche e spyware/grayware o solo quando l'azione eseguita contro i rischi per la sicurezza non è riuscita. 6-77 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Nella scheda E-mail: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura del client. È possibile usare l'RBA (Role-based Administration) per assegnare agli utenti autorizzazioni al dominio della struttura del client. Se avviene un rilevamento in un client appartenente ad un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: TABELLA 6-24. D OMINIO STRUTTUR A CLIENT Dominio A Dominio B Domini della struttura dei client e autorizzazioni R UOLI CON AUTORIZZAZIONI PER IL DOMINIO A CCOUNT UTENTE CON IL RUOLO I NDIRIZZO E - MAIL DELL ' ACCOUNT UTENTE Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Se un client OfficeScan appartenente al Dominio A rileva un virus, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se un client OfficeScan appartenente al Dominio B rileva uno spyware, il messaggio e-mail viene inviato a [email protected] e [email protected]. 6-78 Analisi dei rischi per la sicurezza Nota. Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 6-25. VARIABILE Variabili token per notifiche dei rischi per la sicurezza D ESCRIZIONE Rilevamenti di virus/minacce informatiche %v Nome virus/minaccia informatica %s Computer con virus/minaccia informatica %i Indirizzo IP del computer %c Indirizzo MAC del computer %m Dominio del computer %p Posizione di virus/minaccia informatica %y Data e ora del rilevamento virus/minaccia informatica %e Versione motore di scansione virus %r Versione del pattern dei virus %a Azione eseguita per contrastare il rischio per la sicurezza 6-79 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 6-25. Variabili token per notifiche dei rischi per la sicurezza (continua) VARIABILE %n D ESCRIZIONE Nome dell'utente che ha effettuato l'accesso al computer infetto Rilevamenti di spyware/grayware 3. 4. 6-80 %s Computer con spyware/grayware %i Indirizzo IP del computer %m Dominio del computer %y Data e ora del rilevamento di spyware/grayware %n Nome dell'utente collegato al computer infetto al momento del rilevamento %T Risultato della scansione e presenza di spyware e grayware Nella scheda Cercapersone: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante cercapersone. c. Digitare il messaggio. Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per notifiche dei rischi per la sicurezza a pagina 6-79. Analisi dei rischi per la sicurezza 5. 6. Nella scheda Registro eventi NT: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per notifiche dei rischi per la sicurezza a pagina 6-79. Fare clic su Salva. Notifiche dei rischi per la sicurezza per gli utenti client OfficeScan è in grado di visualizzare i messaggi di notifica sui computer client: • Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se lo si desidera, modificarne il contenuto. • Se il riavvio di un computer client è necessario per completare la disinfezione dei file infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo la scansione di un rischio per la sicurezza specifico. Con Scansione manuale, Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una volta e solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni della scansione. Per notificare agli utenti il rilevamento di virus/minacce informatiche e spyware/grayware: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni scansione > Impostazioni di scansione in tempo reale oppure Impostazioni > Impostazioni scansione > Impostazioni scansione pianificata. 3. Fare clic sulla scheda Operazione. 6-81 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. 5. Selezionare le seguenti opzioni: • Visualizza un messaggio di notifica sul computer client al rilevamento di virus/minacce informatiche • Visualizza un messaggio di notifica sul computer client al rilevamento di possibili virus/minacce informatiche Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per configurare le notifiche di virus/minacce informatiche P ERCORSO : N OTIFICHE > N OTIFICHE 1. Fare clic sulla scheda Virus e minacce informatiche. 2. Configurare le impostazioni di rilevamento. a. b. 6-82 ALL ' UTENTE CLIENT Scegliere se visualizzare: • Solo una notifica per tutti gli eventi relativi a virus e minacce informatiche • Notifiche diverse in base alla gravità degli eventi relativi a virus e minacce informatiche. La gravità può essere: • Alto: il client non è stato in grado di gestire una minaccia informatica grave • Medio: il client non è stato in grado di gestire una minaccia informatica • Basso: Il client ha risolto tutte le minacce Accettare o modificare i messaggi predefiniti. Analisi dei rischi per la sicurezza 3. Per visualizzare un messaggio di notifica qualora un virus o una minaccia informatica abbia avuto origine nel computer client: a. Selezionare la casella di controllo in Origine dell'infezione di virus/minacce informatiche. b. Specificare un intervallo per inviare le notifiche. c. Se lo si desidera, modificare il messaggio di notifica predefinito. Nota. 4. Questo messaggio di notifica viene visualizzato solo se il servizio Messenger di Windows è attivato. Controllare lo stato di questo servizio nella schermata Servizi (Pannello di controllo > Strumenti di amministrazione > Servizi > Messenger). Fare clic su Salva. Per configurare le notifiche di spyware/grayware: P ERCORSO : N OTIFICHE > N OTIFICHE ALL ' UTENTE CLIENT 1. Fare clic sulla scheda Spyware/Grayware. 2. Accettare o modificare il messaggio predefinito. 3. Fare clic su Salva. Per notificare ai client la necessità di riavviare dopo il completamento della disninfezione dei file infetti: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica. 6-83 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Selezionare Visualizza un messaggio di notifica se è necessario un riavvio del computer client per completare la disinfezione dei file infetti. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Registri dei rischi per la sicurezza OfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/grayware e quando ripristina spyware/grayware. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Registri di virus/minacce informatiche Quando rileva virus e minacce informatiche, il client OfficeScan genera i registri e li invia al server. Per visualizzare i registri di virus e minacce informatiche: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER 1. 6-84 COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per Analisi dei rischi per la sicurezza 2. Fare clic su Registri > Registri di virus/minacce informatiche oppure Visualizza registri > Registri di virus/minacce informatiche. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Visualizzare i registri. I registri contengono le seguenti informazioni: • Data e ora del rilevamento virus/minaccia informatica • Computer infetto • Nome virus/minaccia informatica • Origine dell'infezione • File infetto • Tipo di scansione che ha rilevato il virus o la minaccia informatica • Risultati scansione Nota. 5. Per ulteriori informazioni sui risultati della scansione, vedere Risultati della scansione antivirus/minacce informatiche a pagina 6-85. • Indirizzo IP • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato al computer infetto al momento del rilevamento Risultati della scansione antivirus/minacce informatiche I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacce informatiche: Eliminati • La prima azione è Elimina e il file infetto è stato eliminato. • La prima azione è Disinfetta, ma la disinfezione non è riuscita. La seconda azione è Elimina e il file infetto è stato eliminato. 6-85 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore In quarantena • La prima azione è Metti in quarantena e il file infetto è stato messo in quarantena. • La prima azione è Disinfetta, ma la disinfezione non è riuscita. La seconda azione è Metti in quarantena e il file infetto è stato messo in quarantena. Disinfettati È stato disinfettato un file infetto. Rinominati • La prima azione è Rinomina e il file infetto è stato rinominato. • La prima azione è Disinfetta, ma la disinfezione non è riuscita. La seconda azione è Rinomina e il file infetto è stato rinominato. Accesso negato • La prima azione è Impedisci l'accesso e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • La prima azione è Disinfetta, ma la disinfezione non è riuscita. La seconda azione è Impedisci l'accesso e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • Probabile virus/minaccia informatica è stato rilevato durante la Scansione in tempo reale. • La scansione in tempo reale impedisce l'accesso ai file che sono stati infettati da virus boot anche nel caso in cui l'azione di scansione sia impostata su Disinfetta (prima azione) e Metti in quarantena (seconda azione). Ciò è dovuto al fatto che il tentativo di disinfettare il virus potrebbe danneggiare il Master Boot Record (MBR) del computer infetto. eseguire la scansione manuale per permettere a OfficeScan di disinfettare o mettere in quarantena il file. Ignorati 6-86 • La prima azione è Ignora. OfficeScan non ha eseguito alcuna azione sul file infetto. • La prima azione è Disinfetta, ma la disinfezione non è riuscita. La seconda azione è Ignora, quindi OfficeScan non ha eseguito alcuna azione sul file infetto. Analisi dei rischi per la sicurezza Ignorato un potenziale rischio per la sicurezza Questo risultato di scansione viene visualizzato quando OfficeScan individua un "probabile virus/minaccia informatica" durante Scansione manuale, Scansione pianificata ed Esegui scansione. Per informazioni su probabili virus/minacce informatiche e su come inviare file sospetti a Trend Micro per l'analisi, fare riferimento all'Enciclopedia dei virus online di Trend Micro disponibile alla pagina seguente. http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=POSSIBLE_ VIRUS&amp;VSect=Sn Impossibile disinfettare o mettere in quarantena il file Disinfetta è la prima azione. Metti in quarantena è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Soluzione: Vedere Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 6-87. Impossibile disinfettare o eliminare il file Disinfetta è la prima azione. Elimina è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Soluzione: Vedere Impossibile eliminare il file a pagina 6-88. Impossibile disinfettare o rinominare il file Disinfetta è la prima azione. Rinomina è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Soluzione: Vedere Impossibile mettere in quarantena il file/Impossibile rinominare il file a pagina 6-87. Impossibile mettere in quarantena il file/Impossibile rinominare il file Spiegazione 1. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potrà metterlo in quarantena/rinominarlo. 6-87 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. Spiegazione 2. Il file infetto si trova nella cartella Temporary Internet Files del computer client. Poiché il computer scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà metterlo in quarantena o rinominarlo. Soluzione: nessuna Impossibile eliminare il file Spiegazione 1. il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione Disinfetta/Elimina file infetti all'interno dei file compressi in Computer collegati in rete > Impostazioni client globali è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota. Se si attiva questa impostazione, l'utilizzo delle risorse del computer durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Spiegazione 2. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potrà eliminarlo. Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. 6-88 Analisi dei rischi per la sicurezza Spiegazione 3. Il file infetto si trova nella cartella Temporary Internet Files del computer client. Poiché il computer scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà eliminarlo. Soluzione: nessuna Impossibile inviare il file da mettere in quarantena alla cartella di quarantena specificata Anche se OfficeScan ha messo correttamente in quarantena un file nella cartella \Suspect del computer client, non riesce a inviare il file alla directory di quarantena designata. Soluzione Determinare quale tipo di scansione (Scansione manuale, Scansione in tempo reale o Scansione pianificata) ha rilevato il virus/minaccia informatica e quindi fare clic sulla directory di quarantena specificata nella scheda Computer collegati in rete > Gestione client > Impostazioni > {Tipo di scansione} > scheda Azione. Se la directory di quarantena di trova nel computer server OfficeScan o in un altro computer server OfficeScan: 1. Verificare che il client sia in grado di collegarsi al server. 2. Se per indicare la directory di quarantena si utilizza il formato URL: a. Assicurarsi che il nome del computer specificato dopo "http://" sia corretto. b. Controllare la dimensione del file infetto. Se questa supera la dimensione massima per i file specificata in Amministrazione > Gestione della quarantena, modificare l'impostazione adattandola al file. È anche possibile decidere di compiere altri azioni come eliminare il file. c. Verificare la dimensione della directory di quarantena e determinare se ha superato la capacità di cartella specificata in Amministrazione > Gestione della quarantena. Modificare la capacità della cartella o eliminare manualmente dei file nella directory di quarantena. 6-89 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo "Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. Verificare inoltre che la directory di quarantena esista e che il percorso UNC sia corretto. Se la directory di quarantena si trova su un altro computer della rete (per questo scenario è consentito solo il percorso UNC): 1. Verificare che il client sia in grado di collegarsi al computer. 2. Assicurarsi che la directory di quarantena sia condivisa per tutto il gruppo "Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. 3. Verificare che la directory di quarantena esista. 4. Verificare che il percorso UNC sia corretto. Se la directory di quarantena si trova in una directory diversa del computer client (per questo scenario è consentito solo il percorso assoluto), verificare che la cartella della directory di quarantena esista. Impossibile disinfettare il file Spiegazione 1. il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione Disinfetta/Elimina file infetti all'interno dei file compressi in Computer collegati in rete > Impostazioni client globali è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota. 6-90 Se si attiva questa impostazione, l'utilizzo delle risorse del computer durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Analisi dei rischi per la sicurezza Spiegazione 2. Il file infetto si trova nella cartella Temporary Internet Files del computer client. Poiché il computer scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà disinfettarlo. Soluzione: nessuna Spiegazione 3. Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni, vedere File non disinfettabile a pagina C-4. Registri di spyware/grayware Quando rileva spyware e grayware, il client OfficeScan genera i registri e li invia al server. Per visualizzare i registri di spyware e grayware: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Registri > Registri di spyware/grayware oppure su Visualizza registri > Registri di spyware/grayware. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Visualizzare i registri. I registri contengono le seguenti informazioni: • Data e ora del rilevamento di spyware/grayware • Computer interessati • Nome spyware/grayware • Tipo di scansione che ha rilevato il programma spyware/grayware • Informazioni su risultati della scansione spyware/grayware (se l'azione di scansione è riuscita o meno) • Indirizzo IP 6-91 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) 5. Aggiungere spyware/grayware considerati innocui a elenco approvati spyware/grayware. 6. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato al computer infetto al momento del rilevamento Risultati della scansione spyware/grayware I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware: Operazione riuscita, non sono necessarie azioni Questo è il risultato di primo livello se l'azioni di scansione è stata completata correttamente. Il risultato di secondo livello può essere uno dei seguenti: • Disinfettato: OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. • Accesso negato: OfficeScan ha negato all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. Richieste ulteriori azioni Questo è il risultato di primo livello se l'azioni di scansione non è stata completata correttamente. I risultati di secondo livello conterranno almeno uno dei seguenti messaggi: • Ignorato: OfficeScan non ha eseguito alcuna operazione, ma ha registrato il rilevamento di spyware e grayware per successive valutazioni. Soluzione: aggiungere spyware/grayware considerati innocui all'Elenco Approvati spyware/grayware. • Disinfezione spyware/grayware non sicura: questo messaggio viene visualizzato nel caso in cui il Motore di scansione spyware tenti di disinfettare ogni singola cartella e siano rispettati i seguenti criteri: • 6-92 Gli elementi da disinfettare superano i 250 MB. Analisi dei rischi per la sicurezza • Il sistema operativo utilizza i file contenuti nella cartella. La cartella potrebbe essere necessaria per il normale funzionamento del sistema. • La cartella è una directory principale (come C: o F:). Soluzione: contattare l'assistenza tecnica per ottenere supporto. • La scansione di spyware/grayware è stata interrotta manualmente. Effettuare una scansione completa: un utente interrompe la scansione prima del completamento. • Spyware/grayware disinfettato. È necessario riavviare il computer. Riavviare il computer: OfficeScan ha disinfettato i componenti spyware/grayware, ma è necessario riavviare il computer per completare l'attività. Soluzione: eseguire una scansione manuale e attenderne la conclusione. Soluzione: riavviare immediatamente il computer. • Impossibile disinfettare spyware/grayware: sono stati rilevati spyware/grayware su un CD-ROM o un'unità di rete. OfficeScan disinfetta solo spyware/grayware rilevati in queste posizioni. Soluzione: rimuovere manualmente il file infetto • Risultati scansione spyware/grayware non identificati. Contattare l'assistenza tecnica Trend Micro: Una nuova versione del motore di scansione spyware fornisce un nuovo risultato della scansione che la configurazione di OfficeScan non è in grado di gestire. Soluzione: contattare l'assistenza tecnica per capire come determinare il nuovo risultato della scansione. Registri di ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, i client OfficeScan eseguono il backup dei relativi dati. Notificare a un client online di ripristinare i file di backup, se tali dati sono considerati sicuri. I registri contengono le informazioni sui dati di backup di spyware/grayware ripristinati, sul computer interessato e sui risultati del ripristino. 6-93 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per visualizzare i registri di ripristino di spyware e grayware: P ERCORSO : R EGISTRI > R EGISTRI SPYWARE / GRAYWARE DEI COMPUTER COLLEGATI IN RETE > R IPRISTINO 1. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinato correttamente i dati di spyware e grayware. 2. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Registri di scansione Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, il client OfficeScan crea un registro della scansione che contiene informazioni sulla scansione. È possibile esaminare il registro della scansione accedendo alla console del client. I client non inviano i registri della scansione al server. I registri della scansione mostrano le seguenti informazioni: • Data e ora di inizio della scansione di OfficeScan • Data e ora di fine della scansione di OfficeScan • Stato della scansione • Completato: la scansione è stata completata correttamente. • Operazione interrotta: la scansione è stata interrotta dall'utente prima del completamento. • Operazione interrotta in modo imprevisto: la scansione è stata interrotta dall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio Scansione in tempo reale di OfficeScan potrebbe essere stato interrotto in modo imprevisto oppure l'utente ha forzato il riavvio dell'endpoint. • Tipo di scansione • Numero di oggetti esaminati • Numero di file infetti • Numero di azioni non riuscite • Numero di azioni riuscite • Versione del pattern dei virus • Versione di Smart Scan Agent Pattern • Versione del pattern spyware 6-94 Analisi dei rischi per la sicurezza Rischi per la sicurezza Un rischio per la sicurezza si presenta quando i rilevamenti di virus/minacce informatiche, spyware/grayware e le sessioni di cartelle condivise superano una determinata soglia in un determinato intervallo di tempo. Esistono vari modi per reagire e contenere un'infezione nella rete, tra i quali: • Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attività sospette • Blocco di porte e cartelle principali del computer • lnvio di messaggi di avviso di infezione ai client • Disinfezione dei computer infetti Notifiche e criteri dei rischi per la sicurezza Configurare OfficeScan per inviare una notifica all'utente e agli amministratori di OfficeScan quando si verificano i seguenti eventi: • Infezioni di virus/minacce informatiche • Infezioni di spyware/grayware • Infezioni di sessioni di condivisione delle cartelle Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo di rilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamenti nel periodo di rilevamento stabilito. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Nota. OfficeScan è in grado di inviare notifiche dei rischi per sicurezza tramite e-mail, cercapersone, trap SNMP e Registro Eventi di Windows NT. Per le infezioni delle sessioni di cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30. 6-95 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare i criteri e le notifiche delle infezioni: P ERCORSO : N OTIFICHE > N OTIFICHE 1. AMMINISTRATORE > N OTIFICHE INFEZIONE Nella scheda Criteri: a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware: b. Specificare il numero di origini uniche dei rilevamenti. c. Specificare il numero di rilevamenti e il periodo di rilevamento per ogni rischio per la sicurezza. Suggerimento. Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia un messaggio di notifica quando il numero di rilevamenti fissato viene superato. Ad esempio, nella sezione Virus e minacce informatiche, se si specificano 10 origini uniche, 100 rilevamento e un periodo di tempo di 5 ore, OfficeScan invia la notifica quando 10 diversi endpoint hanno riportato un totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se tutti i rischi sono stati rilevati nello stesso endpoint nell'arco di 5 ore, OfficeScan non invia la notifica. 2. Nella scheda Criteri: a. Andare alla sezione Sessioni di condivisione delle cartelle. b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete. c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamento del numero per visualizzare i computer con cartelle condivise e i computer con accesso alle cartelle condivise. d. Specificare il numero di sessioni di condivisione cartelle e il periodo di rilevamento. OfficeScan invia un messaggio di notifica quando il numero di sessioni di condivisione cartelle fissato viene superato. 6-96 Analisi dei rischi per la sicurezza 3. Nella scheda E-mail: a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni di spyware/grayware e Infezioni delle sessioni di condivisione delle cartelle. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 6-26. Variabili token per rischi per la sicurezza Notifiche VARIABILE D ESCRIZIONE Infezioni di virus/minacce informatiche %CV Numero totale di virus/minacce informatiche rilevati %CC Numero totale di computer con virus/minacce informatiche Infezioni di spyware/grayware %CV Numero totale di spyware/grayware rilevati %CC Numero totale di computer con spyware/grayware Infezioni delle sessioni di condivisione delle cartelle %S Numero di sessioni di condivisione delle cartelle %T Totale periodo di durata delle sessioni di condivisione delle cartelle %M Periodo di tempo in minuti 6-97 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. 5. 6. 7. 6-98 e. Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/grayware da includere nel messaggio e-mail. È possibile includere il nome del client/dominio, il nome del rischio per la sicurezza, la data e l'ora del rilevamento, il file infetto e il percorso e il risultato della scansione. f. Accettare o modificare i messaggi di notifica predefiniti. Nella scheda Cercapersone: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante cercapersone. c. Digitare il messaggio. Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per rischi per la sicurezza Notifiche a pagina 6-97. Nella scheda Registro eventi NT: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per rischi per la sicurezza Notifiche a pagina 6-97. Fare clic su Salva. Analisi dei rischi per la sicurezza Prevenzione dei rischi per la sicurezza Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misure di prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delle impostazioni di prevenzione, poiché eventuali errori di configurazione possono provocare problemi imprevisti nella rete. Per configurare e attivare le impostazioni di prevenzione delle infezioni virali, attenersi alle seguenti istruzioni: P ERCORSO : C OMPUTER COLLEGATI IN RETE > P REVENZIONE DELLE INFEZIONI 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Avvia Prevenzione delle infezioni. 3. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurare le impostazioni per il criterio: • Limita/impedisci l'accesso alle cartelle condivise • Blocco delle porte • Impedisci accesso alla scrittura di file e cartelle per 4. Selezionare i criteri da applicare. 5. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Il valore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni di rete prima che il periodo di prevenzione delle infezioni scada. ATTENZIONE! 6. Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Per bloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo di tempo indeterminato, anziché utilizzare OfficeScan si consiglia di modificare direttamente le impostazioni del computer o della rete. Accettare o modificare il messaggio di notifica del client predefinito. Nota. Per configurare OfficeScan affinché invii notifiche durante un'infezione, accedere a Notifiche > Notifiche amministratore > Notifiche infezione. 6-99 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 7. Fare clic su Avvia notifiche di infezione. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 8. Tornare alla struttura dei client e selezionare la colonna Prevezione delle infezioni. Accanto ai computer a cui vengono applicate le misure di prevenzione delle infezioni viene visualizzato un segno di spunta. OfficeScan registra i seguenti eventi nei registri eventi di sistema: • Eventi server (avvio della prevenzione delle infezioni e notifica dei client di attivare la prevenzione delle infezioni) • Evento client (attivazione della prevenzione delle infezioni) Criteri per la prevenzione delle infezioni Quando si verifica un'infezione, implementare i seguenti criteri: • Limita/impedisci l'accesso alle cartelle condivise • Blocco delle porte • Impedisci accesso alla scrittura di file e cartelle Limita/impedisci l'accesso alle cartelle condivise Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivise della rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartelle condivise. Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle, ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisare gli utenti di non condividere le cartelle durante un'infezione oppure implementare di nuovo il criterio per applicarlo alle nuove cartelle condivise. Per limitare/impedire l'accesso alle cartelle condivise: P ERCORSO : C OMPUTER COLLEGATI IN RETE > P REVENZIONE DELLE INFEZIONI 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Avvia Prevenzione delle infezioni. 3. Fare clic su Limita/impedisci l'accesso alle cartelle condivise. 6-100 per Analisi dei rischi per la sicurezza 4. Scegliere i criteri di prevenzione delle infezioni da implementare tra quelli riportati di seguito. 5. Selezionare una delle opzioni seguenti: • Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise • Impedisci accesso completo Nota. l'impostazione di accesso in sola lettura non si applica alle cartelle condivise già configurate per impedire l'accesso completo. 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia notifiche di infezione. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Blocco delle porte Durante le infezioni, è necessario bloccare le porte vulnerabili che virus/minacce informatiche potrebbero utilizzare per accedere ai computer client. ATTENZIONE! Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione. Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili. Ad esempio, se si blocca la porta affidabile, OfficeScan non riesce a comunicare con il client per tutta la durata dell'infezione. Per bloccare le porte vulnerabili: P ERCORSO : C OMPUTER COLLEGATI IN RETE > P REVENZIONE DELLE INFEZIONI 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Avvia Prevenzione delle infezioni. 3. Fare clic su Blocco delle porte. 4. Decidere se selezionare l'opzione Blocca porta affidabile. per 6-101 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Selezionare le porte da bloccare nella colonna Porte bloccate. a. Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata che si apre, selezionare le porte da bloccare e fare clic su Salva. • Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quella affidabile. Se si desidera bloccare anche la porta affidabile, selezionare la casella di controllo Blocca porta affidabile nella schermata precedente. • Porte comunemente usate: selezionare almeno un numero di porta da salvare nelle impostazioni per il blocco delle porte di OfficeScan. • Porte dei cavalli di Troia: blocca le porte normalmente utilizzate dai programmi cavalli di Troia. Per informazioni, vedere Porta dei cavalli di Troia a pagina C-14. • Un numero o intervallo di porte: è possibile specificare la direzione del traffico da bloccare e alcuni commenti, come il motivo per cui devono essere bloccate le porte specificate. • Protocollo ping (respingi ICMP): fare clic su questa opzione se si desidera soltanto bloccare i pacchetti ICMP, come ad esempio ping. b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero di porta. c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva. d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accanto al numero di porta e fare clic su Elimina. 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia notifiche di infezione. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 6-102 Analisi dei rischi per la sicurezza Impedisci accesso alla scrittura di file e cartelle I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartelle sui computer host. Durante un'infezione è possibile configurare OfficeScan affinché non consenta a virus/minacce informatiche di modificare o eliminare file e cartelle sui computer client. Per vietare l'accesso in scrittura a file e cartelle: P ERCORSO : C OMPUTER COLLEGATI IN RETE > P REVENZIONE DELLE INFEZIONI 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Avvia Prevenzione delle infezioni. 3. Fare clic su Impedisci accesso alla scrittura di file e cartelle. 4. Inserire il percorso directory. Dopo avere digitato il percorso directory da proteggere, fare clic su Aggiungi. Nota. per Digitare il percorso assoluto (non quello virtuale) della directory. 5. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i file con determinate estensioni. Per specificare un'estensione non compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi. 6. Per proteggere file specifici, in File da proteggere, inserire il nome file completo e fare clic su Aggiungi. 7. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 8. Fare clic su Avvia notifiche di infezione. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 6-103 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Disattivazione della prevenzione delle infezioni Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati o messi in quarantena da OfficeScan, ripristinare le normali impostazioni di rete disattivando la funzione di prevenzione delle infezioni. Per disattivare manualmente la prevenzione delle infezioni virali: P ERCORSO : C OMPUTER COLLEGATI IN RETE > P REVENZIONE DELLE INFEZIONI 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Ripristina impostazioni. 3. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notifica agli utenti client dopo il ripristino delle impostazioni originali. 4. Accettare o modificare il messaggio di notifica del client predefinito. 5. Fare clic su Ripristina impostazioni. Nota. per Se non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristina automaticamente trascorso il numero di ore specificato in Ripristina automaticamente le normali impostazioni di rete dopo __ ore nella schermata Impostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore. OfficeScan registra i seguenti eventi nei registri eventi di sistema: 6. 6-104 • Eventi server (avvio della prevenzione delle infezioni e notifica dei client di attivare la prevenzione delle infezioni) • Evento client (attivazione della prevenzione delle infezioni) Dopo aver disattivato la prevenzione dalle infezioni, effettuare la scansione dei computer di rete per contrastare eventuali rischi per la prevenzione. Capitolo 7 Uso di Monitoraggio del comportamento Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzando la funzione di Monitoraggio del comportamento. Argomenti di questo capitolo: • Monitoraggio del comportamento a pagina 7-2 • Privilegi di monitoraggio del comportamento a pagina 7-9 • Notifiche di Monitoraggio del comportamento per gli utenti dei client a pagina 7-10 • Registri di Monitoraggio del comportamento a pagina 7-12 7-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli endpoint alla ricerca di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del comportamento protegge gli endpoint con il Blocco del comportamento malware e il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di eccezioni configurato dall'utente e il servizio Certified Safe software. Importante • Il monitoraggio del comportamento supporta solo piattaforme a 32 bit. • Per impostazione predefinita, il monitoraggio del comportamento è disattivato sulle versioni a 32 bit di Windows Server 2003 e Windows Server 2008. Prima di attivare il monitoraggio del comportamento su queste piattaforme server, leggere le linee guida e le raccomandazioni descritte in Servizi del client a pagina 13-6. Blocco del comportamento malware Il Blocco del comportamento malware offre uno strato necessario di protezione aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso. Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa funzione per garantire un livello più alto di protezione contro le minacce nuove, sconosciute ed emergenti. Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer client. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client a pagina 7-10. Monitoraggio degli eventi Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi software e malware non autorizzati. Controlla le aree di sistema alla ricerca di determinati eventi, consentendo agli amministratori di regolare i programmi che attivano questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento malware. 7-2 Uso di Monitoraggio del comportamento Gli eventi di sistema controllati comprendono: TABELLA 7-1. E VENTI Eventi di sistema controllati D ESCRIZIONE Duplicazione dei file di sistema Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. Modifica del file Hosts Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga reindirizzato verso siti Web infetti, inesistenti o falsificati. Comportamen to sospetto Il comportamento sospetto può essere rappresentato da un'operazione specifica o una serie di operazioni raramente svolte da programmi legittimi. I programmi che rivelano un comportamento sospetto devono essere utilizzati con cautela. Nuovo plug-in per Internet Explorer I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). Modifica delle impostazioni di Internet Explorer Molti virus/minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. Modifica dei criteri di protezione Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema. Caricamento di librerie di programma Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. 7-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 7-1. 7-4 Eventi di sistema controllati (continua) E VENTI D ESCRIZIONE Modifica della shell Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l'utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. Nuovo servizio I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. Modifica dei file di sistema Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. Modifica dei criteri del firewall I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. Modifica dei processi di sistema Molti programmi dannosi eseguono varie operazioni sui processi integrati di Windows. Esempi di tali operazioni sono l'interruzione o la modifica dei processi in esecuzione. Nuovo programma di avvio Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Uso di Monitoraggio del comportamento Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione configurata per l'evento. Sono disponibili le azioni di seguito elencate: TABELLA 7-2. A ZIONE Valuta Azioni per eventi di sistema controllati D ESCRIZIONE OfficeScan autorizza sempre i programmi associati a un evento ma tiene traccia dell'operazione nei registri ai fini della valutazione. Questa è l'azione predefinita per tutti gli eventi di sistema controllati. Consenti OfficeScan autorizza sempre i programmi associati a un evento. Chiedi se necessario OfficeScan chiede agli utenti se consentire o negare i programmi associati a un evento e aggiungere i programmi all'elenco di eccezioni Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Il periodo di tempo predefinito è 30 secondi. Per modificare il periodo di tempo, vedere Per modificare il periodo di tempo prima che venga consentita l’esecuzione di un programma a pagina 7-8. Impedisci OfficeScan blocca sempre i programmi associati a un evento e tiene traccia dell'operazione nei registri. Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer client. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client a pagina 7-10. 7-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Elenco eccezioni Monitoraggio del comportamento L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che non vengono controllati da Monitoraggio del comportamento. • Programmi approvati: I programmi contenuti in questo elenco possono essere eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione. • Programmi bloccati: Non è possibile avviare i programmi inclusi in questo elenco. Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi. Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agli utenti il privilegio di configurare il proprio elenco di eccezioni dalla console del client. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina 7-9. Per configurare Blocco del comportamento malware, Monitoraggio degli eventi e l'elenco di eccezioni: P ERCORSO : C OMPUTER 7-6 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni del monitoraggio del comportamento. 3. Selezionare Attiva Blocco del comportamento malware. 4. Configurare le impostazioni del monitoraggio degli eventi. a. Selezionare Attiva Monitoraggio degli eventi. b. Scegliere gli eventi di sistema da controllare e selezionare un'azione per ciascuno degli eventi selezionati. Per informazioni sugli eventi di sistema controllati e le azioni, vedere Monitoraggio degli eventi a pagina 7-2. Uso di Monitoraggio del comportamento 5. Configurare l'elenco di eccezioni. a. In Inserire il percorso completo del programma, digitare il percorso completo del programma da approvare o bloccare. Separare le diverse voci con un punto e virgola (;). L'elenco di eccezioni supporta caratteri jolly e percorsi UNC. b. Fare clic su Approva programmi o Blocca programmi. Nota. c. OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi bloccati. Per eliminare un programma bloccato o approvato dall'elenco, fare clic sull'icona del cestino 6. accanto al programma. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. 7-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per modificare il periodo di tempo prima che venga consentita l'esecuzione di un programma: P ERCORSO : C OMPUTER Nota. COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi e l'azione per un evento di sistema controllato è "Chiedi se necessario". Questa azione chiede all'utente se consentire o negare i programmi associati all'evento. Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan consente automaticamente l'esecuzione del programma. Per ulteriori informazioni, vedere Monitoraggio degli eventi a pagina 7-2. 1. Passare alla sezione Impostazioni del monitoraggio del comportamento. 2. Specificare il periodo di tempo in Autorizza automaticamente il programma se il client non risponde entro __ secondi. 3. Fare clic su Salva. Servizio Certified Safe Software Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware o da Monitoraggio degli eventi. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. Nota. Prima di attivare il servizio Certified Safe software, accertarsi che le Impostazioni proxy del client siano corrette su tutti i client. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai centri dati Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, i client IPv6 puri non possono inviare query direttamente ai centri dati Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire ai client di collegarsi ai centri dati Trend Micro. 7-8 Uso di Monitoraggio del comportamento Per attivare il servizio Certified Safe Software: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Passare alla sezione Impostazioni del monitoraggio del comportamento. 2. Selezionare l'opzione Attiva il servizio Certified Safe Software. 3. Fare clic su Salva. Privilegi di monitoraggio del comportamento Se i client dispongono dei privilegi di monitoraggio del comportamento, la scheda Monitoraggio del comportamento viene visualizzata nella console del client. Gli utenti possono, quindi, gestire il proprio elenco di eccezioni. FIGURA 7-1. Scheda Monitoraggio del comportamento nella console del client 7-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per concedere privilegi di monitoraggio del comportamento: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio del comportamento. 4. Selezionare Visualizza la scheda Monitoraggio del comportamento nella console del client. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Notifiche di Monitoraggio del comportamento per gli utenti dei client OfficeScan può visualizzare un messaggio di notifica su un computer client subito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivare l'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio. Per attivare l'invio dei messaggi di notifica: P ERCORSO : C OMPUTER 7-10 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. per Uso di Monitoraggio del comportamento 3. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni del monitoraggio del comportamento. 4. Selezionare Visualizza una notifica quando un programma viene bloccato. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per modificare il contenuto del messaggio di notifica: P ERCORSO : N OTIFICHE > N OTIFICHE ALL ' UTENTE CLIENT 1. Fare clic sulla scheda Violazioni ai criteri di monitoraggio del comportamento. 2. Modificare il messaggio predefinito nella casella di testo disponibile. 3. Fare clic su Salva. 7-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri di Monitoraggio del comportamento I client registrano le istanze di accesso non autorizzato ai programmi e inviano i registri al server. Un client che è sempre in funzione raccoglie i registri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di monitoraggio del comportamento: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Registri > Registri di Monitoraggio del comportamento oppure Visualizza registri > Registri di Monitoraggio del comportamento. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Visualizzare i registri. I registri contengono le seguenti informazioni: 5. 7-12 COLLEGATI IN RETE per • Data/Ora di rilevamento del processo non autorizzato • Computer in cui il processo non autorizzato è stato rilevato • Dominio del computer • Violazione, ossia la regola di monitoraggio dell'evento violata dal processo • Azione eseguita al rilevamento della violazione • Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso • Livello di rischio del programma non autorizzato • Programma, ossia il programma non autorizzato • Operazione, ossia l'azione eseguita dal programma non autorizzato • Destinazione, ossia il processo al quale è stato eseguito l'accesso Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Uso di Monitoraggio del comportamento Per configurare la pianificazione dell'invio dei registri di Monitoraggio del comportamento: 1. Accedere a <Cartella di installazione del server>\PCCSRV. 2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini. 3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto ad essa. Il valore predefinito è 3600 secondi e la stringa completa è SendBMLogPeriod=3600. 4. Specificare il valore in secondi. Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in 7200. 5. Salvare il file. 6. Andare a Computer collegati in rete > Impostazioni client globali. 7. Fare clic su Salva senza cambiare le impostazioni. 8. Riavviare il client. 7-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 7-14 Capitolo 8 Utilizzo di Controllo dispositivo Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza utilizzando la funzione di Controllo dispositivo. Argomenti di questo capitolo: • Controllo dispositivo a pagina 8-2 • Notifiche di Controllo dispositivo a pagina 8-16 • Registri di controllo dispositivo a pagina 8-17 8-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. È possibile configurare i criteri di Controllo dispositivo per i client interni ed esterni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per i client esterni. I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibile anche applicare un singolo criterio a tutti i client. Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nella schermata Località computer (vedere Località computer a pagina 13-2) per determinarne la località e il criterio da applicare. I client cambiano criteri ogni volta che cambia la località. Importante: • Controllo dispositivo supporta solo piattaforme a 32 bit. • Per impostazione predefinita, Controllo dispositivo è disattivato nelle versioni a 32 bit di Windows Server 2003 e Windows Server 2008. Prima di attivare Controllo dispositivo su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi del client a pagina 13-6. • I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulteriori informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina 9-4. TABELLA 8-1. Tipi di dispositivo TIPO DI DISPOSITIVO P ROTEZIONE DATI P ROTEZIONE DATI ATTIVATA NON ATTIVATA Dispositivi di archiviazione 8-2 CD/DVD Monitorato Monitorato Dischi floppy Monitorato Monitorato Utilizzo di Controllo dispositivo TABELLA 8-1. Tipi di dispositivo (continua) TIPO DI DISPOSITIVO P ROTEZIONE DATI P ROTEZIONE DATI ATTIVATA NON ATTIVATA Unità di rete Monitorato Monitorato Dispositivi USB di archiviazione Monitorato Monitorato Dispositivi non di archiviazione • Porte COM e LPT Monitorato Non monitorato Interfaccia IEEE 1394 Monitorato Non monitorato Dispositivi per l'acquisizione di immagini Monitorato Non monitorato Dispositivi a infrarossi Monitorato Non monitorato Modem Monitorato Non monitorato Scheda PCMCIA Monitorato Non monitorato Tasto Stamp Monitorato Non monitorato Per un elenco dei modelli di dispositivi supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 8-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Autorizzazioni per i dispositivi di archiviazione Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono utilizzate per: • Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare il livello di accesso. • Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione, ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso. La seguente tabella contiene un elenco delle autorizzazioni: TABELLA 8-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione A UTORIZZAZIONI Accesso completo Modifica F ILE NEL DISPOSITIVO F ILE IN ENTRATA Operazioni autorizzate: copia, spostamento, apertura, salvataggio, eliminazione, esecuzione Operazioni consentite: salvataggio, spostamento, copia Operazioni autorizzate: copia, spostamento, apertura, salvataggio, eliminazione Operazioni consentite: salvataggio, spostamento, copia Ciò significa che un file può essere salvato, spostato e copiato nel dispositivo Operazioni non consentite: Esecuzione Lettura ed esecuzione Operazioni autorizzate: copia, apertura, esecuzione Operazioni vietate: salvataggio, spostamento, eliminazione 8-4 Operazioni vietate: salvataggio, spostamento, copia Utilizzo di Controllo dispositivo TABELLA 8-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione (continua) A UTORIZZAZIONI Lettura F ILE NEL DISPOSITIVO Operazioni autorizzate: copia, apertura Operazioni vietate: salvataggio, spostamento, eliminazione, esecuzione Elenca solo contenuto dispositivo Operazioni vietate: tutte le operazioni Blocca Operazioni vietate: tutte le operazioni il dispositivo e i file che contiene sono visibili all'utente (ad esempio, da Esplora risorse di Windows) il dispositivo e i file che contiene non sono visibili all'utente (ad esempio, da Esplora risorse di Windows) F ILE IN ENTRATA Operazioni vietate: salvataggio, spostamento, copia Operazioni vietate: salvataggio, spostamento, copia Operazioni vietate: salvataggio, spostamento, copia La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il file viene eliminato. 8-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Autorizzazioni avanzate per i dispositivi di archiviazione Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per i dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti: • Modifica • Lettura ed esecuzione • Lettura • Elenca solo contenuto dispositivo È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per determinati programmi sui dispositivi di archiviazione e sul computer locale. Per definire i programmi, configurare gli elenchi di programmi seguenti: TABELLA 8-3. E LENCO DI PROGRAMMI Programmi con accesso in lettura e scrittura ai dispositivi di archiviazione Elenchi di programmi D ESCRIZIONE Questo elenco contiene i programmi locali e i programmi dei dispositivi di archiviazione che hanno accesso in lettura e scrittura ai dispositivi. Un esempio di programma locale è Microsoft Word (winword.exe), di solito installato in C:\Programmi\ Microsoft Office\Office. Se l'autorizzazione per i dispositivi di archiviazione USB è "Elenca solo contenuto dispositivo", ma "C:\Programmi\Microsoft Office\ Office\winword.exe" è incluso nell'elenco: • L'utente avrà accesso in lettura e scrittura a tutti i file del dispositivo di archiviazione USB a cui Microsoft Word ha accesso. • L'utente può salvare, spostare o copiare un file Microsoft Word sul dispositivo di archiviazione USB. 8-6 VALORI VALIDI Nome e percorso del programma Per i dettagli, consultare Specifica di nome e percorso del programma a pagina 8-8. Utilizzo di Controllo dispositivo TABELLA 8-3. E LENCO DI PROGRAMMI Programmi su dispositivi di archiviazione di cui è consentita l'esecuzione Elenchi di programmi (continua) D ESCRIZIONE VALORI VALIDI Questo elenco contiene i programmi dei dispositivi di archiviazione che possono essere eseguiti dagli utenti o dal sistema. Nome e percorso del programma o provider della firma digitale Ad esempio, per consentire agli utenti di installare il software da un CD, aggiungere a questo elenco il nome e il percorso del programma di installazione, ad esempio "E:\Installer\Setup.exe". Per ulteriori dettagli, vedere Specifica di nome e percorso del programma a pagina 8-8 o Specifica di un provider della firma digitale a pagina 8-8. In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi. Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se attivato, richiede agli utenti di specificare un nome utente e una password validi prima che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un programma del dispositivo denominato "Password.exe", che è necessario autorizzare affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere accesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificare il nome utente o la password. Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100 programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini: a pagina 8-15. ATTENZIONE! I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale (root) e sovrascrivono i programmi nei singoli domini e nei client. 8-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Specifica di un provider della firma digitale Specificare un provider di firma digitale se si ritengono affidabili i programmi del provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile conoscere il provider della firma digitale verificando le proprietà di un programma (ad esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà). FIGURA 8-1. Provider della firma digitale per il programma del client OfficeScan (PccNTMon.exe) Specifica di nome e percorso del programma Il nome e il percorso di un programma devono essere composti da un massimo di 259 caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile specificare solo il nome del programma. È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo, come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere multiplo, come un nome di un programma. Nota. 8-8 I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. Utilizzo di Controllo dispositivo Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly: TABELLA 8-4. Uso corretto dei caratteri jolly E SEMPIO D ATI CORRISPONDENTI ?:\Password.exe Il file "Password.exe" si trova direttamente sotto una qualsiasi unità C:\Programmi\Microsoft\*.exe Qualsiasi file.exe in C:\Programmi\Microsoft C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbia un'estensione di file C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3 caratteri che inizi con la lettera "a" e termini con la lettera "c" C:\* Qualsiasi file che si trovi direttamente sotto l'unità C:\, con o senza un'estensione di file Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly: TABELLA 8-5. Uso scorretto dei caratteri jolly E SEMPIO M OTIVO ??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. *:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. C:\*\Password.exe I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. C:\?\Password.exe 8-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Autorizzazioni per dispositivi non di archiviazione L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate. Per gestire l'accesso ai dispositivi esterni (Protezione dati attivata): P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni di controllo dispositivo. 3. Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni. 4. Selezionare Attiva controllo dispositivo. 5. Nella scheda Client esterni è possibile applicare le impostazioni ai client interni selezionando Applica impostazioni a client interni. Se ci si trova nella scheda Client interni, è possibile applicare le impostazioni delle azioni ai client esterni selezionando Applica impostazioni a client esterni. 8-10 6. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 7. Configurare le impostazioni per i dispositivi di archiviazione. a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. b. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo di archiviazione è una delle seguenti: • Modifica • Lettura ed esecuzione • Lettura • Elenca solo contenuto dispositivo Utilizzo di Controllo dispositivo Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione. Nota. i. Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 8-6. Fare clic su Notifiche e autorizzazioni avanzate. Viene visualizzata una nuova schermata. ii. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato. iii. Sotto Programmi su dispositivi di archiviazione di cui è consentita l'esecuzione:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi. iv. Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi. v. • L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. • È possibile modificare il messaggio di notifica. Per i dettagli, consultare Notifiche di Controllo dispositivo a pagina 8-16. Fare clic su Indietro. 8-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore c. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a questi dispositivi e possono controllare il livello di accesso usando le autorizzazioni. i. Fare clic su Dispositivi approvati. ii. Immettere il fornitore del dispositivo. iii. Immettere il modello e il numero di serie del dispositivo. Suggerimento. Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ogni dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-69. iv. Selezionare l'autorizzazione per il dispositivo. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. v. Per aggiungere altri dispositivi, fare clic sull'icona . vi. Fare clic su Indietro. 8-12 8. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca. 9. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Utilizzo di Controllo dispositivo Per gestire l'accesso ai dispositivi esterni (Protezione dati non attivata): P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni. controllo dispositivo. 3. Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni. 4. Selezionare Attiva controllo dispositivo. 5. Nella scheda Client esterni è possibile applicare le impostazioni ai client interni selezionando Applica impostazioni a client interni. Se ci si trova nella scheda Client interni, è possibile applicare le impostazioni delle azioni ai client esterni selezionando Applica impostazioni a client esterni. 6. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 7. Selezionare l'autorizzazione per ciascun dispositivo. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. 8. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo è una delle seguenti: • Modifica • Lettura ed esecuzione • Lettura • Elenca solo contenuto dispositivo Se l'autorizzazione per tutti i dispositivi è Accesso completo, non è necessario configurare le notifiche e le autorizzazioni avanzate. Nota. Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 8-6. 8-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 9. 8-14 a. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato. b. Sotto Programmi su dispositivi di archiviazione di cui è consentita l'esecuzione:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi. c. Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi. • L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. • È possibile modificare il messaggio di notifica. Per i dettagli, consultare Notifiche di Controllo dispositivo a pagina 8-16. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Utilizzo di Controllo dispositivo Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini: Nota. Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 8-6. 1. Sul computer server OfficeScan, aprire il percorso <Cartella di installazione del server>\PCCSRV. 2. Aprire il file ofcscan.ini usando un editor di testo. 3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di archiviazione: a. Individuare le righe seguenti: [DAC_APPROVED_LIST] Count=x b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<number>=<nome e percorso del programma o provider della firma digitale> Ad esempio: [DAC_APPROVED_LIST] Count=3 Item0=C:\Programmi\program.exe Item1=?:\password.exe Item2=Microsoft Corporation 4. Per aggiungere i programmi che è consentito eseguire sui dispositivi di archiviazione: a. Individuare le righe seguenti: [DAC_EXECUTABLE_LIST] Count=x 8-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<number>=<nome e percorso del programma o provider della firma digitale> Ad esempio: [DAC_EXECUTABLE_LIST] Count=3 Item0=?:\Installer\Setup.exe Item1=E:\*.exe Item2=Trend Micro, Inc. 5. Salvare e chiudere il file ofcscan.ini. 6. Aprire la console Web OfficeScan e andare a Computer collegati in rete > Impostazioni client globali. 7. Fare clic su Salva per implementare gli elenchi di programmi in tutti i client. Notifiche di Controllo dispositivo I messaggi di notifica sono visualizzati negli endpoint quando si verificano violazioni del Controllo dispositivo. Se necessario, gli amministratori possono modificare il messaggio di notifica predefinito. Per modificare il contenuto del messaggio di notifica: P ERCORSO : N OTIFICHE > N OTIFICHE 8-16 ALL ' UTENTE CLIENT 1. Fare clic sulla scheda Violazioni del controllo dispositivo. 2. Modificare i messaggi predefiniti nella casella di testo disponibile. 3. Fare clic su Salva. Utilizzo di Controllo dispositivo Registri di controllo dispositivo I client registrano le istanze di accesso non autorizzato ai dispositivi e inviano i registri al server. Un client che è sempre in funzione raccoglie i registri e li invia dopo 24 ore. Un client che è stato riavviato controlla l'ultima volta che i registri sono stati inviati al server. Se il tempo trascorso è superiore a 24 ore, il client invia i registri immediatamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di Controllo dispositivo: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizza registri > Registri di controllo dispositivo. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Visualizzare i registri. I registri contengono le seguenti informazioni: 5. per • Data/Ora di rilevamento dell'accesso non autorizzato • Computer al quale è connesso un dispositivo esterno o è mappata una risorsa di rete • Dominio di computer al quale è connesso un dispositivo esterno o è mappata una risorsa di rete • Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso • Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui è stato eseguito l'accesso • Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso • Autorizzazioni impostate per la destinazione Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. 8-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 8-18 Capitolo 9 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Questo capitolo descrive come installare e attivare il modulo Protezione dati e come utilizzare la funzione Controllo risorse digitali. Argomenti di questo capitolo: • Installazione di Protezione dati a pagina 9-2 • Licenza di Protezione dati a pagina 9-4 • Implementazione di Protezione dati ai client a pagina 9-6 • Informazioni su Controllo risorse digitali a pagina 9-9 • Criteri di Controllo risorse digitali a pagina 9-10 • Widget di Controllo risorse digitali a pagina 9-70 • Notifiche di Controllo risorse digitali a pagina 9-70 • Registri di Controllo risorse digitali a pagina 9-74 • Disinstallazione di Protezione dati a pagina 9-79 9-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Installazione di Protezione dati Il modulo Protezione dati comprende le funzionalità seguenti: • Controllo risorse digitali: impedisce la trasmissione non autorizzata di risorse digitali • Controllo dispositivo: Regola l'accesso ai dispositivi esterni Nota. La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo che consente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazione USB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di ampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere Controllo dispositivo a pagina 8-2. Controllo risorse digitali e Controllo dispositivo sono funzionalità di OfficeScan ma richiedono una licenza specifica. Dopo aver installato il server OfficeScan, queste funzionalità sono disponibili ma non sono operative e non possono essere implementate sui client. L'installazione di Protezione dati prevede il download di un file dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata. Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza di Protezione dati per attivarne le funzionalità complete. L'installazione e l'attivazione vengono eseguite da Plug-in Manager. Importante 9-2 • Non è necessario installare il modulo Protezione dati se il software Prevenzione della perdita di dati Trend Micro è già installato e in esecuzione sugli endpoint. • Il modulo Protezione dati può essere installato su un Plug-in Manager IPv6 puro. Tuttavia, solo la funzionalità Controllo dispositivo può essere implementata nei client IPv6 puri. Controllo risorse digitali non funziona nei client IPv6 puri. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per installare Protezione dati: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Download. Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download. Plug-in Manager archivia il file scaricato in <Cartella di installazione del server>\ PCCSRV\Download\Product. Nota. 3. Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente dopo 24 ore. Per avviare manualmente il download del file da parte di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare i registri di aggiornamento server sulla console web di OfficeScan. Nella barra laterale, fare clic su Registri > Registri aggiornamenti server. Una volta completato il download del file di Plug-in Manager, Protezione dati OfficeScan viene visualizzato in una nuova schermata. Nota. 4. Se Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 14-11. Per installare Protezione dati OfficeScan subito, fare clic su Installa ora. Per eseguire l'installazione in un secondo momento: a. Fare clic su Installa in un secondo momento. b. Aprire la schermata Plug-in Manager. c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa. 9-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini. L'installazione viene avviata. 6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione viene visualizzata la versione di Protezione dati OfficeScan. Licenza di Protezione dati Visualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager. Richiedere il Codice di attivazione a Trend Micro e usarlo per attivare la licenza. Per attivare o rinnovare Protezione dati: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Gestione programma. 3. Immettere il Codice di attivazione. È possibile anche copiare il Codice di attivazione e incollarlo su una delle caselle di testo. 4. Fare clic su Salva. 5. Uscire dalla console Web e poi effettuare nuovamente l'accesso per visualizzare le configurazioni relative al Controllo risorse digitali e al Controllo dispositivo. Per visualizzare le informazioni sulla licenza di Protezione dati: 9-4 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Gestione programma. 3. Fare clic su Visualizza Informazioni sulla licenza. Gestione della Protezione dati e utilizzo di Controllo risorse digitali 4. Visualizzare le informazioni sulla licenza nella schermata. La sezione Dettagli della licenza di Protezione dati contiene le seguenti informazioni: • Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto". • Versione: indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se la Protezione dati prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11, verrà visualizzata la data 31.12.11. • Postazioni: visualizza il numero di client OfficeScan che possono installare il modulo Protezione dati. • Codice di attivazione: visualizza il Codice di attivazione. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze in scadenza: • Se si dispone di una licenza per la versione completa, il promemoria viene visualizzato durante e dopo il periodo di proroga. Il periodo di proroga della versione completa della licenza inizia dopo la scadenza della licenza. Nota. • La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. Se si dispone di una licenza per la versione di prova, il promemoria viene visualizzato quando la licenza scade. Per la licenza per la versione di prova non è concesso un periodo di proroga. Se la licenza non viene rinnovata, il Controllo risorse digitali e il Controllo dispositivo continueranno a funzionare, ma non si potrà più usufruire dell'assistenza tecnica. 5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sulla licenza sul sito Web di Trend Micro. 6. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su Aggiorna informazioni. 9-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Implementazione di Protezione dati ai client Implementare il modulo Protezione dati ai client dopo l'attivazione della licenza. Dopo l'implementazione, i client iniziano ad utilizzare Controllo risorse digitali e Controllo dispositivo. Importante • Il modulo Protezione dati supporta solo piattaforme a 32 bit. • Per impostazione predefinita, il modulo viene disattivato nelle versioni a 32 bit di Windows Server 2003 e Windows Server 2008 per impedire che si verifichi un effetto negativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazioni del sistema costantemente e adottare le misure necessarie quando si verificano cali di prestazioni. Nota. 9-6 Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultare Servizi del client a pagina 13-6. • Se il software Prevenzione della perdita di dati Trend Micro è disponibile nell'endpoint, OfficeScan non lo sostituisce con il modulo Protezione dati. • Solo Controllo dispositivo può essere implementato nei client IPv6 puri. Controllo risorse digitali non funziona nei client IPv6 puri. • Il modulo Protezione dati viene installato immediatamente nei client online. Nei client offline e roaming il modulo viene installato quando diventano online. • Gli utenti devono riavviare i computer per completare l'installazione dei driver di Controllo risorse digitali. Chiedere gli utenti di riavviare in anticipo. • Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione dei problemi di implementazione. Per i dettagli, consultare Registri di debug Protezione dati a pagina 17-20. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per implementare il modulo Protezione dati sui client: P ERCORSO : C OMPUTER 1. 2. COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura client è possibile: • Fare clic sull'icona del dominio principale tutti i client esistenti e futuri. per implementare il modulo su • Selezionare un dominio specifico per implementare il modulo su tutti i client esistenti e futuri del dominio. • Selezionare un client specifico per implementare il modulo solo su quel client. È possibile eseguire l'implementazione in due modi: • Fare clic su Impostazioni > Impostazioni di Controllo risorse digitali. OPPURE • Fare clic su Impostazioni > Impostazioni di controllo dispositivo. Nota. Se l'implementazione viene eseguita da Impostazioni > Impostazioni di Controllo risorse digitali e l'implementazione del modulo Protezione dati è riuscita, i driver di Controllo risorse digitali vengono installati. Se l'installazione dei driver riesce, viene visualizzato un messaggio per richiedere agli utenti di riavviare il computer per completare l'installazione dei driver. Se il messaggio non viene visualizzato, potrebbe essersi verificati problemi nell'installazione dei driver. Se il registro di debug è attivato, controllare i registri di debug per ottenere dettagli sui problemi di installazione dei driver. 3. Viene visualizzato un messaggio per indicare il numero di client in cui il modulo non è installato. Fare clic su Sì per avviare l’implementazione. Nota. Se si fa clic su No (o se il modulo non è stato implementato su uno o più client), lo stesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni > Impostazioni di Controllo risorse digitali o Impostazioni > Impostazioni di controllo dispositivo. I client iniziano il download del modulo dal server. 9-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Controllare se il modulo è stato implementato sui client. a. Selezionare un dominio nella struttura client: b. Nell visualizzazione struttura client, selezionare Visualizzazione protezione dati o Visualizza tutto. c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazione può essere uno dei valori riportati di seguito: • In esecuzione: l'implementazione del modulo è riuscita e le funzionalità sono state attivate. • Riavvio necessario: i driver di Controllo risorse digitali non sono stati installati perché gli utenti non hanno ancora riavviato i computer. Se i driver non sono installati, Controllo risorse digitali non funziona. • Operazione interrotta: il servizio del modulo non è stato avviato. Poiché per impostazione predefinita il modulo è disattivato su Windows Server 2003 e Windows Server 2008, il servizio non viene riavviato automaticamente dopo l'implementazione e viene avviato solo quando si attiva il modulo. Per ulteriori informazioni sull'attivazione del modulo, vedere Servizi del client a pagina 13-6. Se il servizio funziona, può essere interrotto dall'utente o dal sistema, se Protezione automatica del client è attivata. In tal caso il client presenta lo stesso stato. 9-8 • Impossibile eseguire l'installazione: si è verificato un problema durante l'implementazione del modulo sul client. Occorre implementare di nuovo il modulo dalla struttura del client. • Impossibile eseguire l'installazione (piattaforma non supportata): non è possibile implementare il modulo perché il client è installato su un computer a 64 bit. Il modulo può essere implementato solo su computer a 32 bit. • Impossibile eseguire l'installazione (esiste già un programma per la prevenzione della perdita di dati): il software Prevenzione della perdita di dati Trend Micro è già disponibile nell'endpoint. OfficeScan non lo sostituisce con il modulo Protezione dati. • Non installato: il modulo non è stato implementato sul client. Lo stato viene visualizzato se si sceglie di non implementare il modulo sul client o se lo stato del client è offline o roaming durante l'implementazione. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Informazioni su Controllo risorse digitali Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esterne di raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metà della storia. Le violazioni dei dati sono diventate di ordinaria amministrazione ed espongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – a persone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito a errori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti, oppure attacchi maligni. Le violazioni dei dati possono: • danneggiare la reputazione del marchio • minare la fiducia del cliente nell'azienda • causare spese superflue a copertura dei rimedi e delle multe per violazione della normativa in materia di conformità • causare la perdita di opportunità commerciali e mancati guadagni a seguito di furto della proprietà intellettuale Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggi la protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura di sicurezza. Controllo risorse digitali protegge le risorse digitali delle aziende dalla dispersione involontaria o volontaria. Il Controllo risorse digitali consente di: • identificare le risorse digitali da proteggere • creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi esterni • implementare la conformità alle norme vigenti sulla privacy 9-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Prima di poter monitorare le risorse digitali per perdite potenziali, è necessario essere in grado di rispondere alle domande seguenti: • Quali dati è necessario proteggere dagli utenti non autorizzati? • Dove risiedono i dati sensibili? • Come sono trasmessi i dati sensibili? • Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili? • Quale azione deve essere intrapresa se si verifica una violazione della sicurezza? Queste importanti domande, in genere, riguardano diversi reparti e impiegati che utilizzano i dati sensibili nell'ambito dell'organizzazione. Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibile iniziare a definire le risorse digitale e i criteri aziendali. Criteri di Controllo risorse digitali OfficeScan valuta un file o i dati in base a una serie di regole definite nei criteri di Controllo risorse digitali. I criteri determinano quali file e dati devono essere protetti da trasmissione non autorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione. Nota. Le trasmissioni di dati tra il server OfficeScan e i client non sono monitorate. È possibile configurare i criteri per i client esterni e interni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per i client esterni. I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibile anche applicare un singolo criterio a tutti i client. Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nella schermata Località computer (vedere Località computer a pagina 13-2) per determinarne la località e il criterio da applicare. I client cambiano criteri ogni volta che cambia la località. 9-10 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Configurazione dei criteri Per definire i criteri di Controllo risorse digitali configurare le seguenti impostazioni: TABELLA 9-1. I MPOSTAZIONI Impostazioni che definiscono un criterio di Controllo risorse digitali D ESCRIZIONE Definizioni OfficeScan utilizza le definizioni per identificare le risorse digitali. Le definizioni includono espressioni, attributi di file e parole chiave. Modello Un modello di risorse digitali comprende definizioni di risorse digitali e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Il criterio di Controllo risorse digitali sarà applicato solo ai file o ai dati che soddisfano una determinata istruzione condizionale. OfficeScan comprende una serie di modelli predefiniti e consente agli utenti di creare modelli personalizzati. Un criterio di Controllo risorse digitali può contenere uno o più modelli. OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono alla definizione di un modello, OfficeScan non esegue la verifica in altri modelli. Canale I canali sono entità che trasmettono le risorse digitali. OfficeScan supporta i comuni canali di trasmissione, come la posta elettronica, i dispositivi di archiviazione rimovibili e le applicazioni di messaggistica istantanea. Azione OfficeScan esegue una o più azioni quando rileva un tentativo di trasmissione di risorse digitali attraverso uno dei canali. 9-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Definizioni di risorse digitali Le risorse digitali sono i file e i dati che un'organizzazione deve proteggere da trasmissione non autorizzata. È possibile definire le risorse digitali utilizzando: • Espressioni: dati con una determinata struttura Per i dettagli, consultare Espressioni a pagina 9-12. • Attributi di file: proprietà dei file, come il tipo e le dimensioni dei file. Per i dettagli, consultare Attributi di file a pagina 9-26. • Parole chiave: un elenco di parole o frasi speciali. Per i dettagli, consultare Parole chiave a pagina 9-32. Espressioni Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle carte di credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnn-nnnn", e questo li rende idonei per il rilevamento basato su espressioni. È possibile usare espressioni predefinite e personalizzate. Per ulteriori dettagli, vedere Espressioni predefinite a pagina 9-12 e Espressioni personalizzate a pagina 9-20. Espressioni predefinite In OfficeScan è inclusa una serie di espressioni predefinite. Queste espressioni non possono essere modificate, copiate, esportate o eliminate. OfficeScan verifica queste espressioni usando equazioni matematiche e associazioni dei pattern. Quando OfficeScan individua possibili dati corrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche. Nella tabella seguente sono riportate le espressioni predefinite e le eventuali operazioni di verifica aggiuntive eseguite da OfficeScan. TABELLA 9-2. 9-12 Espressioni predefinite N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Tutti - Numero di carta di credito Numero di carta di credito OfficeScan verifica il prefisso e lo verifica con il checksum di Luhn, un algoritmo utilizzato per la convalida dei codici identificativi. Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Tutti - Indirizzo e-mail Indirizzo e-mail nessuna Tutti - Indirizzo abitazione Indirizzo abitazione (Stati Uniti e Regno Unito) nessuna Tutti - IBAN (International Bank Account Number) IBAN (International Bank Account Number) OfficeScan verifica il codice IBAN (International Bank Account Number) che ha formato diverso a seconda del paese di origine. Le prime due lettere definiscono il codice del paese. OfficeScan verifica anche il formato del codice del paese specifico. Tutti - Nomi provenienti dall'US Census Bureau (Ufficio del censimento degli Stati Uniti) Nome per gli americani OfficeScan verifica il nome e cognome con i dati dello United States Census Bureau (Ufficio del censimento degli Stati Uniti) fino all'anno 1990. Tutti - Swift BIC BIC (Business Identifier Code) SWIFT OfficeScan verifica il codice codice SWIFT-BIC (Society for Worldwide Interbank Financial Telecommunication Bank Identifier Code). Il codice SWIFT-BIC è noto anche come codice BIC o codice SWIFT. Comprende il codice della banca, il codice del paese e il codice della località. OfficeScan verifica il codice del paese nell'elenco dei codici dei paesi considerati rilevanti ai fini commerciali. Alcuni codici di paesi non sono compresi nell'elenco. 9-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-2. Espressioni predefinite (continua) N OME 9-14 D ESCRIZIONE VERIFICHE AGGIUNTIVE Austria Sozialversicheru ngsnummer (Numero di previdenza sociale) Numero di previdenza sociale (Austria) OfficeScan verifica il numero di previdenza sociale utilizzato in Austria e il valore checksum dell'espressione. Canada - Quebec RAMQ (Numero assistenza sanitaria del Quebec) Numero assistenza sanitaria (Quebec) OfficeScan verifica il codice della tessera sanitaria utilizzato in Quebec (Canada) e il valore checksum dell'espressione. Canada - SIN (Social Insurance Number - Numero di previdenza sociale) Numero di sicurezza sociale (Canada) OfficeScan verifica il prefisso e il checksum di Luhn, un algoritmo utilizzato per la convalida dei codici identificativi. Cina - Numero del documento d'identità Numero del documento d'identità (Cina) OfficeScan verifica il numero del documento di identità utilizzato nella Repubblica Popolare Cinese. OfficeScan verifica la data di nascita inclusa nel numero del documento di identità e il valore checksum dell'espressione. Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE Data - Formati usati in Giappone I formati per la data usati in Giappone, inclusi: VERIFICHE AGGIUNTIVE nessuna • aaaa/mm/gg • aa/mm/g • aa.mm.gg • Saa.m.g • aaaa-m-g • 昭和aa年m月g日 Data - completa (giorno/mese/ anno) Formati per la data usati comunemente nel Regno Unito OfficeScan convalida le date nel formato giorno-mese-anno. OfficeScan controlla l'intervallo del mese e del giorno del mese specifico e verifica se l'anno è precedente al 2051. Data - completa (mese/giorno/ anno) Data con giorno, mese e anno, come la data di nascita OfficeScan convalida le date nel formato mese-giorno-anno. OfficeScan controlla l'intervallo del mese e del giorno del mese specifico e verifica se l'anno è precedente al 2051. Data - completa (anno/mese/ giorno) Formato della data definito dall'ISO (International Organization for Standardization) OfficeScan convalida le date nel formato anno-mese-giorno. OfficeScan controlla l'intervallo del mese e del giorno del mese specifico e verifica se l'anno è precedente al 2051. Data - parziale (mese/anno) Data cono solo il mese e l'anno nessuna 9-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Danimarca Numero del documento d'identità Numero del documento d'identità (Danimarca) OfficeScan verifica il numero di identificazione personale utilizzato in Danimarca e il valore checksum dell'espressione. Repubblica dominicana Numero del documento d'identità Numero del documento d'identità per la Repubblica dominicana OfficeScan verifica il numero di identificazione personale utilizzato nella Repubblica Dominicana e il valore di checksum dell'espressione. Finlandia Numero del documento d'identità Numero del documento d'identità (Finlandia) OfficeScan verifica il numero di identificazione personale utilizzato in Finlandia e il valore checksum dell'espressione. Francia - Codice INSEE Codice INSEE (Francia) OfficeScan verifica il codice INSEE e il valore checksum dell'espressione. Il codice INSEE è un codice di indicizzazione utilizzato dall'INSEE, l'Istituto nazionale francese di studi economici e sociali. Il codice INSEE identifica diverse entità ed è utilizzato come codice identificativo nazionale dei cittadini. 9-16 Francia - Numero di previdenza sociale NIN (National Insurance Number) (Francia) nessuna Germania Codice fiscale elettronico Codice fiscale elettronico (Germania) OfficeScan verifica il codice fiscale tedesco (eTIN) controllando il mese e il giorno della nascita definiti nel codice eTIN. OfficeScan verifica anche il valore checksum dell'espressione. Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Irlanda - PPSN (Numero di previdenza sociale) Numero PPS (Personal Public Service) (Irlanda) OfficeScan verifica il codice PPS (Personal Public Service) utilizzato in Irlanda e il valore checksum dell'espressione. Irlanda - IVA IVA (Irlanda) nessuna Giappone Indirizzo Formato per l'indirizzo usato in Giappone, inclusa la prefettura, la città. la frazione e il quartiere nessuna Giappone Numero di telefono Numero di telefono giapponese nessuna Norvegia Numero di registrazione di nascita Numero di registrazione di nascita (Norvegia) OfficeScan verifica la data di nascita e il codice identificativo di 3 cifre incluso nei dati. OfficeScan verifica anche i due valori checksum dell'espressione. Polonia - Numero del documento d'identità Numero del documento d'identità per la Polonia OfficeScan verifica il numero di identificazione del documento utilizzato in Polonia e il valore di checksum dell'espressione. Polonia - Numero del documento d'identità Numero ID (Polonia) OfficeScan verifica il codice PESEL e il valore checksum dell'espressione. PESEL è il codice identificativo utilizzato in Polonia. Corea del sud Numero di registrazione Numero di registrazione Repubblica di Corea (Corea del Sud) OfficeScan verifica il codice anagrafico di un cittadino della Repubblica di Corea, la data di nascita compresa nei dati e la cifra identificativa del genere. 9-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-2. Espressioni predefinite (continua) N OME 9-18 D ESCRIZIONE VERIFICHE AGGIUNTIVE Spagna - Codice fiscale Codice fiscale (Spagna) OfficeScan verifica il codice fiscale spagnolo (FIN) e il valore checksum dell'espressione. Spagna - Numero del documento d'identità Numero del documento d'identità (Spagna) nessuna Spagna - Numero di previdenza sociale Numero di previdenza sociale (Spagna) nessuna Taiwan - Numero del documento d'identità Numero del documento d'identità per Taiwan OfficeScan verifica il numero del documento di identità utilizzato, la cifra che indica il genere e il valore checksum dell'espressione. Taiwan - Codice record medico SKH Numero di registrazione sanitario nel Shin Kong Wu Ho-Su Memorial Hospital OfficeScan verifica il numero di registrazione sanitario utilizzato nel Shin Kong Wu Ho-Su Memorial Hospital e il valore di checksum dell'espressione. Taiwan - Codice record medico VGH Taiwan Numero di registrazione sanitario nel Veterans General Hospital OfficeScan verifica il il numero di registrazione sanitario utilizzato nel Taiwan Veterans General Hospital e il valore di checksum dell'espressione. Turchia - Codice di identificazione Numero del documento d'identità per la Turchia OfficeScan verifica il numero di identificazione personale utilizzato in Turchia e il valore di checksum dell'espressione. Regno Unito Numero del sistema sanitario nazionale Numero sistema sanitario nazionale (Regno Unito) nessuna Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Regno Unito Numero di previdenza sociale NIN (National Insurance Number) (Regno Unito) OfficeScan verifica il numero di assistenza sanitaria nazionale utilizzato nel Regno Unito e il valore checksum dell'espressione. Stati Uniti Numero di registrazione ABA Numero di registrazione ABA OfficeScan verifica le prime due cifre dei dati e il valore checksum dell'espressione. Stati Uniti Numero del documento d'identità o della patente della California Numero del documento d'identità o della patente per la California nessuna Stati Uniti Importo in dollari Importo in dollari USA nessuna Stati Uniti Numero HIC (Health Insurance Claim) Health Insurance Claim OfficeScan verifica le lettere del suffisso del numero HIC (Health Insurance Claim). Il suffisso del numero HIC contiene una o due lettere. Stati Uniti Codice NPI (National Provider Identifier) NPI (National Provider Identifier) (Stati Uniti) OfficeScan verifica il codice NPI (National Provider Identifier). Il codice NPI ha un valore checksum basato sull'algoritmo Luhn che è utilizzato per la convalida dei codici identificativi. OfficeScan verifica anche il valore checksum dell'espressione. Stati Uniti Numero di telefono Numero di telefono OfficeScan controlla il prefisso in un elenco dei prefissi degli Stati Uniti. 9-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-2. Espressioni predefinite (continua) N OME D ESCRIZIONE VERIFICHE AGGIUNTIVE Stati Uniti - SSN (Social Security Number - Numero di previdenza sociale) Numero di previdenza sociale (Stati Uniti) OfficeScan convalida un numero di 9 cifre verificandone il prefisso e il codice di gruppo e confrontandolo con i numeri di previdenza sociale non validi identificati dalla Social Security Administration (SSA) degli Stati Uniti. Per visualizzare le impostazioni delle espressioni predefinite: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO 1. Fare clic sulla scheda Espressioni. 2. Fare clic sul nome dell'espressione. 3. Viene visualizzata la schermata delle impostazioni. RISORSE DIGITALI > D EFINIZIONI Espressioni personalizzate Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa le proprie esigenze. Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creare espressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassi errata possono avere un impatto negativo sulle prestazioni. Durante la creazione delle espressioni: • 9-20 fare riferimento alle espressioni predefinite per ottenere esempi di espressioni valide. Ad esempio, se si crea un'espressione con una data, fare riferimento alle espressioni con il prefisso "Data". Gestione della Protezione dati e utilizzo di Controllo risorse digitali • Si noti che OfficeScan segue i formati di espressioni definiti in PCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE, visitare il seguente sito Web: http://www.pcre.org/ • Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmi o perfezionarle per migliorare i rilevamenti. Sono disponibili vari criteri per la creazione di espressioni. Un'espressione deve soddisfare i criteri scelti prima che OfficeScan applichi ad essa un criterio di Controllo risorse digitali. Per ciascuna espressione scegliere uno dei criteri seguenti: TABELLA 9-3. Criteri per le espressioni C RITERI nessuna R EGOLA nessuna E SEMPIO Nome per gli americani • Espressione: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\ s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w] Caratteri specifici Un'espressione deve comprendere i caratteri specificati. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. Numero di registrazione ABA • Espressione: [^\d]([0123678]\d{8})[^\d] • Caratteri: 0123456789 • Numero minimo di caratteri: 9 • Numero massimo di caratteri: 9 9-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-3. C RITERI Suffisso Criteri per le espressioni (continua) R EGOLA Il suffisso si riferisce all'ultimo segmento di un'espressione. Un suffisso deve comprendere i caratteri specificati e contenere un certo numero di caratteri. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. E SEMPIO L'indirizzo dell'abitazione con il codice postale come suffisso. • Espressione: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)[^\d-] • Caratteri suffisso: 0123456789• Numero di caratteri: 5 • Numero minimo di caratteri nell'espressione: 25 • Numero massimo di caratteri nell'espressione: 80 Separatore a carattere singolo Un'espressione deve avere due segmenti separati da un carattere. La lunghezza del carattere deve essere 1 byte. Inoltre il numero dei caratteri a sinistra del separatore deve essere compreso entro il numero minimo e massimo. Il numero di caratteri a destra del separatore non deve superare il numero massimo. 9-22 Indirizzo e-mail • Espressione: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20} [\.][a-z]{2,5}[a-z\.]{0,10})[^\w.] • Separatore: @ • Numero minimo di caratteri a sinistra: 3 • Numero massimo di caratteri a sinistra: 15 • Numero massimo di caratteri a destra: 30 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per aggiungere un'eccezione: P ERCORSO : C OMPUTER 1. 2. 3. 4. 5. 6. 7. 8. 9. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Espressioni. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ Immettere una descrizione la cui lunghezza non superi i 256 byte. Immettere l'espressione e specificare se applicare la distinzione tra maiuscole e minuscole. Immettere i dati visualizzati. Ad esempio, se si crea un'espressione per i numeri di documenti di identità, immettere un numero di esempio. Questi dati vengono utilizzati solo per riferimento e non vengono visualizzati nel prodotto. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i criteri scelti: • nessuna • Caratteri specifici • Suffisso • Separatore a carattere singolo Per ulteriori informazioni sui criteri e le impostazioni aggiuntive, vedere Espressioni personalizzate a pagina 9-20. Provare l'espressione su dati effettivi. Ad esempio, se l'espressione si riferisce a un documento di identità, digitare un numero del documento di identità nella casella di testo Dati di prova, fare clic su Prova e verificare i risultati. Se i risultati sono soddisfacenti, fare clic su Salva. Suggerimento. Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado di rilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effetto negativo sulle prestazioni. 10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 11. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. 9-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiungere un'espressione con l'opzione "copia": Nota. Utilizzare questa opzione se un'espressione da aggiungere ha impostazioni simili a un'espressione esistente. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Espressioni. 2. Selezionare un'espressione personalizzata, quindi fare clic su Copia. Viene visualizzata una nuova schermata. 3. Digitare un nome univoco per l'espressione. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ 4. Accettare o modificare le altre impostazioni. 5. Fare clic su Salva. 6. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 7. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Per aggiungere espressioni con l'opzione "importa": Nota. Utilizzare questa opzione se è disponibile un file. dat in formato corretto che contiene le espressioni. È possibile generare il file esportando le espressioni dal server OfficeScan a cui si accede o da un altro server OfficeScan. Per ulteriori informazioni sull'esportazione delle espressioni, vedere Per esportare espressioni a pagina 9-25. P ERCORSO : C OMPUTER 1. 9-24 COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Espressioni. 2. Fare clic su Importa e individuare il file .dat che contiene le espressioni. 3. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un'espressione da importare esiste già nell'elenco, viene ignorata. 4. Fare clic su Applica a tutti i client. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per modificare un'espressione: P ERCORSO : C OMPUTER 1. 2. 3. 4. 5. 6. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Espressioni. Fare clic sul nome dell'espressione da modificare. Viene visualizzata una nuova schermata. Modificare le impostazioni. Fare clic su Salva. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Per esportare espressioni: Nota. Utilizzare l'opzione "esporta" per eseguire il backup delle espressioni personalizzate o per importarle in un altro server OfficeScan. Tutte le espressioni personalizzate vengono esportate. Non è possibile esportare singole espressioni personalizzate. P ERCORSO : C OMPUTER 1. 2. 3. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Espressioni. Fare clic sul pulsante Esporta. Salvare il file .dat risultante nel percorso desiderato. Per eliminare espressioni: Nota. Non è possibile eliminare un'espressione utilizzata da un modello di risorse digitali. Eliminare il modello prima di eliminare l'espressione. P ERCORSO : C OMPUTER 1. 2. 3. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Espressioni. Selezionare le espressioni da eliminare e fare clic su Elimina. Fare clic su Applica a tutti i client. 9-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Attributi di file Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributi di file durante la definizione delle risorse digitali, ossia il tipo di file e le dimensioni dei file. Ad esempio, una società di sviluppo software potrebbe voler limitare la condivisione del programma di installazione del software della società al reparto di ricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software. In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare la trasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti ad eccezione di quello di ricerca e sviluppo. Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nel contesto dell'esempio precedente, anche i programmi di installazione del software di terze parti condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare gli attributi di file insieme alle definizioni delle risorse digitali per rilevare in modo più preciso i file determinati. Tipi di file supportati Per la definizione degli attributi è possibile scegliere i seguenti tipi di file effettivi: TABELLA 9-4. Tipi di file supportati G RUPPO DI "T IPI DI FILE " TIPI DI FILE Documenti e metodi di codifica • Adobe™ PDF - senza crittografia (.pdf) • HTML (.htm) • Ichitaro (.jtd) • Lotus™ Ami Pro (.sam) • Microsoft Word per Windows - senza crittografia (.doc, .dot, .docx, .dotx, .docm, .dotm) • Microsoft Write (.wri) 9-26 • RTF (.rtf) • WordPerfect™ (.wp, .wpd) • WordStar (.wsd) • Xerox™ DocuWorks (.xdw, .xbd) • XML (.xml) Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-4. Tipi di file supportati (continua) G RUPPO DI "T IPI DI FILE " TIPI DI FILE Grafica • AutoCAD™ (.dxf) • JPEG (.jpg) • AutoDesk™ (.dwg) • PNG (.png) • Bitmap (.bmp) • PostScript (.ps) • CATIA™ (.CATDrawing, • Siemens™ NX .CATPart, .CATProduct) • DICOM SM (.dcm) • EPS (.eps) • GIF (.gif) Unigraphics (.prt) • SolidWorks (.abc, .slddrw, .sldprt, .sldasm) • TIFF (.tif) • Graphic Data System (.gds) File multimediali • Adobe Flash™ (.swf) • Microsoft Wave (.wav) • Apple™ QuickTime™ • MIDI (.mid) (.mov) • AVI (.avi) File compressi (OfficeScan monitora questi tipi di file se non sono crittografati.) • ARJ (.arj) • bzip2 (.bz2) • file compresso (.Z) • GZ (.gz) • LHA (.lzh) • Guida HTML compilata Microsoft (.chm) • Microsoft Outlook™ • MPEG (.mpeg) • Microsoft Outlook Express (.dbx) • MIME (.eml) • PAK/ARC (.arc) • PGP Keyring (.pgp) • RAR (.rar) • TAR (.tar) • File compressi (.zip) (.msg) • Microsoft Outlook (.pst) 9-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-4. Tipi di file supportati (continua) G RUPPO DI "T IPI DI FILE " TIPI DI FILE Database • dBase™ (.dbf) • KIRI Database (.tbl) • Microsoft Access™ (.mdb, .accdb) • SAS System Data Set (.sas7bdat) Spreadsheets • Lotus 1-2-3 (.123, .wk1, .wk3, .wk4, .wke, .wks) • Microsoft Excel™ - senza crittografia (.xls, .xlw, .xlsx, .xltx, .xlsb, .xltm, .xlsm, .xlc, .xlam) • Quattro™ (.qpw, .wb3, .wb2, .wb1, .wq1) File di diagrammi e presentazioni • Microsoft PowerPoint™ per Windows - senza crittografia File collegati e incorporati • OLE (.ipt, .idw, .iam, .pqw, .msoffice) File crittografati • File compressi crittografati (.rar, .zip) (.ppt, .pot, .pps, .pptx, .potx, .ppsx, .potm, .pptm, .ppsm) • Microsoft Visio (.vdx, .vsd, .vss, .vst, .vsx, .vtx, .vdw) Nota. Selezionare questo tipo di file se si desidera monitorare i file .rar e .zip con crittografia e lasciare senza monitoraggio i file .rar e .zip senza crittografia. Per monitorare i file.rar e .zip con e senza crittografia, andare alla categoria File compressi e selezionare File compressi (.zip) e RAR (.rar). • Documenti crittografati (.accdb, .doc, .docx, .pdf, .ppt, .pptx, .wb1, .wb2, .wq1, .wpd, .xls, .xlsx) 9-28 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per aggiungere un elenco di attributi di file: P ERCORSO : C OMPUTER 1. 2. 3. 4. 5. 6. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI Fare clic sulla scheda Attributi di file. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ Immettere una descrizione la cui lunghezza non superi i 256 byte. Selezionare i tipi di file effettivi preferiti. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file e digitare l'estensione del tipo di file. OfficeScan verifica i file con l'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida per specificare le estensioni dei file: • Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.) e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta un nome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol e test.pol. • Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un punto interrogativo (?) per indicare un carattere singolo e un asterisco (*) per indicare due o più caratteri. Vedere gli esempi seguenti: • *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm • *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr • *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp • Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensione in quanto corrispondere a una parte del nome del file o di un'estensione non correlata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg e abc.donor12.pdf. • Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessario aggiungere uno spazio dopo il punto e virgola. 7. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensioni del file devono corrispondere a numeri interi maggiori di zero. 8. Fare clic su Salva. 9. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 10. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. 9-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiungere un elenco di attributi di file con l'opzione "copia": Nota. Utilizzare questa opzione se un elenco di attributi di file da aggiungere ha impostazioni simili a un elenco di attributi di file esistente. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Attributi di file. 2. Selezionare il nome di un elenco di attributi di file e fare clic su Copia. Viene visualizzata una nuova schermata. 3. Digitare un nome univoco per l'elenco di attributi di file. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ 4. Accettare o modificare le altre impostazioni. 5. Fare clic su Salva. 6. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 7. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Per aggiungere elenchi di attributi di file con l'opzione "importa": Nota. Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributi di file dal server OfficeScan a cui si accede o da un altro server OfficeScan. Per ulteriori informazioni sull'esportazione di elenchi di attributi di file, vedere Per esportare un elenco di attributi di file a pagina 9-31. P ERCORSO : C OMPUTER 9-30 COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Attributi di file. 2. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributi di file. 3. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di attributi di file da importare esiste già, viene ignorato. 4. Fare clic su Applica a tutti i client. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per modificare un elenco di attributi di file: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Attributi di file. 2. Fare clic sul nome dell'elenco di attributi di file da modificare. Viene visualizzata una nuova schermata. 3. Modificare le impostazioni. 4. Fare clic su Salva. 5. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 6. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Per esportare un elenco di attributi di file: Nota. Utilizzare l'opzione "esporta" per eseguire il backup degli elenchi di attributi di file o per importarli in un altro server OfficeScan. Tutti gli elenchi di attributi di file vengono esportati. Non è possibile esportare i singoli elenchi di attributi di file. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI 1. Fare clic sulla scheda Attributi di file. 2. Fare clic sul pulsante Esporta. 3. Salvare il file .dat risultante nel percorso desiderato. > D EFINIZIONI 9-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per eliminare gli elenchi di attributi di file: Nota. Non è possibile eliminare un elenco di attributi di file attualmente usato da un modello di risorsa digitale. Eliminare il modello prima di eliminare l'elenco di attributi di file. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Attributi di file. 2. Selezionare l'elenco di attributi di file da eliminare e fare clic sul pulsante Elimina. 3. Fare clic su Applica a tutti i client. Parole chiave Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiave correlate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi", "gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono essere presenti in un certificato medico. Se si desidera impedire la trasmissione di file contenti certificati medici, è possibile usare queste parole chiave in un criterio di Controllo risorse digitali e, quindi, configurare OfficeScan in modo da bloccare i file che contengono tali parole chiave. È possibile combinare parole di uso comune in modo da formare parole chiave significative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo da formare parole chiave che si trovano nei codici sorgente, come "END-IF", "END-READ" e "AT END". È possibile usare parole chiave predefinite e personalizzate. Per ulteriori dettagli, vedere Elenchi parole chiave predefinite a pagina 9-33 e Elenchi parole chiave personalizzate a pagina 9-36. 9-32 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Elenchi parole chiave predefinite In OfficeScan è inclusa una serie di elenchi di parole chiave predefinite. Questi elenchi di parole chiave non possono essere modificati, copiati, esportati o eliminati. Tuttavia, è possibile esportare le parole chiave presenti in un elenco. TABELLA 9-5. Elenchi parole chiave predefinite N OME ELENCO D ESCRIZIONE Per adulti Termini normalmente associati all'industria dell'intrattenimento per adulti e ai siti Web pornografici Termini medici comuni Termini utilizzati da ospedali, cliniche e altri centri di assistenza sanitaria Moduli - Nome, secondo nome Termini presenti nei moduli in cui sono indicati nome, secondo nome o cognome Moduli - Data di nascita Termini presenti nei moduli in cui è indicata una data di nascita Moduli - Data di scadenza Termini presenti nei moduli in cui è indicata una data di scadenza Moduli - Nome e cognome Termini presenti nei moduli in cui sono indicati nome o cognome Moduli - Luogo di nascita Termini presenti nei moduli in cui è indicato un luogo di nascita Moduli - Via, Città, Stato Termini presenti in moduli in cui sono indicati via, città o stato Modulo HCFA (CMS) 1500 Termini presenti su un modulo HCFA (CMS) 1500. Questo modulo viene utilizzato negli Stati Uniti per l'assistenza sanitaria Giappone - cognome in Hiragana (corrispondenza 50) Cognomi giapponesi digitati in Hiragana. L'elenco contiene 1672 cognomi giapponesi 9-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-5. Elenchi parole chiave predefinite (continua) N OME ELENCO 9-34 D ESCRIZIONE Giappone - cognome in Kanji1 (corrispondenza 10) Cognomi giapponesi digitati in Kanji1. L'elenco contiene 2000 cognomi giapponesi Giappone - cognome in Kanji2 (corrispondenza 50) Cognomi giapponesi digitati in Kanji1. L'elenco contiene 2000 cognomi giapponesi Giappone - cognome in Kanji3 (corrispondenza 100) Cognomi giapponesi digitati in Kanji1. L'elenco contiene 2000 cognomi giapponesi Giappone - cognome in Katakana 1 byte (corrispondenza 50) Cognomi giapponesi digitati in Katakana 1 byte. L'elenco contiene 1672 cognomi giapponesi Giappone - cognome in Katakana (corrispondenza 50) Cognomi giapponesi digitati in Katakana. L'elenco contiene 1672 cognomi giapponesi Razzismo Termini offensivi espressi nei confronti di specifici gruppi etnici Codice sorgente C/C++ Funzioni/comandi comuni del codice sorgente utilizzati in C e C++ Codice sorgente - C# Funzioni/comandi comuni del codice sorgente utilizzati in C# Codice sorgente COBOL Funzioni/comandi comuni del codice sorgente utilizzati in COBOL Codice sorgente - Java Funzioni/comandi comuni del codice sorgente utilizzati in Java Codice sorgente - Perl Funzioni/comandi comuni del codice sorgente utilizzati in Perl Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-5. Elenchi parole chiave predefinite (continua) N OME ELENCO D ESCRIZIONE Codice sorgente - VB Funzioni/comandi comuni del codice sorgente utilizzati in Visual Basic UB-04 Form Termini presenti in un modulo UB-04. Questo modulo è un documento di fatturazione utilizzato negli Stati Uniti da ospedali, case di riposo, case di cura, agenzie di assistenza sanitaria a domicilio e simili Armi Termini che descrivono l'uso della violenza Per visualizzare le impostazioni per gli elenchi di parole chiave predefinite: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO 1. Fare clic sulla scheda Parole chiave. 2. Fare clic sul nome dell'elenco di parole chiave: 3. Viene visualizzata la schermata delle impostazioni. 4. Per esportare le parole chiave: Nota. RISORSE DIGITALI > D EFINIZIONI Utilizzare la funzionalità "esporta" per eseguire il backup delle parole chiave o per importarle in un altro server OfficeScan. Tutte le parole chiave dell'elenco di parole chiave vengono esportate. Non è possibile esportare singole parole chiave. a. Fare clic sul pulsante Esporta. b. Salvare il file .csv risultante nel percorso desiderato. 9-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Elenchi parole chiave personalizzate Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiave predefiniti soddisfa le proprie esigenze. Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Un elenco di parole chiave deve soddisfare i criteri scelti prima che OfficeScan applichi ad esso un criterio di Controllo risorse digitali. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti: TABELLA 9-6. C RITERI Criteri per un elenco di parole chiave R EGOLA Qualsiasi parola chiave Un file deve contenere almeno una parola chiave dell'elenco di parole chiave. Tutte le parole chiave Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. Tutte le parole chiave comprese tra <x> caratteri Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. Inoltre ogni coppia di parole chiave deve essere separata da un massimo di <x> caratteri. Ad esempio, si supponga che le tre parole chiave siano ABCDE, FGHIJ e WXYZ e che il numero di caratteri specificato sia 20. Se OfficeScan individua tutte le parole chiave nell'ordine FGHIJ, ABCDE e WXYZ, il numero di caratteri da F ad A e da A a W deve essere al massimo 20. • I dati seguenti soddisfano i criteri: FGHIJ####ABCDE############WXYZ • I dati seguenti non soddisfano i criteri: FGHIJ*******************ABCDE****WXYZ Quando si determina il numero dei caratteri, si tenga presente che un numero basso, quale 10, consente di ottenere tempi di scansione ridotti ma copre un'area relativamente piccola. Ciò riduce le probabilità di rilevamento di dati sensibili, in particolare nei file di grandi dimensioni. A un numero maggiore corrisponde un'area maggiore, ma i tempi di scansione potrebbero essere maggiori. 9-36 Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-6. Criteri per un elenco di parole chiave (continua) C RITERI R EGOLA Il punteggio combinato per le parole chiave supera la soglia Un file deve contenere una o più parole chiave dell'elenco di parole chiave. Se viene rilevata solo una parola chiave, il punteggio deve essere maggiore della soglia. Se esistono più parole chiave, il punteggio combinato deve essere maggiore della soglia. Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Una parola o frase riservata, quale "aumento di stipendio" per il reparto Risorse umane, deve avere un punteggio relativamente alto. Parole o frasi che non sono molto rilevanti possono avere un punteggio minore. Quando viene configurata la soglia, occorre considerare i punteggi assegnati alle parole chiave. Ad esempio, se esistono cinque parole chiave e tre hanno una priorità alta, la soglia può essere uguale o minore del punteggio combinato delle tre parole chiave di priorità alta. Ciò significa che il rilevamento di queste tre parole chiave è sufficiente a considerare il file come sensibile. Per aggiungere un elenco di parole chiave: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Parole chiave. 2. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 3. Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ 4. Immettere una descrizione la cui lunghezza non superi i 256 byte. 9-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i criteri scelti: • Qualsiasi parola chiave • Tutte le parole chiave • Tutte le parole chiave comprese tra <x> caratteri • Il punteggio combinato per le parole chiave supera la soglia Per ulteriori informazioni sui criteri e le impostazioni aggiuntive, vedere Criteri per un elenco di parole chiave a pagina 9-36. 6. 7. Per aggiungere parole chiave all'elenco in modo manuale: a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte e specificare se si applica la distinzione tra maiuscole e minuscole. b. Fare clic su Aggiungi. Per aggiungere parole chiave con l'opzione "importa": Nota. 8. 9-38 Utilizzare questa opzione se è disponibile un file .csv in formato corretto che contiene le parole chiave. È possibile generare il file esportando le parole chiave dal server OfficeScan a cui si accede o da un altro server OfficeScan. Per ulteriori informazioni sull'esportazione delle parole chiave, vedere passaggio 9. a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave. b. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se una parola chiave da importare esiste già nell'elenco, viene ignorata. Per eliminare le parole chiave, selezionarle e fare clic su Elimina. Gestione della Protezione dati e utilizzo di Controllo risorse digitali 9. Per esportare le parole chiave: Nota. Utilizzare la funzionalità "esporta" per eseguire il backup delle parole chiave o per importarle in un altro server OfficeScan. Tutte le parole chiave dell'elenco di parole chiave vengono esportate. Non è possibile esportare singole parole chiave. a. Fare clic sul pulsante Esporta. b. Salvare il file .csv risultante nel percorso desiderato. 10. Fare clic su Salva. 11. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 12. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Per aggiungere un elenco di parole chiave con l'opzione "copia": Nota. Utilizzare questa opzione se un elenco di parole chiave da aggiungere ha impostazioni simili a un elenco di parole chiave esistente. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Parole chiave. 2. Selezionare il nome di un elenco di parole chiave personalizzato, quindi fare clic su Copia. Viene visualizzata una nuova schermata. 3. Digitare un nome univoco per l'elenco di parole chiave. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ 4. Accettare o modificare le altre impostazioni. 5. Fare clic su Salva. 6. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 7. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. 9-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiungere elenchi di parole chiave con l'opzione "importa": Nota. Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parole chiave dal server OfficeScan a cui si accede o da un altro server OfficeScan. Per ulteriori informazioni sull'esportazione degli elenchi di parole chiave, vedere Per esportare le parole chiave a pagina 9-41. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Parole chiave. 2. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di parole chiave. 3. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di parole chiave da importare esiste già, viene ignorato. 4. Fare clic su Applica a tutti i client. Per modificare un elenco di parole chiave: P ERCORSO : C OMPUTER 9-40 COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Parole chiave. 2. Fare clic sul nome dell'elenco di parole chiave da modificare. Viene visualizzata una nuova schermata. 3. Modificare le impostazioni. 4. Fare clic su Salva. 5. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 6. Nella finestra Definizioni di risorse digitali fare clic su Applica a tutti i client. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per esportare le parole chiave: Nota. Utilizzare l'opzione "esporta" per eseguire il backup degli elenchi di parole chiave personalizzati o per importarli in un altro server OfficeScan. Tutti gli elenchi di parole chiave personalizzati vengono esportati. Non è possibile esportare singoli elenchi di parole chiave personalizzati. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI 1. Fare clic sulla scheda Parole chiave. 2. Fare clic sul pulsante Esporta. 3. Salvare il file .dat risultante nel percorso desiderato. > D EFINIZIONI Per eliminare elenchi di parole chiave: Nota. Non è possibile eliminare un elenco di parole chiave utilizzato da un modello di risorse digitali. Eliminare il modello prima di eliminare l'elenco di parole chiave. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > D EFINIZIONI 1. Fare clic sulla scheda Parole chiave. 2. Selezionare gli elenchi di parole chiave da eliminare e fare clic su Elimina. 3. Fare clic su Applica a tutti i client. 9-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Modelli di risorse digitali Un modello di risorse digitali comprende definizioni di risorse digitali e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Il criterio di Controllo risorse digitali sarà applicato solo ai file o ai dati che soddisfano una determinata istruzione condizionale. Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E deve contenere determinati termini legali (parole chiave) E deve contenere numeri ID (espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterio consente al personale delle Risorse umane di trasmettere il file stampandolo in modo che la copia stampata possa essere firmata da un dipendente. La trasmissione attraverso tutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata. Se sono state configurate le definizioni delle risorse digitali, è possibile creare i propri modelli. È possibile inoltre usare i modelli predefiniti. Per ulteriori dettagli, vedere Modelli di risorse digitali personalizzati a pagina 9-44 e Modelli di risorse digitali predefiniti a pagina 9-42. Modelli di risorse digitali predefiniti OfficeScan dispone di una serie di modelli predefiniti che possono essere utilizzati per conformarsi ai diversi standard normativi. Questi elenchi non possono essere modificati, copiati, esportati o eliminati. TABELLA 9-7. Modelli predefiniti M ODELLO GLBA (Gramm-LeachBilley Act) S COPO E SEMPI DI DATI • Creati per istituti finanziari • Numero di carta di come le banche e le compagnie di assicurazioni e investimenti • Regola la comunicazione dei dati personali e finanziari dei un cliente PROTETTI credito • Numero di registrazione ABA (codice bancario) • Codice fiscale • Data di nascita 9-42 Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-7. Modelli predefiniti (continua) M ODELLO HIPAA (Health Insurance Portability and Accountability Act) S COPO • Creato per le agenzie che archiviano record medici, come i centri di assistenza sanitaria o le HMO (Health Maintenance Organization) • Cura e protegge la privacy in relazione alle informazioni sanitarie PCI-DSS (Payment Card Industry Data Security Standard) SB-1386 (US Senate Bill 1386) • Creato per le società che elaborano i pagamenti con le carte di credito • Ha lo scopo di aiutare le società che elaborano i pagamenti con le carte di credito a prevenire le frodi • Creato per le persone o agenzie le cui attività riguardano informazioni personali dei residenti in California • Richiede la "notifica ai residenti in California di violazioni della sicurezza delle informazioni non crittografate che li riguardano" E SEMPI DI DATI PROTETTI • Codice fiscale • Numero di carta di credito • Numero HIC (Health Insurance Claim) • Termini medici comuni • Numero di carta di credito • Nome • Data parziale • Data di scadenza • Codice fiscale • Numero di carta di credito • Numero ID California • Numero della patente di guida della California 9-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-7. M ODELLO US PII Modelli predefiniti (continua) S COPO Protegge le informazioni personali (Personal Identifiable Information, PII) delle persone negli Stati Uniti E SEMPI DI DATI PROTETTI • Codice fiscale • Numero di carta di credito • Nome • Indirizzo abitazione • Numero di telefono • Indirizzo e-mail • Luogo di nascita • Data di nascita Modelli di risorse digitali personalizzati Creare modelli personalizzati se sono state configurate definizioni di risorse digitali. Un modello comprende definizioni di risorse digitali e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Istruzioni condizionali e operatori logici OfficeScan valuta le istruzioni condizionali da sinistra a destra. Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. 9-44 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Vedere alcuni esempi nella tabella seguente. TABELLA 9-8. Esempi di istruzioni condizionali I STRUZIONE CONDIZIONALE I NTERPRETAZIONE ED ESEMPIO [Definizione 1] E [Definizione 2] Eccetto [Definizione 3] Un file deve soddisfare [Definizione 1] e [Definizione 2] ma non [Definizione 3]. [Definizione 1] O [Definizione 2] Il file deve soddisfare la [Definizione 1] o la [Definizione 2]. Ad esempio: Un file deve essere [un documento Adobe PDF] e deve contenere [un indirizzo e-mail] ma non deve contenere [tutte le parole chiave dell'elenco di parole chiave]. Ad esempio: Il file deve essere [un documento Adobe PDF] o [un documento Microsoft Word]. Eccetto [Definizione 1] Un file non deve soddisfare [Definizione 1]. Ad esempio: Un file non deve essere [un file multimediale]. Come indicato nell'ultimo esempio della tabella, la prima definizione di risorse digitali nell'istruzione condizionale può avere l'operatore "Eccetto" se un file non deve soddisfare tutte le definizioni di risorse digitali contenute nell'istruzione. Nella maggior parte dei casi, tuttavia, la prima definizione di risorse digitali non ha un operatore. Per aggiungere un modello: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > M ODELLI 1. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 2. Inserire un nome per il modello. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ 3. Immettere una descrizione la cui lunghezza non superi i 256 byte. 9-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Selezionare le definizioni di risorse digitali e fare clic sull'icona "aggiungi" . Durante la selezione delle definizioni: • Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionare le definizioni. • Utilizzare la funzionalità di ricerca per cercare una definizione specifica. È possibile immettere il nome completo o una parte del nome della definizione. • Ogni modello può comprende al massimo 30 definizioni. 5. Per creare una nuova espressione, fare clic su Espressioni, quindi su Aggiungi nuova espressione. Configurare le impostazioni dell'espressione nella schermata visualizzata. 6. Per creare un nuovo elenco di attributi di file, fare clic su Attributi di file, quindi su Aggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco di attributi di file nella schermata visualizzata. 7. Per creare un nuovo elenco di keyword, fare clic su Keyword, quindi su Aggiungi nuova keyword. Configurare le impostazioni per l'elenco delle keyword nella schermata visualizzata. 8. Se si seleziona un'espressione, immettere il numero di occorrenze che corrisponde al numero di volte che un'espressione deve ricorrere prima che venga applicata da OfficeScan a un criterio di Controllo risorse digitali. 9. Scegliere un operatore logico per ciascuna definizione. ATTENZIONE! Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedere Istruzioni condizionali e operatori logici a pagina 9-44. 10. Per rimuovere una definizione da un elenco di definizioni selezionate, fare clic sull'icona del cestino . 11. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se non corrisponde all'istruzione desiderata. 12. Fare clic su Salva. 9-46 Gestione della Protezione dati e utilizzo di Controllo risorse digitali 13. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 14. Nella finestra Modelli di risorse digitali fare clic su Applica a tutti i client. Per aggiungere un modello con l'opzione "copia": Nota. Utilizzare questa opzione se un modello da aggiungere ha impostazioni simili a un modello esistente. P ERCORSO : C OMPUTER 1. 2. 3. 4. 5. 6. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > M ODELLI Selezionare un modello personalizzato, quindi fare clic su Copia. Viene visualizzata una nuova schermata. Immettere un nome univoco per il modello. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: ><*^|&?\/ Accettare o modificare le altre impostazioni. Fare clic su Salva. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. Nella finestra Modelli di risorse digitali fare clic su Applica a tutti i client. Per aggiungere modelli con l'opzione "importa": Nota. Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene i modelli. È possibile generare il file esportando i modelli dal server OfficeScan a cui si è effettuato l'accesso oppure da un altro server OfficeScan. Per ulteriori informazioni sull'esportazione dei modelli, vedere Per esportare modelli: a pagina 9-48. P ERCORSO : C OMPUTER 1. 2. 3. COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > M ODELLI Fare clic su Importa e individuare il file .dat che contiene i modelli. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un modello da importare esiste già, viene ignorato. Fare clic su Applica a tutti i client. 9-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per modificare un modello: P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI > M ODELLI 1. Fare clic sul nome del modello da modificare. Viene visualizzata una nuova schermata. 2. Modificare le impostazioni. 3. Fare clic su Salva. 4. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sui client. Fare clic su Chiudi. 5. Nella finestra Modelli di risorse digitali fare clic su Applica a tutti i client. Per esportare modelli: Nota. Utilizzare l'opzione "esporta" per eseguire il backup dei modelli o per importarli in un altro server OfficeScan. Tutti i modelli personalizzati vengono esportati. Non è possibile esportare singoli modelli personalizzati. P ERCORSO : C OMPUTER COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI 1. Fare clic sul pulsante Esporta. 2. Salvare il file .dat risultante nel percorso desiderato. > M ODELLI Per eliminare modelli: Nota. Non è possibile eliminare un modello utilizzato da un criterio di Controllo risorse digitali. Rimuovere il modello dal criterio prima di eliminarlo. P ERCORSO : C OMPUTER 9-48 COLLEGATI IN RETE > C ONTROLLO RISORSE DIGITALI 1. Selezionare i modelli da eliminare e fare clic su Elimina. 2. Fare clic su Applica a tutti i client. > M ODELLI Gestione della Protezione dati e utilizzo di Controllo risorse digitali Canali di Controllo risorse digitali Gli utenti possono trasmettere risorse digitali attraverso vari canali. OfficeScan può monitorare i seguenti canali: • Canali di rete: le risorse digitali vengono trasmesse utilizzando i protocolli di rete, come HTTP e FTP. • Canali di applicazioni e sistemi: le risorse digitali vengono trasmesse utilizzando le applicazioni e le periferiche di un computer locale. Canali di rete OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete: • Client di posta elettronica • FTP • HTTP e HTTPS • Applicazioni di messaggistica istantanea • Protocollo SMB • Webmail Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito della trasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato, OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori della rete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 9-53. Client di posta elettronica OfficeScan controlla la posta elettronica trasmessa attraverso vari client di posta. OfficeScan controlla l'oggetto, il corpo del messaggio e gli allegati per identificare eventuali risorse digitali. Per un elenco dei client di posta elettronica supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di posta elettronica. Se il messaggio contiene risorse digitali, OfficeScan autorizza oppure blocca il messaggio. 9-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore È possibile definire i domini di posta elettronica interni monitorati e non monitorati. • Domini di posta elettronica monitorati: quando OfficeScan rileva posta elettronica trasmessa a un dominio monitorato, verifica l'azione per il criterio. In base all'azione, la trasmissione viene consentita o bloccata. Nota. • Se si selezionano client di posta elettronica come canali monitorati, affinché un messaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Al contrario, un messaggio e-mail inviato a un dominio di posta elettronica monitorato viene automaticamente monitorato, anche se non corrisponde ad un criterio. Domini di posta elettronica non monitorati: OfficeScan consente immediatamente la trasmissione dei messaggi e-mail inviati ai domini non monitorati. Nota. Le trasmissioni di dati ai domini di posta elettronica monitorati e non monitorati in cui l'azione è "Ignora" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per i domini di posta elettronica non monitorati, OfficeScan non registra la trasmissione, mentre per i domini di posta elettronica monitorati, la trasmissione viene sempre registrata. Specificare i domini usando i seguenti formati; usare la virgola per separare più domini: • Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina • Domini di posta elettronica, come example.com Per i messaggi di posta elettronica inviati tramite il protocollo SMTP, OfficeScan verifica se il server SMTP di destinazione è presente negli elenchi seguenti: 1. Destinazioni monitorate 2. Destinazioni non monitorate Nota. 9-50 Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultare Ambito e destinazioni della trasmissione per i canali di rete a pagina 9-53. 3. Domini di posta elettronica monitorati 4. Domini di posta elettronica non monitorati Gestione della Protezione dati e utilizzo di Controllo risorse digitali Questo significa che se un messaggio e-mail viene inviato a un server SMTP presente nell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se il server SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScan verifica gli altri elenchi. Se il server SMTP non è presente in nessun elenco, il messaggio e-mail non viene viene monitorato. Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchi seguenti: 1. Domini di posta elettronica monitorati 2. Domini di posta elettronica non monitorati FTP Se OfficeScan rileva che un client FTP sta tentando di caricare file su un server FTP, controlla l'eventuale presenza di risorse digitali nei file. A questo punto non è stato caricato nessun file. A seconda del criterio di Controllo risorse digitali, OfficeScan autorizza oppure blocca l'upload. Se si configura un criterio che blocca l'upload di file, ricordare quanto segue: • Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare di nuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire che carichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato chiuso il client FTP. Informare gli utenti di questa situazione quando vengono implementati i criteri di Controllo risorse digitali. • Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTP potrebbe essere eliminato. Per un elenco dei client FTP supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx HTTP e HTTPS OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS, OfficeScan controlla i dati prima che vengano crittografati e trasmessi. Per un elenco delle applicazioni e dei browser Web supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 9-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Applicazioni di messaggistica istantanea OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni di messaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengono controllati. Per un elenco delle applicazioni IM supportate, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Quando OfficeScan blocca un messaggio o un file inviato tramite AOL Instant Messenger, MSN, Windows Messenger o Windows Live Messenger, chiude anche l'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non risponde e gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessuna notifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazione quando vengono implementati i criteri di Controllo risorse digitali. Protocollo SMB OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server Message Block (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire, salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file è o contiene una risorsa digitale e poi autorizza oppure blocca l'operazione. Nota. L'azione di Controllo dispositivo ha una priorità più alta rispetto a quella di Controllo risorse digitali. Se, ad esempio, Controllo dispositivo non consente lo spostamento di file su unità di rete mappate, la trasmissione delle risorse digitali non procede anche se Controllo risorse digitali la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Webmail I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. Se OfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere se contengono risorse digitali. Per un elenco dei servizi di posta elettronica basati sul Web supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 9-52 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Ambito e destinazioni della trasmissione per i canali di rete L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canali di rete che OfficeScan deve monitorare. Per le trasmissioni che devono essere monitorate, OfficeScan verifica la presenza di risorse digitali prima di consentire o bloccare la trasmissione. Per le trasmissioni che non devono essere monitorate, OfficeScan non verifica la presenza di risorse digitali e consente subito la trasmissione. Ambito trasmissione: Tutte le trasmissioni OfficeScan monitora i dati trasmessi all'esterno del computer host. Suggerimento. Trend Micro consiglia di scegliere questo ambito per i client esterni. Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterne al computer host, definire quanto segue: • Destinazioni non monitorate: OfficeScan non monitora i dati trasmessi a queste destinazioni. Nota. • Le trasmissioni di dati alle destinazioni monitorate e non monitorate in cui l'azione è "Ignora" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. Destinazioni monitorate: Destinazioni specifiche nell'ambito delle destinazioni non monitorate che devono essere monitorate. Le destinazioni monitorate sono: • Facoltative, se sono state definite destinazioni non monitorate. • Non configurabili, se non sono state definite destinazioni non monitorate. Ad esempio: Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda: 10.201.168.1 to 10.201.168.25 Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tutti gli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, è necessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi: 9-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore opzione 1: 1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate. 2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alle destinazioni monitorate. Si assuma che siano disponibili 3 indirizzi IP, 10.201.168.21-10.201.168.23. opzione 2: Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alle destinazioni monitorate: • 10.201.168.1-10.201.168.20 • 10.201.168.24-10.201.168.25 Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni monitorate e non monitorate a pagina 9-55. Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area Network) OfficeScan monitora i dati trasmessi a qualsiasi destinazione esterna alla rete locale (LAN). Suggerimento. Trend Micro consiglia di scegliere questo ambito per i client interni. Per "Rete" si intende la rete locale di un'azienda. Il termine include la rete attuale (indirizzo IP dell'endpoint e netmask) e i seguenti indirizzi IP privati standard: 9-54 • Classe A: da 10.0.0.0 a 10.255.255.255 • Classe B: da 172.16.0.0 a 172.31.255.255 • Classe C: da 192.168.0.0 a 192.168.255.255 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue: • Destinazioni non monitorate: definire destinazioni esterne alla LAN che si considerano sicure e, quindi, and non devono essere monitorate. Nota. • Le trasmissioni di dati alle destinazioni monitorate e non monitorate in cui l'azione è "Ignora" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. Destinazioni monitorate: Definire le destinazioni della LAN da monitorare. Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni monitorate e non monitorate a pagina 9-55. Definizione di destinazioni monitorate e non monitorate Seguire queste istruzioni quando si definiscono le destinazioni monitorate e non monitorate: 1. Definire ciascuna destinazione in base a: • Intervallo di indirizzi o indirizzo IP • Nome host • FQDN • Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32 Nota. 2. Per la subnet mask, OfficeScan supporta solo una porta di tipo CIDR (Classless Inter-Domain Routing). Questo significa che si dovrà immettere semplicemente un numero come 32 invece di 255.255.255.0. Per canali specifici, includere i numeri di porta predefiniti o definiti dall'azienda per tali canali. Ad esempio, la porta 21 è in genere assegnata al traffico FTP, la porta 80 all'HTTP e la porta 443 all'HTTPS. Separare la destinazione dai numeri di porta con due punti (:). 9-55 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. È possibile includere anche intervalli di porte. Per includere tutte le porte, non specificare un intervallo di porte. Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta e intervalli di porte: 4. • 10.1.1.1:80 • host:5-20 • host.domain.com:20 • 10.1.1.1/32:20 Separare le destinazioni con delle virgole. Risoluzione dei conflitti Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e le destinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità, in ordine decrescente: • Destinazioni monitorate • Destinazioni non monitorate • Ambito trasmissione Canali di applicazioni e sistemi OfficeScan può monitorare i seguenti canali di applicazioni e sistemi: 9-56 • Supporti di registrazione dati (CD/DVD) • Applicazioni peer-to-peer • Crittografia PGP • Stampante • Dispositivi di archiviazione rimovibili • Software di sincronizzazione (ActiveSync) • Appunti di Windows Gestione della Protezione dati e utilizzo di Controllo risorse digitali Supporti di registrazione dati (CD/DVD) OfficeScan controlla i dati registrati su CD o DVD. Per un elenco dei software e dispositivi di registrazione dei dati supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi o software supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione è Blocca, OfficeScan verifica se i file da registrare sono o contengono risorse digitali. Se OfficeScan rileva almeno una risorsa digitale, tutti i file, compresi quelli che non sono né contengono risorse digitali, non verranno registrati. OfficeScan può anche impedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utenti che devono riavviare il processo del software o il dispositivo. OfficeScan implementa altre regole di registrazione di CD/DVD: • Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file: .bud .jpg .dll .lnk .gif .sys .gpd .ttf .htm .url .ico .xml .ini • Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) non vengono controllati per aumentare le prestazioni. • OfficeScan non controlla i file nelle seguenti directory: *:\autoexec.bat ..\Dati applicazioni ..\Impostazioni locali ..\Programmi ..\WINNT • *:\Windows ..\Cookies ..\ProgramData ..\Users\*\AppData Le immagini ISO create dalle unità e dal software non vengono controllate. Applicazioni peer-to-peer OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer. Per un elenco delle applicazioni peer-to-peer supportate, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 9-57 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Crittografia PGP OfficeScan controlla i dati che devono essere crittografati dal software di crittografia PGP. OfficeScan controlla i dati prima della crittografia. Per un elenco dei software di crittografia PGP supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Stampante OfficeScan controlla le operazioni della stampante avviate da varie applicazioni. OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono stati salvati perché a questo punto le informazioni di stampa sono solo state salvate in memoria. Per un elenco delle applicazioni supportate che possono avviare operazioni di stampa, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Dispositivi di archiviazione rimovibili OfficeScan controlla la trasmissione dei dati su o all'interno dei dispositivi di archiviazione rimovibili. Attività correlate alla trasmissione dei dati comprendono: • Creazione di un file nel dispositivo • Copia di un file dal computer host al dispositivo • Chiusura di un file modificato nel dispositivo • Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo Se un file da trasmettere contiene una risorsa digitale, OfficeScan blocca oppure autorizza la trasmissione. Nota. 9-58 L'azione di Controllo dispositivo ha una priorità più alta rispetto a quella di Controllo risorse digitali. Se, ad esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo di archiviazione rimovibile, la trasmissione delle risorse digitali non procede anche se Controllo risorse digitali la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per i dispositivi di archiviazione a pagina 8-4. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitano le attività di trasmissione di dati supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è un processo semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Word potrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il quale l'utente salva il file). Se il file contiene una risorsa digitale che non deve essere trasmessa, OfficeScan impedisce il salvataggio del file. Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue prima il backup del file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent\ temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato la trasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il file possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia il file di backup nella cartella che contiene il file originale. OfficeScan consente all'utente di definire i dispositivi non monitorati. OfficeScan consente sempre la trasmissione dei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base ai fornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi. Suggerimento. Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ogni dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-69. 9-59 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Software di sincronizzazione (ActiveSync) OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software di sincronizzazione. Per un elenco dei software di sincronizzazione supportati, vedere: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso la porta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i dati sono risorse digitali prima di autorizzarne o bloccarne la trasmissione. Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque essere creato un file con lo stesso nome contenente caratteri in formato non corretto nella cartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono state copiate sul dispositivo prima che OfficeScan bloccasse la trasmissione. Appunti di Windows OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirne o bloccarne la trasmissione. OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktop remoto. Il controllo avviene sull'entità con il client OfficeScan. Un client OfficeScan su una macchina virtuale VMware, ad esempio, può impedire la trasmissione dei dati degli appunti della macchina virtuale al computer host. Allo stesso modo, un computer host con un client OfficeScan non può copiare i dati degli appunti su un endpoint a cui si accede da desktop remoto. 9-60 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Azioni di Controllo risorse digitali Quando OfficeScan rileva la trasmissione di risorse digitali, controlla il criterio di Controllo risorse digitali per le risorse digitali rilevate ed esegue l'azione configurata per il criterio. La tabella riportata di seguito comprende un elenco delle azioni di Controllo risorse digitali. TABELLA 9-9. Azioni di Controllo risorse digitali A ZIONE D ESCRIZIONE Azioni primarie Ignora OfficeScan consente e registra la trasmissione Blocca OfficeScan blocca e registra la trasmissione Ulteriori azioni Invia una notifica all'utente client OfficeScan visualizza un messaggio di notifica per informare l'utente della trasmissione di dati e se tale operazione è stata bloccata o consentita. Per modificare il messaggio, accedere a Notifiche > Notifiche all'utente client > scheda Trasmissioni di risorse digitali. Registra dati Indipendentemente dall'azione primaria, OfficeScan registra la risorsa digitale in <Cartella di installazione del client>\DLPLite\Forensic. Selezionare questa azione per valutare le risorse digitali contrassegnate da Controllo risorse digitali. Come misura di sicurezza, i client non inviano risorse digitali registrate al server. Le risorse digitali registrate possono utilizzare troppo spazio su disco. Quindi, Trend Micro consiglia vivamente di scegliere questa opzione solo per informazioni particolarmente sensibili. 9-61 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Regole di decompressione I file inclusi all'interno di file compressi possono essere sottoposti a scansione per individuare risorse digitali. Per stabilire quali file sottoporre a scansione, OfficeScan applica le seguenti regole a un file compresso: 1. Dimensioni massime di un file decompresso: __ MB (1-512 MB) 2. Numero massimo di livelli di compressione: __ (1-20) 3. Numero massimo di file da sottoporre a scansione: __ (1-2000) Regola 1: Dimensioni massime di un file decompresso Un file compresso, una volta decompresso, deve soddisfare il limite specificato. Esempio: Il limite è impostato a 20 MB. Scenario 1: Se le dimensioni di archive.zip dopo la decompressioni sono di 30 MB, nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole non vengono verificate. Scenario 2: Se le dimensioni di my_archive.zip dopo la decompressioni sono di 10 MB: • Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 e procede con la Regola 3. • Se my_archive.zip contiene file compressi, le dimensioni di tutti i file decompressi devono essere entro il limite. Ad esempio, se my_archive.zip contiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip: my_archive.zip = 10 MB dopo la decompressione \AAA.rar = 25 MB dopo la decompressione \BBB.zip = 3 MB dopo la decompressione \EEE.zip = 1 MB dopo la decompressione \222.zip = 2 MB dopo la decompressione my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in base alla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20 MB. AAA.rar viene saltato. 9-62 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Regola 2: Numero massimo di livelli di compressione I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione. Ad esempio: my_archive.zip \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è impostato su due livelli: • OfficeScan ignora 333.txt perchè si trova al terzo livello. • OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3: • DDD.txt (nel primo livello) • CCC.xls (nel secondo livello) • 111.pdf (nel secondo livello) Regola 3: Numero massimo di file da sottoporre a scansione OfficeScan esegue la scansione dei file fino al limite specificato. OfficeScan esegue la scansione di file e cartelle prima in ordine numerico e poi alfabetico. Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziati per la scansione: my_archive.zip \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt 9-63 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Inoltre, my_archive.zip contiene la cartella 7Folder, che non è stata verificata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt, portando a 5 il numero totale di file da sottoporre a scansione, come indicato di seguito: my_archive.zip \7Folder \FFF.doc \7Folder \GGG.ppt \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file: • FFF.doc • GGG.ppt • CCC.xls • DDD.txt Nota. Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati. Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file. Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.exe) vengono contati come file separati. 9-64 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Eventi che innescano le regole di decompressione I seguenti eventi innescano le regole di decompressione: Evento 1: Un file compresso che deve essere trasmesso corrisponde a un criterio e l'azione per il file compresso è Ignora (trasmetti il file). Ad esempio, per monitorare i file .ZIP trasmessi dagli utenti, è stato definito un attributo di file (.ZIP) e aggiunto a un modello, quindi il modello è stato usato in un criterio e l'azione è stata impostata su Ignora. Nota. Se l'azione è Blocca, l'intero file compresso non viene trasmesso e, quindi, non è necessario eseguire la scansione dei file che questo contiene. Evento 2: Un file compresso che deve essere trasmesso non corrisponde a un criterio. In questo caso, OfficeScan applica comunque le regole di decompressione al file compresso per determinare quali file in esso contenuti devono essere sottoposti a scansione per verificare la presenza di risorse digitale e stabilire se l'intero file compresso deve essere trasmesso o meno. Risultato: Il risultato degli eventi 1 e 2 è uguale. Quando OfficeScan rileva un file compresso: • Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissione dell'intero file compresso. • Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole. OfficeScan consente la trasmissione dell'intero file compresso se: • Tutti i file sottoposti a scansione non corrispondono a un criterio. • Tutti i file sottoposti a scansione corrispondono a un criterio e l'azione è Ignora. La trasmissione dell'intero file compresso viene bloccata se almeno uno dei file sottoposti a scansione corrisponde a un criterio e l'azione è Blocca. 9-65 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Configurazione dei criteri di Controllo risorse digitali È possibile iniziare a creare criteri di Controllo risorse digitali dopo aver configurato le definizioni delle risorse digitali e averle organizzate in modelli. Oltre alle definizioni e ai modelli delle risorse digitali, quando si crea un criterio, è necessario configurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri di Controllo risorse digitali a pagina 9-10. Per creare un criterio di Controllo risorse digitali: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Impostazioni di Controllo risorse digitali. 3. Fare clic sulla scheda Client esterni per configurare un criterio per i client esterni oppure sulla scheda Client interni per configurare un criterio per i client interni. Suggerimento. Configurare le impostazioni della località del client se non sono state già configurate. I client usano queste impostazioni per stabilire la loro località e applicare il corretto criterio di Controllo risorse digitali. Per i dettagli, consultare Località computer a pagina 13-2. 4. Selezionare Attiva controllo risorse digitali. 5. Nella scheda Client esterni, è possibile applicare tutte le impostazioni di Controllo risorse digitali ai client interni selezionando Applica impostazioni a client interni. Nella scheda Client interni, è possibile applicare tutte le impostazioni di Controllo risorse digitali ai client esterni selezionando Applica impostazioni a client esterni. 6. 9-66 Configurare le impostazioni riportate di seguito: • Impostazioni modelli a pagina 9-67 • Impostazioni canali a pagina 9-68 • Impostazioni operazioni a pagina 9-69 Gestione della Protezione dati e utilizzo di Controllo risorse digitali 7. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Impostazioni modelli 1. Fare clic sulla scheda Modello. 2. Se ci si trova nella scheda Client esterni, è possibile applicare le impostazioni dei modelli ai client interni selezionando Applica impostazioni a client interni. 3. Se ci si trova nella scheda Client interni, è possibile applicare le impostazioni dei modelli ai client esterni selezionando Applica impostazioni a client esterni. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi. 4. Quando si selezionano i modelli: • Selezionare più voci tenendo premuto il tasto CTRL mentre si selezionano i modelli. • Usare la funzione di ricerca se si pensa a un modello specifico. È possibile digitare il nome del modello per intero o parziale. Se il modello che si preferisce utilizzare non si trova nell'elenco Modelli disponibili: a. Fare clic su Aggiungi nuovo modello. Viene visualizzata la schermata Modelli di risorse digitali. Per istruzioni sull'aggiunta di modelli nella schermata Modelli di risorse digitali, vedere Modelli di risorse digitali a pagina 9-42. b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi. Nota. OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono alla definizione di un modello, OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine dei modelli nell'elenco. 9-67 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni canali 1. Fare clic sulla scheda 2. Se ci si trova nella scheda Client esterni, è possibile applicare le impostazioni dei canali ai client interni selezionando Applica impostazioni a client interni. 3. 4. 5. Se ci si trova nella scheda Client interni, è possibile applicare le impostazioni dei canali ai client esterni selezionando Applica impostazioni a client esterni. Selezionare i canali per il criterio. Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 9-49 e Canali di applicazioni e sistemi a pagina 9-56. Se sono stati selezionati dei canali di rete: a. Selezionare l'ambito della trasmissione. • Tutte le trasmissioni • Solo trasmissioni esterne alla LAN (Local Area Network) b. Fare clic su Eccezioni. c. Specificare destinazioni monitorate e non monitorate. Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 9-53 per maggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazioni dipendono dall'ambito della trasmissione e su come definire le destinazioni correttamente. Se si seleziona Client di posta elettronica: a. Fare clic su Eccezioni. b. 6. Specificare domini di posta elettronica interni monitorati e non monitorati. Per maggiori dettagli sui domini di posta elettronica monitorati e non monitorati, vedere Client di posta elettronica a pagina 9-49. Se si seleziona Dispositivi di archiviazione rimovibili: a. Fare clic su Eccezioni. b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarli in base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi. c. Per aggiungere altri dispositivi, fare clic sull'icona Suggerimento. 9-68 Canale. . Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ogni dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-69. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Impostazioni operazioni 1. Fare clic sulla scheda Azione. 2. Se ci si trova nella scheda Client esterni, è possibile applicare le impostazioni delle azioni ai client interni selezionando Applica impostazioni a client interni. Se ci si trova nella scheda Client interni, è possibile applicare le impostazioni delle azioni ai client esterni selezionando Applica impostazioni a client esterni. 3. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulteriori informazioni sulle azioni, vedere Azioni di Controllo risorse digitali a pagina 9-61. 4. Configurare le impostazioni per le regole di decompressione. Per maggiori dettagli sulle regole di decompressione, vedere Regole di decompressione a pagina 9-62. Strumento elenco dispositivi Eseguire lo Strumento elenco dispositivi localmente su ogni singolo endpoint per eseguire query sui dispositivi esterni collegati all'endpoint. Lo strumento analizza un endpoint alla ricerca di dispositivi esterni, quindi visualizza le informazioni sul dispositivo in una finestra del browser. Tali informazioni possono quindi essere utilizzate durante la configurazione delle impostazioni dei dispositivi per il Controllo risorse digitali e il Controllo dispositivo. Per eseguire lo strumento elenco dispositivi: 1. Sul computer server OfficeScan, andare a <Cartella di installazione del server>\ PCCSRV\Admin\Utility\ListDeviceInfo. 2. Copiare listDeviceInfo.exe nell'endpoint di destinazione. 3. Sull'endpoint, fare doppio clic su listDeviceInfo.exe. 4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. Il Controllo risorse digitali e il Controllo dispositivo utilizzano le seguenti informazioni: • Fornitore (obbligatorio) • Modello (facoltativo) • ID di serie (facoltativo) 9-69 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Widget di Controllo risorse digitali I widget di Controllo risorse digitali contengono un elenco delle trasmissioni delle risorse digitali. I widget includono: • Controllo risorse digitali - Rilevamenti principali • Controllo risorse digitali - Rilevamenti per periodo di tempo Questi widget sono disponibili sulla dashboard Riepilogo del server OfficeScan. Per i dettagli, consultare Dashboard Riepilogo a pagina 2-5. Notifiche di Controllo risorse digitali OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente, altri amministratori di OfficeScan e gli utenti client sulle trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche di Controllo risorse digitali per amministratori a pagina 9-70. Per ulteriori informazioni sulle notifiche inviate agli utenti client, vedere Notifiche di Controllo risorse digitali per gli utenti client a pagina 9-73. Notifiche di Controllo risorse digitali per amministratori Configurare OfficeScan per inviare agli amministratori OfficeScan un messaggio di notifica quando viene rilevata la trasmissione di risorse digitali o quando la trasmissione è bloccata. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan quando di verificano trasmissioni di risorse digitali. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Nota. 9-70 OfficeScan è in grado di inviare notifiche tramite e-mail, cercapersone, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Per configurare le notifiche di Controllo risorse digitali per gli amministratori: P ERCORSO : N OTIFICHE > N OTIFICHE 1. 2. AMMINISTRATORE > N OTIFICHE STANDARD Nella scheda Criteri: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Specificare se inviare le notifiche per il rilevamento della trasmissione delle risorse digitali o solo quando la trasmissione è bloccata. Nella scheda E-mail: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura del client. È possibile usare l'RBA (Role-based Administration) per assegnare agli utenti autorizzazioni al dominio della struttura del client. Se la trasmissione avviene in un client appartenente ad un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: TABELLA 9-10. DOMINIO STRUTTURA CLIENT Dominio A Dominio B Domini della struttura dei client e autorizzazioni R UOLI CON AUTORIZZAZIONI PER IL DOMINIO A CCOUNT UTENTE CON IL RUOLO I NDIRIZZO E - MAIL DELL ' ACCOUNT UTENTE Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] 9-71 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Se un client OfficeScan appartenente al Dominio A rileva una trasmissione di risorse digitali, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se un client OfficeScan appartenente al Dominio B rileva la trasmissione, il messaggio e-mail viene inviato a [email protected] e [email protected]. Nota. Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 9-11. Variabili token per notifiche di Controllo risorse digitali VARIABILE 9-72 D ESCRIZIONE %USER% L'utente che accede al computer quando la trasmissione viene rilevata %COMPUTER% Computer in cui è stata rilevata la trasmissione %DOMAIN% Dominio del computer %DATETIME% Data e ora di rilevamento della trasmissione %CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione %TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento Gestione della Protezione dati e utilizzo di Controllo risorse digitali 3. 4. 5. 6. Nella scheda Cercapersone: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante cercapersone. c. Digitare il messaggio. Fare clic sulla scheda Trap SNMP: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per notifiche di Controllo risorse digitali a pagina 9-72. Nella scheda Registro eventi NT: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Variabili token per notifiche di Controllo risorse digitali a pagina 9-72. Fare clic su Salva. Notifiche di Controllo risorse digitali per gli utenti client OfficeScan è in grado di visualizzare i messaggi di notifica sui computer client immediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali. Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata o consentita, selezionare l'opzione Notifica tutti gli utenti client quando si crea un criterio di Controllo risorsa digitale. Per istruzioni sulla creazione di criteri, vedere Configurazione dei criteri di Controllo risorse digitali a pagina 9-66. Per configurare le notifiche di Controllo risorse digitali per gli utenti client: P ERCORSO : N OTIFICHE > N OTIFICHE 1. 2. 3. ALL ' UTENTE CLIENT Fare clic sulla scheda Trasmissioni di risorse digitali. Accettare o modificare il messaggio predefinito. Fare clic su Salva. 9-73 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri di Controllo risorse digitali I client registrano le trasmissioni (bloccate e consentite) delle risorse digitali e inviano immediatamente i registri al server. Se il client non è in grado di inviare i registri, riprova dopo 5 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di Controllo risorse digitali: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER 1. 2. 3. 4. 5. 9-74 COLLEGATI IN RETE > G ESTIONE CLIENT Nella struttura dei client, fare clic sull'icona del dominio principale per includere tutti i client oppure selezionare domini o client specifici. Fare clic su Registri > Registri di Controllo risorse digitali oppure su Visualizza registri > Registri di Controllo risorse digitali. Specificare i parametri del registro e fare clic su Visualizza registri. Visualizzare i registri. I registri contengono le seguenti informazioni: • Data/Ora in cui è stata rilevata la trasmissione di risorse digitali • Computer in cui è stata rilevata la trasmissione • Dominio del computer • Indirizzo IP del computer • Il processo che ha facilitato la trasmissione di una risorsa digitale. Il processo dipende dal canale. Per i dettagli, consultare Processi per canale a pagina 9-75. • Canale attraverso il quale è stata trasmessa la risorsa digitale • Azione eseguita sulla trasmissione • Modello che ha attivato il rilevamento • Nome utente che ha effettuato l'accesso al computer • Descrizione che include ulteriori informazioni sulla trasmissione. Per i dettagli, consultare Descrizioni a pagina 9-78. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Gestione della Protezione dati e utilizzo di Controllo risorse digitali Processi per canale La tabella seguente contiene un elenco dei processi che vengono visualizzati nella colonna Processo dei registri di Controllo risorse digitali. TABELLA 9-12. Processi per canale C ANALE P ROCESSO Software di sincronizzazione (ActiveSync) Il percorso completo e il nome del processo del software di sincronizzazione Esempio: C:\Windows\system32\WUDFHost.exe Supporto di registrazione dati (CD/DVD) Percorso completo e nome di processo del supporto di registrazione dati Esempio: C:\Windows\Explorer.exe Appunti di Windows Percorso completo e nome di processo di ShowMsg.exe ShowMsg.exe è il processo di Controllo risorse digitali che tiene sotto controllo gli eventi degli appunti. Esempio: C:\Windows\system32\ShowMsg.exe Client di posta elettronica Lotus Notes Percorso completo e nome di processo di Lotus Notes Client di posta elettronica Microsoft Outlook Percorso completo e nome di processo di Microsoft Outlook Esempio: C:\Program Files\IBM\Lotus\Notes\nlnotes.exe Esempio: C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE Client di posta elettronica - Tutti i client che usano il protocollo SMTP Percorso completo e nome di processo del client di posta elettronica Esempio: C:\Programmi\Mozilla Thunderbird\thunderbird.exe 9-75 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 9-12. Processi per canale (continua) C ANALE Dispositivi di archiviazione rimovibili P ROCESSO Nome di processo dell'applicazione che ha trasmesso i dati a oppure all'interno del dispositivo di archiviazione Esempio: explorer.exe FTP Percorso completo e nome di processo del client FTP Esempio: D:\Programmi\FileZilla FTP Client\filezilla.exe HTTP "Applicazione HTTP" HTTPS Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Internet Explorer\iexplore.exe Applicazione IM Percorso completo e nome di processo dell'applicazione di messaggistica istantanea Esempio: C:\Program Files\Skype\Phone\Skype.exe Applicazione di messaggistica istantanea - MSN • Percorso completo e nome di processo di MSN Esempio: C:\Programmi\Windows Live\Messenger\msnmsgr.exe • "Applicazione HTTP" se i dati sono trasmessi da una finestra di chat Applicazione peer-to-peer Percorso completo e nome di processo dell'applicazione peer-to-peer Esempio: D:\Program Files\BitTorrent\bittorrent.exe 9-76 Gestione della Protezione dati e utilizzo di Controllo risorse digitali TABELLA 9-12. Processi per canale (continua) C ANALE Crittografia PGP P ROCESSO Percorso completo e nome di processo del software di crittografia PGP Esempio: C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe Stampante Percorso completo e nome di processo dell'applicazione che ha avviato un'operazione della stampante Esempio: C:\Programmi\Microsoft Office\Office12\WINWORD.EXE Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui è stato effettuato l'accesso ai file condivisi (copia o creazione di un nuovo file) Esempio: C:\Windows\Explorer.exe Webmail (modalità HTTP) "Applicazione HTTP" Webmail (modalità HTTPS) Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Mozilla Firefox\firefox.exe 9-77 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Descrizioni La colonna Descrizione nei registri di Controllo risorse digitali contengono ulteriori informazioni sulla trasmissione delle risorse digitali. I dati sono separati da virgole e sono disponibili solo se la trasmissione avviene attraverso determinati canali. Una descrizione che contiene più di 256 caratteri viene troncata automaticamente. Nella seguente tabella sono riporta i dati che vengono visualizzati. TABELLA 9-13. Descrizioni delle trasmissioni di risorse digitali C ANALE Client di posta elettronica Lotus Notes D ETTAGLI • Indirizzi di posta elettronica dei destinatari nei campi A/Cc/Ccn Gli indirizzi di posta elettronica sono in formato X.400 o SMTP. • Indirizzo di posta elettronica del mittente Client di posta elettronica Microsoft Outlook • Indirizzi di posta elettronica dei destinatari nei campi A/Cc/Ccn Gli indirizzi di posta elettronica sono in formato X.400 o SMTP. • Nome del mittente Client di posta elettronica - Tutti i client che usano il protocollo SMTP • Indirizzi di posta elettronica dei destinatari nei campi A/Cc/Ccn • Indirizzo di posta elettronica del mittente • Oggetto e-mail FTP Nome utente usato per accedere al server FTP HTTP/HTTPS URL di un sito Web o di una pagina Web Webmail • URL webmail • Indirizzi di posta elettronica dei destinatari nei campi A/Cc/Ccn • Indirizzo di posta elettronica del mittente 9-78 Gestione della Protezione dati e utilizzo di Controllo risorse digitali Disinstallazione di Protezione dati Se si disinstalla il modulo Protezione dati da Plug-in Manager: • Tutti i registri, le impostazioni e le configurazioni di Controllo risorse digitali vengono rimossi dal server OfficeScan. • Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dal modulo Protezione dati vengono rimosse dal server. • Il modulo Protezione dati viene rimosso dai client. Per rimuovere la Protezione dati completamente, è necessario riavviare i computer client. • I criteri di Controllo risorse digitali non saranno più applicati ai client. • Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi: • Porte COM e LPT • Interfaccia IEEE 1394 • Dispositivi per l'acquisizione di immagini • Dispositivi a infrarossi • Modem • Scheda PCMCIA • Tasto Stamp È possibile reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione, attivare la licenza con un Codice di attivazione valido. Per disinstallare il modulo Protezione dati da Plug-in Manager: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Disintalla. 3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è possibile effettuare altre operazioni. 4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. La Protezione dati di OfficeScan è di nuovo disponibile per l'installazione. 9-79 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 9-80 Capitolo 10 Protezione dei computer dalle minacce Web In questo capitolo vengono descritte le minacce basate su Web e l'uso di Trend Micro™ OfficeScan™ per proteggere la rete e i computer dalle minacce basate su Web. Argomenti di questo capitolo: • Minacce Web a pagina 10-2 • Reputazione Web a pagina 10-2 • Criteri di reputazione Web a pagina 10-3 • Proxy per la Reputazione Web a pagina 10-8 • Notifiche di minacce Web per utenti client a pagina 10-8 • Registri di Reputazione Web a pagina 10-9 10-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Minacce Web Le minacce Web comprendono un'ampia gamma di minacce che hanno origine su Internet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano una combinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori di minacce Web modificano, ad esempio, in modo continuo la versione o la variante di una minaccia utilizzata. Poiché la minaccia Web viene archiviata in una posizione fissa di un sito Web anziché sulla macchina infetta, il creatore della minaccia modifica continuamente il suo codice affinché non venga rilevata. Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spyware sono noti come criminali informatici. Le minacce Web consentono a questi individui di perseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo di lucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità. Il computer infettato può essere utilizzato per un attacco di phishing o per altre attività volte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima di insicurezza generale nei confronti delle transazioni via Internet e la conseguente perdita di fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo è impossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro. Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchi Denial-of-Service distribuiti o abuso di annunci "pay-per-click". Reputazione Web La tecnologia di reputazione Web tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento delle minacce informatiche. I siti sono continuamente sottoposti a scansione e l'accesso ai siti infetti viene bloccato. I client OfficeScan inviano query alle origini Smart Protection per determinare la reputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sito Web è correlata al criterio di reputazione Web specifico applicato sul computer. A seconda del criterio utilizzato, il client blocca o consente l'accesso a un sito Web. Nota. 10-2 Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini Smart Protection a pagina 3-20. Protezione dei computer dalle minacce Web Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri o pericolosi. Quando un a client rileva un accesso a tali siti Web, consente o blocca automaticamente l'accesso e non invia altre query alle origini Smart Protection. Criteri di reputazione Web I criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a un sito Web. È possibile configurare i criteri per i client esterni e interni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per i client esterni. I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibile anche applicare un singolo criterio a tutti i client. Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nella schermata Località computer (vedere Località computer a pagina 13-2) per determinarne la località e il criterio da applicare. I client cambiano criteri ogni volta che cambia la località. Per configurare un criterio di reputazione Web: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE CLIENT Selezionare le destinazioni nella struttura del client. • Per configurare un criterio per i client con Windows XP, Vista o 7, selezionare l'icona del dominio root Nota. • 2. > G ESTIONE , specificare i domini o i client. Se si seleziona il dominio principale o domini specifici, l'impostazione viene applicata solo ai client con Windows XP, Vista o 7. L'impostazione non viene applicata a client con sistemi Windows Server 2003 o Windows Server 2008 anche se fanno parte dei domini. Per configurare un criterio per i client con Windows Server 2003 o Windows Server 2008, selezionare un client specifico. Fare clic su Impostazioni > Impostazioni di reputazione Web. 10-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Fare clic sulla scheda Client esterni per configurare un criterio per i client esterni oppure sulla scheda Client interni per configurare un criterio per i client interni. Suggerimento. 4. Configurare le impostazioni della località del client se non sono state già configurate. I client useranno queste impostazioni per determinare i rispettivi percorsi e applicare il criterio di reputazione Web corretto. Per i dettagli, consultare Località computer a pagina 13-2. Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. I sistemi operativi elencati nella schermata variano in base alle destinazioni selezionate in passaggio 1. Suggerimento. Trend Micro consiglia di disattivare la reputazione Web per i client interni nel caso in cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazione Web, come InterScan Web Security Virtual Appliance. Quando un criterio di reputazione Web è attivato: 5. • I client esterni inviano query di reputazione Web a Smart Protection Network. • I client interni inviano query di reputazione Web a: • Gli Smart Protection Server se l'opzione Invia query a Smart Protection Server è attivata. Per ulteriori informazioni su questa opzione, consultare passaggio 7. • Gli Smart Protection Network se l'opzione Invia query a Smart Protection Server è attivata. Selezionare Attiva valutazione. In modalità di valutazione, i client consentono l'accesso a tutti i siti Web, ma registrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazione fosse disattivata. La modalità di valutazione fornita da Trend Micro consente di valutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, ad esempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati. 10-4 Protezione dei computer dalle minacce Web 6. Selezionare Verifica URL HTTPS. Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web. Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro, accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siti compromessi, anche quelli con certificati validi, possono ospitare minacce informatiche e sottrarre informazioni personali. Inoltre, i certificati sono relativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione di server Web dannosi che utilizzano HTTPS. Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi o dannosi che usano l'HTTPS. OfficeScan è in grado di monitorare il traffico HTTPS sui seguenti browser: TABELLA 10-1. Browser supportati per il traffico HTTPS B ROWSER Microsoft Internet Explorer VERSIONE • 6 con SP2 o successivo • 7.x • 8.x Mozilla Firefox 7. da 3.5 a 5.0 Selezionare Invia query a Smart Protection Server se si desidera che i client interni inviino query di reputazione Web agli Smart Protection Server. • Se si attiva questa opzione: • I client fanno riferimento all'elenco delle origini Smart Protection per determinare a quale Smart Protection Server connettersi. Per ulteriori informazioni sull'elenco delle origini Smart Protection, consultare Elenco delle origini Smart Protection a pagina 3-20. • Accertarsi che gli Smart Protection Server siano disponibili. Se nessuno Smart Protection Server è disponibile, i client non inviano query a Smart Protection Network. Le sole origini rimanenti di dati di reputazione Web per i client sono gli elenchi di URL approvati e bloccati (configurati in passaggio 10). 10-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • 8. • Se si desidera che i client si connettano agli Smart Protection Server tramite un server proxy, specificare le impostazioni del proxy nella scheda Amministrazione > Impostazioni proxy > Proxy interno. • Aggiornare gli Smart Protection Server regolarmente in modo da mantenere aggiornata la protezione. • I client non bloccano i siti Web non verificati. Negli Smart Protection Server non sono memorizzati i dati di reputazione Web per questi siti Web. Se si disattiva questa opzione: • I client inviano query di reputazione Web a Smart Protection Network. I computer client devono essere dotati di una connessione Internet per poter inviare query correttamente. • Se la connessione a Smart Protection Network richiede l'autenticazione proxy, specificare le credenziali di autenticazione nella scheda Amministrazione > Impostazioni proxy > Proxy esterno > Connessione del client con i server Trend Micro. • I client bloccheranno i siti Web non verificati se si seleziona l'opzione Blocca le pagine che non sono state testate da Trend Micro in passaggio 9. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto, Medio o Basso I livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a un URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan blocca solo gli URL considerati come minaccia Web. Impostando il livello di sicurezza più elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità di falsi allarmi. 9. Se si disattiva l'opzione Invia query a Smart Protection Server in passaggio 7, è possibile selezionare Blocca le pagine che non sono state testate da Trend Micro. Anche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza, gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove o poco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma si impedisce anche l'accesso alle pagine sicure. 10-6 Protezione dei computer dalle minacce Web 10. Configurare gli elenchi approvati e bloccati. Nota. L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati. Quando un URL corrisponde a una voce nell'elenco degli URL approvati, i client consentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degli URL bloccati. a. Selezionare Attiva elenco approvati/bloccati. b. Immettere un URL. È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL. Ad esempio: • Immettendo www.trendmicro.com/* si specifica che tutte le pagine del sito Web Trend Micro saranno approvate. • Immettendo *.trendmicro.com/* si specifica che tutte le pagine di un qualsiasi sottodominio di trendmicro.com saranno approvate. È possibile immettere URL che contengono indirizzi IP. Se un URL contiene un indirizzo IPv6, racchiudere l'indirizzo tra parentesi. c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco Bloccati. d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. 11. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito in Valuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di query della reputazione Web di Trend Micro. 12. Selezionare se consentire che il client OfficeScan invii i registri di reputazione Web al server. Se si desidera analizzare gli URL che vengono bloccati da OfficeScan ed eseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso, consentire ai client di inviare i registri. 10-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 13. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Proxy per la Reputazione Web Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed è necessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali per l'autenticazione del server proxy. OfficeScan utilizza queste credenziali per connettersi alle origini di smart protection per determinare se i siti Web a cui gli utenti tentano di accedere sono sicuri. Questa versione di OfficeScan supporta solo un gruppo di credenziali di autenticazione. Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per client a pagina 13-53. Notifiche di minacce Web per utenti client OfficeScan può visualizzare un messaggio di notifica sul computer client subito dopo aver bloccato un URL che viola un criterio di reputazione Web. È necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto di tale messaggio. Per attivare il messaggio di notifica: P ERCORSO : C OMPUTER 10-8 COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. per Protezione dei computer dalle minacce Web 3. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni di reputazione Web. 4. Selezionare Visualizza una notifica quando un sito Web viene bloccato. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per modificare il contenuto del messaggio di notifica: P ERCORSO : N OTIFICHE > N OTIFICHE ALL ' UTENTE CLIENT 1. Fare clic sulla scheda Violazioni della reputazione Web. 2. Modificare il messaggio predefinito nella casella di testo disponibile. 3. Fare clic su Salva. Registri di Reputazione Web Configurare i client esterni e interni in modo che inviino i registri di reputazione Web al server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioni appropriate per gli URL considerati sicuri, consentire tale operazione. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. 10-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per visualizzare i registri di reputazione Web: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Visualizza registri > Registri di reputazione Web oppure Registri > Registri di reputazione Web. 3. Specificare i parametri del registro e fare clic su Visualizza registri. 4. Visualizzare i registri. I registri contengono le seguenti informazioni: per • Data e ora in cui OfficeScan ha bloccato gli URL • Computer dal quale l'utente ha accesso all'URL • Computer dal quale l'utente ha avuto accesso all'URL • URL bloccato • Livello di rischio dell'URL • Collegamento al sistema di query della Reputazione Web Trend Micro che fornisce ulteriori informazioni sull'URL bloccato 5. Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungi all'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati/bloccati. 6. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. 10-10 Capitolo 11 Utilizzo del firewall di OfficeScan In questo capitolo vengono descritte le configurazioni e le funziono del firewall Trend Micro™ OfficeScan™. Argomenti di questo capitolo: • Informazioni sul Firewall di OfficeScan a pagina 11-2 • Attivazione o disattivazione del Firewall di OfficeScan a pagina 11-6 • Criteri e profili del firewall a pagina 11-7 • Privilegi firewall a pagina 11-22 • Impostazioni firewall globali a pagina 11-24 • Notifiche di violazione del firewall per utenti client a pagina 11-26 • Registri del firewall a pagina 11-27 • Infezioni da violazione del firewall a pagina 11-28 • Test del firewall di OfficeScan a pagina 11-30 11-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni sul Firewall di OfficeScan Il firewall di OfficeScan protegge i client e i server della rete grazie a un sistema di "stateful inspection" e alla scansione antivirus della rete ad elevate prestazioni. Con la console di gestione centrale, è possibile creare regole per filtrare le connessioni per applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a gruppi diversi di utenti. Nota. È possibile attivare, configurare e utilizzare il firewall di OfficeScan su computer Windows XP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessario gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare la documentazione Microsoft. Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito: Filtraggio del traffico Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri: • Direzione (in entrata/in uscita) • Protocollo (TCP/UDP/ICMP/ICMPv6) • Porte di destinazione • Computer di origine e destinazione Filtro di applicazioni Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni, consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai criteri impostati dall'amministratore. 11-2 Utilizzo del firewall di OfficeScan Elenco software sicuro certificato L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete. Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro. Nota. Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. Scansione dei virus di rete Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per i dettagli, consultare Virus di rete a pagina 6-4. Profili e criteri personalizzabili Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili, che poi potranno essere implementati nei client OfficeScan specificati. Questo costituisce un metodo molto personalizzabile per l'organizzazione e la configurazione delle impostazioni di firewall per i client. Stateful Inspection Il firewall di OfficeScan è di tipo "stateful inspection": monitora cioè tutte le connessioni al computer client e archivia tutti gli stati di connessione. È in grado di identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno e individuare le interruzioni in una connessione normale. L'uso efficace del firewall, quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e il filtro dei pacchetti che passano attraverso il firewall. 11-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Sistema di prevenzione intrusioni Il firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS). Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco al client. Il firewall di OfficeScan consente di prevenire le seguenti intrusioni note: 11-4 • Frammento troppo grande: Attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto TCP/UDP di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio. • Ping of Death: attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto ICMP/ICMPv6 di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio. • Conflitto ARP: tipo di attacco in cui un hacker invia una richiesta ARP (Address Resolution Protocol) a un computer utilizzando lo stesso indirizzo IP come origine e come destinazione. Il computer oggetto dell'attacco, quindi, comincia a inviare continuamente una risposta ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco del sistema. • Flooding SYN: attacco DoS (Denial of Service) in cui un programma invia a un computer dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un invio continuo di risposte di riconoscimento (SYN/ACK) da parte del computer. Questi invii possono provocare l'esaurimento della memoria del computer con conseguente blocco del sistema. • Frammenti sovrapposti: questo attacco DoS (Denial of Service) simile al teardrop, invia a un computer dei frammenti TCP sovrapposti. Questo causa la sovrascrittura delle informazioni di intestazione del primo frammento TCP che potrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbe consentire l'accesso ai successivi frammenti contenenti il codice maligno permettendo loro di raggiungere il computer di destinazione. • Teardrop: questo attacco DoS (Denial of Service) simile all'attacco a frammenti sovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno del secondo o di altri frammenti IP può causare il blocco del sistema operativo del computer ricevente nel momento in cui tenta di riassemblare i frammenti. Utilizzo del firewall di OfficeScan • Attacco con frammenti di dimensioni minime: tipo di attacco in cui un frammento TCP di dimensioni minime forza le informazioni di intestazione del primo pacchetto TCP all'interno del frammento successivo. I router che filtrano il traffico ignorano pertanto il frammento successivo, che potrebbe invece contenere dati maligni. • IGMP frammentato: attacco DoS (Denial of Service) che invia pacchetti IGMP frammentati a un computer di destinazione che non riesce a elaborarli correttamente, con conseguente rallentamento o blocco del computer. • Attacco LAND: tipo di attacco che invia a un computer dei pacchetti di sincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e come destinazione; il computer invia pertanto la risposta di riconoscimento (SYN/ACK) a se stesso, con conseguente rallentamento o blocco del computer. Monitoraggio delle infezioni di violazione del firewall Quando le violazioni del firewall superano determinate soglie che potrebbero far pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a specifici destinatari. Autorizzazioni firewall per il client È possibile concedere agli utenti le autorizzazioni necessarie per visualizzare le impostazioni del firewall sulla console del client OfficeScan, nonché quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il messaggio di notifica della violazione del firewall. 11-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Attivazione o disattivazione del Firewall di OfficeScan Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare o disattivare il firewall OfficeScan. Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulle prestazioni, in particolare sulle piattaforme del server (Windows Server 2003 e Windows Server 2008), valutare la possibilità di disattivare il firewall. Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo per proteggere gli endpoint da intrusioni, leggere prima le istruzioni in Servizi del client a pagina 13-6. È possibile attivare o disattivare il firewall su tutti i computer client o solo su alcuni di essi. Per attivare o disattivare il firewall di OfficeScan su alcuni computer: Metodo A: Creare un nuovo criterio e applicarlo ai client. 1. Creare un nuovo criterio per attivare o disattivare il firewall. Per istruzioni sulla creazione di un nuovo criterio, vedere Aggiunta o modifica di un criterio firewall a pagina 11-10. 2. Applicare il criterio ai client. Metodo B: Attivare o disattivare il servizio e il driver del firewall. 1. 2. Attivare o disattivare il driver del firewall. a. Aprire le Proprietà delle Connessioni di rete Windows. b. Selezionare o deselezionare la casella di controllo Driver comune Firewall Trend Micro nella scheda di rete. Attivare o disattivare il servizio del firewall. a. Aprire il prompt dei comandi e digitare services.msc. b. Avviare o interrompere OfficeScan NT Firewall da Microsoft Management Console (MMC). Metodo C: Attivare o disattivare il servizio del firewall dalla console Web. Per la procedura dettagliata, vedere Servizi del client a pagina 13-6. 11-6 Utilizzo del firewall di OfficeScan Per attivare o disattivare il firewall di OfficeScan su tutti i computer: P ERCORSO : A MMINISTRAZIONE > L ICENZA DEL PRODOTTO 1. Andare alla sezione Servizi aggiuntivi. 2. Nella riga Firewall per i computer collegati in rete, fare clic su Attiva o su Disattiva. Criteri e profili del firewall Il firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodi di protezione dei computer collegati in rete. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri e i profili di domini specifici. Suggerimento. Installazioni di firewall diversi sullo stesso computer possono produrre risultati inaspettati. Prima di implementare e attivare il firewall di OfficeScan è opportuno disinstallare altri firewall basati su software presenti sui client OfficeScan. Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguenti operazioni: 1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza che blocca o consente il traffico sui computer collegati in rete e attiva le funzioni del firewall. 2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono ai client di ignorare quanto stabilito dal criterio. Grazie alle eccezioni, è possibile specificare dei client e consentire o bloccare determinati tipi di traffico indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. È possibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di client tramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modo che i client possano accedere al server Web. 3. Creare e assegnare dei profili ai client. Un profilo di firewall comprende una serie di attributi client ed è associato a un criterio. Quando un client corrisponde agli attributi specificati nel profilo, il criterio a esso associato viene attivato. 11-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Criteri firewall I criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete non specificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewall vengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall. OfficeScan comprende una serie di criteri predefiniti che è possibile modificare o eliminare. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri di domini specifici. I criteri firewall predefiniti sono riportati di seguito: TABELLA 11-1. N OME CRITERIO 11-8 Criteri del firewall predefiniti L IVELLO DI SICUREZZA I MPOSTAZ IONI CLIENT E CCEZIONI U SO CONSIGLIATO Tutti i tipi di accesso Basso Attiva firewall nessuna Da utilizzare per consentire ai client un accesso illimitato alla rete Cisco Trust Agent for Cisco NAC Basso Attiva firewall Tutto il traffico UDP in entrata e in uscita tramite la porta 21862 Da utilizzare per i client sui quali è installato Cisco Trust Agent (CTA) Porte di comunicazio ne per Trend Micro Control Manager Basso Attiva firewall Permette tutto il traffico TCP/UDP in entrata e in uscita tramite le porte 80 e 10319 Da utilizzare per i client che sui quali è installato un MCP Agent Utilizzo del firewall di OfficeScan TABELLA 11-1. N OME CRITERIO Criteri del firewall predefiniti (continua) L IVELLO DI SICUREZZA I MPOSTAZ IONI CLIENT U SO CONSIGLIATO E CCEZIONI Console ScanMail per Microsoft Exchange Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 16372 Da utilizzare quando i client devono accedere alla console ScanMail Console InterScan Messaging Security Suite (IMSS) Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 80 Da utilizzare quando i client devono accedere alla console IMSS Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, creare nuovi criteri. Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri del firewall nella console Web. Per configurare l'elenco dei criteri del firewall: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > F IREWALL > C RITERI Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. Per modificare un criterio esistente, fare clic sul nome del criterio. Viene visualizzata la schermata per la configurazione del criterio. Per ulteriori informazioni, consultare Aggiunta o modifica di un criterio firewall a pagina 11-10. 2. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 11-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Per modificare il modello di eccezione del firewall, fare clic su Modifica modello di eccezione. Viene visualizzato l'editor del modello di eccezione. Per ulteriori informazioni, consultare Modifica del modello di eccezione del firewall a pagina 11-12. Aggiunta o modifica di un criterio firewall Per ciascun criterio, configurare le impostazioni riportate di seguito: • Livello di sicurezza: impostazione generale che blocca o consente tutto il traffico in entrata e/o in uscita dal computer client. • Caratteristiche del firewall: Specificare se attivare o disattivare il firewall OfficeScan, il sistema di rilevamento anti-intrusione (IDS, Intrusion Detection System) e il messaggio di notifica di violazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema di prevenzione intrusioni a pagina 11-4. • Elenco software sicuro certificato: Specificare se consentire alle applicazioni sicure certificate di connettersi alla rete. Vedere Elenco software sicuro certificato a pagina 11-3 per ulteriori informazioni sull'Elenco software sicuro certificato. • Elenco eccezioni al criterio: elenco di eccezioni configurabili che consentono di bloccare o consentire vari tipi di traffico di rete. Per aggiungere un criterio: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. 2. Inserire un nome per il criterio. 3. Selezionare un livello di sicurezza. Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametri delle eccezioni ai criteri del firewall. 4. Selezionare le funzioni del firewall da utilizzare per il criterio. 11-10 • Quando il firewall blocca un pacchetto in uscita, viene visualizzato un messaggio di notifica di violazione del firewall. Per modificare il messaggio, vedere Per modificare il contenuto del messaggio di notifica: a pagina 11-27. • L'attivazione di tutte le funzioni del firewall consente agli utenti client di attivare/disattivare le funzioni e modificare le impostazioni del firewall nella console client. Utilizzo del firewall di OfficeScan ATTENZIONE! 5. • Se non si attivano queste funzioni, le impostazioni del firewall configurate dalla console Web del server OfficeScan vengono visualizzate in Elenco schede di rete nella console client. • Le informazioni che si trovano in Impostazioni nella scheda Firewall della console del client corrispondono sempre alle impostazioni configurate nella console del client, non a quelle della console Web del server. Attiva l'elenco software sicuro certificato globale o locale. Nota. 6. Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteri qui incluse si basano sul modello di eccezione del firewall. Per informazioni, vedere Modifica del modello di eccezione del firewall a pagina 11-12. • Per modificare un'eccezione ai criteri esistente fare clic sul nome dell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata. Nota. • L'eccezione modificata si applica solo al criterio da creare. Se si desidera rendere permanente la modifica all'eccezione, è necessario apportare la stessa modifica all'eccezione nel modello di eccezione del firewall. Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre. Nota. 7. Non è possibile utilizzare la console Web del server OfficeScan per sovrascrivere le impostazioni della console client configurate dall'utente. Anche l'eccezione ai criteri si applica solo al criterio da creare. Per applicare questa eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elenco delle eccezioni criteri nel modello di eccezione del firewall. Fare clic su Salva. 11-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per modificare un criterio esistente: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su un criterio. 2. Modificare gli elementi riportati di seguito: 3. • Nome criterio • Livello di sicurezza • Funzioni firewall da utilizzare per il criterio • Stato dell'elenco Servizio Certified Safe Software • Eccezioni ai criteri del firewall da includere nei criteri • Modificare un'eccezione esistente (fare clic sul nome dell'eccezione e modificare le impostazioni nella pagina che si apre) • Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre Fare clic su Salva per applicare le modifiche ai criteri esistenti. Modifica del modello di eccezione del firewall Il modello di eccezione del firewall contiene eccezioni ai criteri che possono essere configurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di porta dei computer client e agli indirizzi IP. Una volta creata un'eccezione ai criteri, modificare i criteri a cui si applica l'eccezione. Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione: Restrittiva Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentono tutto il traffico di rete. Un esempio di utilizzo di eccezione restrittiva è il blocco delle porte dei client vulnerabili all'attacco, ad esempio le porte utilizzate in genere dai cavalli di Troia. Permissiva Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccano tutto il traffico di rete. Ad esempio, è possibile consentire ai client di accedere solo al server OfficeScan e a un server Web. In questo caso, è necessario consentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con il server OfficeScan) e dalla porta che il client utilizza per la comunicazione HTTP. 11-12 Utilizzo del firewall di OfficeScan Porta di ascolto del client: Computer collegati in rete > Gestione client > Stato. Il numero di porta è reperibile in Informazioni di base. Porta di ascolto del server: Amministrazione > Impostazioni connessione. Il numero di porta si trova in Impostazioni di connessione per i computer collegati in rete. OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che è possibile modificare o eliminare. TABELLA 11-2. N OME ECCEZIONE Eccezioni predefinite ai criteri del firewall A ZIONE P ROTOCOL P ORTA LO D IREZIONE DNS Consenti TCP/UDP 53 In entrata e in uscita NetBIOS Consenti TCP/UDP 137, 138, 139, 445 In entrata e in uscita HTTPS Consenti TCP 443 In entrata e in uscita HTTP Consenti TCP 80 In entrata e in uscita Telnet Consenti TCP 23 In entrata e in uscita SMTP Consenti TCP 25 In entrata e in uscita FTP Consenti TCP 21 In entrata e in uscita POP3 Consenti TCP 110 In entrata e in uscita LDAP Consenti TCP/UDP 389 In entrata e in uscita 11-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Nota. Le eccezioni predefinite vengono applicate a tutti i client. Per applicare un'eccezione predefinita solo ad alcuni client, modificare l'eccezione e specificare gli indirizzi IP dei client. L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da una versione precedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni, aggiungerla manualmente. Per aggiungere un'eccezione ai criteri: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su Modifica modello di eccezione. 2. Fare clic su Aggiungi. 3. Digitare un nome per l'eccezione ai criteri. 4. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazioni oppure specificare il percorso o le chiavi del registro di sistema delle applicazioni. Nota. Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione non supporta i caratteri jolly. 5. Selezionare l'operazione che OfficeScan deve eseguire sul traffico di rete (bloccare o consentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione del traffico (traffico di rete in entrata o in uscita sul computer client). 6. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6. 7. Specificare le porte del computer client sulle quali effettuare l'operazione. 8. Selezionare gli indirizzi IP dei client da includere nell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in entrata e in uscita) e si immette l'indirizzo IP di un singolo computer della rete, qualsiasi client con questa eccezione tra i criteri non potrà inviare o ricevere dati da quell'indirizzo IP. Scegliere una delle opzioni elencate di seguito. • 11-14 Tutti gli indirizzi IP: include tutti gli indirizzi IP. • Indirizzo IP singolo: immettere un nome host o un indirizzo IPv4 o ICMPv6. • Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 o IPv6. Utilizzo del firewall di OfficeScan 9. • Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzo IPv6. • Subnet mask: immettere un indirizzo IPv4 e la relativa subnet mask. Fare clic su Salva. Per modificare un'eccezione ai criteri: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su Modifica modello di eccezione. 2. Fare clic su un criterio di eccezione. 3. Modificare gli elementi riportati di seguito: 4. • Nome eccezione ai criteri • Tipo, nome o percorso dell'applicazione • Operazione che OfficeScan deve effettuare su traffico di rete e direzione del traffico • Tipo di protocollo di rete • Numeri di porta relativi all'eccezione • Indirizzi IP del computer client Fare clic su Salva. Per eliminare una voce: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su Modifica modello di eccezione. 2. Selezionare le caselle di controllo accanto alle eccezioni da eliminare. 3. Fare clic su Elimina. Per modificare l'ordine delle eccezioni nell'elenco: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su Modifica modello di eccezione. 2. Selezionare la casella di controllo accanto all'eccezione da spostare. 3. Fare clic su una freccia per spostare l'elenco in alto o in basso. Il numero di ID dell'eccezione cambia in base alla nuova posizione assegnata. 11-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per salvare le impostazioni dell'elenco eccezioni: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > C RITERI 1. Fare clic su Modifica modello di eccezione. 2. Fare clic su una delle opzioni di salvataggio riportate di seguito: • Salva modifiche al modello: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello solo ai criteri creati in futuro, non a quelli esistenti. • Salva e applica ai criteri esistenti: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello a criteri esistenti e futuri. Profili firewall I profili firewall sono flessibili in quanto consentono di scegliere quali attributi un client o un gruppo di client deve avere affinché il criterio venga applicato. Creare ruoli utente che permettano di creare, configurare o eliminare i profili di specifici domini. Per sostituire le impostazioni del profilo client con le impostazioni del server, gli utenti con account di amministratore predefinito o gli utenti con le autorizzazioni per la gestione completa possono attivare l'opzione Sovrascrivi livello di sicurezza client/elenco eccezioni. I profili comprendono i seguenti elementi: • Criterio associato: ogni profilo utilizza un singolo criterio. • Attributi del client: il criterio associato viene applicato ai client che dispongono di almeno uno degli attributi riportati di seguito: • 11-16 Indirizzo IP: indirizzo IP specifico del client, indirizzo IP del client compreso in un determinato intervallo di indirizzi IP o indirizzo IP del client appartenente a una subnet specifica. • Dominio: dominio di OfficeScan specifico al quale il client appartiene. • Computer: nome del computer client specifico. • Piattaforma: piattaforma specifica utilizzata dal client. • Nome accesso: i computer client a cui utenti specifici hanno effettuato l'accesso. Utilizzo del firewall di OfficeScan • Descrizione NIC: Un computer client con una descrizione di NIC corrispondente. • Stato connessione client: indica lo stato del client; può essere online o offline. Nota. • Un client è online se è in grado di connettersi al server OfficeScan o a server di riferimento e offline se non è in grado di connettersi a un server. Privilegi utente: consente di impedire agli utenti del client di effettuare le seguenti operazioni: • modificare il livello di sicurezza specificato in un criterio • modificare l'elenco di eccezioni associato a un criterio Nota. Questi privilegi si applicano solamente ai client corrispondenti agli attributi specificati nel profilo. È possibile assegnare altri privilegi firewall a specifici utenti client. Per informazioni, vedere Privilegi firewall a pagina 11-22. OfficeScan comprende un profilo predefinito denominato "Profilo Tutti i client" che utilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo profilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall predefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato attuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella console Web. Gestire l'elenco dei profili e implementare tutti i profili sui client OfficeScan. I client OfficeScan memorizzano tutti i profili del firewall nel computer client. Per configurare l'elenco profili del firewall: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > P ROFILI 1. Per sostituire le impostazioni del profilo client con le impostazioni del server, gli utenti che utilizzano l'account di amministratore predefinito o gli utenti con le autorizzazioni per la gestione completa, se lo desiderano, possono attivare l'opzione Sovrascrivi livello di sicurezza client/elenco eccezioni. 2. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profilo esistente, selezionare il nome del profilo. Viene visualizzata la schermata per la configurazione del profilo. Per ulteriori informazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 11-19. 11-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 4. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controllo accanto al profilo da spostare e fare clic su Sposta su o Sposta giù. OfficeScan applica i profili firewall ai client nell'ordine in cui i profili compaiono nell'elenco dei profili. Ad esempio, se un client corrisponde al primo profilo, OfficeScan applica al client le operazioni configurate per quel profilo. Per quel client OfficeScan ignora gli altri profili configurati. Suggerimento. 5. Più esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare il criterio creato per un unico client in cima all'elenco, seguito da quelli relativi a un intervallo di client, a un dominio di rete e a tutti i client. Per gestire i server di riferimento, fare clic su Modifica elenco server di riferimento. Nota. Solo gli utenti con account di amministratore predefinito o quelli con autorizzazioni di gestione completa possono visualizzare e configurare l'elenco dei server di riferimento. Quando si applicano i profili firewall, i server di riferimento sono computer che fungono da sostituti per il server OfficeScan. Qualsiasi computer della rete può fungere da server di riferimento. Quando si attivano i server di riferimento, OfficeScan parte dai seguenti presupposti: • I client collegati a server di riferimento sono online anche se non possono comunicare con il server OfficeScan. • I profili firewall applicati ai client online si applicano anche ai client collegati a server di riferimento. Per ulteriori informazioni, consultare Server di riferimento a pagina 12-28. 11-18 Utilizzo del firewall di OfficeScan 6. 7. Per salvare le impostazioni correnti e assegnare i profili ai client: a. Decidere se attivare l'opzione Sovrascrivi livello di sicurezza client/elenco eccezioni. Questa opzione sovrascrive tutte le impostazioni del firewall configurate dall'utente. b. Fare clic su Assegna profilo ai client. OfficeScan assegna tutti i profili dell'elenco dei profili a tutti i client. Per verificare di aver assegnato i profili ai client: a. Accedere a Computer collegati alla rete > Gestione client. Nell'elenco a discesa disponibile nella visualizzazione della struttura dei client, selezionare Visualizzazione firewall. b. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura dei client. Se i criteri associati al profilo consentono di utilizzare il sistema IDS (Intrusion Detection System), è presente un segno di spunta verde anche nella colonna IDS. c. Controllare che il client abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura dei client. Aggiunta e modifica di un profilo firewall I computer client possono richiedere livelli diversi di protezione. I profili del firewall consentono di specificare i client a cui si applica il criterio associato e concedere i privilegi agli utenti client per modificare le impostazioni del firewall. In linea di massima, per ogni criterio in uso è necessario un profilo. Per aggiungere un profilo: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > P ROFILI 1. Fare clic su Aggiungi. 2. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il profilo sui client OfficeScan. 3. Inserire un nome per identificare il profilo e una descrizione opzionale. 4. Specificare un criterio per questo profilo. 11-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Specificare i computer client a cui OfficeScan deve applicare il criterio. Selezionare i computer in base ai seguenti parametri: • Indirizzo IP • Dominio: Fare clic sul pulsante per aprire e selezionare i domini dalla struttura dei client Nota. Solo gli utenti con autorizzazioni complete per i domini possono selezionarli. • Nome computer: fare clic sul pulsante per aprire e selezionare i computer client dalla struttura dei client • Piattaforma • Nome accesso • Descrizione NIC: Immettere una descrizione totale o parziale, senza caratteri jolly Suggerimento. • Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio "Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. Stato connessione client 6. Selezionare se assegnare agli utenti il privilegio di modificare il livello di sicurezza del firewall o l'elenco configurabile delle eccezioni per consentire i tipi specificati di traffico. Consultare Aggiunta o modifica di un criterio firewall a pagina 11-10 per ulteriori informazioni su queste opzioni. 7. Fare clic su Salva. 11-20 Utilizzo del firewall di OfficeScan Per modificare un profilo: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > P ROFILI 1. Fare clic su un profilo. 2. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il profilo sui client OfficeScan. Modificare gli elementi riportati di seguito: • Nome profilo e descrizione • Criterio assegnato al profilo • Computer client, in base ai seguenti parametri • Indirizzo IP • Dominio: fare clic sul pulsante per aprire la struttura dei client e selezionare i domini • Nome computer: fare clic sul pulsante per aprire la struttura dei client e selezionare i computer client • Piattaforma • Nome accesso • Descrizione NIC: Immettere una descrizione totale o parziale, senza caratteri jolly Suggerimento. • • 3. Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio "Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. Stato connessione client Privilegi: Selezionare se assegnare agli utenti il privilegio di modificare il livello di sicurezza del firewall o l'elenco configurabile delle eccezioni per consentire i tipi specificati di traffico. Consultare Aggiunta o modifica di un criterio firewall a pagina 11-10 per ulteriori informazioni su queste opzioni. Fare clic su Salva. 11-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Privilegi firewall Consentono agli utenti di configurare le proprie impostazioni del firewall. Le impostazioni configurate dagli utenti hanno la precedenza sulle impostazioni implementate dal server OfficeScan. Ad esempio, se l'utente disattiva IDS (Intrusion Detection System) e nel server OfficeScan IDS viene attivato, IDS rimane disattivato nel computer client. Per concedere i privilegi firewall: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, andare alla sezione Privilegi firewall. 4. Selezionare le seguenti opzioni: 5. 11-22 per • Visualizzare la scheda Firewall nella console del client • Consentire agli utenti di attivare/disattivare il firewall OfficeScan, il sistema rilevamento anti-intrusione (IDS, Intrusion Detection System) e il messaggio di notifica di violazione del firewall • Consentire ai client di inviare i registri del firewall al server OfficeScan Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Utilizzo del firewall di OfficeScan Visualizzare la scheda Firewall nella console del client Nella scheda Firewall sono visualizzate tutte le impostazioni del firewall nel client; tale scheda consente agli utenti con privilegi firewall di configurare le proprie impostazioni. FIGURA 11-1. Scheda Firewall nella console del client Consentire agli utenti di attivare/disattivare il firewall OfficeScan, il sistema rilevamento anti-intrusione (IDS, Intrusion Detection System) e il messaggio di notifica di violazione del firewall Il firewall OfficeScan protegge i client e i server della rete grazie a un sistema di "stateful inspection", alla scansione antivirus della rete ad elevate prestazioni e all'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare il firewall e le relative funzioni, occorre avvertirli di non disattivare il firewall per un periodo di tempo prolungato per evitare di esporre il computer a intrusioni e attacchi di hacker. Se non si concedono agli utenti tali privilegi, le impostazioni firewall configurate dalla console Web del server OfficeScan vengono visualizzate in Elenco schede di rete nella console del client. 11-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Consentire ai client di inviare i registri del firewall al server OfficeScan Selezionare questa opzione per analizzare il traffico bloccato e consentito dal firewall OfficeScan. Per ulteriori informazioni sui registri del firewall, vedere Registri del firewall a pagina 11-27. Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro accedendo alla sezione Computer collegati in rete > Impostazioni client globali > Impostazioni del firewall. La pianificazione si applica solamente ai client dotati di privilegio di invio del registro. Per le istruzioni, vedere Impostazioni firewall globali a pagina 11-24. Impostazioni firewall globali Le impostazioni del firewall globali possono essere applicate ai client in diversi modi. • Una determinata impostazione del firewall può essere applicata a tutti i client gestiti dal server. • Un'impostazione può essere applicata solo ai client con determinati privilegi firewall. Ad esempio, la pianificazione di invio del registro del firewall si applica solo ai client che hanno il privilegio di inviare registri al server. Per configurare le impostazioni firewall globali: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI Andare alla sezione seguente e configurare le impostazioni: TABELLA 11-3. Impostazioni firewall globali S EZIONE Impostazioni del firewall I MPOSTAZIONI • Invia i registri del firewall al server • Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema Conteggio registro firewall 2. 11-24 Fare clic su Salva. Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall Utilizzo del firewall di OfficeScan Invia i registri del firewall al server È possibile assegnare a determinati client il privilegio di inviare registri firewall al server OfficeScan. Configurare la pianificazione per l'invio del registro. Solo i client con privilegi per inviare registri firewall potranno usare questa pianificazione. Per informazioni sui privilegi del firewall disponibili per i client selezionati, vedere Privilegi firewall a pagina 11-22. Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema Attivare il client OfficeScan per aggiornare il Driver comune Firewall solo dopo il riavvio del computer client. Attivare questa opzione per impedire che si verifichino disguidi (ad esempio la disconnessione temporanea dalla rete) per i computer client durante gli aggiornamenti di Driver comune Firewall durante l'aggiornamento del client. Nota. Questa funzione supporta solo i client aggiornati da OfficeScan 8.0 SP1 e versioni successive. Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall Quando viene attivata questa opzione i client OfficeScan inviano i conteggi del registro del firewall al server OfficeScan a intervalli di un'ora. Per ulteriori informazioni sui registri del firewall, vedere Registri del firewall a pagina 11-27. OfficeScan utilizza i conteggi del registro e i criteri delle infezioni da violazione del firewall per determinare la possibilità di un'infezione da violazione del firewall. OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan se si verifica un'infezione. 11-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Notifiche di violazione del firewall per utenti client OfficeScan può visualizzare un messaggio di notifica su un computer client subito dopo che il firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall. Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica. Nota. È anche possibile attivare la notifica quando si configura un particolare criterio del firewall. Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina 11-10. Per concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, andare alla sezione Impostazioni del firewall. 4. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 11-26 per • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Utilizzo del firewall di OfficeScan Per modificare il contenuto del messaggio di notifica: P ERCORSO : N OTIFICHE > N OTIFICHE ALL ' UTENTE CLIENT 1. Fare clic sulla scheda Violazioni del firewall. 2. Modificare i messaggi predefiniti nella casella di testo disponibile. 3. Fare clic su Salva. Registri del firewall I registri del firewall disponibili nel server vengono inviati dai client che dispongono dei privilegi per l'invio dei registri del firewall. Per monitorare e analizzare il traffico nei computer client che il firewall di OfficeScan blocca, è possibile concedere questo privilegio ad alcuni client specifici. Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 11-22. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri del firewall: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Registri > Registri del firewall oppure Visualizza registri > Registri del firewall. 3. Per avere a disposizione i registri più recenti, fare clic su Notifica client. Prima di procedere al passaggio successivo, attendere il tempo necessario per consentire ai client di inviare i registri del firewall. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 11-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. 6. Visualizzare i registri. I registri contengono le seguenti informazioni: • Data e ora del rilevamento della violazione del firewall • Computer dove si è verificata la violazione • Dominio del computer dove si è verificata la violazione • Indirizzo IP host remoto • Indirizzo IP host locale • Protocollo • Numero di porta • Direzione: indica se la violazione dei criteri del firewall è stata effettuata dal traffico in entrata (ricezione) o in uscita (invio) • Processo: il programma eseguibile o il servizio in esecuzione sul computer che ha causato la violazione del firewall • Descrizione: specifica il rischio alla protezione reale (quali virus di rete o attacchi IDS) o la violazione dei criteri del firewall Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Infezioni da violazione del firewall Definire i parametri di un'infezione da violazione del firewall in base al numero di violazioni del firewall e al periodo di rilevamento. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica in base alle proprie esigenze. Nota. 11-28 OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30. Utilizzo del firewall di OfficeScan Per configurare i criteri e le notifiche di violazioni del firewall: P ERCORSO : N OTIFICHE > N OTIFICHE 1. AMMINISTRATORE > N OTIFICHE INFEZIONE Nella scheda Criteri: a. Andare alla sezione Violazioni del firewall. b. Selezionare Controlla le violazioni del firewall sui computer collegati in rete. c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri dei virus di rete. d. Specificare un periodo di rilevamento. Suggerimento. Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia un messaggio di notifica quando il numero di registri viene superato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall, 100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia la notifica quando il server riceve 301 registri in 3 ore. 2. Nella scheda E-mail: a. Andare alla sezione Infezioni da violazioni del firewall. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio e-mail. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 11-4. VARIABILE %A Variabili token per notifiche di infezioni di violazione del firewall D ESCRIZIONE Tipo di registro superato 11-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 11-4. Variabili token per notifiche di infezioni di violazione del firewall (continua) VARIABILE 3. D ESCRIZIONE %C Numero di registri di violazione del firewall %T Totale periodo di durata dei registri di violazione del firewall Fare clic su Salva. Test del firewall di OfficeScan Per avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un test su un client o un gruppo di client. ATTENZIONE! Eseguire il test delle impostazioni del programma client OfficeScan solo in un ambiente controllato. Non eseguire test su computer client collegati alla rete o a Internet. Questa operazione potrebbe esporre i computer a virus, attacchi di hacker e altri rischi. Per eseguire il test del firewall: 1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché vengano bloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per evitare che il client acceda a Internet, effettuare le operazioni riportate di seguito: a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico in entrata e in uscita). b. Selezionare Attiva firewalle Invia una notifica agli utenti quando si verifica una violazione del firewall. c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS). 2. Creare e salvare un profilo per il test, selezionando i client su cui si desiderano controllare le funzioni del firewall. Associare i criteri del test al profilo del test. 3. Fare clic su Assegna profilo ai client. 11-30 Utilizzo del firewall di OfficeScan 4. Verificare l'implementazione. a. Fare clic su Computer collegati alla rete > Gestione client. b. Selezionare il dominio a cui appartiene il client. c. Selezionare Visualizzazione firewall dalla visualizzazione della struttura dei client. d. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura dei client. Se è stato attivato il sistema IDS (Intrusion Detection System) per il client, verificare che sia presente un segno di spunta verde anche nella colonna IDS. e. Controllare che il client abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura dei client. 5. Eseguire il test del firewall nel computer client tentando di inviare o ricevere il tipo di traffico configurato nei criteri. 6. Per eseguire il test di un criterio configurato per evitare che il client acceda a Internet, aprire un browser Web sul computer client. Se OfficeScan è stato configurato per visualizzare un messaggio di notifica per le violazioni del firewall, il messaggio viene visualizzato sul computer client quando si verifica una violazione del traffico in uscita. 11-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 11-32 Sezione 3 Gestione di server e client OfficeScan Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Capitolo 12 Gestione del server OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione del server Trend Micro™ OfficeScan™. Argomenti di questo capitolo: • Role-based Administration (RBA) a pagina 12-2 • Trend Micro Control Manager a pagina 12-24 • Server di riferimento a pagina 12-28 • Impostazioni notifica amministratore a pagina 12-30 • Registri eventi di sistema a pagina 12-32 • Gestione dei registri a pagina 12-33 • Licenze a pagina 12-36 • OfficeScan Database Backup a pagina 12-39 • Informazioni sul server Web OfficeScan a pagina 12-41 • Password della console Web a pagina 12-42 • Impostazioni della console Web a pagina 12-42 • Gestore della quarantena a pagina 12-43 • Server Tuner a pagina 12-44 • Smart Feedback a pagina 12-47 12-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Role-based Administration (RBA) Utilizzare la Role-based Administration per garantire e controllare l'accesso alla console Web OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propria organizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegi di console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioni necessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accesso alla strutture client assegnando loro uno o più domini da gestire. Inoltre, è possibile concedere ai non amministratori l'accesso alla console Web in modalità "sola lettura". A ciascun utente (amministratore o non amministratore) viene assegnato un ruolo specifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono alla console Web utilizzando gli account utente personalizzati o gli account Active Directory. Role-based Administration comprende le operazioni riportate di seguito: 1. Definire i ruoli utente. Per i dettagli, consultare Ruoli utente a pagina 12-3. 2. Configurare gli account utente e assegnare un ruolo particolare a ciascun account utente. Per i dettagli, consultare Account utente a pagina 12-20. Visualizzare le attività della console Web di tutti gli utenti in registri eventi di sistema. Vengono registrate le attività riportate di seguito: 12-2 • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (l'utente viene disconnesso automaticamente) Gestione del server OfficeScan Ruoli utente Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruolo viene assegnata un'autorizzazione per ciascuna voce di menu. Autorizzazioni per le voci di menu Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu. L'autorizzazione per una voce di menu può essere: • Configura: consente l'accesso completo ad una voce di menu. Gli utenti sono in grado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzare i dati di una voce di menu. • Visualizza: consente agli utenti di visualizzare solamente le impostazioni, le operazioni e i dati di una voce di menu. • Nessun accesso: la voce di menu viene nascosta. Tipi di voci di menu Sono disponibili 3 tipi di voci di menu in OfficeScan. TABELLA 12-1. Tipi di voci di menu TIPO Voci menu per server/client A MBITO • Dati, operazioni e impostazioni del server • Dati, operazioni e impostazioni globali del client Per un elenco completo delle voci di menu disponibili, vedere Voci di menu per server e client a pagina 12-4. Voci menu per domini gestiti Dati, operazioni e impostazioni flessibili dei client disponibili al di fuori della struttura client Per un elenco completo delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 12-7. Voci menu Gestione client Dati, operazioni e impostazioni flessibili dei client disponibili nella struttura client Per un elenco completo delle voci di menu disponibili, vedere Voci menu Gestione client a pagina 12-9. 12-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Voci di menu per server e client La seguente tabella elenca le voci di menu per i server/client: TABELLA 12-2. Voci menu per server/client VOCE DI MENU M ENU SECONDARI PRINCIPALE Esegui scansione per tutti i domini Nota. nessuna Solo chi utilizza i ruoli di amministratore integrati può accedere a questa funzione. Computer collegati in rete • Gestione client • Raggruppamento client • Impostazioni client globali • Località computer • Controllo risorse digitali • Definizioni • Modelli • Verifica connessione • Prevenzione delle infezioni virali Smart Protection • Origini Smart Protection • Server integrato • Smart Feedback 12-4 Gestione del server OfficeScan TABELLA 12-2. Voci menu per server/client (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Aggiornamenti • Server • Aggiornamento pianificato • Aggiornamento manuale • Origine aggiornamenti • Computer collegati in rete • Aggiornamento automatico • Origine aggiornamenti • Rollback Registri • Registri dei computer collegati in rete • Rischi per la sicurezza • Aggiornamento dei componenti • Registri aggiornamenti server • Registri eventi di sistema • Manutenzione registri Cisco NAC • Policy Server • Gestione agente • Implementazione Agent • Certificato client Notifiche • Notifiche per l'amministratore • Impostazioni generali • Notifiche infezione • Notifiche all'utente client 12-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 12-2. Voci menu per server/client (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Amministrazione • Account utente • Ruoli utente Nota. Solo gli utenti che utilizzano l'account di amministratore integrato possono accedere ad Account utente e Ruoli. • Active Directory • Active Directory Integration • Sincronizzazione pianificata • Impostazioni proxy • Impostazioni connessione • Client inattivi • Gestore della quarantena • Licenza del prodotto • Impostazioni Control Manager • Impostazioni della console Web • Database Backup Strumenti • Strumenti amministrativi • Strumenti client 12-6 Gestione del server OfficeScan TABELLA 12-2. Voci menu per server/client (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Plug-in Manager Nota. nessuna Solo gli utenti che utilizzano l'account di amministratore integrato possono accedere a questa funzione. Voci menu per domini gestiti La seguente tabella elenca le voci di menu per i domini gestiti: TABELLA 12-3. Voci menu per domini gestiti VOCE DI MENU M ENU SECONDARI PRINCIPALE Riepilogo Nota. nessuna Tutti gli utenti possono accedere a questa pagina, indipendentem ente dall'autorizzazi one. 12-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 12-3. Voci menu per domini gestiti (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Conformità sicurezza • Valutazione conformità • Segnalazione conformità • Segnalazione conformità pianificata • Gestione server esterni Computer collegati in rete • Firewall • Criteri • Profili • Installazione client • Basato su browser • Remota Aggiornamenti • Riepilogo • Computer collegati in rete • Aggiornamento manuale Registri • Registri dei computer collegati in rete • Verifica connessione • Ripristino spyware/grayware: Notifiche • Notifiche per l'amministratore • Notifiche standard 12-8 Gestione del server OfficeScan Voci menu Gestione client La seguente tabella elenca le voci di menu della gestione del client: TABELLA 12-4. Voci menu gestione client VOCE DI MENU M ENU SECONDARI PRINCIPALE Stato Operazioni nessuna • Esegui scansione • Disinstallazione client • Ripristino spyware/grayware 12-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 12-4. Voci menu gestione client (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Impostazioni • Impostazioni di scansione • Metodi di scansione • Impostazioni scansione manuale • Impostazioni scansione in tempo reale • Impostazioni scansione pianificata • Impostazioni funzione Esegui scansione • Impostazioni di reputazione Web • Impostazioni del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni di Controllo risorse digitali • Impostazioni Update Agent • Privilegi e altre impostazioni • Impostazioni aggiuntive del servizio • Elenco Approvati spyware/grayware • Esporta impostazioni • Importa impostazioni 12-10 Gestione del server OfficeScan TABELLA 12-4. Voci menu gestione client (continua) VOCE DI MENU M ENU SECONDARI PRINCIPALE Registri • Registri di virus/minacce informatiche • Registri di spyware/grayware • Registri del firewall • Registri di reputazione Web • Registri di Monitoraggio del comportamento • Registri di controllo dispositivo • Registri di Controllo risorse digitali • Elimina registri Gestione struttura client • Aggiungi dominio • Rinomina dominio • Sposta client • Ordina client • Rimozione di dominio/client Esporta nessuna 12-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Ruoli utente integrati OfficeScan comprende una serie di ruoli utente integrati che non possono essere modificati o eliminati. I ruoli integrati sono riportati di seguito: TABELLA 12-5. Ruoli utente integrati N OME RUOLO Amministratore D ESCRIZIONE È possibile concedere questo ruolo agli utenti o amministratori di OfficeScan che hanno una buona conoscenza di OfficeScan. Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tutte le voci di menu. Utente ospite È possibile concedere questo ruolo agli utenti che desiderano visualizzare la console Web per riferimento. • Gli utenti con questo ruolo non hanno accesso alle voci di menu seguenti: • Esegui scansione per tutti i domini • Plug-in Manager • Amministrazione > Ruoli utente • Amministrazione > Account utente • Gli utenti con accesso di visualizzazione a tutte le altre voci di menu. Utente esperto Trend Questo ruolo è disponibile solamente se si esegue l'aggiornamento della versione da OfficeScan 10. Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" in OfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione "Configura" per tutti i domini della struttura dei client, ma non hanno accesso alle nuove funzionalità di questa versione. 12-12 Gestione del server OfficeScan Ruoli personalizzati Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruoli personalizzati. Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzano l'account principale (root) creato durante l'installazione di OfficeScan possono creare ruoli utente personalizzati ed assegnare tali ruoli agli account utente. Per aggiungere un ruolo personalizzato: P ERCORSO : A MMINISTRAZIONE > R UOLI UTENTE 1. Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruolo esistente, selezionare il ruolo esistente e fare clic su Copia. Viene visualizzata una nuova schermata. 2. Immettere il nome del ruolo e, se lo si desidera, una descrizione. 3. Definire l'ambito della struttura client. Nota. Non sarà possibile salvare un ruolo personalizzato se non si definisce l'ambito della struttura client. a. Fare clic su Definire l'ambito della struttura client. Viene visualizzata una nuova schermata. b. Selezionare l'icona del dominio root struttura client. c. Fare clic su Salva. oppure uno o diversi domini della A questo punto sono stati definiti solo i domini. Il livello di accesso ai domini selezionati viene definito in passaggio 6 e passaggio 7. 4. Fare clic sulla scheda Voci menu globali. 5. Fare clic su Voci menu per server/client e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu per server e client a pagina 12-4. 12-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore L'ambito della struttura dei client configurato in passaggio 3 determina il livello di autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione. L'ambito della struttura dei client può essere il dominio principale (tutti i client) oppure i domini specifici della struttura client. TABELLA 12-6. Voci menu per server/client e ambito della struttura client C RITERI A MBITO DELLA STRUTTURA CLIENT D OMINIO ROOT Autorizzazione per le voci di menu Configura, Visualizza o Nessun accesso Visualizza o Nessun accesso Destinazione Server OfficeScan e tutti i client Server OfficeScan e tutti i client Ad esempio, se ad un ruolo viene concessa l'autorizzazione "Configura" per tutte le voci di menu per i server/client, l'utente è in grado di: Ad esempio, se ad un ruolo viene concessa l'autorizzazione "Configura" per tutte le voci di menu per i server/client, l'utente è in grado di: • Gestire dati, operazioni e impostazioni del server • Implementare le impostazioni client globali • Avviare le operazioni dei client globali • Gestire i dati dei client globali 12-14 D OMINI SPECIFICI • Visualizzare dati, operazioni e impostazioni del server • Visualizzare dati, operazioni e impostazioni dei client globali Gestione del server OfficeScan 6. • Alcune voci di menu non sono disponibili per i ruoli personalizzati. Ad esempio, Plug-in Manager, Ruoli utente e Account utente sono disponibili solo con il ruolo di amministratore integrato. • Se viene selezionata la casella di controllo in Configura, la casella di controllo in Visualizza viene configurata automaticamente. • Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun accesso". Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 12-7. L'ambito della struttura dei client configurato in passaggio 3 determina il livello di autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione. L'ambito della struttura dei client può essere il dominio principale (tutti i client) oppure i domini specifici della struttura client. TABELLA 12-7. C RITERI Voci menu per domini gestiti e ambito della struttura client A MBITO DELLA STRUTTURA CLIENT D OMINIO ROOT Autorizzazione per le voci di menu Configura, Visualizza o Nessun accesso D OMINI SPECIFICI Configura, Visualizza o Nessun accesso 12-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 12-7. Voci menu per domini gestiti e ambito della struttura client (continua) C RITERI A MBITO DELLA STRUTTURA CLIENT D OMINIO ROOT Destinazione Client specifici o tutti i client Client nei domini selezionati Esempi: Esempi: • Se un utente ha implementato dei criteri di firewall, i criteri saranno implementati su tutti i client. • L'utente può avviare un aggiornamento manuale del client su tutti i client o su client specifici. • Una segnalazione di conformità include tutti i client o i client specifici. 12-16 D OMINI SPECIFICI • Se un utente ha implementato dei criteri di firewall, i criteri saranno implementati solamente sui client dei domini selezionati. • L'utente può avviare un aggiornamento manuale del client solo sui client dei domini selezionati. • Una segnalazione di conformità include solamente i client dei domini selezionati. • Se viene selezionata la casella di controllo in Configura, la casella di controllo in Visualizza viene configurata automaticamente. • Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun accesso". Gestione del server OfficeScan 7. Fare clic sula scheda Voci menu Gestione client e specificare successivamente l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione client a pagina 12-9. L'ambito della struttura dei client configurato in passaggio 3 determina il livello di autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione. L'ambito della struttura dei client può essere il dominio principale (tutti i client) oppure i domini specifici della struttura client. TABELLA 12-8. C RITERI Voci menu gestione client e ambito della struttura client A MBITO DELLA STRUTTURA CLIENT D OMINIO ROOT D OMINI SPECIFICI Autorizzazione per le voci di menu Configura, Visualizza o Nessun accesso Configura, Visualizza o Nessun accesso Destinazione Dominio root (tutti i client) o domini specifici Solo domini selezionati È, ad esempio, possibile concedere ad un ruolo l'autorizzazione "Configura" per la voce di menu "Operazioni" della struttura dei client. Se la destinazione è il dominio root, l'utente può avviare le operazioni su tutti i client. Se le destinazioni sono i domini A e B, le operazioni possono essere avviate solamente sui client dei domini A e B. È, ad esempio, possibile concedere ad un ruolo l'autorizzazione "Configura" per la voce di menu "Impostazioni" della struttura dei client. Ciò significa che l'utente può implementare le impostazioni, ma solo verso i client nei domini selezionati. La struttura client verrà visualizzata solo se l'autorizzazione alla voce di menu "Gestione client" in "Voci menu per server/client" è "Visualizza". 12-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 8. • Se viene selezionata la casella di controllo in Configura, la casella di controllo in Visualizza viene configurata automaticamente. • Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun accesso". • Se si configurano autorizzazioni per un dominio specifico, è possibile copiare le autorizzazioni su altri domini facendo clic su Copiare le impostazioni del dominio selezionato negli altri domini. Fare clic su Salva. Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente. Per modificare un ruolo personalizzato: P ERCORSO : A MMINISTRAZIONE > R UOLI UTENTE 1. Fare clic sul nome del ruolo. Viene visualizzata una nuova schermata. 2. Modificare una delle voci riportate di seguito: 3. • Descrizione • Ambito della struttura client • Autorizzazioni ruolo • Voci menu per server/client • Voci menu per domini gestiti • Voci menu Gestione client Fare clic su Salva. Per eliminare un ruolo personalizzato: P ERCORSO : A MMINISTRAZIONE > R UOLI UTENTE 1. Selezionare la casella di controllo accanto al ruolo. 2. Fare clic su Elimina. Nota. 12-18 Non è possibile eliminare un ruolo se è assegnato ad almeno un account utente. Gestione del server OfficeScan Per importare o esportare i ruoli personalizzati: P ERCORSO : A MMINISTRAZIONE > R UOLI 1. Per esportare i ruoli personalizzati in un file .dat: a. Selezionare i ruoli e fare clic su Esporta. b. Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare il file .dat per importare i ruoli personalizzati in quel server. Nota. 2. 3. UTENTE È possibile esportare i ruoli solo tra server con la stessa versione. Per esportare i ruoli personalizzati in un file .csv: a. Selezionare i ruoli e fare clic su Esporta impostazioni ruolo. b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e le autorizzazioni per i ruoli selezionati. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e si desidera importarli nel server OfficeScan attuale, fare clic su Importa e individuare il file .dat contenente i ruoli personalizzati. • Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa un ruolo con lo stesso nome. • È possibile importare i ruoli solo tra server con la stessa versione. • Ruolo importato da un altro server OfficeScan: • Conserva le autorizzazioni per le voci di menu per server/client e le voci di menu per i domini gestiti. • Applica le autorizzazioni predefinite per le voci di menu di gestione del client. Sull'altro server, registrare le autorizzazioni del ruolo per le voci di menu di gestione del client e successivamente riapplicarle al ruolo che è stato importato. 12-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Account utente Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruolo utente determina le voci di menu della console Web che un utente può visualizzare o configurare. Durante l'installazione del server OfficeScan, il programma di installazione crea un account integrato denominato "root" (account principale). Gli utenti che accedono utilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non è consentito eliminare l'account principale (root) ma è possibile modificare i dettagli dell'account quali la password e il nome completo oppure la descrizione dell'account. Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenza tecnica per reimpostarla. Aggiungere account personalizzati o account Active Directory. Tutti gli account utente vengono visualizzati nell'elenco Account utente della console Web. Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On". Il Single Sign-On consente agli utenti di accedere alla console Web OfficeScan dalla console di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedura riportata di seguito. Per aggiungere un account personalizzato: P ERCORSO : A MMINISTRAZIONE > A CCOUNT UTENTE 1. Fare clic su Aggiungi. 2. Selezionare Account personalizzato. 3. Digitare il nome utente, il nome completo e la password e confermarla. 4. Digitare un indirizzo e-mail per l'account. OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano il destinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 6-77 e Notifiche di Controllo risorse digitali per amministratori a pagina 9-70. 5. Selezionare un ruolo per l'account. 6. Fare clic su Salva. 7. Inviare i dettagli dell'account all'utente. 12-20 Gestione del server OfficeScan Per modificare un account personalizzato: P ERCORSO : A MMINISTRAZIONE > A CCOUNT 1. 2. 3. 4. 5. UTENTE Fare sull'account dell'utente. Attivare o disattivare l'account utilizzando la relativa casella di controllo. Modificare gli elementi riportati di seguito: • Nome completo • Password • Indirizzo e-mail • Ruolo Fare clic su Salva. Inviare i dettagli del nuovo account all'utente. Per aggiungere un gruppo o un account Active Directory: P ERCORSO : A MMINISTRAZIONE > A CCOUNT 1. 2. 3. UTENTE Fare clic su Aggiungi. Selezionare Utente o gruppo Active Directory. Specificare il nome dell'account (nome utente o gruppo) e il dominio di appartenenza dell'account. Aggiungere i nomi completi dell'account e del dominio. OfficeScan non restituisce alcun risultato se i nomi dell'account e del dominio sono incompleti o se è in uso il gruppo predefinito "Utenti di domini". 4. 5. 6. Tutti i membri appartenenti a un gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno due gruppi e i ruoli dei due gruppi sono diversi: • Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a tale impostazione, viene applicata l'autorizzazione di livello più alto. • Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad esempio l'utente "Mario Rossi accede con i ruoli seguenti: Amministratore, Utente ospite". Selezionare un ruolo per l'account. Fare clic su Salva. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome di dominio e password. 12-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per aggiungere diversi gruppi o un account Active Directory: P ERCORSO : A MMINISTRAZIONE > A CCOUNT UTENTE 1. Fare clic su Aggiungi da Active Directory. 2. Cercare un account (nome utente o gruppo) specificando il nome utente e il dominio di appartenenza. Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly, specificare il nome di account completo. OfficeScan non restituisce alcun risultato se i nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti di domini". 3. Quando OfficeScan trova un account valido, il nome dell'account viene visualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostare l'account in Utenti e gruppi selezionati. Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a un gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno due gruppi e i ruoli dei due gruppi sono diversi: • Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a tale impostazione, viene applicata l'autorizzazione di livello più alto. • Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad esempio l'utente "Mario Rossi accede con i ruoli seguenti: Amministratore, Utente esperto". 4. Aggiungere più account o gruppi. 5. Selezionare un ruolo per gli account o gruppi. 6. Fare clic su Salva. 7. Chiedere agli utenti di accedere alla console Web utilizzando il proprio nome di dominio e password. Per modificare un ruolo dell'account Active Directory o personalizzato: P ERCORSO : A MMINISTRAZIONE > A CCOUNT UTENTE 1. Selezionare uno o più account Active Directory o personalizzati: 2. Fare clic su Cambia ruolo. 3. Nella schermata successiva selezionare il nuovo ruolo e fare clic su Salva. 12-22 Gestione del server OfficeScan Per attivare o disattivare un account Active Directory o personalizzato: P ERCORSO : A MMINISTRAZIONE > A CCOUNT 1. UTENTE Fare clic sull'icona sotto Attiva. Nota. L'account principale (root) non può essere disattivato. Per eliminare un account Active Directory o personalizzato: P ERCORSO : A MMINISTRAZIONE > A CCOUNT UTENTE 1. Selezionare uno o più account Active Directory o personalizzati: 2. Fare clic su Elimina. Per utilizzare gli account utente OfficeScan in Control Manager: Per informazioni sulla procedura dettagliata, fare riferimento alla documentazione di Control Manager. 1. Creare un nuovo account utente in Control Manager. Quando si specifica il nome utente, digitare il nome dell'account visualizzato nella console Web OfficeScan. 2. Assegnare i diritti di "accesso" e "configurazione" del nuovo account per il server OfficeScan. Nota. Se un utente di Control Manager ha diritti di "accesso" e "configurazione" per OfficeScan ma non possiede un account OfficeScan, l'utente non può accedere a OfficeScan. Viene visualizzato un messaggio contenente un collegamento che apre la schermata di accesso della console Web OfficeScan. 12-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Trend Micro Control Manager Trend Micro Control Manager™ è una console di gestione centralizzata che consente di gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di file e di desktop aziendale. La console di gestione basata su Web di Control Manager costituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete. Control Manager consente agli amministratori di sistema di monitorare ed emettere rapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus. Gli amministratori di sistema possono scaricare e implementare i componenti attraverso la rete e così essere sicuri di disporre di una protezione coerente e aggiornata. Control Manager consente aggiornamenti manuali e pianificati e inoltre la possibilità di configurare e amministrare i prodotti individualmente o a gruppi per una maggiore flessibilità. Integrazione di Control Manager in questa versione di OfficeScan Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione di OfficeScan per la gestione dei server OfficeScan da Control Manager. • Una licenza di Protezione dati attivata può essere estesa da Control Manager. • Replicare le impostazioni riportate di seguito da un server OfficeScan a un altro utilizzando la console di Control Manager: • Definizioni di risorse digitali • Modelli di risorse digitali Nota. 12-24 Se queste impostazioni vengono replicate su un server OfficeScan in cui non è stata attivata la licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione della licenza. Gestione del server OfficeScan Versioni di Control Manager supportate Questa versione di OfficeScan supporta Control Manager 5.5 SP1, 5.5 e 5.0. TABELLA 12-9. S ERVER O FFICE S CAN Versioni di Control Manager supportate VERSIONE DI C ONTROL M ANAGER 5.5 SP1 5.5 5.0 Dual-stack Sì Sì Sì IPv4 puro Sì Sì Sì IPv6 puro Sì No No Nota. Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1. Per ulteriori informazioni sugli indirizzi IP che i server e i client OfficeScan inviano a Control Manager, vedere Console di Control Manager a pagina A-9. Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Manager per consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Micro all'indirizzo seguente: http://www.trendmicro.com/download/emea/?lng=it Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurare le impostazioni per OfficeScan nella console di gestione di Control Manager. Per informazioni sulla gestione dei server OfficeScan, consultare la documentazione di Control Manager. 12-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per registrare OfficeScan su Control Manager: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI C ONTROL M ANAGER 1. Specificare il nome di entità visualizzato, che corrisponde al nome del server OfficeScan visualizzato in Control Manager. Per impostazione predefinita il nome di entità visualizzato comprende il nome host del computer server e il nome di questo prodotto (ad esempio, Server01_OSCE). Nota. 2. In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite Control Manager vengono definiti "entità". Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numero di porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi in modo più sicuro con HTTPS. • Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager o l'indirizzo IP (IPv4 o IPv6, se disponibile). • Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv4. • Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv6. Nota. Solo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6. 3. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nome utente e password. 4. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare le seguenti impostazioni proxy: 5. 12-26 • Protocollo proxy • FQDN del sever o porta e indirizzo IPv4/IPv6 • ID utente e password per l'autenticazione del server proxy Decidere se utilizzare il reindirizzamento porte di comunicazione comunicazione unidirezionale o comunicazione bidirezionale e specificare l'indirizzo IPv4/IPv6 e la porta. Gestione del server OfficeScan 6. Per verificare che OfficeScan si colleghi al server Control Manager in base alle impostazioni specificate, fare clic su Test di connessione. Se il tentativo di connessione è riuscito, fare clic su Registra. 7. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clic su Impostazioni di aggiornamento dopo aver modificato le impostazioni per notificare le modifiche al server Control Manager. 8. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clic su Annulla registrazione. Per verificare lo stato di OfficeScan nella console di gestione Control Manager: 1. Aprire la console di gestione Control Manager. Per aprire la console di Control Manager in qualsiasi computer della rete, aprire un browser Web e immettere: https://<nome server Control Manager>/Webapp/login.aspx dove <nome server Control Manager> è l'indirizzo IP o il nome host del server Control Manager 2. Nel menu principale, fare clic su Prodotti. 3. Selezionare Prodotti gestiti nell'elenco. 4. Controllare che venga visualizzata l'icona del server OfficeScan. 12-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Server di riferimento Uno dei modi con cui il client OfficeScan determina se utilizzare profili firewall o Criteri di reputazione Web consiste nella verifica dello stato della connessione con il server OfficeScan. Se un client interno (o un client nella rete aziendale) non riesce a connettersi con il server, lo stato del client diventa offline. Il client quindi applica un profilo di firewall o un criterio di reputazione Web destinato ai client esterni. I server di riferimento risolvono questo problema. Un client che perde la connessione con il server OfficeScan proverà a collegarsi ai server di riferimento. Se il client riesce a stabilire una connessione con un server di riferimento, viene applicato il profilo firewall o il criterio di reputazione Web più adatto. È necessario ricordare quanto segue: • Assegnare come server di riferimento computer con funzionalità server, come un server Web, un server SQL o un server FTP. È possibile specificare un massimo di 32 server di riferimento. • I client si collegano al primo server dell'elenco dei server di riferimento. Se il collegamento non riesce, il client prova a collegarsi al server successivo dell'elenco. • Per determinare il profilo firewall o il criterio di reputazione Web da utilizzare, i client OfficeScan utilizzano solo server di riferimento. I server di riferimento non gestiscono client o implementano aggiornamenti e impostazioni client. Il server OfficeScan esegue queste operazioni. • Un client non è in grado di inviare registri ai server di riferimento o utilizzare i server come origine di aggiornamento. Per gestire l'elenco dei server di riferimento: P ERCORSO : C OMPUTER COLLEGATI IN RETE > F IREWALL > P ROFILI C OMPUTER COLLEGATI IN RETE > L OCALITÀ 1. COMPUTER Sulla schermata Profili firewall per i computer in rete, fare clic su Modifica elenco server di riferimento. Sulla schermata Località computer, fare clic su Elenco server di riferimento. 2. 12-28 Selezionare Attiva l'elenco server di riferimento. Gestione del server OfficeScan 3. Per aggiungere un computer all'elenco, fare clic su Aggiungi. a. b. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully Qualified Domain Name) del computer, ad esempio: • computer.nomerete • 12.10.10.10 • ilmiocomputer.dominio.com Inserire la porta attraverso la quale i client comunicano con il computer. Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul server di riferimento. Nota. c. Per specificare un altro numero di porta per lo stesso server di riferimento, ripetere i passaggi 2a e 2b. Il client utilizza il primo numero di porta dell'elenco e, se la connessione non riesce, passa al numero di porta successivo. Fare clic su Salva. 4. Per modificare le impostazioni di un computer dell'elenco, fare clic sul nome del computer. Modificare il nome o la porta del computer e fare clic su Salva. 5. Per rimuovere un computer dall'elenco, selezionare la casella di controllo accanto al nome del computer e fare clic su Elimina. 6. Per consentire ai computer di agire come server di riferimento, fare clic su Assegna ai client. 12-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni notifica amministratore Configurare le impostazioni di notifica per l'amministratore per consentire a OfficeScan di inviare notifiche mediante messaggio e-mail, cercapersone e Trap SNMP. OfficeScan è anche in grado di inviare notifiche tramite il registro eventi di Windows NT, ma per questo canale di notifica non sono configurate impostazioni. OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quando rileva: TABELLA 12-10. Rilevamenti che determinano l'invio di notifiche all'amministratore R ILEVAMENTI C ANALI DI NOTIFICA E- MAIL 12-30 C ERCAPER TRAP SNMP SONE R EGISTRI EVENTI DI W INDOWS NT Virus e minacce informatiche Sì Sì Sì Sì Spyware e grayware Sì Sì Sì Sì Trasmissioni di risorse digitali Sì Sì Sì Sì Infezioni da spyware e minacce informatiche Sì Sì Sì Sì Infezioni da spyware e grayware Sì Sì Sì Sì Infezioni da violazione del firewall Sì No No No Infezioni delle sessioni di condivisione delle cartelle Sì No No No Gestione del server OfficeScan Per configurare le impostazioni di notifica all'amministratore: P ERCORSO : N OTIFICHE > N OTIFICHE 1. AMMINISTRATORE > I MPOSTAZIONI GENERALI Configurare le impostazioni di notifica e-mail a. Specificare l'indirizzo IPv4/IPv6 o il nome del computer nel campo Server SMTP. b. Specificare un numero di porta compreso tra 1 e 65535. c. Specificare un nome o un indirizzo e-mail. Se si desidera attivare l'ESMTP nel passaggio successivo, specificare un indirizzo e-mail valido. d. Facoltativamente, attivare ESMTP. 2. e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nel campo Da. f. Scegliere un metodo per autenticare il client sul server: • Accesso: la funzione di accesso è una vecchia versione di Mail User Agent. Il server e il client usano entrambi BASE64 per l'autenticazione del nome utente e della password. • Testo semplice: il testo semplice è il più facile, ma anche il meno sicuro perché il nome utente e la password vengono inviati come una stringa e codificati come BASE64 prima di essere inviati tramite Internet. • CRAM-MD5: CRAM-MD5 utilizza una combinazione di un meccanismo di autenticazione con risposta e di un algoritmo Message Digest 5 crittografato per scambiare e autenticare le informazioni. Configurare le impostazioni di notifica mediante cercapersone a. Nel campo Numero cercapersone, sono consentiti i seguenti caratteri: da 0 a 9 # * , b. Specificare una porta COM compresa tra 1 e 16. 12-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. 4. Configurare le impostazioni di notifica mediante trap SNMP. a. Specificare l'indirizzo IPv4/IPv6 o il nome del computer nel campo Indirizzo IP del server. b. Specificare un nome community difficile da indovinare. Fare clic su Salva. Registri eventi di sistema OfficeScan trascrive nei registri gli eventi correlati al programma server, come ad esempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i servizi OfficeScan funzionino correttamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri eventi di sistema: P ERCORSO : R EGISTRI > R EGISTRI 1. EVENTI DI SISTEMA Nella sezione Descrizione evento, controllare i registri che richiedono un'azione. OfficeScan registra i seguenti eventi: Servizio principale OfficeScan e server database: • Servizio principale avviato • Servizio principale interrotto correttamente • Servizio principale interrotto correttamente Prevenzione delle infezioni: • Prevenzione delle infezioni attivata • Prevenzione delle infezioni disattivata • Numero di sessioni di cartelle condivise negli ultimi <numero di minuti> Database Backup: 12-32 • Backup del database riuscito • Backup del database non riuscito Gestione del server OfficeScan Accesso alla console Web basato sui ruoli: 2. • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (utente automaticamente disconnesso) Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Gestione dei registri OfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per la sicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare i criteri di protezione della propria organizzazione e di identificare i client esposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di controllare la connessione client-server e di verificare che gli aggiornamenti dei componenti siano stati completati. OfficeScan inoltre utilizza un meccanismo centralizzato di verifica dell'orario per garantire la coerenza temporale tra i client e il server OfficeScan. Tale verifica previene le incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale che possono generare confusione nell'analisi dei registri. Nota. OfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degli aggiornamenti del server e degli eventi di sistema. 12-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Registri OfficeScan Il server OfficeScan riceve i seguenti registri dai client: • Registri di virus/minacce informatiche a pagina 6-84 • Registri di spyware/grayware a pagina 6-91 • Registri di ripristino spyware/grayware a pagina 6-93 • Registri del firewall a pagina 11-27 • Registri di Reputazione Web a pagina 10-9 • Registri di Monitoraggio del comportamento a pagina 7-12 • Registri di controllo dispositivo a pagina 8-17 • Registri di Controllo risorse digitali a pagina 9-74 • Registri aggiornamenti client OfficeScan a pagina 5-48 • Registri di verifica connessione a pagina 13-46 Il server OfficeScan genera i seguenti registri: • Registri aggiornamenti server OfficeScan a pagina 5-25 • Registri eventi di sistema a pagina 12-32 I seguenti registri sono inoltre disponibili sui client e sul server OfficeScan: • Registri eventi di Windows a pagina 17-21 • Registri del server OfficeScan a pagina 17-3 • Registri dei client OfficeScan a pagina 17-15 Manutenzione registri Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli dalla console Web. 12-34 Gestione del server OfficeScan Per eliminare i registri in base a una pianificazione: P ERCORSO : R EGISTRI > M ANUTENZIONE REGISTRI 1. Selezionare Attiva eliminazione pianificata dei registri. 2. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, ad eccezione dei registri di debug, possono essere eliminati in base ad una pianificazione. Per i registri di debug, disattivare la registrazione di debug per interrompere la raccolta dei registri. Nota. Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 6-15. 3. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. 4. Specificare la frequenza e l'ora di eliminazione dei registri. 5. Fare clic su Salva. Per eliminare manualmente i registri: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > R ISCHI PER LA SICUREZZA C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Eseguire una delle operazioni riportate di seguito. per • Se si accede alla schermata Registri del rischio per la sicurezza per i computer in rete, fare clic su Elimina registri oppure Visualizza registri > Elimina registri. • Se si accede alla schermata Gestione client, fare clic su Registri > Elimina registri. 12-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo i seguenti registri: • Registri di virus/minacce informatiche • Registri di spyware/grayware • Registri del firewall • Registri di reputazione Web • Registri di controllo dispositivo • Registri di Monitoraggio del comportamento • Registri di Controllo risorse digitali Nota. 4. 5. Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 6-15. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. Fare clic su Elimina. Licenze Tramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenza OfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte del servizio antivirus, che comprende anche l'assistenza per Cisco NAC e la prevenzione delle infezioni. Nota. Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto Virtual Desktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate e gestite da Plug-in Manager. Per ulteriori informazioni sulle licenze per queste funzioni, vedere Licenza di Protezione dati a pagina 9-4 e Licenza del supporto Virtual Desktop a pagina 13-78. Un server OfficeScan IPv6 puro non può connettersi al server per la registrazione online Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScan di connettersi al server per la registrazione, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 12-36 Gestione del server OfficeScan Uscire dalla console Web e poi effettuare nuovamente l'accesso nei seguenti casi: • Dopo aver attivato una licenza per i servizi seguenti: • Antivirus • Reputazione Web e anti-spyware Nota. • Accedere di nuovo per attivare la funzionalità completa del servizio. Dopo aver attivato o disattivato il firewall OfficeScan. Se si disattiva il firewall dalla console Web, OfficeScan nasconde tutte le funzioni del firewall nel server e nel client. Per visualizzare le informazioni sulla licenza: P ERCORSO : A MMINISTRAZIONE > L ICENZA 1. DEL PRODOTTO Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore della schermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze: Se si dispone di una licenza per versione completa • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei computer, ma con componenti non aggiornati. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Se si dispone di una licenza per versione di valutazione • Alla scadenza della licenza. In questo periodo OfficeScan disattiva l'aggiornamento dei componenti, la scansione e tutte le funzionalità client. 12-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenza contiene le seguenti informazioni: • Servizi: comprende tutti i servizi dei servizi OfficeScan. • Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto". Se un servizio prevede diverse licenze e almeno una di queste è ancora attiva, lo stato di tale servizio sarà "Attivato". • Versione: indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007 e 30/06/2008, verrà visualizzata la data 30/06/2008. Nota. 3. Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà "N.D.". OfficeScan consente di attivare diverse licenze per un servizio di licenza. Per visualizzare tutte le licenze relative a un servizio (sia quelle attive che quelle scadute), fare clic sul nome del servizio stesso. Per attivare o rinnovare una licenza: P ERCORSO : A MMINISTRAZIONE > L ICENZA DEL PRODOTTO 1. Fare clic sul nome del servizio di licenza. 2. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codice di attivazione. 12-38 Gestione del server OfficeScan 3. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su Salva. Nota. 4. Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sulla chiave di registrazione e sul codice di attivazione, contattare un rappresentante Trend Micro. Quando viene visualizzata di nuovo la schermata Dettagli della licenza del prodotto, fare clic su Aggiorna informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il nuovo stato del servizio. Questa schermata contiene anche un collegamento al sito Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla propria licenza. OfficeScan Database Backup Il database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese le impostazioni e i privilegi di scansione. Qualora il database del server dovesse subire un danno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manuale del database in qualsiasi momento oppure configurare una pianificazione per il backup. Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alla deframmentazione del database e ripara eventuali danni al file dell'indice. Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Per ulteriori informazioni, consultare Registri eventi di sistema a pagina 12-32. Suggerimento. ATTENZIONE! Trend Micro consiglia di configurare una pianificazione per il backup automatico. Si consiglia di effettuare il backup del database durante ore non di punta quando il traffico del server è ridotto. Non eseguire il backup con altri strumenti o software. Configurare il backup del database solo dalla console Web OfficeScan. 12-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per eseguire il backup del database di OfficeScan: P ERCORSO : A MMINISTRAZIONE > D ATABASE B ACKUP 1. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste, selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completo della directory, ad esempio C:\OfficeScan\DatabaseBackup. Per impostazione predefinita, OfficeScan salva la copia di backup nella seguente directory: <Cartella di installazione del server>\DBBackup. OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartella indica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS. OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente le cartelle precedenti. 2. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserire un nome account adeguato e la password corrispondente. Accertarsi che l'account disponga dei privilegi di scrittura sul computer. 3. Per configurare una pianificazione per il backup: a. Selezionare Attiva pianificazione di Database Backup. b. Specificare la frequenza e l'orario del backup. c. Per eseguire il backup del database e salvare le modifiche apportate, fare clic su Esegui backup ora. Per salvare soltanto senza eseguire il backup del database, fare clic su Salva. Per ripristinare i file di backup del database: 1. Interrompere il servizio principale OfficeScan. 2. Sovrascrivere i file del database della cartella <Cartella di installazione del server>\PCCSRV\HTTPDB con i file di backup. 3. Riavviare il servizio principale OfficeScan. 12-40 Gestione del server OfficeScan Informazioni sul server Web OfficeScan Nel corso dell'installazione del server OfficeScan, il programma di installazione imposta automaticamente un server Web (server IIS o Apache Web) che consente ai computer della rete di collegarsi al server OfficeScan. Configurare il server Web a cui si collegheranno i client collegati in rete. Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla console di gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modifica manualmente l'indirizzo IP del server per i computer in rete o se si assegna al server un indirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative al server. ATTENZIONE! La modifica delle impostazioni di connessione può determinare la perdita permanente della connessione tra il server e i client e rende necessaria una nuova implementazione dei client. Per configurare le impostazioni di connessione: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI 1. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta del server Web. Nota. 2. CONNESSIONE Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza per comunicare con i client OfficeScan. Fare clic su Salva. 12-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Password della console Web La schermata per la gestione della password della console Web (o la password per l'account principale (root) creato durante l'installazione del server OfficeScan) è disponibile solo se il computer server non dispone delle risorse necessarie per utilizzare role-based administration (rba). Ad esempio se sul computer server è installato Windows Server 2003 e Authorization Manager Runtime non è installato, la schermata non è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata e la password può essere gestita modificando l'account principale (root) nella schermata Account utente. Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica per ottenere istruzioni su come accedere alla console Web. Impostazioni della console Web Utilizzare la schermata Impostazioni della console Web per effettuare le operazioni riportate di seguito: • Configurare il server OfficeScan per l'aggiornamento periodico della dashboard Riepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30 secondi. Il numero di secondi deve essere compreso tra 10 e 300. • Specificare le impostazioni di timeout della console Web. Per impostazione predefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30 minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e 60. Per configurare le impostazioni della console Web: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI DELLA CONSOLE W EB 1. Selezionare Attiva aggiornamento automatico e selezionare l'intervallo di aggiornamento. 2. Selezionare Attiva disconnessione automatica dalla console Web e selezionare l'intervallo di timeout. 3. Fare clic su Salva. 12-42 Gestione del server OfficeScan Gestore della quarantena Quando il client OfficeScan rileva un rischio per la sicurezza e l'operazione da compiere è la messa in quarantena, il file infetto viene crittografato, spostato nella cartella di quarantena locale in <Cartella di installazione del client>\SUSPECT. Dopo aver spostato il file nella directory di quarantena locale, il client lo invia alla directory di quarantena designata. Specificare la directory in Computer collegati in rete > Gestione client > Impostazioni > Impostazioni {tipo di scansione} > scheda Azione. I file nella directory di quarantena vengono crittografati per evitare che infettino altri file. Per ulteriori informazioni, consultare Directory di quarantena a pagina 6-40. Se la directory di quarantena designata si trova nel computer server OfficeScan, modificare le impostazioni della directory di quarantena dalla console Web. Il server memorizza i file messi in quarantena in <Cartella di installazione del server>\ PCCSRV\Virus. Nota. Se per qualche motivo (come ad esempio un problema alla connessione) il client OfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il file crittografato rimane nella cartella di quarantena del client. Il client tenta un nuovo invio del file al successivo collegamento al server OfficeScan. Per configurare le impostazioni della directory di quarantena: P ERCORSO : A MMINISTRAZIONE > G ESTORE DELLA QUARANTENA 1. Accettare o modificare la capacità predefinita della cartella di quarantena e le dimensioni massime di un file infetto che OfficeScan è in grado di mettere in quarantena. In questa schermata vengono visualizzati i valori predefiniti. 2. Fare clic su Salva impostazioni di quarantena. 3. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Elimina tutti i file in quarantena. 12-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Server Tuner Server Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando dei parametri per le seguenti problematiche prestazionali relative al server: Download Quando il numero di client (compresi i client Update Agent) che richiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sul server, il server sposta la richiesta di aggiornamento del client in una coda ed elabora le richieste quando le risorse diventano disponibili. Dopo il corretto aggiornamento dei componenti dal server OfficeScan, il client notifica al server il completamento dell'aggiornamento. Impostare il numero massimo di minuti per i quali il server OfficeScan deve attendere la notifica di aggiornamento dal client. Impostare anche il numero massimo di tentativi che il server deve effettuare per richiedere al client di eseguire un aggiornamento e di applicare le nuove impostazioni di configurazione. Il server effettua nuovi tentativi soltanto se non riceve notifiche dal client. Buffer Quando il server OfficeScan riceve più richieste dai client come, ad esempio, la richiesta di eseguire un aggiornamento, il server elabora il numero massimo di richieste possibili, spostando le richieste restanti in un buffer. Il server elabora quindi le richieste salvate nel buffer una per volta, man mano che si rendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi (ad esempio le richieste di aggiornamento dei client) e per i report dei registri dei client. Traffico di rete La quantità di traffico della rete varia nel corso della giornata. Per controllare il flusso del traffico di rete verso il server OfficeScan e verso altre origini aggiornamenti, specificare il numero di client che possono essere aggiornati contemporaneamente in un determinato orario. Server Tuner richiede il seguente file: SvrTune.exe 12-44 Gestione del server OfficeScan Per eseguire Server Tuner: 1. Sul computer server OfficeScan, accedere a <Cartella di installazione del server>\ PCCSRV\Admin\Utility\SvrTune. 2. Fare doppio clic su SvrTune.exe per avviare Server Tuner. Si apre la console di Server Tuner. 3. Nella sezione Download modificare le seguenti impostazioni: Timeout per client Digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento dai client. Se il client non risponde entro questo intervallo, il server OfficeScan non considera il client come dotato di componenti aggiornati. Quando si verifica il timeout su un client notificato, si rende disponibile lo spazio per un altro client in attesa di notifica. Timeout per Update Agent Digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento da un Update Agent. Quando si verifica il timeout su un client notificato, si rende disponibile lo spazio per un altro client in attesa di notifica. Numero tentativi Digitare il numero massimo di tentativi che il server OfficeScan deve effettuare per richiedere a un client di eseguire un aggiornamento o di applicare nuove impostazioni di configurazione. Intervallo tra i tentativi Digitare il numero di minuti che il server OfficeScan deve attendere tra un tentativo di notifica e quello successivo. 4. Nella sezione Buffer, modificare le seguenti impostazioni: Buffer eventi Digitare il numero massimo di report eventi client inviati al server (ad esempio l'aggiornamento dei componenti) che OfficeScan deve conservare nel buffer. Mentre la richiesta del client resta in attesa nel buffer, la connessione con il client viene interrotta. OfficeScan stabilisce una connessione con un client quando elabora il report del client e lo rimuove dal buffer. 12-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Buffer registro Digitare il numero massimo di report informativi sui registri dei client inviati al server che OfficeScan deve conservare nel buffer. Mentre la richiesta del client resta in attesa nel buffer, la connessione con il client viene interrotta. OfficeScan stabilisce una connessione con un client quando elabora il report del client e lo rimuove dal buffer. Nota. 5. Se il numero di client che inviano segnalazioni al server è elevato, aumentare le dimensioni del buffer. Tuttavia, maggiori dimensioni del buffer comportano un maggiore utilizzo di memoria sul server. Nella sezione Traffico di rete, modificare le seguenti impostazioni: Orari a traffico normale Fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato normale. Orario a traffico ridotto Fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato minimo. Ore a traffico intenso Fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato massimo. Numero massimo connessioni client Digitare il numero massimo di client che possono simultaneamente aggiornare i componenti da "altra origine aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di client per ciascuno dei periodi di tempo. Quando viene raggiunto il numero massimo di connessioni, un client può aggiornare i componenti soltanto dopo la chiusura di una connessione client in corso (a causa del completamento dell'aggiornamento o del fatto che la risposta del client ha raggiunto il valore di timeout specificato nel campo Timeout per client o Timeout per Update Agent). 12-46 Gestione del server OfficeScan 6. Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principale OfficeScan. Nota. 7. Viene riavviato soltanto il servizio, non il computer. Fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio. Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio. Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare il servizio. Per fare in modo che le impostazioni abbiano effetto, riavviare il servizio principale OfficeScan o riavviare il computer su cui è installato il server OfficeScan. Smart Feedback Trend Micro Smart Feedback condivide le informazioni su minacce anonime con Smart Protection Network, consentendo a Trend Micro di identificare e trattare rapidamente le nuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramite questa console. Per modificare la partecipazione al programma Smart Feedback: P ERCORSO : S MART P ROTECTION > S MART F EEDBACK 1. Fare clic su Attiva Trend Micro Smart Feedback. 2. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare un valore nel campo Settore. 3. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file dei computer client, selezionare la casella di controllo Attiva feedback per i file di programma sospetti. Nota. 4. I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati solo per eseguire le analisi delle minacce. Per configurare i criteri per l'invio del feedback, selezionare il numero di rilevamenti effettuati nel periodo di tempo specificato che generano il feedback. 12-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan per inviare feedback e ridurre le interruzioni della rete. 6. Fare clic su Salva. 12-48 Capitolo 13 Gestione dei client OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione del client Trend Micro™ OfficeScan™. Argomenti di questo capitolo: • Località computer a pagina 13-2 • Gestione programma client OfficeScan a pagina 13-6 • Connessione client-server a pagina 13-23 • Impostazioni proxy del client a pagina 13-51 • Informazioni sui client a pagina 13-56 • Importazione ed esportazione delle impostazioni client a pagina 13-56 • Conformità sicurezza a pagina 13-58 • Supporto Trend Micro Virtual Desktop a pagina 13-76 • Privilegi e altre impostazioni del client a pagina 13-85 • Impostazioni client globali a pagina 13-88 13-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Località computer OfficeScan fornisce una funzione di Location Awareness in grado di determinare se la località del client è interna o esterna. Location Awareness viene utilizzata nelle seguenti funzioni e servizi di OfficeScan: TABELLA 13-1. Funzioni e servizi che usano Location Awareness F UNZIONE /S ERVIZIO Servizi di reputazione Web D ESCRIZIONE La località del client determina il criterio di reputazione Web applicato dal client. Gli amministratori in genere applicano criteri più rigidi per i client esterni. Per ulteriori informazioni sui criteri di reputazione Web, vedere Criteri di reputazione Web a pagina 10-3. Servizi di reputazione file Per i client che usano Smart Scan, la località del client stabilisce l'origine Smart Protection a cui i client inviano query di scansione. I client esterni inviano query di scansione a Smart Protection Network mentre i client interni inviano le query alle origini definite nell'elenco delle origini Smart Protection. Per ulteriori informazioni sulle origini Smart Protection, vedere Origini Smart Protection a pagina 3-6. Controllo risorse digitali La località del client determina il criterio di Controllo risorse digitali applicato dal client. Gli amministratori in genere applicano criteri più rigidi per i client esterni. Per ulteriori informazioni sui criteri di Controllo risorse digitali, vedere Criteri di Controllo risorse digitali a pagina 9-10. Controllo dispositivo La località del client determina il criterio di Controllo dispositivo applicato dal client. Gli amministratori in genere applicano criteri più rigidi per i client esterni. Per ulteriori informazioni sui criteri di Controllo dispositivo, vedere Controllo dispositivo a pagina 8-2. 13-2 Gestione dei client OfficeScan Criteri di località Specificare se il percorso si basa sull'indirizzo IP del gateway del computer client o sullo stato della connessione del client con il server OfficeScan o un server di riferimento. • Indirizzo IP gateway: Se l'indirizzo IP del gateway del computer client corrisponde a uno degli indirizzi IP del gateway specificati nella schermata Località computer, la località del computer è interna. Altrimenti la località del computer è esterna. • Stato connessione client: se il client OfficeScan può collegarsi al server OfficeScan o a uno dei server di riferimento della intranet, il percorso del computer è interno. Inoltre se un computer al di fuori della rete aziendale è in grado di stabilire una connessione al server OfficeScan o al server di riferimento, anche quella località è interna. Se non si applica nessuna di queste condizioni, il percorso del computer è esterno. Per configurare le impostazioni di località: P ERCORSO : C OMPUTER COLLEGATI IN RETE > L OCALITÀ COMPUTER 1. Indicare se il percorso si basa su Stato connessione client o Indirizzo IP e MAC del gateway. 2. Se si sceglie Stato connessione client, occorre decidere se utilizzare un server di riferimento. Per informazioni, vedere Server di riferimento a pagina 12-28. a. Se non viene specificato un server di riferimento, il client verifica lo stato della connessione con il server OfficeScan se si verificano gli eventi seguenti: • Il client passa dalla modalità roaming a quella normale (online/offline) e viceversa. • Il client passa da un metodo di scansione a un altro. Per informazioni, vedere Metodi di scansione a pagina 6-8. • Il client rileva una variazione di indirizzo IP nel computer. • Il client viene riavviato. • Il server avvia una verifica della connessione. Per informazioni, vedere Icone del client a pagina 13-23. 13-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore b. 3. • I parametri della località di reputazione Web vengono modificati durante l'applicazione delle impostazioni globali. • I criteri di difesa dalle infezioni non vengono più applicati e vengono ripristinate le impostazioni precedenti all'infezione. Se si specifica un server di riferimento, il client verifica lo stato della connessione prima con il server OfficeScan, poi con il server di riferimento se la connessione al server OfficeScan non riesce. Il client verifica lo stato della connessione ogni ora e quando si verificano gli eventi sopra citati. Se si seleziona l'indirizzo IP e MAC del gateway: a. Inserire l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo. b. Inserire l'indirizzo MAC. Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizzi MAC appartenenti all'indirizzo IP specificato. c. Fare clic su Aggiungi. d. Ripetere i passaggi da passaggio a a passaggio c fino a inserire tutti gli indirizzi IP del gateway che si desidera aggiungere. e. 4. Utilizzare lo strumento Utilità di importazione impostazioni gateway per importare un elenco delle impostazioni del gateway. Per informazioni, vedere Utilità di importazione impostazioni gateway a pagina 13-4. Fare clic su Salva. Utilità di importazione impostazioni gateway OfficeScan verifica la località del computer per determinare il criterio di reputazione Web da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con cui OfficeScan identifica la località è la verifica dell'indirizzo IP e MAC del gateway del computer. Configurare le impostazioni gateway nella schermata Località computer oppure utilizzare lo strumento dell'utilità di importazione impostazioni gateway per importare un elenco delle impostazioni gateway nella schermata Località computer. 13-4 Gestione dei client OfficeScan Per utilizzare lo strumento dell'utilità di importazione impostazioni gateway: 1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway. In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo). Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096. Ad esempio: 10.1.111.222,00:17:31:06:e6:e7 2001:0db7:85a3:0000:0000:8a2e:0370:7334 10.1.111.224,00:17:31:06:e6:e7 2. Nel computer server, accedere a <Cartella di installazione del server>\PCCSRV\ Admin\Utility\GatewaySettingsImporter e fare doppio clic su GSImporter.exe. Nota. Non è possibile eseguire lo strumento Utilità di importazione impostazioni gateway dai servizi terminal. 3. Nella schermata Utilità di importazione impostazioni gateway, individuare il file creato in passaggio 1 e fare clic su Importa. 4. Fare clic su OK. Le impostazioni gateway vengono visualizzate nella schermata Località computer e il server OfficeScan distribuisce le impostazioni ai client. 5. Per eliminare tutte le voci, fare clic su Cancella tutto. Per rimuovere solo una voce specifica, rimuoverla nella schermata Località computer. 6. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare il nome e il tipo di file. 13-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Gestione programma client OfficeScan I seguenti argomenti illustrano modi per gestire e proteggere il programma client OfficeScan: • Servizi del client a pagina 13-6 • Riavvio servizio del client a pagina 13-11 • Protezione automatica del client a pagina 13-12 • Client Security a pagina 13-15 • Rimozione del client a pagina 13-17 • Privilegio di roaming del client a pagina 13-18 • Client Mover a pagina 13-20 • Client inattivi a pagina 13-22 Servizi del client Il client OfficeScan gestisce i servizi in elenco in Tabella 13-2. È possibile visualizzare lo stato di questi servizi da Microsoft Management Console. TABELLA 13-2. Servizi client OfficeScan S ERVIZIO Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) F UNZIONI CONTROLLATE • Monitoraggio del comportamento • Controllo dispositivo • Servizio Certified Safe Software • Protezione automatica del client Nota. OfficeScan NT Firewall (TmPfw.exe) 13-6 La protezione automatica del client impedisce l'interruzione dei servizi del client quando sono attivi e in esecuzione. Firewall di OfficeScan Gestione dei client OfficeScan TABELLA 13-2. Servizi client OfficeScan (continua) S ERVIZIO Servizio Protezione dati OfficeScan (dsagent.exe) OfficeScan NT Listener (tmlisten.exe) F UNZIONI CONTROLLATE • Controllo risorse digitali • Controllo dispositivo Comunicazione tra il client e il server OfficeScan OfficeScan NT Proxy Service (TmProxy.exe) • Reputazione Web Scansione in tempo reale OfficeScanNT (ntrtscan.exe) • Scansione in tempo reale • Scansione e-mail POP3 • Scansione pianificata • Scansione manuale/Esegui scansione I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllo possono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguono applicazioni a elevato utilizzo delle risorse del sistema: • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) • OfficeScan NT Firewall (TmPfw.exe) • Servizio Protezione dati OfficeScan (dsagent.exe) Per questo motivo, per impostazione predefinita questi servizi sono disattivati sulle piattaforme server (Windows Server 2003 e Windows Server 2008). Se si desidera attivare questi servizi: • Tenere costantemente sotto controllo le prestazioni del sistema e prendere gli opportuni provvedimenti se si nota un calo delle prestazioni. • Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni a elevato utilizzo delle risorse del sistema dai criteri di monitoraggio del comportamento. È possibile utilizzare uno strumento di ottimizzazione delle prestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema. Per i dettagli, consultare Per utilizzare Trend Micro Performance Tuning Tool a pagina 13-9. Per le piattaforme desktop (Windows XP, Vista e 7), disattivare i servizi solo se si nota un significativo calo delle prestazioni. 13-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per attivare o disattivare i servizi del client dalla console Web: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > G ESTIONE CLIENT Per client OfficeScan con sistemi operativi Windows XP, Vista o 7: a. Nella struttura dei client, fare clic sull'icona del dominio principale selezionare domini o client specifici. Nota. oppure Se si seleziona il dominio principale o domini specifici, l'impostazione viene applicata solo ai client con Windows XP, Vista o 7. L'impostazione non viene applicata a client con sistemi Windows Server 2003 o Windows Server 2008 anche se fanno parte dei domini. b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio Protezione dati d. Fare clic su Salva per applicare le impostazioni ai domini. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 13-8 • Applica a tutti i client: applica le impostazioni a tutti i client Windows XP/Vista/7 esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client Windows XP/Vista/7 aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Gestione dei client OfficeScan 2. Per client OfficeScan con Windows Server 2003 o Windows Server 2008: a. Selezionare un client nella struttura dei client. b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio Protezione dati d. Fare clic su Salva. Per utilizzare Trend Micro Performance Tuning Tool: 1. Scaricare Trend Micro Performance Tuning Tool da: http://solutionfile.trendmicro.com/solutionfile/1054312/EN/TMPerfTool_2_90 _1131.zip 2. Decomprimere TMPerfTool.zip. per estrarre TMPerfTool.exe. 3. Mettere TMPerfTool.exe nella <Cartella di installazione del client> oppure nella stessa cartella di TMBMCLI.dll. 4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionare Esegui come amministratore. 5. Leggere e accettare il contratto per l'utente finale e fare clic su OK. 13-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 6. Fare clic su Analizza. Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. I processi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso. FIGURA 13-1. Processo a elevato utilizzo delle risorse del sistema evidenziato 7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sul pulsante Aggiungi a elenco eccezioni (consenti) . 8. Controllare se le prestazioni del sistema o dell'applicazione migliorano. 9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsante Rimuovi da elenco eccezioni 13-10 . Gestione dei client OfficeScan 10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito: a. Prendere nota del nome dell'applicazione. b. Fare clic su Interrompi. c. Fare clic sul pulsante Genera segnalazione e salvare il file .xml. d. Esaminare le applicazioni identificate come in conflitto e aggiungerle all'elenco eccezioni del monitoraggio del comportamento. Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 7-6. Riavvio servizio del client OfficeScan riavvia i servizi client che improvvisamente non rispondono senza essere stati interrotti da un processo di sistema normale. Per ulteriori informazioni sui servizi dei client, vedere Servizi del client a pagina 13-6. Per consentire il riavvio dei servizi del client, configurare le impostazioni necessarie. Per configurare le impostazioni di riavvio dei servizi: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Passare alla sezione Riavvia Servizio OfficeScan. 2. Selezionare Riavvia automaticamente il servizio client OfficeScan se viene interrotto in modo imprevisto. 3. Configurare gli elementi riportati di seguito. • Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti) che deve trascorrere prima che OfficeScan riavvii un servizio. • Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte: specificare il numero massimo di tentativi di riavvio del servizio. Se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, riavviarlo manualmente. • Azzera il conteggio dei riavvii non riusciti dopo __ ore: se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScan attende alcune ore prima di azzerare il conteggio dei riavvii non riusciti. Se un servizio rimane interrotto dopo il numero di ore specificato, OfficeScan riavvia il servizio. 13-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Protezione automatica del client La protezione automatica del client consente al client OfficeScan di proteggere i processi e le altre risorse necessarie per il corretto funzionamento. La protezione automatica del client contribuisce a impedire i tentativi di programmi o di utenti di disattivare la protezione contro le minacce informatiche. Per configurare le impostazioni di protezione automatica del client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Fare clic sulla scheda Altre impostazioni e passare alla sezione Protezione automatica del client. 4. Attivare le seguenti opzioni: • Proteggi i servizi del client OfficeScan • Proteggi i file nella cartella di installazione del client OfficeScan • Proteggi le chiavi di registro del client OfficeScan • Proteggi i processi del client OfficeScan Nota. 5. 13-12 per Per impostazione predefinita, la protezione delle chiavi e dei processi di registro è disattivata sulle piattaforme server Windows. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Gestione dei client OfficeScan Proteggi i servizi del client OfficeScan OfficeScan blocca tutti i tentativi di terminare i processi client riportati di seguito: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) • OfficeScan NT Firewall (TmPfw.exe) • Servizio Protezione dati OfficeScan (dsagent.exe) • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) Nota. Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti di terzi sugli endpoint. Se si verifica questo problema, è possibile disattivare temporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi. Proteggi i file nella cartella di installazione del client OfficeScan Per impedire ad altri programmi e persino all'utente di modificare o eliminare i file di OfficeScan, OfficeScan blocca i file seguenti nella directory principale (root) <Cartella di installazione del client>: • Tutti i file con firma digitale ed estensione .exe, .dll e .sys • Alcuni file senza firma digitale, compresi i seguenti: • bspatch.exe • bzip2.exe • INETWH32.dll • libcurl.dll • libeay32.dll • libMsgUtilExt.mt.dll • msvcm80.dll • MSVCP60.DLL • msvcp80.dll • msvcr80.dll • OfceSCV.dll • OFCESCVPack.exe • patchbld.dll 13-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore • • • • • • • patchw32.dll patchw64.dll PiReg.exe ssleay32.dll Tmeng.dll TMNotify.dll zlibwapi.dll Proteggi le chiavi di registro del client OfficeScan OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nelle chiavi e sottochiavi di registro riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\Current Version • • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\TMCSS Nota. In questa versione questa impostazione può essere implementata sui client con processori di tipo x86. Proteggi i processi del client OfficeScan OfficeScan blocca tutti i tentativi di terminare i processi riportati di seguito: • TmListen.exe: Riceve comandi e notifiche dal server OfficeScan e consente la comunicazione dal client al server • NTRtScan.exe: Esegue la scansione in tempo reale, pianificata e manuale sui client OfficeScan • TmProxy.exe: Esegue la scansione del traffico di rete prima di passarlo all'applicazione di destinazione • TmPfw.exe: Fornisce funzioni di firewall a livello di pacchetti, scansione di virus di rete e rilevamento intrusioni 13-14 Gestione dei client OfficeScan • TMBMSRV.exe: Regola l'accesso ai dispositivi di memorizzazione esterni e impedisce le modiche non autorizzate alle chiavi di registro e ai processi • DSAgent.exe: Effettua il monitoraggio della trasmissione dei dati sensibili e controlla l'accesso ai dispositivi Nota. In questa versione questa impostazione può essere implementata sui client con processori di tipo x86. Client Security Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utenti alla directory di installazione del client OfficeScan e alle impostazioni di registro. Per controllare l'accesso alla directory di installazione del client e alle chiavi di registro: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni di sicurezza del client. 4. Selezionare una delle autorizzazioni di accesso riportate di seguito: • Alto: La directory di installazione del client eredita i diritti della cartella Programmi e le voci di registro del client ereditano le autorizzazioni della chiave HKLM\Software. Per la maggior parte delle configurazioni Active Directory, questo limita automaticamente gli utenti "normali" (senza privilegi di amministratore) all'accesso in sola lettura. • Normale: Questa autorizzazione concede a tutti gli utenti (gruppo utenti "Tutti") diritti completi alla directory di programma del client e alle voci di registro del client. 13-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Restrizione di accesso per console client Questa impostazione disattiva l'accesso alla console del client dalla barra delle applicazioni o dal menu Start di Windows. L'unico modo in cui gli utenti possono accedere alla console del client è facendo clic su PccNT.exe dalla <Cartella di installazione del client>. Dopo aver configurato questa impostazione, affinché abbia effetto caricare di nuovo il client. Questa impostazione non disattiva il client OfficeScan. Il client è attivo in background e continua a fornire protezione contro i rischi per la sicurezza. Per limitare l'accesso alla console del client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Fare clic sulla scheda Altre impostazioni e passare alla sezione Restrizione di acceso per console client. 4. Selezionare Impedisce agli utenti di accedere alla console del client dalla barra delle applicazioni o dal menu Start di Windows. 13-16 per Gestione dei client OfficeScan 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Rimozione del client Il privilegio di rimozione del client consente agli utenti di interrompere temporaneamente il client OfficeScan con o senza password. Per assegnare il privilegio di rimozione del client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, passare alla sezione Rimozione. 4. Per consentire la rimozione del client senza una password, selezionare Consenti agli utenti di rimuovere il client OfficeScan. Se è necessaria una password, selezionare Richiedi una password per rimuovere il client OfficeScan, digitare la password e confermarla. 13-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Privilegio di roaming del client Assegnare a determinati utenti il privilegio di roaming del client se eventi client-server interferiscono con le attività degli utenti. Un utente che, ad esempio, fa spesso presentazioni può attivare la modalità roaming prima di iniziare una presentazione per impedire al server OfficeScan di implementare le impostazioni client e di avviare le scansioni sul client. Se i client sono in modalità roaming: • I client non inviano registri al server OfficeScan, neanche se c'è una connessione funzionante tra il server e i client. • Il server OfficeScan non avvia attività né implementa le impostazioni client sui client, nemmeno se c'è una connessione funzionante tra il server e i client. • I client aggiornano i componenti se possono collegarsi a una delle loro origini di aggiornamento. Le origini sono il server OfficeScan, gli Update Agents oppure un origine di aggiornamento personalizzata. Gli eventi seguenti attivano un aggiornamento sui client roaming: • L'utente esegue un aggiornamento manuale. • Viene eseguito l'aggiornamento automatico del client. È possibile disattivare l'aggiornamento automatico del client sui client roaming. Per i dettagli, consultare Per disattivare l'aggiornamento automatico del client sui client roaming: a pagina 13-19. • Viene eseguito l'aggiornamento pianificato. Solo i client con i privilegi richiesti possono eseguire aggiornamenti pianificati. È possibile revocare questo privilegio in qualsiasi momento. Per i dettagli, consultare Per revocare il privilegio per gli aggiornamenti pianificati sui client roaming: a pagina 13-20. 13-18 Gestione dei client OfficeScan Per assegnare i privilegi di roaming del client agli utenti: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, passare alla sezione Privilegio di roaming. 4. Selezionare Attiva modalità roaming. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Per disattivare l'aggiornamento automatico del client sui client roaming: P ERCORSO: A GGIORNAMENTI > C OMPUTER COLLEGATI IN RETE > A GGIORNAMENTO 1. Passare alla sezione Aggiornamento provocato da un evento. 2. Disattivare Includi client in roaming e offline. Nota. 3. AUTOMATICO . Questa opzione viene disattivata automaticamente se si disabilita Avviare l'aggiornamento dei componenti dei client subito dopo che il server OfficeScan ha scaricato un nuovo componente. Fare clic su Salva. 13-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per revocare il privilegio per gli aggiornamenti pianificati sui client roaming: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Selezionare i client con privilegi di roaming nella struttura dei client. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamento componenti. 4. Deselezionare l'opzione Attiva aggiornamento pianificato. 5. Fare clic su Salva. Client Mover Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento Client Mover per trasferire i client da un server OfficeScan all'altro. Questo strumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo server OfficeScan alla rete, si desidera trasferire i client OfficeScan esistenti al nuovo server. Nota. I due server devono avere la stessa versione di lingua. Se si utilizza Client Mover per trasferire un client OfficeScan con una versione precedente a un server con la versione attuale, il client viene automaticamente aggiornato. Prima di utilizzare questo strumento, accertarsi che l'account utilizzato disponga dei privilegi amministrativi. Per eseguire Client Mover: 1. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\IpXfer nel server OfficeScan. 2. Copiare IpXfer.exe nel computer client. Se il computer client esegue una piattaforma di tipo x64, copiare IpXfer_x64.exe. 3. Nel computer client aprire un prompt dei comandi e passare alla cartella nella quale è stato copiato il file eseguibile. 13-20 Gestione dei client OfficeScan 4. Eseguire Client Mover utilizzando la sintassi riportata di seguito. <nome file eseguibile> -s <nome server> -p <porta di ascolto del server> -c <porta di ascolto del client> -d <dominio o gerarchia di domini> TABELLA 13-3. Parametri Client Mover P ARAMETRO S PIEGAZIONE <nome file eseguibile> IpXfer.exe oppure IpXfer_x64.exe <nome server> Il nome del server OfficeScan di destinazione (il server dove verrà trasferito il client). <porta di ascolto del server> La porta di ascolto (o porta affidabile) del server OfficeScan di destinazione. Per visualizzare la porta di ascolto della console Web OfficeScan, fare clic su Amministrazione > Impostazioni connessione nel menu principale. <porta di ascolto del client> Il numero della porta usata dal computer client per comunicare con il server. <dominio o gerarchia di domini> Il dominio o sottodominio della struttura dei client in cui viene raggruppato il client. La gerarchia di domini deve indicare il sottodominio. Esempi: ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo di lavoro\Gruppo01 13-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Per confermare che ora il client deve inviare le notifiche all'altro server, effettuare le seguenti operazioni. a. Nel computer client, fare clic con il tasto destro del mouse sull'icona del programma client di OfficeScan nella barra delle applicazioni. b. Selezionare Console OfficeScan. c. Fare clic su Guida nel menu e selezionare Informazioni su. d. Verificare il server OfficeScan a cui fa riferimento il client nel campo Nome server/porta. Nota. Se il client non viene visualizzato nella struttura dei client del nuovo server OfficeScan che lo gestisce, riavviare il servizio principale del server (ofservice.exe). Client inattivi Se per rimuovere un client da un computer si utilizza l'apposito programma di disinstallazione del client, viene automaticamente inviata una notifica al server. Quando il server riceve questa notifica, l'icona del client viene rimossa dalla struttura dei client per ricordare che il client non esiste più. Se invece il client viene rimosso mediante altri metodi, ad esempio riformattando il disco rigido del computer oppure eliminando manualmente i file del client, OfficeScan non rileva la rimozione del client che viene quindi visualizzato come inattivo. Se un utente rimuove o disattiva il client per un periodo di tempo prolungato, anche il server visualizza il client come inattivo. Per fare in modo che la struttura dei client visualizzi soltanto i client attivi, configurare OfficeScan in modo tale che rimuova automaticamente i client inattivi dalla struttura dei client. Per rimuovere automaticamente i client inattivi: P ERCORSO : A MMINISTRAZIONE > C LIENT 1. 2. 3. 13-22 INATTIVI Selezionare Attiva la rimozione automatica dei client inattivi. Selezionare il numero di giorni che devono trascorrere prima che OfficeScan consideri inattivo un client. Fare clic su Salva. Gestione dei client OfficeScan Connessione client-server Il client OfficeScan deve mantenere una connessione continua al server principale in modo da poter aggiornare i componenti, ricevere le notifiche e applicare tempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano come controllare lo stato della connessione del client e risolvere i problemi di connessione: • Indirizzi IP del client a pagina 4-8 • Icone del client a pagina 13-23 • Verifica della connessione client-server a pagina 13-45 • Registri di verifica connessione a pagina 13-46 • Client non raggiungibili a pagina 13-47 Icone del client L'icona del client sulla barra delle applicazioni offre suggerimenti visivi che indicano lo stato corrente del client e chiedono agli utenti di eseguire determinate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguenti suggerimenti visivi. TABELLA 13-4. S TATO CLIENT Connessione del client al server OfficeScan Stato del client indicato dall'icona del client D ESCRIZIONE I client online sono connessi al server OfficeScan. Il server può avviare attività e implementare impostazioni su questi client S UGGERIMENTO VISIVO L'icona contiene un simbolo che somiglia a un battito cardiaco (Heartbeat). Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. 13-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-4. S TATO CLIENT Stato del client indicato dall'icona del client (continua) D ESCRIZIONE I client offline sono disconnessi dal server OfficeScan. Il server non è in grado di gestire questi client. S UGGERIMENTO VISIVO L'icona contiene un simbolo che somiglia alla perdita di un battito cardiaco (Hearbeat). Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Un client può essere offline anche se è connesso alla rete. Per ulteriori informazioni su questo problema, vedere Un client è connesso alla rete ma risulta offline a pagina 13-43. I client roaming possono essere in grado di comunicare con il server OfficeScan oppure no. L'icona contiene i simboli del desktop e del segnale. Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Per ulteriori informazioni sui client roaming, vedere Privilegio di roaming del client a pagina 13-18. 13-24 Gestione dei client OfficeScan TABELLA 13-4. S TATO CLIENT Disponibilità di origini Smart Protection Stato del client indicato dall'icona del client (continua) D ESCRIZIONE Le origini Smart Protection comprendono gli Smart Protection Server e Trend Micro Smart Protection Network. I client con scansione convenzionale si collegano alle origini Smart Protection per le query di reputazione Web. I client Smart Scan si collegano alle origini Smart Protection per le query di scansione e reputazione Web. S UGGERIMENTO VISIVO L'icona comprende un segno di spunta se è disponibile un'origine Smart Protection. L'icona comprende una barra di avanzamento se non sono disponibili origini Smart Protection e il client sta tentando di stabilire la connessione alle origini. Per ulteriori informazioni su questo problema, vedere Origini Smart Protection non disponibili a pagina 13-43. Per i client con scansione convenzionale, non viene visualizzato alcun segno di spunta o una barra di avanzamento se la reputazione Web è stata disattivata nel client. 13-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-4. Stato del client indicato dall'icona del client (continua) S TATO CLIENT D ESCRIZIONE Stato servizio scansione in tempo reale OfficeScan utilizza il servizio di scansione in tempo reale non solo per la scansione in tempo reale, ma anche per la scansione manuale e pianificata. Il servizio deve essere funzionante per evitare di esporre l'endpoint a rischi per la sicurezza. S UGGERIMENTO VISIVO Se il servizio scansione in tempo reale è funzionante, tutta l'icona è ombreggiata di colore blu. Due tonalità di blu vengono usate per indicare il metodo di scansione del client. • Per la scansione convenzionale: • Per Smart Scan: Se il servizio scansione in tempo reale è stato disattivato o non è funzionante, l'intera icona è ombreggiata di colore rosso. Due tonalità di rosso vengono usate per indicare il metodo di scansione del client. • Per la scansione convenzionale: • Per Smart Scan: Per ulteriori informazioni su questo problema, vedere Servizio scansione in tempo reale è stato disattivato o non è funzionante a pagina 13-42. 13-26 Gestione dei client OfficeScan TABELLA 13-4. S TATO CLIENT Stato scansione in tempo reale Stato del client indicato dall'icona del client (continua) D ESCRIZIONE S UGGERIMENTO VISIVO La scansione in tempo reale offre la protezione proattiva effettuando la scansione dei file per identificare rischi per la sicurezza mentre vengono creati, modificati o recuperati. Non ci sono suggerimenti visivi se è abilitata la scansione in tempo reale. Se la scansione in tempo reale è disabilitata, l'intera icona è circondata da un cerchio rosso e contiene una linea diagonale rossa. Per ulteriori informazioni su questo problema, vedere: • Scansione in tempo reale disattivata a pagina 13-42 • Scansione in tempo reale disattivata e client in modalità roaming a pagina 13-43 Stato aggiornament o pattern I client devono aggiornare il pattern regolarmente per proteggere l'endpoint dalle minacce più recenti. Non ci sono suggerimenti visivi se il pattern è aggiornato o leggermente non aggiornato. L'icona comprende un punto esclamativo se il pattern è obsoleto. Significa che il pattern non è stato aggiornato recentemente. Per ulteriori informazioni sulle modalità di aggiornamento dei client, vedere Aggiornamenti del client OfficeScan a pagina 5-26. 13-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Icone Smart Scan Quando i client usano Smart Scan, viene visualizzata una delle seguenti icone. TABELLA 13-5. I CONA 13-28 Icone Smart Scan C ONNESSIONE AL SERVER O FFICE S CAN D ISPONIBILITÀ DI ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE Online Disponibili Funzionante Attivato Online Disponibili Funzionante Disattivato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Gestione dei client OfficeScan TABELLA 13-5. I CONA Icone Smart Scan (continua) C ONNESSIONE AL SERVER O FFICE S CAN D ISPONIBILITÀ DI ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE Offline Disponibili Funzionante Attivato Offline Disponibili Funzionante Disattivato Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Roaming Disponibili Funzionante Attivato 13-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-5. I CONA 13-30 Icone Smart Scan (continua) C ONNESSIONE AL SERVER O FFICE S CAN D ISPONIBILITÀ DI ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE Roaming Disponibili Funzionante Disattivato Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Gestione dei client OfficeScan Icone scansione convenzionale Quando i client usano la scansione convenzionale, viene visualizzata una delle seguenti icone. TABELLA 13-6. I CONA Icone scansione convenzionale S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE Online Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Attivato Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Online Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato CONNESSIONE AL SERVER O FFICE S CAN S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS 13-31 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA 13-32 Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Disattivato Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Gestione dei client OfficeScan TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Attivato Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto 13-33 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA 13-34 Icone scansione convenzionale (continua) S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE Offline Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Disattivato Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato CONNESSIONE AL SERVER O FFICE S CAN S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Gestione dei client OfficeScan TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Attivato Obsoleto 13-35 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA 13-36 Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Roaming Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Disattivato Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto Gestione dei client OfficeScan TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Aggiornato o leggermente non aggiornato 13-37 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA 13-38 Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Online Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Aggiornato o leggermente non aggiornato Online Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sul client) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Gestione dei client OfficeScan TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Online Non applicabile (funzione di reputazione Web disattivata sul client) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Aggiornato o leggermente non aggiornato 13-39 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA 13-40 Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Offline Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sul client) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sul client) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Aggiornato o leggermente non aggiornato Gestione dei client OfficeScan TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION S ERVIZIO SCANSIONE IN TEMPO REALE S CANSIONE IN TEMPO REALE P ATTERN DEI VIRUS Roaming Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Attivato Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Aggiornato o leggermente non aggiornato Roaming Non applicabile (funzione di reputazione Web disattivata sul client) Funzionante Disattivato Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sul client) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato 13-41 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-6. I CONA Icone scansione convenzionale (continua) CONNESSIONE AL SERVER O FFICE S CAN Roaming S ERVIZI DI REPUTAZIONE W EB FORNITI DALLE ORIGINI S MART P ROTECTION Non applicabile (funzione di reputazione Web disattivata sul client) S ERVIZIO SCANSIONE IN TEMPO REALE Disattivato o non funzionante S CANSIONE IN TEMPO REALE Disattivato o non funzionante P ATTERN DEI VIRUS Obsoleto Soluzioni ai problemi indicati nelle icone del client Se l'icona del client indica una delle seguenti condizioni, effettuare le operazioni richieste: Il file di pattern non è stato aggiornato recentemente Gli utenti dei client devono aggiornare i componenti. Dalla console Web, è possibile configurare le impostazioni di aggiornamento dei componenti in Aggiornamenti > Computer collegati in rete o concedere agli utenti il privilegio di aggiornamento tramite Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni > scheda Privilegi > Privilegi aggiornamento componenti. Servizio scansione in tempo reale è stato disattivato o non è funzionante Se Servizio scansione in tempo reale (Scansione in tempo reale OfficeScan NT) è stato disattivato o non è funzionante, gli utenti devono avviare il servizio manualmente da Microsoft Management Console. Scansione in tempo reale disattivata Attivare la scansione in tempo reale dalla console Web (Computer collegati in rete > Gestione client > Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale). 13-42 Gestione dei client OfficeScan Scansione in tempo reale disattivata e client in modalità roaming Gli utenti devono disattivare la modalità roaming. Dopo aver disattivato la modalità roaming, attivare la scansione in tempo reale dalla console Web. Un client è connesso alla rete ma risulta offline Verificare la connessione tramite la console Web (Computer collegati in rete > Verifica connessione) e controllare i registri di verifica della connessione (Registri > Registri dei computer collegati in rete > Verifica connessione). Se dopo la verifica il client è ancora offline: 1. Se lo stato della connessione è offline sia nel server che nel client, verificare la connessione di rete. 2. Se lo stato della connessione del client è offline ma online sul server, il nome di dominio del server potrebbe essere stato modificato e il client continua a collegarsi al server usando il nome di dominio (se è stato selezionato nome di dominio durante l'installazione del server). Registrare il nome di dominio del server OfficeScan nel server DNS o WINS o aggiungere il nome di dominio e le informazioni IP nei file host della cartella <cartella Windows>\system32\drivers\etc del computer client. 3. Se lo stato della connessione del client è online ma offline sul server, verificare le impostazioni del firewall OfficeScan. Il firewall potrebbe bloccare la comunicazione server-client, ma consentire quella client-server. 4. Se lo stato della connessione del client è online ma offline sul server, è possibile che l'indirizzo IP del client sia stato modificato, ma che il suo stato non sia aggiornato sul server (ad esempio, al caricamento del client). Provare a implementare di nuovo il client. Origini Smart Protection non disponibili Se un client perde la connessione alle origini Smart Protection, effettuare queste operazioni: 1. Nella console Web, passare alla schermata Località computer (Computer collegati in rete > Località computer) e controllare se sono state configurate correttamente le seguenti impostazioni della località computer: • Server di riferimento e numeri di porta • Indirizzi IP gateway 13-43 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. 3. 4. Nella console Web, passare alla schermata Origine Smart Protection (Smart Protection > Origini Smart Protection), quindi effettuare le seguenti operazioni: a. Verificare se le impostazioni dello Smart Protection Server nell'elenco standard o personalizzato delle origini sono corrette. b. Verificare se la connessione ai server riesce. c. Fare clic su Notifica tutti i client dopo aver configurato l'elenco delle origini. Verificare se i seguenti file di configurazione presenti nello Smart Protection Server e nel client OfficeScan sono sincronizzati. • sscfg.ini • ssnotify.ini Aprire l'editor del Registro di sistema e verificare se un client è connesso alla rete aziendale. Chiave: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\Curre ntVersion\iCRC Scan\Scan Server • Se LocationProfile=1, il client è connesso alla rete e dovrebbe potersi collegare a Smart Protection Server. • Se LocationProfile=2, il client non è connesso alla rete e dovrebbe connettersi a Smart Protection Network. Da Internet Explorer verificare se il computer client è in grado di accedere alle pagine Web su Internet. 5. Verificare le impostazioni del proxy interno ed esterno utilizzate per connettersi a Smart Protection Network e agli Smart Protection Server. Per ulteriori dettagli, vedere Proxy interno per client a pagina 13-51 e Proxy esterno per client a pagina 13-53. 6. Per i client con Scansione convenzionale, verificare che OfficeScan NT Proxy Service (TmProxy.exe) sia in esecuzione. Se questo servizio viene interrotto, i client non sono in grado di connettersi alle origini Smart Protection per la reputazione Web. 13-44 Gestione dei client OfficeScan Verifica della connessione client-server Lo stato della connessione del client con il server OfficeScan viene visualizzato nella struttura dei client della console Web OfficeScan. FIGURA 13-2. Nella struttura dei client viene visualizzato lo stato della connessione con il server OfficeScan Alcune condizioni potrebbero impedire alla struttura dei client di visualizzare correttamente lo stato della connessione del client. Se, ad esempio, il cavo della rete di un computer client viene involontariamente scollegato, il client non sarà in grado di notificare al server di essere momentaneamente offline. Nella struttura dei client, questo client verrà visualizzato come ancora online. Verificare la connessione client-server manualmente o eseguire la verifica pianificata mediante OfficeScan. Non è possibile verificare lo stato di connessione di domini o client specifici. OfficeScan verifica lo stato di connessione di tutti i client registrati. 13-45 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per verificare lo stato della connessione tra client e server: P ERCORSO : C OMPUTER COLLEGATI IN RETE > VERIFICA CONNESSIONE 1. Per verificare la connessione client-server manualmente, accedere alla scheda Verifica manuale e fare clic su Verifica ora. 2. Per verificare la connessione tra client e server automaticamente, accedere alla scheda Verifica pianificata. 3. a. Selezionare Attiva la verifica pianificata. b. Selezionare la frequenza e l'ora di inizio della verifica. c. Fare clic su Salva per salvare la pianificazione della verifica. Controllare la struttura dei client per verificare lo stato o visualizzare i registri di verifica della connessione. Registri di verifica connessione OfficeScan mantiene dei registri di verifica della connessione per consentire di determinare se il server OfficeScan è in grado di comunicare con tutti i client registrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica della connessione client-server dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 12-33. Per visualizzare i registri di verifica della connessione: P ERCORSO : R EGISTRI > R EGISTRI DEI COMPUTER COLLEGATI IN RETE > VERIFICA CONNESSIONE 1. I risultati della verifica della connessione sono contenuti all'interno della colonna Stato. 2. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. 13-46 Gestione dei client OfficeScan Client non raggiungibili I client su reti non raggiungibili, come ad esempio quelli sui segmenti di rete dietro un gateway NAT, sono quasi sempre offline perché il server non riesce a stabilire una connessione diretta con i client. Di conseguenza, il server non è in grado di inviare notifiche ai client per: • Scaricare la versione più recente dei componenti. • Applicare le impostazioni del client configurate dalla console Web. Ad esempio, quando si modifica la frequenza della Scansione pianificata dalla console Web, il server invia immediatamente una notifica ai client per applicare la nuova impostazione. I client non raggiungibili quindi non sono in grado di eseguire queste attività tempestivamente. Eseguono queste attività solo quando si connettono al server, ovvero quando: • Eseguono la registrazione sul server dopo l'installazione. • Eseguono il riavvio o il ricaricamento. Questo evento non si verifica frequentemente e in genere richiede l'intervento dell'utente. • L'aggiornamento manuale o pianificato viene attivato nell'endpoint. Anche questo evento non si verifica frequentemente. Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettività dei client e li considera online. Tuttavia, poiché il server non è ancora è in grado di stabilire una connessione con i client, il server cambia immediatamente lo stato su offline. OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere i problemi riguardanti i client non raggiungibili. Con queste funzioni, il server interrompe la notifica ai client degli aggiornamenti dei componenti e delle modifiche delle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa dell'invio di heartbeat o dell'avvio di polling da parte dei client. Quando rileva uno di questi eventi, il server considera i client come online. Nota. Eventi iniziati dai client e non correlati a heartbeat e polling del server, come l'aggiornamento manuale del client e l'invio del registro, non determinano l'aggiornamento dello stato dei client non raggiungibili da parte del server. 13-47 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Heartbeat I client inviano messaggi heartbeat per notificare al server che la connessione client è funzionante. Quando riceve un messaggio heartbeat, il server considera il client come online. Nella struttura dei client, lo stato del client può essere uno dei seguenti: • Online: per client online normali • Non raggiungibile/Online: per client online nella rete non raggiungibile Nota. I client non aggiornano i componenti né applicano nuove impostazioni quando inviano messaggi di heartbeat. I client normali eseguono queste operazioni durante gli aggiornamenti di routine (vedere Aggiornamenti del client OfficeScan a pagina 5-26). I client nella rete non raggiungibile eseguono queste operazioni durante il polling del server. La funzione di heartbeat consente di risolvere il problema dei client nelle reti non raggiungibili che risultano sempre offline, anche quando in realtà sono in grado di connettersi al server. Un'impostazione nella console Web controlla la frequenza di invio dei messaggi di heartbeat da parte dei client. Se non riceve heartbeat, il server non considera immediatamente il client come offline. Un'altra impostazione controlla il periodo di tempo senza heartbeat che deve trascorrere prima di cambiare lo stato del client su: • Offline: per client offline normali • Non raggiungibile/Offline: per client offline nella rete non raggiungibile 13-48 Gestione dei client OfficeScan Nella scelta delle impostazioni più idonee per la funzione Heartbeat, è consigliabile trovare il giusto compromesso tra l'esigenza di visualizzare le informazioni aggiornate dello stato del client e l'impiego delle risorse di sistema. L'impostazione predefinita è adeguata per la maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazione dell'heartbeat, tenere conto di quanto segue: TABELLA 13-7. Impostazioni consigliate per Heartbeat FREQUENZA HEARTBEAT RACCOMANDAZIONE Intervalli di heartbeat lunghi (maggiori di 60 minuti) Più lungo è l'intervallo tra gli heartbeat, maggiore è il numero di eventi che possono verificarsi prima che il server rifletta lo stato del client sulla console Web. Intervalli di Heartbeat brevi (minori di 60 minuti) Intervalli di tempo brevi consentono di mantenere lo stato del client più aggiornato, ma richiedono un maggiore utilizzo dell'ampiezza di banda. Polling del server La funzione di polling del server consente di risolvere il problema dei client non raggiungibili che non ricevono tempestivamente le notifiche relative agli aggiornamenti dei componenti e alle modifiche alle impostazioni dei client. Questa funzione è indipendente dalla funzione di heartbeat. Con la funzione di polling del server: • I client avviano automaticamente la connessione con il server OfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling, considera il client come "Non raggiungibile/Online". • I client si connettono a una o più delle rispettive origini aggiornamenti per scaricare eventuali componenti aggiornati e applicare nuove impostazioni per i client. Se l'origine aggiornamenti principale è il server OfficeScan o un Update Agent, i client ottengono sia i componenti sia le nuove impostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un Update Agent, i client possono scaricare solo i componenti aggiornati e devono connettersi al server OfficeScan o all'Update Agent per ottenere le nuove impostazioni. 13-49 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare le funzioni di heartbeat e di polling del server: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Passare alla sezione Rete non raggiungibile. 2. Configurare le impostazioni del polling del server. Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina 13-49. a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibile digitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza. Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure un prefisso IPv6 e la lunghezza se il server è un IPv6 puro. Quando l'indirizzo IP di un client corrisponde ad un indirizzo IP dell'intervallo, il client applica le impostazioni relative al polling del server e all'heartbeat e considera il client come appartenente alla rete non raggiungibile. Nota. I client con un indirizzo IPv4 sono in grado di connettersi a un server OfficeScan IPv4 puro o dual stack. I client con un indirizzo IPv6 sono in grado di connettersi a un server OfficeScan IPv6 puro o dual stack. I client dual stack sono in grado di connettersi a un server OfficeScan dual stack, IPv4 puro o IPv6 puro. b. In I client eseguono il polling del server per le impostazioni e i componenti aggiornati ogni __ minuti, specificare la frequenza del polling del server. Digitare un valore compreso tra 1 e 129600 minuti. Suggerimento. 13-50 Trend Micro consiglia di impostare una frequenza di polling del server almeno tre volte superiore alla frequenza di invio di heartbeat. Gestione dei client OfficeScan 3. Configurare le impostazioni Heartbeat. Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 13-48. a. Selezionare Consenti ai client di inviare heartbeat al server. b. Selezionare Tutti i client o Solo i client della rete non raggiungibile. c. In I client inviano heartbeat ogni __ minuti, specificare la frequenza con la quale i client inviano heartbeat. Digitare un valore compreso tra 1 e 129600 minuti. d. In Un client è offline se non c'è heartbeat dopo __ minuti, specificare l'intervallo di tempo che deve trascorrere senza un heartbeat prima che il server OfficeScan consideri un client come offline. Digitare un valore compreso tra 1 e 129600 minuti. 4. Fare clic su Salva. Impostazioni proxy del client Configurare i client OfficeScan per utilizzare le impostazioni proxy durante la connessione a server interni ed esterni. Proxy interno per client I client possono utilizzare le impostazioni del proxy interno per connettersi ai server seguito presenti in rete: Computer server OfficeScan Il computer server ospita il server OfficeScan e Integrated Smart Protection Server. I client si connettono al server OfficeScan per aggiornare i componenti, ottenere le impostazioni di configurazione e inviare i registri. I client si connettono a Integrated Smart Protection Server per inviare query sulla scansione. Smart Protection Server Gli Smart Protection Server comprendono gli Smart Protection Server standalone e Integrated Smart Protection Server di altri server OfficeScan. I client si connettono ai server per inviare query di scansione e di reputazione Web. 13-51 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare le impostazioni del proxy interno: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI PROXY 1. Fare clic sulla scheda Proxy interno. 2. Passare alla sezione Connessione del client con il computer server OfficeScan. a. Selezionare Utilizzare le seguenti impostazioni del proxy quando i client sono collegati al server OfficeScan e all'Integrated Smart Protection Server. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. Nota. c. 3. 4. 13-52 Specificare un server proxy dual stack identificato tramite il nome host se si hanno client IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti, impostazioni globali. Se si specifica un indirizzo IPv4, i client IPv6 non possono collegarsi al server proxy. Lo stesso vale per i client IPv4. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Passare alla sezione Connessione del client con i server standalone Smart Protection. a. Selezionare Utilizzare le seguenti impostazioni del proxy quando i client sono collegati ai server standalone Smart Protection. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. c. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Fare clic su Salva. Gestione dei client OfficeScan Proxy esterno per client Il server e il client OfficeScan possono utilizzare le impostazioni del proxy esterno durante la connessione ai server ospitati da Trend Micro. In questo argomento vengono illustrate le impostazioni del proxy esterno per i client. Per informazioni sulle impostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del server OfficeScan a pagina 5-18. Per connettersi a Trend Micro Smart Protection Network, i client utilizzano le impostazioni proxy configurate in Internet Explorer. Se è richiesta l'autenticazione del server proxy, i client utilizzano le credenziali di autenticazione del server proxy (ID utente e password). Per configurare le credenziali di autenticazione del server proxy: P ERCORSO : A MMINISTRAZIONE > I MPOSTAZIONI PROXY 1. Fare clic sulla scheda Proxy esterno. 2. Passare alla sezione Connessione del client con i server Trend Micro. 3. Inserire ID utente e password per l'autenticazione del server proxy e confermare la password. I protocolli di autenticazione proxy riportati di seguito sono supportati: 4. • Autenticazione con accesso di base • Autenticazione con accesso digest • Autenticazione integrata di Windows Fare clic su Salva. 13-53 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Privilegi configurazione proxy per client È possibile concedere agli utenti client il privilegio di configurare le impostazioni proxy. I client OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo nei seguenti casi: • Quando il client effettua l'operazione "Aggiorna ora". • Quando gli utenti disattivano le impostazioni automatiche del proxy oppure il client OfficeScan non è in grado di rilevarle. Per ulteriori informazioni, consultare Impostazioni proxy automatiche per client a pagina 13-55. ATTENZIONE! Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie impostazioni proxy. Per assegnare privilegi di configurazione proxy: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, passare alla sezione Privilegi impostazioni proxy. 4. Selezionare Consenti agli utenti client di configurare le impostazioni proxy. 5. Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 13-54 per • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. Gestione dei client OfficeScan Impostazioni proxy automatiche per client La configurazione manuale delle impostazioni proxy può rivelarsi un'operazione complessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'intervento dell'utente. Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principali quando i client aggiornano componenti attraverso l'aggiornamento automatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico o su Aggiorna ora, consultare Metodi di aggiornamento del client OfficeScan a pagina 5-34. Se i client non riescono a collegarsi utilizzando le impostazioni proxy automatiche, gli utenti client con il privilegio di configurare le impostazioni proxy possono utilizzare impostazioni proxy configurate dall'utente. Altrimenti, la connessione attraverso le impostazioni proxy automatiche non riuscirà. Nota. Autenticazione proxy non supportata. Per configurare le impostazioni automatiche del proxy: P ERCORSO : C OMPUTER COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI 1. Passare alla sezione Configurazione proxy. 2. Selezionare Rileva automaticamente le impostazioni per consentire a OfficeScan di rilevare automaticamente le impostazioni proxy configurate dall'amministratore tramite DHCP o DNS. 3. Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration) impostato dall'amministratore di rete per rilevare il server proxy appropriato: 4. a. Selezionare Usa lo script di configurazione automatica. b. Digitare l'indirizzo dello script PAC. Fare clic su Salva. 13-55 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni sui client La schermata Visualizza stato mostra importanti informazioni sui client OfficeScan, come privilegi, informazioni sul software del client ed eventi di sistema. Per visualizzare le informazioni sui client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Stato. 3. Visualizzare le informazioni di stato espandendo il nome del computer client. Se sono stati selezionati più client, fare clic su Espandi tutti per visualizzare le informazioni di stato di tutti i client selezionati. 4. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischi per la sicurezza. Importazione ed esportazione delle impostazioni client OfficeScan consente di esportare le impostazioni della struttura dei client che un client o dominio specifico applica a un file. Il file può quindi essere importato per applicare le impostazioni ad altri client o domini o a un altro server OfficeScan della stessa versione. Verranno esportate tutte le impostazioni della struttura dei client, ad eccezione delle impostazioni di Update Agent. Per esportare le impostazioni dei client in un file, attenersi alle seguenti istruzioni: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale per includere tutti i client oppure selezionare un dominio o client specifico. 2. Fare clic su Impostazioni > Esporta impostazioni. 13-56 Gestione dei client OfficeScan 3. Fare clic su uno dei collegamenti per visualizzare le impostazioni del client o del dominio selezionato. 4. Fare clic su Esporta per salvare le impostazioni. Le impostazioni vengono salvate in un file .dat. 5. Fare clic su Salva e specificare la posizione in cui salvare il file .dat. 6. Fare clic su Salva. Per importare le impostazioni dei client: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. per 2. Fare clic su Impostazioni > Importa impostazioni. 3. Fare clic su Sfoglia per individuare il file .dat nel computer, quindi fare clic su Importa. Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogo delle impostazioni. 4. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni di scansione o dei privilegi da importare. 5. Importare le impostazioni. • Se è stata selezionata l'icona del dominio principale, selezionare Applica a tutti i domini, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati i domini, selezionare Applica a tutti i computer che appartengono ai domini selezionati, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati vari client, fare clic su Applica alla destinazione. 13-57 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Conformità sicurezza Utilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione e mantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempi richiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibro tra sicurezza e funzionalità. La conformità di sicurezza può essere forzata sui due tipi di computer riportati di seguito: • Gestiti: Computer con client gestiti dal server OfficeScan. Per i dettagli, consultare Conformità sicurezza per i client gestiti a pagina 13-58. • Non gestiti: comprende i seguenti elementi: • Client OfficeScan non gestiti dal server OfficeScan • Computer che non hanno installato il client OfficeScan • Computer che il server OfficeScan non riesce a raggiungere • Computer il cui stato di sicurezza non può essere verificato Per i dettagli, consultare Conformità sicurezza per endpoint non gestiti a pagina 13-70. Conformità sicurezza per i client gestiti Conformità sicurezza genera una segnalazione di conformità che facilita la valutazione dello stato di sicurezza dei client gestiti dal server OfficeScan. Conformità sicurezza genera la segnalazione su richiesta o secondo un programma. Le segnalazioni su richiesta e pianificate sono disponibili nella schermata Segnalazione conformità. La schermata contiene le seguenti schede: • Servizi: questa scheda serve per controllare se i servizi dei client sono funzionanti. Per i dettagli, consultare Servizi a pagina 13-59. • Componenti: questa scheda serve per controllare se i client hanno componenti aggiornati. Per i dettagli, consultare Componenti a pagina 13-60. • Compatibilità scansione: questa scheda serve per controllare se i client eseguono regolarmente le scansioni. Per i dettagli, consultare Compatibilità scansione a pagina 13-63. • Impostazioni: questa scheda serve per controllare se le impostazioni del client sono coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina 13-64. Nota. 13-58 La scheda Componenti può visualizzare client OfficeScan con installata la versione corrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo i client OfficeScan con la versione 10.5 o successive. Gestione dei client OfficeScan Note su Segnalazione conformità • Conformità sicurezza interroga lo stato della connessione del client prima di generare una Segnalazione conformità. Nella segnalazione, include i client online e offline ma non i client roaming. • Per account utente basati sui ruoli: • Ciascun account utente della console Web dispone di un insieme completamente indipendente di impostazioni Segnalazione conformità. Eventuali modifiche alle impostazioni Segnalazione conformità di un account utente non hanno effetto sulle impostazioni degli altri account utente. • L'ambito della segnalazione dipende dalle autorizzazioni di dominio del client per l'account utente. Se, ad esempio, si assegnano a un account utente autorizzazioni per gestire i domini A e B, le segnalazioni dell'account utente mostrano solo i dati dei client che appartengono ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 12-2. Servizi Conformità sicurezza controlla se i seguenti servizi del client OfficeScan sono funzionanti: • Antivirus • Anti-spyware • Firewall • Reputazione Web • Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizio prevenzione modifiche non autorizzate di Trend Micro) • Protezione dati 13-59 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Un client non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 13-3. Segnalazione conformità - scheda Servizi • Nella categoria Computer con servizi non conformi. • Nella categoria per la quale il client non è conforme. Se, ad esempio, il servizio Antivirus del client non è funzionante, il client viene contato nella categoria Antivirus. Se più di un servizio non è funzionante, il client viene contato in ciascuna categoria per la quale non è conforme. Riavviare i servizi non funzionanti dalla console Web o dal computer client. Se i servizi sono funzionali dopo il riavvio, il client non viene più visualizzato come non conforme nella valutazione successiva. Componenti Conformità sicurezza consente di determinare le incoerenze delle versioni dei componenti tra il server OfficeScan e i client. In genere le incoerenze si verificano quando i client non riescono a connettersi al server per aggiornare i componenti. Se il client ottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate di Trend Micro), è possibile che la versione di un componente del client sia più recente rispetto alla versione del server. 13-60 Gestione dei client OfficeScan Conformità sicurezza controlla i seguenti componenti: • Smart Scan Agent Pattern • Driver comune Firewall • Pattern dei virus • • Pattern IntelliTrap Driver monitoraggio del comportamento • Pattern eccezioni IntelliTrap • • Motore di scansione virus Servizio principale monitoraggio del comportamento • Pattern spyware • • Pattern di monitoraggio attivo spyware Pattern di configurazione monitoraggio del comportamento • Digital Signature Pattern • Motore di scansione spyware • Pattern implementazione dei criteri • Modello disinfezione virus • • Motore di disinfezione virus Pattern rilevamento monitoraggio del comportamento • Pattern comune firewall • Versione del programma 13-61 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Un client non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 13-4. Segnalazione conformità - scheda Componenti • Nella categoria Computer con versioni di componenti diverse. • Nella categoria per la quale il client non è conforme. Se, ad esempio, la versione di Smart Scan Agent Pattern del client è diversa da quella del server, il client viene contato nella categoria Smart Scan Agent Pattern. Se la versione di più di un componente non è coerente, il client viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze nelle versioni dei componenti, aggiornare i componenti obsoleti dei client o del server. 13-62 Gestione dei client OfficeScan Compatibilità scansione Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificata vengono eseguite regolarmente e se vengono completate in tempi ragionevoli. Nota. Conformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansione pianificata è attivata sui client. Conformità sicurezza usa i seguenti parametri di compatibilità scansione: • Non è stata eseguita l'opzione Esegui scansione o Scansione pianificata negli ultimi (x) giorni: un client non è conforme se non ha eseguito Esegui scansione o Scansione pianificata nell'arco del numero di giorni specificato. • Durata di Esegui scansione o Scansione pianificata superata (x) ore: un client non è conforme se l'ultima operazione Esegui scansione o Scansione pianificata è durata oltre il numero di ore specificato. Un client non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 13-5. Segnalazione conformità - scheda Compatibilità scansione • • Nella categoria Computer con funzioni di scansione non aggiornate. Nella categoria per la quale il client non è conforme. Se, ad esempio, l'ultima Scansione pianificata è durata più del numero di ore specificato, il client viene contato nella categoria Durata di Esegui scansione o Scansione pianificata superata <x> ore. Se il client soddisfa più di un parametro di compatibilità scansione, viene contato in ciascuna categoria per la quale non è conforme. Eseguire le funzioni Esegui scansione o Scansione pianificata su client che non hanno eseguito operazioni di scansione o che non sono stati in grado di portare a termine la scansione. 13-63 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni Conformità sicurezza consente di determinare se i client e i relativi domini principali nella struttura dei client hanno le stesse impostazioni. Le impostazioni potrebbero essere diverse se si trasferisce un client a un altro dominio che applica un insieme di impostazioni diverso oppure se un utente client con privilegi particolari configura manualmente le impostazioni nella console dei client. OfficeScan verifica le impostazioni riportate di seguito: 13-64 • Metodo di scansione • Impostazioni aggiuntive del servizio • Impostazioni scansione manuale • Reputazione Web • Monitoraggio del comportamento • Impostazioni scansione in tempo reale • Controllo dispositivo • Impostazioni scansione pianificata • Elenco Approvati spyware/grayware • • Impostazioni funzione Esegui scansione Impostazioni di Controllo risorse digitali • Privilegi e altre impostazioni Gestione dei client OfficeScan Un client non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 13-6. Segnalazione conformità - scheda Impostazioni • Nella categoria Computer con impostazioni di configurazione non conformi. • Nella categoria per la quale il client non è conforme. Se, ad esempio, le impostazioni del metodo di scansione nel client e nel relativo dominio principale non sono coerenti, il client viene contato nella categoria Metodo di scansione. Se più di un insieme di impostazioni non è coerente, il client viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze di impostazioni, applicare al client le impostazioni del dominio. 13-65 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Segnalazioni conformità su richiesta Conformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazioni facilitano la valutazione dello stato di sicurezza dei client gestiti dal server OfficeScan. Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per i client gestiti a pagina 13-58. Per generare una Segnalazione conformità su richiesta: P ERCORSO : C ONFORMITÀ SICUREZZA > VALUTAZIONE CONFORMITÀ > S EGNALAZIONE CONFORMITÀ 1. Passare alla sezione Ambito della struttura client. 2. Selezionare il dominio principale oppure un dominio e fare clic su Valuta. 3. Visualizzare la Segnalazione conformità per i servizi dei client. Per ulteriori informazioni sui servizi dei client, vedere Servizi a pagina 13-59. a. Fare clic sulla scheda Servizi. b. In Computer con servizi non conformi, selezionare il numero di client con servizi non conformi. c. Fare clic su un collegamento numerato per visualizzare tutti i client interessati nella struttura dei client. d. Selezionare i client nei risultati della query. e. Fare clic su Riavvia client OfficeScan per riavviare il servizio. Nota. f. 13-66 Se dopo un'altra valutazione il client risulta ancora non conforme, riavviare manualmente il servizio sul computer client. Per salvare l'elenco dei client in un file, fare clic su Esporta. Gestione dei client OfficeScan 4. Visualizzare la Segnalazione conformità per i componenti dei client. Per ulteriori informazioni sui componenti dei client, vedere Componenti a pagina 13-60. a. Fare clic sulla scheda Componenti. b. In Computer con versioni di componenti diverse, selezionare il numero di client con versioni di componenti diverse da quelle sul server. c. Fare clic su un collegamento numerato per visualizzare tutti i client interessati nella struttura dei client. Nota. Se almeno in un client è presente un componente più aggiornato rispetto al server OfficeScan, aggiornare il server OfficeScan manualmente. d. Selezionare i client nei risultati della query. e. Fare clic su Aggiorna ora per forzare il download dei componenti nei client. Note: f. • Per fare in modo che i client possano aggiornare il programma client, disattivare l'opzione I client possono aggiornare i componenti ma non il programma client né implementare hot fix in Computer collegati in rete > Gestione client > Impostazioni > Privilegi e altre impostazioni. • Per aggiornare Driver comune Firewall, riavviare il computer anziché fare clic su Aggiorna ora. Per salvare l'elenco dei client in un file, fare clic su Esporta. 13-67 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Visualizzare la Segnalazione conformità per le scansioni. Per ulteriori informazioni sulle scansioni, vedere Compatibilità scansione a pagina 13-63. a. Fare clic sulla scheda Compatibilità scansione. b. In Computer con funzioni di scansione non aggiornate, configurare i seguenti elementi: • Numero di giorni durante i quali il client non ha eseguito l'opzione Esegui scansione o Scansione pianificata. • Numero di ore di Esegui scansione o Scansione pianificata in esecuzione. Nota. c. Se il numero dei giorni o delle ore viene superato, il client viene considerato non conforme. Fare clic su Valuta accanto alla sezione Ambito della struttura client. d. In Computer con funzioni di scansione non aggiornate, selezionare il numero di client che soddisfano i parametri di scansione. e. Fare clic su un collegamento numerato per visualizzare tutti i client interessati nella struttura dei client. f. Selezionare i client nei risultati della query. g. Fare clic su Esegui scansione per avviare la scansione immediata sui client. Nota. Per evitare di ripetere la scansione, l'opzione Esegui scansione sarà disattivata se l'operazione ha impiegato più tempo rispetto al numero di ore specificate. h. Per salvare l'elenco dei client in un file, fare clic su Esporta. 13-68 Gestione dei client OfficeScan 6. Visualizzare la Segnalazione conformità per le impostazioni. Per ulteriori informazioni sulle impostazioni, vedere Impostazioni a pagina 13-64. a. Fare clic sulla scheda Impostazioni. b. In Computer con impostazioni di configurazione non conformi, selezionare il numero di client con impostazioni non conformi alle impostazioni del dominio della struttura dei client. c. Fare clic su un collegamento numerato per visualizzare tutti i client interessati nella struttura dei client. d. Selezionare i client nei risultati della query. e. Fare clic su Applica impostazioni dominio. f. Per salvare l'elenco dei client in un file, fare clic su Esporta. Segnalazioni conformità pianificate Conformità sicurezza può generare segnalazioni di conformità in base a un programma. Le segnalazioni facilitano la valutazione dello stato di sicurezza dei client gestiti dal server OfficeScan. Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per i client gestiti a pagina 13-58. Per configurare le impostazioni delle Segnalazioni conformità pianificate: P ERCORSO : C ONFORMITÀ SICUREZZA > VALUTAZIONE CONFORMITÀ > S EGNALAZIONE CONFORMITÀ PIANIFICATA 1. Selezionare Abilita segnalazioni pianificate. 2. Specificare un titolo per questa segnalazione. 3. Selezionare tutte o una delle voci elencate di seguito: • Servizi • Componenti • Compatibilità scansione • Impostazioni 13-69 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 4. Specificare gli indirizzi e-mail destinatari delle notifiche sulle Segnalazioni conformità pianificate. Nota. Configurare le impostazioni delle notifiche e-mail per assicurare il corretto invio delle notifiche. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 12-30. 5. Specificare la pianificazione. 6. Fare clic su Salva. Conformità sicurezza per endpoint non gestiti Conformità sicurezza può eseguire query sugli endpoint non gestiti nella rete alla quale appartiene il server OfficeScan. Utilizzare Active Directory e gli indirizzi IP per eseguire query sugli endpoint. La sicurezza degli endpoint non gestiti può avere uno degli stati riportati di seguito: TABELLA 13-8. Stato sicurezza degli endpoint non gestiti S TATO 13-70 D ESCRIZIONE Gestito da un altro server OfficeScan I client OfficeScan installati nei computer sono gestiti da un altro server OfficeScan. I client sono online ed eseguono questa versione di OfficeSCan oppure una versione precedente. Nessun client OfficeScan installato Il client OfficeScan non è stato installato sul computer. Non raggiungibile Il server OfficeScan non è in grado di connettersi al computer per determinare lo stato di sicurezza. Gestione dei client OfficeScan TABELLA 13-8. Stato sicurezza degli endpoint non gestiti (continua) S TATO Valutazione di Active Directory non risolta D ESCRIZIONE Il computer appartiene a un dominio Active Directory ma il server OfficeScan non è in grado di determinarne lo stato di sicurezza. Nota. Il database del server OfficeScan contiene un elenco dei client gestiti dal server. Il server invia query ad Active Directory per richiedere i GUID dei computer e poi li confronta con i GUID memorizzati nel database. Se un GUID non è nel database, il computer viene assegnato alla categoria Valutazione di Active Directory non risolta. Per eseguire una valutazione di sicurezza, effettuare le operazioni riportate di seguito: 1. Definire l'ambito della query. Per i dettagli, consultare Ambito Active Directory/indirizzo IP e query a pagina 13-71. 2. Selezionare i computer non protetti dal risultato della query. Per i dettagli, consultare Risultato query a pagina 13-74. 3. Installare il Client OfficeScan Per i dettagli, consultare Installazione con Conformità sicurezza a pagina 4-31. 4. Configurare le query pianificate. Per i dettagli, consultare Query pianificata a pagina 13-75. Ambito Active Directory/indirizzo IP e query Quando si esegue una query per la prima volta, definire l'Ambito Active Directory/indirizzo IP che comprende gli oggetti Active Directory e gli indirizzi IP a cui il server OfficeScan deve inviare le query su richiesta o periodicamente. Dopo aver definito l'ambito, avviare l'elaborazione delle query. Nota. Per definire un ambito Active Directory, è necessario che OfficeScan sia prima integrato con Active Directory. Per ulteriori informazioni sull'integrazione, vedere Active Directory Integration a pagina 2-28. 13-71 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per configurare l'ambito e avviare l'elaborazione delle query: P ERCORSO : C ONFORMITÀ SICUREZZA > G ESTIONE SERVER ESTERNI 1. Nella sezione Ambito Active Directory/indirizzo IP, fare clic su Definisci. Viene visualizzata una nuova schermata. 2. Per definire un ambito Active Directory: 3. 13-72 a. Passare alla sezione Ambito Active Directory. b. Selezionare Utilizza valutazione su richiesta per eseguire query in tempo reale al fine di ottenere risultati più precisi. Se si disattiva questa opzione, OfficeScan esegue le query sul database anziché su ogni singolo client. L'esecuzione delle query solo sul database può risultare più rapida ma è meno precisa. c. Selezionare gli oggetti sui quali eseguire la query. Se è la prima volta che viene inviata una query, selezionare un oggetto con meno di 1,000 account e prendere nota del tempo impiegato per completare la query. Utilizzare questi dati per il confronto delle prestazioni. Per definire un ambito dell'indirizzo IP: a. Passare alla sezione Ambito indirizzo IP. b. Selezionare Attiva ambito indirizzo IP. c. Specificare un intervallo di indirizzi IP. Fare clic sul pulsante con il segno più ( ) o meno ( ) per aggiungere o eliminare gli intervalli di indirizzi IP. • Per un server OfficeScan IPv4 puro, digitare un intervallo di indirizzi IPv4. • Per un server OfficeScan IPv6 puro, digitare un prefisso IPv6 e la lunghezza. • Per un server OfficeScan dual stack, digitare un intervallo di indirizzi IPv4 e/o il prefisso IPv6 e la lunghezza. Gestione dei client OfficeScan L'intervallo di indirizzi IPv6 ha un limite di 16 bit, simile al limite per gli intervalli di indirizzi IPv4. La lunghezza del prefisso deve essere compresa pertanto tra 112 e 128. TABELLA 13-9. Lunghezza dei prefissi e numero di indirizzi IPv6 L UNGHEZZA 4. N UMERO DI INDIRIZZI IP V 6 128 2 124 16 120 256 116 4,096 112 65,536 In Impostazione avanzata specificare le porte utilizzate dai server OfficeScan per comunicare con i client. Il programma genera i numeri di porta in modo casuale durante l'installazione del server OfficeScan. Suggerimento. Per visualizzare la porta di comunicazione utilizzata dal server OfficeScan, andare a Computer collegati in rete > Gestione client e selezionare un dominio. La porta viene visualizzata accanto alla colonna degli indirizzi IP. Trend Micro consiglia di tenere traccia dei numeri di porta per riferimento futuro. a. Fare clic su Specifica porte. b. Digitare il numero di porta e fare clic su Aggiungi. Ripetere questo passaggio per aggiungere tutti i numeri di porta necessari. c. Fare clic su Salva. 13-73 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 5. Per verificare la connettività di un computer usando un numero di porta particolare, selezionare Segnala che un computer non è raggiungibile dopo la verifica della relativa porta <x>. Quando non è possibile stabilire una connessione, OfficeScan considera subito il computer irraggiungibile. Il numero di porta predefinito è 135. Suggerimento. 6. Attivare questa impostazione velocizza la query. Quando non è possibile stabilire una connessione, il server OfficeScan non deve più eseguire le altre operazioni di verifica della connessione prima di considerare il computer irraggiungibile. Per salvare l'ambito e avviare la query, fare clic su Salva e rivaluta. Per salvare solo le impostazioni, fare clic su Salva soltanto. Il risultato della query viene visualizzato nella schermata Gestione server esterni. Nota. La query potrebbe richiedere molto tempo, soprattutto se l'ambito della query è ampio. Non eseguire un'altra query fino a quando il risultato non viene visualizzato nella schermata Gestione server esterni. In caso contrario la sessione di query attuale viene interrotta e l'elaborazione della query inizia di nuovo. Risultato query Il risultato della query viene visualizzato nella sezione Stato della sicurezza. Un endpoint non gestito avrà uno degli stati seguenti: • Gestito da un altro server OfficeScan • Nessun client OfficeScan installato • Non raggiungibile • Valutazione di Active Directory non risolta 13-74 Gestione dei client OfficeScan Operazioni consigliate: 1. Nella sezione Stato della sicurezza fare clic su un collegamento numerato per visualizzare tutti i computer interessati. 2. Utilizzare le funzioni di ricerca e ricerca avanzata per eseguire la ricerca e visualizzare solo i computer che corrispondono ai criteri selezionati. Se si utilizza la funzione di ricerca avanzata, specificare le opzioni riportate di seguito: • Intervallo di indirizzi IPv4 • Prefisso IPv6 e lunghezza (il prefisso deve essere compreso tra 112 e 128) • Nome computer • Nome server OfficeScan • Struttura Active Directory • Stato della sicurezza OfficeScan non restituisce un risultato se il nome è incompleto. Se non si è sicuri del nome completo, utilizzare un carattere jolly (*). 3. Per salvare l'elenco dei computer in un file, fare clic su Esporta. 4. Per i client gestiti da un altro server OfficeScan, utilizzare lo strumento Client Mover per fare in modo che i client siano gestiti dal server OfficeScan attuale. Per ulteriori informazioni su questo strumento, vedere Client Mover a pagina 13-20. Query pianificata Configurare il server OfficeScan in modo da eseguire periodicamente query su Active Directory e sugli indirizzi IP e garantire in tal modo che le linee guida di sicurezza siano implementate. Per configurare le valutazioni pianificate per la gestione dei server esterni: P ERCORSO : C ONFORMITÀ SICUREZZA > G ESTIONE SERVER ESTERNI 1. Fare clic su Impostazioni nella parte superiore della struttura dei client. 2. Attivare la query pianificata. 3. Specificare la pianificazione. 4. Fare clic su Salva. 13-75 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Supporto Trend Micro Virtual Desktop Il supporto Trend Micro Virtual Desktop consente di ottimizzare la protezione del desktop virtuale. Questa funzione consente di controllare le operazioni sui client OfficeScan che risiedono sullo stesso server virtuale. L'esecuzione di vari desktop sullo stesso server e di scansioni su richiesta o di aggiornamenti di componenti utilizza una quantità notevole di risorse di sistema. Questa funzione è utile per impedire ai client di eseguire scansioni e aggiornare i componenti contemporaneamente. Se, ad esempio, un server VMware vCenter dispone di tre desktop virtuali che eseguono client OfficeScan, OfficeScan può avviare Esegui scansione e implementare gli aggiornamenti sui tre client contemporaneamente. Il supporto Virtual Desktop è in grado di rilevare che i client sono sullo stesso server fisico. Il supporto Virtual Desktop consente di eseguire un'operazione sul primo client e di attendere che sia terminata prima di eseguire la stessa operazione sugli altri due client. Il supporto Virtual Desktop può essere utilizzato sulle seguenti piattaforme: • VMware vCenter™ (VMware View™) • Citrix™ XenServer™ (Citrix XenDesktop™) Per ulteriori informazioni su queste piattaforme, fare riferimento al sito Web di VMware View o di Citrix XenDesktop. Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScan per ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base o golden. 13-76 Gestione dei client OfficeScan Installazione del supporto Virtual Desktop Il supporto Virtual Desktop è una funzione OfficeScan nativa ma concessa in licenza separatamente. Dopo l'installazione del server OfficeScan, questa funzione è disponibile ma non è funzionante. L'installazione della funzione prevede il download di un file dal server ActiveUpdate (o da un'origine di aggiornamento personalizzata, se configurata). Una volta incorporato il file nel server OfficeScan, è possibile attivare il supporto Virtual Desktop per attivare la funzionalità completa. L'installazione e l'attivazione vengono eseguite da Plug-in Manager. Nota. Il supporto Virtual Desktop non è supportato completamente negli ambienti IPv6 puri. Per i dettagli, consultare Limitazioni del server IPv6 puro a pagina A-3. Per installare il supporto Virtual Desktop: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Download. La dimensione del pacchetto viene visualizzata accanto al pulsante Download. Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product. Nota. Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente dopo 24 ore. Per effettuare manualmente il download del pacchetto di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. 13-77 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 3. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto, controllare i registri di aggiornamento server sulla console del prodotto OfficeScan. Nella barra laterale, fare clic su Registri > Registri aggiornamenti server. Dopo che Plug-in Manager ha scaricato il file, il supporto Virtual Desktop viene visualizzato in una nuova schermata. Nota. 4. Se il supporto Virtual Desktop non viene visualizzato, vedere le cause e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 14-11. Per installare il supporto Virtual Desktop immediatamente, fare clic su Installa ora. Per eseguire l'installazione in un secondo momento: a. Fare clic su Installa in un secondo momento. b. Aprire la schermata Plug-in Manager. c. Andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Installa. 5. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini. L'installazione viene avviata. 6. Monitorare lo stato di avanzamento dell'installazione. Al termine dell'installazione, viene visualizzata la versione del supporto Virtual Desktop. Licenza del supporto Virtual Desktop Visualizzare, attivare e rinnovare la licenza del supporto Virtual Desktop da Plug-in Manager. Richiedere il codice di attivazione a Trend Micro e utilizzarlo per attivare la funzionalità completa del supporto Virtual Desktop. 13-78 Gestione dei client OfficeScan Per attivare o rinnovare il supporto Virtual Desktop: 1. 2. 3. 4. 5. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codice di attivazione. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su Salva. Quando riappare la schermata Dettagli della licenza del prodotto, fare clic su Aggiorna informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il nuovo stato della funzione. Questa schermata contiene anche un collegamento al sito Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla propria licenza. Per visualizzare le informazioni sulla licenza del supporto Virtual Desktop: 1. 2. 3. 4. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. Fare clic su Visualizza Informazioni sulla licenza. Visualizzare le informazioni sulla licenza nella schermata. La sezione Dettagli licenza per supporto Virtual Desktop contiene le seguenti informazioni: • Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto". • Versione: indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se il supporto Virtual Desktop prevede più licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31.12.10 e 30.06.10, verrà visualizzata la data 31.12.10. • Postazioni: viene visualizzato il numero di client OfficeScan che possono utilizzare il supporto Virtual Desktop. • Codice di attivazione: visualizza il codice di attivazione. 13-79 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Nei seguenti casi verranno visualizzati dei promemoria sulle licenze: Se si dispone di una licenza per versione completa • Durante il periodo di proroga del prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica. Se si dispone di una licenza per versione di valutazione • Alla scadenza della licenza. In questo periodo non sarà possibile ottenere l'assistenza tecnica. 5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sulla licenza sul sito Web di Trend Micro. 6. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su Aggiorna informazioni. Connessioni VMware/Citrix Per ottimizzare la scansione su richiesta o gli aggiornamenti dei componenti, aggiungere VMware vCenter 4 (VMware View 4) o Citrix XenServer 5.5 (Citrix XenDesktop 4). I server OfficeScan comunicano con i server VMware vCenter o Citrix XenServer per determinare i client OfficeScan che sono sullo stesso server fisico. Per aggiungere connessioni server: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. 3. Selezionare VMware vCenter Server o Citrix XenServer. 4. Attivare la connessione al server. 5. Specificare il nome o l'indirizzo IP del server e la password di accesso. 6. Se lo si desidera, attivare la connessione proxy. 7. Specificare il nome o l'indirizzo IP e la porta del server proxy. 13-80 Gestione dei client OfficeScan 8. Se il server proxy richiede l'autenticazione, specificare il nome utente e la password. 9. Fare clic su Test di connessione per verificare che il server OfficeScan sia in grado di connettersi al server. 10. Fare clic su Salva. Per aggiungere un'altra connessione server: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. 3. Fare clic su Aggiungi nuova connessione vCenter oppure Aggiungi nuova connessione XenServer. 4. Ripetere la procedura per fornire le informazioni del server corrette. 5. Fare clic su Salva. Per eliminare l'impostazione di una connessione: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. 3. Fare clic su Elimina connessione. 4. Fare clic su OK per confermare l'eliminazione dell'impostazione. 5. Fare clic su Salva. 13-81 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Strumento di generazione del modello di prescansione VDI Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScan per ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base o golden. Questo strumento esegue la scansione dell'immagine di base o golden e la certifica. Durante la scansione dei duplicati di questa immagine, OfficeScan controlla solo le parti che sono cambiate. In tal modo il tempo di scansione viene ridotto. Suggerimento. Trend Micro consiglia di generare il modello di prescansione dopo aver applicato un aggiornamento di Windows o dopo aver installato una nuova applicazione. Per creare un modello di prescansione: 1. Sul computer server OfficeScan, selezionare <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen. 2. Scegliere una versione dello Strumento di generazione del modello di prescansione VDI. Sono disponibili le versioni riportate di seguito: TABELLA 13-10. Versioni dello Strumento di generazione del modello di prescansione VDI N OME FILE 13-82 I STRUZIONI TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 32 bit. TCacheGen_x64.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 64 bit. TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 32 bit. TCacheGenCli_x64.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 64 bit. Gestione dei client OfficeScan 3. Copiare la versione dello strumento scelta nel passaggio precedente nella <Cartella di installazione del client> dell'immagine di base. 4. Eseguire lo strumento. Per eseguire lo strumento direttamente: a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe. b. Fare clic su Genera modello di prescansione. Per eseguire lo strumento dell'interfaccia della riga di comando: a. Aprire il prompt dei comandi e passare alla directory <Cartella di installazione del client>. b. Digitare i seguenti comandi: TCacheGenCli Generate_Template O TcacheGenCli_x64 Generate_Template Nota. Lo strumento esegue la scansione dell'immagine per rilevare minacce alla sicurezza prima di generare il modello di prescansione e rimuovere il GUID. Dopo aver generato il modello di prescansione, lo strumento rimuove il client OfficeScan. Non ricaricare il client OfficeScan. Se il client OfficeScan viene ricaricato, sarà necessario creare di nuovo un modello di prescansione. 13-83 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per rimuovere i GUID dai modelli: 1. Sul computer server OfficeScan, selezionare <Cartella di installazione del server>\PCCSRV\Admin\Utility\TCacheGen. 2. Scegliere una versione dello Strumento di generazione del modello di prescansione VDI. Sono disponibili le versioni riportate di seguito: TABELLA 13-11. Versioni dello Strumento di generazione del modello di prescansione VDI N OME FILE I STRUZIONI TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 32 bit. TCacheGen_x64.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 64 bit. TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 32 bit. TCacheGenCli_x64.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 64 bit. 3. Copiare la versione dello strumento scelta nel passaggio precedente nella <Cartella di installazione del client> dell'immagine di base. 4. Eseguire lo strumento. Per eseguire lo strumento direttamente: 13-84 a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe. b. Fare clic su Rimuovi modello da GUID. Gestione dei client OfficeScan Per eseguire lo strumento dell'interfaccia della riga di comando: a. Aprire il prompt dei comandi e passare alla directory <Cartella di installazione del client>. b. Digitare i seguenti comandi: TCacheGenCli Remove_GUID O TcacheGenCli_x64 Remove_GUID Privilegi e altre impostazioni del client Concedere agli utenti i privilegi necessari per modificare determinate impostazioni ed effettuare operazioni di livello elevato sulla console del client OfficeScan. Suggerimento. Per implementare impostazioni e criteri uniformi nell'organizzazione, concedere privilegi limitati agli utenti. Per configurare i privilegi e le altre impostazioni: P ERCORSO : C OMPUTER COLLEGATI IN RETE > G ESTIONE CLIENT 1. Nella struttura dei client, fare clic sull'icona del dominio principale includere tutti i client oppure selezionare domini o client specifici. 2. Fare clic su Impostazioni > Privilegi e altre impostazioni. 3. Nella scheda Privilegi, configurare i seguenti privilegi per gli utenti: per TABELLA 13-12. Privilegi client P RIVILEGI CLIENT R IFERIMENTO Privilegio di roaming Privilegio di roaming del client a pagina 13-18 Privilegi scansione Privilegi tipo di scansione a pagina 6-52 Privilegi scansione pianificata Privilegi scansione pianificata e altre impostazioni a pagina 6-55 13-85 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 13-12. Privilegi client (continua) P RIVILEGI CLIENT 4. R IFERIMENTO Privilegi firewall Privilegi firewall a pagina 11-22 Privilegi di monitoraggio del comportamento Privilegi di monitoraggio del comportamento a pagina 7-9 Privilegi scansione e-mail Privilegi scansione e-mail e altre impostazioni a pagina 6-60 Privilegi casella strumenti Installazione supporto SecureClient a pagina 16-6 Privilegi impostazioni proxy Privilegi configurazione proxy per client a pagina 13-54 Privilegi aggiornamento componenti Privilegi di aggiornamento e altre impostazioni per i client OfficeScan a pagina 5-41 Disinstallazione Esecuzione del programma di disinstallazione del client a pagina 4-65 Rimozione Rimozione del client a pagina 13-17 Fare clic sulla scheda Altre impostazioni e configurare le impostazioni riportate di seguito: TABELLA 13-13. Altre impostazioni del client I MPOSTAZIONE 13-86 R IFERIMENTO Aggiorna impostazioni Privilegi di aggiornamento e altre impostazioni per i client OfficeScan a pagina 5-41 Impostazioni di reputazione Web Notifiche di minacce Web per utenti client a pagina 10-8 Gestione dei client OfficeScan TABELLA 13-13. Altre impostazioni del client (continua) I MPOSTAZIONE 5. R IFERIMENTO Impostazioni del monitoraggio del comportamento Notifiche di Monitoraggio del comportamento per gli utenti dei client a pagina 7-10 Protezione automatica del client Protezione automatica del client a pagina 13-12 Impostazioni cache per le scansioni Impostazioni cache per le scansioni a pagina 6-63 Impostazioni scansione pianificata Privilegi scansione pianificata e altre impostazioni a pagina 6-55 Impostazioni di sicurezza del client Client Security a pagina 13-15 Impostazioni POP3 Mail Scan Privilegi scansione e-mail e altre impostazioni a pagina 6-60 Restrizione di accesso per console client Restrizione di accesso per console client a pagina 13-16 Riavvia notifica Notifiche dei rischi per la sicurezza per gli utenti client a pagina 6-81 Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente. 13-87 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Impostazioni client globali OfficeScan applica le impostazioni client globali a tutti i client o solo ai client con determinati privilegi. Per configurare le impostazioni client globali: P ERCORSO : C OMPUTER 1. COLLEGATI IN RETE > I MPOSTAZIONI CLIENT GLOBALI Configurare le impostazioni riportate di seguito: TABELLA 13-14. Impostazioni client globali I MPOSTAZIONE 13-88 R IFERIMENTO Impostazioni di scansione Impostazioni globali di scansione a pagina 6-67 Impostazioni scansione pianificata Impostazioni globali di scansione a pagina 6-67 Impostazioni di banda del registro virus/minacce informatiche Impostazioni globali di scansione a pagina 6-67 Impostazioni del firewall Impostazioni firewall globali a pagina 11-24 Conteggio registro firewall Impostazioni firewall globali a pagina 11-24 Impostazioni del monitoraggio del comportamento Monitoraggio del comportamento a pagina 7-2 Aggiornamenti Server ActiveUpdate come origine di aggiornamento del client OfficeScan a pagina 5-33 Spazio su disco riservato Spazio su disco riservato per gli aggiornamenti del client OfficeScan a pagina 5-44 Gestione dei client OfficeScan TABELLA 13-14. Impostazioni client globali (continua) I MPOSTAZIONE 2. R IFERIMENTO Rete non raggiungibile Client non raggiungibili a pagina 13-47 Impostazioni avvisi Notifiche di aggiornamento del client OfficeScan a pagina 5-47 Riavvia Servizio OfficeScan Riavvio servizio del client a pagina 13-11 Configurazione proxy Impostazioni proxy automatiche per client a pagina 13-55 Indirizzo IP preferito Indirizzi IP del client a pagina 4-8 Fare clic su Salva. 13-89 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 13-90 Sezione 4 Protezione aggiuntiva Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Capitolo 14 Uso di Plug-in Manager Questo capitolo descrive come impostare Plug-in Manager e offre una panoramica delle soluzioni plug-in disponibili con Plug-in Manager. Argomenti di questo capitolo: • Informazioni su Plug-in Manager a pagina 14-2 • Installazione di Plug-in Manager a pagina 14-4 • Gestione delle funzioni OfficeScan native a pagina 14-5 • Gestione dei programmi plug-in a pagina 14-5 • Disinstallazione di Plug-in Manager a pagina 14-10 • Risoluzione dei problemi di Plug-in Manager a pagina 14-11 14-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni su Plug-in Manager OfficeScan include una struttura denominata Plug-in Manager che integra nuove soluzioni nell'ambiente OfficeScan esistente. Plug-in Manager fornisce due tipi di soluzioni: • Funzioni OfficeScan native • Programmi plug-in Nota. Attualmente, nessuna delle soluzioni plug-in supporta Pv6. Il server è in grado di scaricare tali soluzioni, ma non di implementarle sui client OfficeScan IPv6 puri o sugli host IPv6 puri. Per semplificare la gestione di queste soluzioni, Plug-in Manager fornisce dati immediati per le soluzioni sotto forma di widget. Funzioni OfficeScan native Alcune funzioni OfficeScan native vengono fornite con licenze separate e attivate tramite Plug-in Manager. In questa versione, due funzioni rientrano in tale categoria: Supporto Trend Micro Virtual Desktop e Protezione dati OfficeScan. Queste funzioni vengono trattate nel presente documento: Programmi plug-in I programmi plug-in non fanno parte del programma OfficeScan. Tali programmi hanno licenze proprie e sono gestiti principalmente dalle rispettive console di gestione, alle quali è possibile accedere dalla console Web OfficeScan. Esempi di programmi plug-in sono: Intrusion Defense Firewall, Trend Micro Security (per Mac) e Trend Micro Mobile Security. Il presente documento fornisce una panoramica generale sull'installazione e la gestione dei programmi plug-in e illustra i dati dei programmi plug-in disponibili nei widget. Per informazioni dettagliate sulla configurazione e la gestione di un programma plug-in specifico, consultare la relativa documentazione. 14-2 Uso di Plug-in Manager Plug-in Manager e agenti lato client Alcuni programmi plug-in (come Intrusion Defense Firewall) dispongono di un agente lato client che viene installato sui sistemi operativi Windows. Gli agenti lato client possono essere gestiti attraverso il Plug-in Manager per client che viene eseguito con il nome di processo CNTAoSMgr.exe. Per l'installazione di CNTAoSMgr.exe sono necessari gli stessi requisiti di sistema richiesti dal client OfficeScan. L'unico requisito aggiuntivo per CNTAoSMgr.exe è Microsoft XML Parser (MSXML) versione 3.0 o successiva. Nota. Altri agenti lato client non sono installati sui sistemi operativi Windows e, quindi, non sono gestiti dal Plug-in Manager del client. Il client Trend Micro Security (per Mac) e Mobile Device Agent per Trend Micro Mobile Security sono esempi di questi agenti. Widget Usare i widget per visualizzare dati immediati per le singole soluzioni plug-in implementate. Questi widget sono disponibili sulla dashboard Riepilogo del server OfficeScan. Uno speciale widget, denominato OfficeScan and Plug-ins Mashup, combina i dati dei client OfficeScan e delle soluzioni plug-in e li visualizza in una struttura client. In questa Guida per l'amministratore viene fornita una panoramica sui widget e sulle soluzioni che li supportano. Novità della versione Plug-In Manager 2.0 si installa con il server OfficeScan 10.6. Questa versione di Plug-In Manager contiene i seguenti widget: i widget costituiscono un rapido riferimento visivo alle caratteristiche e ai plug-in di OfficeScan ritenuti indispensabili per l'impresa. I widget sono disponibili nella dashboard Riepilogo del server OfficeScan, che sostituisce la schermata Riepilogo delle versioni precedenti di OfficeScan. 14-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Installazione di Plug-in Manager Nelle versioni precedenti di Plug-in Manager, era possibile scaricare il pacchetto di installazione di Plug-in Manager dal server ActiveUpdate di Trend Micro e installarlo sullo stesso computer del server OfficeScan. In questa versione, il pacchetto è incluso nel pacchetto di installazione del server OfficeScan. Una volta eseguito il pacchetto e completata l'installazione, i nuovi utenti di OfficeScan avranno a disposizione il server OfficeScan e Plug-in Manager. Gli utenti che eseguono l'aggiornamento a questa versione di OfficeScan e hanno installato Plug-in Manager in precedenza dovranno interrompere il servizio Plug-in Manager prima di eseguire il pacchetto di installazione. Operazioni post-installazione Dopo avere installato Plug-in Manager, eseguire i passaggi descritti di seguito: 1. Accedere alla console Web di Plug-in Manager facendo clic su Plug-in Manager nel menu principale della console Web OfficeScan. FIGURA 14-1. Menu principale della console Web OfficeScan con le opzioni di Plug-in Manager 14-4 2. Gestire le soluzioni plug-in. 3. Accedere alla dashboard Riepilogo sulla console Web OfficeScan per gestire i widget per le soluzioni plug-in. Uso di Plug-in Manager Gestione delle funzioni OfficeScan native Le funzioni OfficeScan native vengono installate con OfficeScan e attivate dal Plug-in Manager. Alcune funzioni, come il Supporto Trend Micro Virtual Desktop, sono gestite dal Plug-in Manager, mentre altre, come Protezione dati OfficeScan, sono gestite dalla console Web OfficeScan. Gestione dei programmi plug-in I programmi plug-in vengono installati indipendentemente da OfficeScan e sono gestiti e attivati dalla rispettive console di gestione. Le console di gestione sono accessibili dalla console Web OfficeScan. Installazione di un programma plug-in Un nuovo programma plug-in viene visualizzato nella console di Plug-in Manager. Nella console, è possibile scaricare, installare e gestire il programma. Plug-in Manager scarica i pacchetti di installazione per i programmi plug-in dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se ne è stata impostata una in modo adeguato. Per scaricare i pacchetti dal server ActiveUpdate, è necessaria una connessione Internet. Mentre Plug-in Manager scarica un pacchetto di installazione o mentre l'installazione è in corso, non è possibile scaricare, installare o aggiornare altri programmi plug-in. Plug-in Manager non supporta l'installazione e la gestione di un programma plug-in tramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager. Per installare un programma plug-in: Nota. 1. Le immagini di questa procedura sono tratte da un programma plug-in denominato Trend Micro Security (per Mac). Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 14-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore 2. Nella schermata Plug-in Manager, andare nella sezione dei programmi plug-in e fare clic su Download. La dimensione del pacchetto del programma plug-in viene visualizzata a lato del pulsante Download. FIGURA 14-2. Pulsante Download per un programma plug-in Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download\Product. Nota. 3. Se Plug-in Manager non è in grado di scaricare il pacchetto, tenterà di scaricarlo di nuovo dopo 24 ore. Per effettuare manualmente il download del pacchetto di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. FIGURA 14-3. Avanzamento del download per un programma plug-in 14-6 Uso di Plug-in Manager Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto, controllare i registri di aggiornamento server sulla console del prodotto OfficeScan. Nella barra laterale, fare clic su Registri > Registri aggiornamenti server. Una volta completato il download del pacchetto da parte di Plug-in Manager, il programma plug-in viene visualizzato in una nuova schermata. Nota. 4. Se un programma plug-in non viene visualizzato, cercarne i motivi e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 14-11. Fare clic su Installa ora o Installa in un secondo momento. FIGURA 14-4. Schermata Download completato per un programma plug-in • Se è stata selezionata l'opzione Installa ora, controllare l'avanzamento dell'installazione. • Se è stata selezionata l'opzione Installa in un secondo momento, accedere alla schermata Plug-in Manager, nella sezione del programma plug-in, fare clic su Installa e controllare l'avanzamento dell'installazione. Al termine dell'installazione, viene visualizzata la versione attuale del programma plug-in. È possibile, quindi, iniziare a gestire il programma plug-in. Gestione di un programma plug-in Configurare le impostazioni ed eseguire le operazioni relative al programma dalla console di gestione del programma plug-in, accessibile dalla console Web OfficeScan. Le operazioni comprendono l'attivazione del programma e l'implementazione degli agenti lato client sugli endpoint. Per informazioni dettagliate sulla configurazione e la gestione di un programma plug-in specifico, consultare la relativa documentazione. 14-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per iniziare la gestione di un programma plug-in: 1. Aprire la console Web OfficeScan e, nel menu principale, fare clic su Plug-in Manager. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Gestione programma. FIGURA 14-5. Pulsante Gestione programma per un programma plug-in Aggiornamenti delle versioni di un programma plug-in Una nuova versione di un programma plug-in installato viene visualizzato nella console di Plug-in Manager. Nella console, è possibile scaricare il pacchetto di aggiornamento e aggiornare la versione del programma. Plug-in Manager scarica il pacchetto dal server ActiveUpdate di Trend Micro o da una origine aggiornamenti personalizzata, se ne è stata impostata una in modo adeguato. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria una connessione Internet. Mentre Plug-in Manager scarica un pacchetto di aggiornamento della versione, non è possibile scaricare, installare o aggiornare altri programmi plug-in. Plug-in Manager non supporta l'aggiornamento della versione di un programma plug-in tramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager. 14-8 Uso di Plug-in Manager Per aggiornare la versione di un programma plug-in: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare nella sezione dei programmi plug-in e fare clic su Download. La dimensione del pacchetto di aggiornamento viene visualizzata a lato del pulsante Download. Nota. 3. Se Plug-in Manager non è in grado di scaricare il pacchetto di aggiornamento della versione, tenterà di scaricarlo di nuovo dopo 24 ore. Per avviare manualmente il download del pacchetto su Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Nota. Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto, controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nella barra laterale, fare clic su Registri > Registri aggiornamenti server. 4. Una volta completato il download del pacchetto, viene visualizzata una nuova schermata: 5. Fare clic su Aggiorna ora o Aggiorna in un secondo momento. • Se è stata selezionata l'opzione Aggiorna subito, controllare l'avanzamento dell'installazione. • Se è stata selezionata l'opzione Aggiorna in un secondo momento, accedere alla schermata Plug-in Manager, nella sezione del programma plug-in, fare clic su Aggiorna e controllare l'avanzamento dell'installazione. Al termine dell'aggiornamento della versione, potrebbe essere necessario riavviare il servizio Plug-in Manager; la schermata di Plug-in Manager potrebbe, pertanto, essere momentaneamente non disponibile. Quando la schermata torna a essere disponibile, viene visualizzata la versione corrente del programma plug-in. 14-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Disinstallazione di un programma plug-in Esistono diversi metodi per disinstallazione un programma plug-in. • Disinstallare un programma plug-in dalla console di Plug-in Manager. • Disinstallare il server OfficeScan, che determina la disinstallazione automatica di Plug-in Manager e di tutti i programmi plug-in installati. Per istruzioni sulla disinstallazione del server OfficeScan, consultare la Guida all'installazione e all'aggiornamento OfficeScan. Per i programmi plug-in con agenti lato client: • Per verificare se la disinstallazione di un programma plug-in determina la disinstallazione dell'agente lato client, consultare la documentazione del programma plug-in. • Per gli agenti lato client installati sullo stesso computer del client OfficeScan, la disinstallazione del client OfficeScan disinstalla gli agenti lato client e Plug-in Manager per client (CNTAoSMgr.exe). Per disinstallare un programma plug-in dalla console Plug-in Manager: 1. Aprire la console Web di OfficeScan e fare clic su Plug-in Manager nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Disinstalla. 3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è possibile effettuare altre operazioni. 4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. Il programma plug-in è di nuovo disponibile per l'installazione. Disinstallazione di Plug-in Manager Disinstallare il server OfficeScan per disinstallare automaticamente Plug-in Manager che tutti i programmi plug-in installati. Per istruzioni sulla disinstallazione del server OfficeScan, consultare la Guida all'installazione e all'aggiornamento OfficeScan. 14-10 Uso di Plug-in Manager Risoluzione dei problemi di Plug-in Manager Controllare i registri di debug del server OfficeScan e del client per ulteriori informazioni di debug su Plug-in Manager e sui programmi plug-in. Il programma plug-in non viene visualizzato nella console di Plug-in Manager Un programma plug-in disponibile per il download e l'installazione potrebbe non essere visualizzato sulla console di Plug-in Manager per i seguenti motivi: 1. Plug-in Manager sta ancora eseguendo il download del programma plug-in, che potrebbe richiedere un po' di tempo se il pacchetto del programma è di dimensioni elevate. Controllare la schermata ogni tanto per verificare se il programma viene visualizzato. Nota. Se Plug-in Manager non è in grado di scaricare un programma plug-in, tenterà automaticamente di scaricarlo di nuovo dopo 24 ore. Per avviare manualmente il download del programma plug-in da Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager. 2. Il server non riesce a collegarsi a Internet. Se il computer server si collega a Internet tramite un server proxy, assicurarsi che la connessione a Internet possa essere stabilita utilizzando le impostazioni proxy. 3. L'origine degli aggiornamenti di OfficeScan non è il server ActiveUpdate. All'interno della console Web OfficeScan, passare a Aggiornamenti > Server > Origine aggiornamenti e verificare l'origine degli aggiornamenti. Se l'origine degli aggiornamenti non è il server ActiveUpdate, sono disponibili le opzioni seguenti: • Selezionare il server ActiveUpdate come origine degli aggiornamenti. • Se si seleziona Altra fonte di aggiornamenti, selezionare la prima voce nell'elenco Altra fonte di aggiornamenti come origine aggiornamenti e verificare che la connessione al server ActiveUpdate avvenga correttamente. Plug-in Manager supporta solo la prima voce dell'elenco. • Se si seleziona Percorso Intranet contenente una copia del file corrente, controllare che il computer nella rete Intranet possa connettersi anche al server ActiveUpdate. 14-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Problemi relativi all'installazione e alla visualizzazione dell'agente lato client È possibile che l'installazione dell'agente lato client di un programma plug-in può non riesca oppure che l'agente non sia visualizzato sulla console del client OfficeScan per i seguenti motivi: 1. Plug-in Manager per client (CNTAosMgr.exe) non viene eseguito. Nel computer client, aprire Gestione attività di Windows ed eseguire il processo CNTAosMgr.exe. 2. Il pacchetto di installazione dell'agente lato client non è stato scaricato nella cartella del computer client situata in <Cartella di installazione del client OfficeScan>\ AU_Data\AU_Temp\{xxx}AU_Down\Product. Controllare il file Tmudump.txt situato nel percorso \AU_Data\AU_Log\ per verificare eventuali errori di download. Nota. 3. Se un agente è installato correttamente, le relative informazioni sono disponibili in <Cartella di installazione del client>\AOSSvcInfo.xml. L'installazione dell'agente non è riuscita o richiede ulteriori azioni. È possibile verificare lo stato dell'installazione dalla console di gestione del programma plug-in ed eseguire ulteriori azioni come, ad esempio, riavviare il computer client dopo l'installazione o installare le patch necessarie del sistema operativo prima dell'installazione. La versione del server Web di Apache non è supportata Plug-in Manager gestisce alcune richieste Web utilizzando un'interfaccia Internet Server Application Programming Interface (ISAPI). ISAPI non è compatibile con le seguenti versioni del server Apache Web: da 2.0.56 a 2.0.59 e da 2.2.3 a 2.2.4. Se la versione del server Apache Web non è compatibile, è possibile sostituirla con la versione 2.0.63, ovvero la versione utilizzata da OfficeScan e Plug-in Manager. Questa versione è compatibile anche con ISAPI. Per sostituire una versione non compatibile del server Apache Web con la versione 2.0.63: 1. Aggiornare la versione del server OfficeScan alla versione corrente. 2. Effettuare un backup dei seguenti file della cartella Apache2 situata nella <Cartella di installazione del server OfficeScan>: 14-12 Uso di Plug-in Manager • httpd.conf • httpd.conf.tmbackup • httpd.default.conf 3. Disinstallare la versione del server Apache Web non compatibile utilizzando la schermata Installazione applicazioni. 4. Installare il server Apache Web 2.0.63. a. Avviare apache.msi dalla <Cartella di installazione del server OfficeScan>\ Admin\Utility\Apache. b. Nella schermata Informazioni server, immettere le informazioni richieste. c. Nella schermata Cartella di destinazione, cambiare la cartella di destinazione facendo clic su Modifica e selezionando la <Cartella di installazione del server OfficeScan>. d. Completare l'installazione. 5. Copiare nuovamente i file di backup nella cartella Apache2. 6. Riavviare il servizio server Apache Web. Non è possibile avviare un agente lato client se le impostazioni dello script di configurazione automatica di Internet Explorer reindirizzano a un server proxy. Plug-in Manager per client (CNTAosMgr.exe) non è in grado di avviare l'agente lato client perché il comando di avvio dell'agente reindirizza a un server proxy. Questo problema si verifica solamente se le impostazioni proxy reindirizzano il traffico HTTP dell'utente all'indirizzo 127.0.0.1. Per risolvere il problema, utilizzare dei criteri relativi al server proxy ben definiti. Ad esempio non reindirizzare il traffico HTTP all'indirizzo 127.0.0.1. Se si ha la necessità di utilizzare la configurazione proxy in modo che controlli le richieste HTTP 127.0.0.1, effettuare le seguenti azioni: 1. Configurare il firewall di OfficeScan nella console Web OfficeScan. Nota. Eseguire questo passaggio se si abilita il firewall OfficeScan sui client OfficeScan. 14-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore a. Nella console Web passare a Computer collegati in rete > Firewall > Criteri e fare clic su Modifica modello di eccezione. b. Sulla schermata Modifica modello di eccezione fare clic su Aggiungi. c. Immettere le informazioni riportate di seguito. • Nome: inserire un nome • Azione: consentire il traffico di rete • Direzione: in entrata • Protocollo: TCP • Porta/e: un numero compreso tra 5000 e 49151 • Indirizzo/i IP: uno dei seguenti: • Selezionare Indirizzo IP singolo e specificare l'indirizzo IP del proprio server proxy (opzione consigliata). • Selezionare Tutti gli indirizzi IP. d. Fare clic su Salva. e. Sulla schermata Modifica modello di eccezione fare clic su Salva e Applica ai criteri esistenti. f. Andare su Computer collegati in rete > Firewall > Profili e fare clic su Assegna profilo al client. Se non è presente alcun profilo firewall, crearne uno facendo clic su Aggiungi. Utilizzare le seguenti impostazioni: • Nome: inserire un nome • Descrizione: inserire una descrizione • Criterio: criteri di accesso per tutti Dopo aver salvato il nuovo profilo, fare clic su Assegna profilo al client. 14-14 Uso di Plug-in Manager 2. Modificare il file ofcscan.ini. a. Aprire il file ofcscan.ini situato nella <Cartella di installazione del server OfficeScan> utilizzando un editor di testo. b. Cercare [Global Setting] e aggiungere FWPortNum=21212 nella riga successiva. Sostituire il valore "21212" con il numero di porta specificato in passaggio c sopra. Ad esempio: [Global Setting] FWPortNum=5000 c. 3. Salvare il file. Nella console Web passare a Computer collegati in rete > Impostazioni client globali e fare clic su Salva. Si è verificato un errore nel sistema, nel modulo di aggiornamento o nel programma Plug-in Manager e il messaggio di errore contiene un determinato codice di errore Plug-in Manager può visualizzare uno qualsiasi dei seguenti codici di errore in un messaggio di errore. Se non è possibile risolvere il problema dopo aver consultato le soluzioni proposte nella tabella seguente, contattare l'assistenza tecnica. TABELLA 14-1. C ODICE ERRORE 001 Codici di errore di Plug-in Manager M ESSAGGIO , CAUSA E SOLUZIONE Si è verificato un errore nel programma Plug-in Manager. Il modulo di aggiornamento di Plug-in Manager non risponde quando si verifica l'avanzamento di un aggiornamento. È possibile che il modulo o il gestore dei comandi non sia stato inizializzato. Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamente l'operazione. 14-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 14-1. C ODICE ERRORE 002 Codici di errore di Plug-in Manager (continua) M ESSAGGIO , CAUSA E SOLUZIONE Si è verificato un errore di sistema. Il modulo di aggiornamento di Plug-in Manager non è in grado di aprire la chiave di registro SOFTWARE\TrendMicro\OfficeScan\service\AoS in quanto potrebbe essere stata eliminata. Attenersi alla procedura riportata di seguito: 1. Aprire l'editor del Registro di sistema e accedere a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\ service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a 1.0.1000. 2. Riavviare il servizio Plug-in Manager di OfficeScan. 3. Scaricare/disinstallare il programma plug-in. 14-16 Uso di Plug-in Manager TABELLA 14-1. Codici di errore di Plug-in Manager (continua) C ODICE ERRORE 028 M ESSAGGIO , CAUSA E SOLUZIONE Si è verificato un errore di aggiornamento. Cause possibili: A. Il modulo di aggiornamento di Plug-in Manager non è stato in grado di scaricare un programma plug-in. Verificare che la connessione di rete funzioni correttamente e riprovare. B. Il modulo di aggiornamento di Plug-in Manager non è in grado di installare il programma plug-in perché l'agente patch AU ha restituito un errore. L’agente patch AU è il programma che lancia l’installazione di nuovi programmi plug-in. Per determinare la causa esatta dell'errore, controllare il registro di debug del modulo ActiveUpdate "TmuDump.txt" in \PCCSRV\Web\Service\AU_Data\AU_Log. Attenersi alla procedura riportata di seguito: 1. Aprire l'editor del Registro di sistema e accedere a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\ service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a 1.0.1000. 2. Eliminare la chiave di registro del programma plug-in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\ service\AoS\OSCE_ADDON_xxxx. 3. Riavviare il servizio Plug-in Manager di OfficeScan. 4. Scaricare e installare un programma plug-in. 170 Si è verificato un errore di sistema. Il modulo di aggiornamento di Plug-in Manager non è in grado di elaborare l’operazione richiesta perché al momento sta gestendo un’altra operazione. Eseguire l'operazione in un secondo momento. 14-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 14-1. C ODICE ERRORE 202 Codici di errore di Plug-in Manager (continua) M ESSAGGIO , CAUSA E SOLUZIONE Si è verificato un errore nel programma Plug-in Manager. Il programma Plug-in Manager non è in grado di gestire un'operazione in esecuzione nella console Web. Aggiornare la console Web o aggiornare la versione di Plug-in Manager, se è disponibile un aggiornamento per il programma. 203 Si è verificato un errore nel programma Plug-in Manager. Il programma Plug-in Manager ha rilevato un errore di comunicazione tra i processi (IPC) nel tentativo di comunicare con i servizi backend di Plug-in Manager. Riavviare il servizio OfficeScan Plug-in Manager ed eseguire nuovamente l'operazione. Altri codici di errore: Si è verificato un errore di sistema. Quando si scarica un nuovo programma plug-in, Plug-in Manager verifica l'elenco dei programmi plug-in nel server ActiveUpdate. Plug-in Manager non è stato in grado di ottenere l'elenco. Attenersi alla procedura riportata di seguito: 1. Aprire l'editor del Registro di sistema e accedere a HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\ service\AoS\OSCE_Addon_Service_CompList_Version. Reimpostare il valore a 1.0.1000. 2. Riavviare il servizio Plug-in Manager di OfficeScan. 3. Scaricare e installare un programma plug-in. 14-18 Capitolo 15 Utilizzo di Policy Server per Cisco NAC Il capitolo contiene le istruzioni di base per impostare e configurare Policy Server for Cisco NAC. Per ulteriori informazioni sulla configurazione e sull'amministrazione dei server Cisco Secure ACS e di altri prodotti Cisco, consultare la documentazione Cisco più recente disponibile al seguente sito Web: http://www.cisco.com/univercd/home/home.htm Argomenti di questo capitolo: • Informazioni su Policy Server per Cisco NAC a pagina 15-2 • Componenti e termini a pagina 15-3 • Architettura Cisco NAC a pagina 15-7 • La sequenza di convalida client a pagina 15-8 • Policy Server a pagina 15-10 • Sincronizzazione a pagina 15-19 • Certificati a pagina 15-19 • Requisiti di sistema per Policy Server a pagina 15-22 • Requisiti per Cisco Trust Agent (CTA) a pagina 15-23 • Piattaforme compatibili e requisiti a pagina 15-24 • Implementazione di Policy Server per NAC a pagina 15-26 15-1 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Informazioni su Policy Server per Cisco NAC Trend Micro Policy Server for Cisco Network Admission Control (NAC) valuta lo stato dei componenti antivirus sui client OfficeScan. Le opzioni di configurazione di Policy Server consentono di configurare le impostazioni per effettuare operazioni sui client a rischio e adeguarli alla strategia di un'organizzazione. Queste operazioni comprendono: • Istruire i computer client in modo che aggiornino i componenti del loro client OfficeScan • Attivazione della scansione in tempo reale • Effettuare l'operazione Esegui scansione • Visualizzare un messaggio di notifica sui computer client per informare gli utenti della violazione dei criteri antivirus Per ulteriori informazioni sulla tecnologia Cisco NAC, consultare il sito Web Cisco: http://www.cisco.com/go/nac 15-2 Utilizzo di Policy Server per Cisco NAC Componenti e termini Di seguito è riportato un elenco dei vari componenti e degli importanti termini che l'utente deve conoscere per comprendere e utilizzare Policy Server for Cisco NAC. Componenti Gli elementi riportati di seguito sono necessari nell'implementazione Trend Micro di Policy Server for Cisco NAC: TABELLA 15-1. Componenti di Policy Server per Cisco NAC C OMPONENTE D ESCRIZIONE Cisco Trust Agent (CTA) Programma installato su un computer client che consente la comunicazione tra il client stesso e altri componenti Cisco NAC. Computer client OfficeScan Computer sul quale è installato il programma client OfficeScan. Per funzionare con Cisco NAC, sul computer client deve essere presente il Cisco Trust Agent. Dispositivo di accesso alla rete Dispositivo di rete compatibile con le funzionalità di Cisco NAC. Tra i dispositivi di accesso alla rete compatibili ci sono una serie di router, firewall e access point Cisco e dispositivi di produttori terzi con i protocolli Terminal Access Controller Access Control System (TACACS+) o Remote Dial-In User Service (RADIUS). Per un elenco dei dispositivi supportati, consultare Piattaforme compatibili e requisiti a pagina 15-24. Server di controllo di accesso (ACS) Cisco Secure Server che riceve i dati antivirus dal client OfficeScan attraverso un dispositivo di accesso alla rete e li trasmette a un database utenti esterno per la valutazione. Successivamente, il server ACS trasmette i risultati della valutazione, che possono contenere anche istruzioni per il client OfficeScan, al dispositivo di accesso alla rete. 15-3 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 15-1. Componenti di Policy Server per Cisco NAC (continua) C OMPONENTE D ESCRIZIONE Policy Server Programma che riceve e valuta i dati antivirus del client OfficeScan. Dopo aver effettuato la valutazione, il Policy Server determina le operazioni che il client OfficeScan deve compiere e le trasmette al client in modo che possa effettuarle. Server OfficeScan Trasmette le informazioni sulle versioni del pattern antivirus e del motore di scansione virus attualmente in uso al Policy Server, il quale utilizza tali dati per valutare lo stato di protezione antivirus dei client OfficeScan. Termini È necessario conoscere i termini riportati di seguito legati a Policy Server for Cisco NAC: TABELLA 15-2. TERMINE 15-4 Termini di Policy Server per Cisco NAC D EFINIZIONE Stato di protezione Indica la presenza e il livello di aggiornamento del software antivirus su un client. In questa versione, lo stato della protezione indica se il programma client OfficeScan è presente sui computer client, lo stato di alcune impostazioni del client OfficeScan e se il motore di scansione virus e il pattern antivirus sono aggiornati. Indicazione sullo stato Viene creata dal Policy Server dopo la convalida del client OfficeScan. Contiene informazioni che comunicano al client OfficeScan di effettuare una serie di operazioni specificate come attivare la scansione in tempo reale o aggiornare i componenti antivirus. Convalida client Indica il processo di valutazione dello stato di protezione del client e l'invio dell'indicazione sullo stato al client. Utilizzo di Policy Server per Cisco NAC TABELLA 15-2. Termini di Policy Server per Cisco NAC (continua) TERMINE D EFINIZIONE Regola di Policy Server Linea guida contenente parametri configurabili che il Policy Server utilizza per determinare lo stato di protezione dei client OfficeScan. Una regola contiene anche operazioni che il client e il Policy Server devono effettuare nel caso in cui le informazioni sullo stato della protezione corrispondano ai parametri contenuti nella regola (per informazioni dettagliate, consultare Criteri e regole di Policy Server a pagina 15-11). Criteri di Policy Server Gruppo di regole utilizzato dal Policy Server per misurare lo stato di protezione dei client OfficeScan. I criteri contengono anche operazioni che il client e il Policy Server devono effettuare nel caso in cui i parametri contenuti nelle regole associate ai criteri non corrispondano allo stato della protezione (per informazioni dettagliate, vedere Criteri e regole di Policy Server a pagina 15-11). Autenticazione, autorizzazione e contabilità (AAA) Sono i tre principali servizi utilizzati per controllare l'accesso dei client degli utenti finali alle risorse del computer. L'autenticazione serve per identificare un client, solitamente tramite l'inserimento da parte di un utente del nome utente e della password. L'autorizzazione indica i privilegi di cui l'utente dispone per eseguire determinati comandi. La contabilità indica le risorse utilizzate nel corso di una sessione, solitamente tramite registri. Il server di controllo di accesso (ACS) Cisco Secure è l'implementazione Cisco di un server AAA. Certificate Authority (CA) È un'authority in rete che distribuisce i certificati digitali allo scopo di effettuare l'autenticazione e garantire la connessione tra i computer e/o i server. Certificati digitali Sono degli allegati utilizzati per la sicurezza. Nella loro forma più comune, i certificati autenticano i client presso i server (ad esempio, un server Web) e contengono i seguenti elementi: le informazioni sull'identità dell'utente, una chiave pubblica (utilizzata per la crittografia) e una firma digitale di una Certificate Authority (CA) che verifichi la validità del certificato. 15-5 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 15-2. TERMINE 15-6 Termini di Policy Server per Cisco NAC (continua) D EFINIZIONE Remote Authentication Dial-In User Service (RADIUS) È un sistema di autenticazione che richiede ai client di inserire un nome utente e una password. I server Cisco Secure ACS sono compatibili con RADIUS. Terminal Access Controller Access Control System (TACACS+) È un protocollo di protezione attivato tramite comandi AAA utilizzato per autenticare i client degli utenti finali. I server ACS di Cisco sono compatibili con il protocollo TACACS+. Utilizzo di Policy Server per Cisco NAC Architettura Cisco NAC Lo schema riportato di seguito rappresenta un'architettura Cisco NAC di base. Server di controllo di accesso (ACS) Cisco Secure Trend Micro Policy Server per Cisco NAC Server OfficeScan Dispositivo di accesso alla rete supportato da Cisco NAC Client OfficeScan con installazione CTA FIGURA 15-1. Architettura di base Cisco NAC Il client OfficeScan nella figura dispone di un'installazione CTA ed è in grado di accedere alla rete soltanto attraverso un dispositivo di accesso alla rete che supporta Cisco NAC. Il dispositivo di accesso alla rete si trova tra il client e gli altri componenti Cisco NAC. Nota. L'architettura della rete può variare in base alla presenza di server proxy, router o firewall. 15-7 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore La sequenza di convalida client La convalida del client fa riferimento al processo di valutazione dello stato di protezione del client OfficeScan e di invio al client delle istruzioni da seguire qualora il Policy Server consideri il client a rischio. Il Policy Server convalida un client OfficeScan utilizzando regole e criteri configurabili. Di seguito viene illustrata la sequenza degli eventi che si verificano quando un client OfficeScan tenta di accedere alla rete: 15-8 1. Il dispositivo di accesso alla rete Cisco avvia la sequenza di convalida richiedendo lo stato di protezione del client quando questi tenta di accedere alla rete. 2. Il dispositivo trasmette quindi lo stato di protezione al server ACS. 3. Il server ACS comunica lo stato di protezione al Policy Server, il quale esegue la valutazione. 4. Con un processo separato, il Policy Server controlla le informazioni del pattern antivirus e del motore di scansione virus del server OfficeScan in modo da mantenere aggiornati i dati attuali. Quindi utilizza un criterio configurato dall'utente per confrontare queste informazioni con i dati sullo stato di protezione client. 5. Successivamente, il Policy Server crea un'indicazione sullo stato e la trasmette nuovamente al client OfficeScan. Utilizzo di Policy Server per Cisco NAC 6. Il client esegue le azioni configurate nell'indicazione sullo stato. Client OfficeScan Dispositivo di accesso alla rete Cisco Secure ACS Policy Server for Cisco NAC Richiesta di connessione alla rete Richiesta dello stato di protezione Trasmissione stato di protezione (versione pattern antivirus e motore di scansione virus) Fornisce indicazione sullo stato Trasmissione stato di sicurezza Fornisce indicazione sullo stato Trasmissione stato di sicurezza Fornisce indicazione sullo stato Esegue le operazioni specificate nell'indicazione sullo stato e riprova la connessione alla rete.* Si ripete la sequenza di convalida. Server Office Scan Richiede la versione attuale del pattern antivirus e del motore di scansione virus Ritorno alla versione attuale del pattern antivirus e del motore di scansione virus Utilizza lo stato di protezione per convalidare il client. Il Policy Server utilizza i criteri per confrontare lo stato di protezione client con le versioni più recenti del pattern antivirus e del motore di scansione virus. * Il client riprova ad accedere alla rete quanto si azzera il timer del dispositivo di accesso alla rete. Per informazioni sulla configurazione del timer, consultare la documentazione del router Cisco. FIGURA 15-2. Sequenza di convalida dell'accesso alla rete 15-9 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Policy Server Il Policy Server è responsabile della valutazione dello stato della protezione del client OfficeScan e della creazione dell'indicazione sullo stato. Confronta lo stato di protezione con le più recenti versioni del pattern antivirus e del motore di scansione virus ricevute dal server OfficeScan che controlla il client. Il Policy Server invia un'indicazione sullo stato al server Cisco Secure ACS, che a sua volta la trasmette al client tramite il dispositivo di accesso alla rete Cisco. L'installazione di altri Policy Server su una sola rete contribuisce a migliorare le prestazioni quando un elevato numero di client tenta contemporaneamente di accedere alla rete. Questi Policy Server possono anche fungere da backup qualora un Policy Server diventi inutilizzabile. Se su una rete sono presenti più server OfficeScan, il Policy Server gestisce le richieste di tutti i server OfficeScan registrati. Analogamente, più Policy Server possono gestire le richieste di un solo server OfficeScan registrato in tutti i Policy Server. La figura riportata di seguito illustra la relazione tra più server OfficeScan e Policy Server. Cisco Secure ACS Policy Server Server OfficeScan Dispositivo di accesso alla rete Client OfficeScan FIGURA 15-3. Relazione più Policy Server/server OfficeScan È anche possibile installare il Policy Server sullo stesso computer sotto forma di server OfficeScan. 15-10 Utilizzo di Policy Server per Cisco NAC Criteri e regole di Policy Server I Policy Server utilizzano le regole e i criteri configurabili per favorire l'implementazione delle linee guida sulla sicurezza dell'organizzazione. Le regole comprendono i parametri specifici che i Policy Server utilizzano per il confronto con lo stato di protezione dei client OfficeScan. Se lo stato di protezione del client corrisponde ai parametri configurati per una regola, il client e il server possono effettuare determinate operazioni specificate dall'utente per tale regola (consultare Operazioni di client OfficeScan e Policy Server a pagina 15-13). I criteri comprendono una o più regole. È opportuno assegnare un criterio a ogni server OfficeScan registrato nella rete sia per la modalità di infezione che per la modalità normale (per ulteriori informazioni sulle modalità della rete, vedere Rischi per la sicurezza a pagina 6-95). Se lo stato di protezione del client OfficeScan corrisponde ai parametri di una regola appartenente al criterio, il client OfficeScan effettua le operazioni configurate per tale regola. Tuttavia, se lo stato di protezione del client non corrisponde a nessun parametro di nessuna regola associata al criterio, è possibile configurare operazioni predefinite che il client e il server effettueranno comunque in relazione al criterio (consultare Operazioni di client OfficeScan e Policy Server a pagina 15-13). Suggerimento. Per fare in modo che determinati client di un dominio OfficeScan dispongano di criteri diversi per la modalità infezione e normale rispetto ad altri client dello stesso dominio, Trend Micro consiglia di ristrutturare i domini in gruppi di client con requisiti simili (consultare Domini OfficeScan a pagina 2-43). 15-11 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Composizione delle regole Le regole comprendono i parametri dello stato di protezione, le risposte predefinite associate ai client e le azioni effettuate dal Policy Server. Parametri per lo stato di protezione Le regole comprendono i seguenti parametri per lo stato di protezione: • Stato del computer client: determina se il computer client è in fase di avvio. • Stato della scansione in tempo reale del client: indica se la scansione è attiva o disattiva. • Stato della versione motore di scansione del client: determina se il motore di scansione virus è aggiornato. • Stato del file del pattern antivirus del client: specifica quanto è aggiornato il pattern antivirus. Il Policy Server determina lo stato controllando una delle seguenti opzioni: • Se il pattern antivirus appartiene a un numero specifico di versioni precedenti alla versione del Policy Server • Se il pattern antivirus è stato reso disponibile un determinato numero di giorni prima della convalida Risposte predefinite per le regole Le risposte consentono di comprendere lo stato dei client OfficeScan in rete quando viene effettuata la convalida dei client. Le risposte, visualizzate nei registri di convalida dei client Policy Server, corrispondono alle indicazioni sullo stato. Scegliere tra le risposte predefinite illustrate di seguito. • In salute: il computer client è conforme ai criteri per la sicurezza e non risulta infetto. • Controllo: è necessario aggiornare i componenti antivirus del client. • Infetto: il computer client è infetto o a rischio di infezione. • Transizione: il computer client è in fase di avvio. • Quarantena: il computer client è a elevato rischio di infezione e deve essere messo in quarantena. • Sconosciuto: qualsiasi altro stato del computer. Nota. 15-12 Non è possibile aggiungere, eliminare o modificare le risposte. Utilizzo di Policy Server per Cisco NAC Operazioni di client OfficeScan e Policy Server Se lo stato di protezione del client corrisponde ai parametri della regola, il Policy Server può eseguire le seguenti operazioni: • Crea una voce in un registro di convalida del client Policy Server (per ulteriori informazioni, consultare Registri di convalida dei client a pagina 15-44) Se lo stato della protezione del client corrisponde ai parametri della regola, il client OfficeScan può eseguire le seguenti operazioni: • Attivare la scansione in tempo reale affinché il client OfficeScan possa effettuare la scansione di tutti i file aperti o salvati (per ulteriori informazioni, consultare Scansione in tempo reale a pagina 6-16) • Aggiornare tutti i componenti OfficeScan (per ulteriori informazioni, consultare Programmi e componenti di OfficeScan a pagina 5-2) • Effettuare la scansione (Esegui scansione) dopo aver attivato la scansione in tempo reale o dopo un aggiornamento. • Visualizzazione di un messaggio di notifica sul computer client. 15-13 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Regole predefinite Policy Server dispone di regole predefinite che costituiscono una base dalla quale partire per la configurazione delle impostazioni. Le regole riguardano le condizioni di sicurezza e le azioni consigliate. Per impostazione predefinita, sono disponibili le seguenti regole: TABELLA 15-3. 15-14 Regole predefinite N OME C RITERI DA REGOLA SODDISFARE In salute Lo stato Scansione in tempo reale è attivato e il motore di scansione virus e il pattern antivirus vengono aggiornati. R ISPOSTA SE I CRITERI VENGONO SODDISFATTI In salute A ZIONE DEL SERVER nessuna A ZIONE DEL CLIENT nessuna Utilizzo di Policy Server per Cisco NAC TABELLA 15-3. Regole predefinite (continua) N OME C RITERI DA REGOLA SODDISFARE Controllo La versione del pattern antivirus è più vecchia di almeno una versione rispetto alla versione presente sul server OfficeScan presso il quale il client è registrato. R ISPOSTA SE I CRITERI VENGONO SODDISFATTI Controllo A ZIONE DEL SERVER Creazione di una voce nel registro di convalida del client A ZIONE DEL CLIENT • Aggiornamento dei componenti • Attivazione automatica dell'operazione Esegui disinfezione dopo l'attivazione della scansione in tempo reale o dopo l'aggiornamento • Visualizzazione di un messaggio di notifica sul computer client Suggerimento. Se si utilizza questa regola, utilizzare l'implementazio ne automatica. In questo modo si è sicuri che il client dispone del più recente pattern antivirus non appena OfficeScan scarica i nuovi componenti. 15-15 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore TABELLA 15-3. Regole predefinite (continua) R ISPOSTA SE I CRITERI VENGONO SODDISFATTI A ZIONE N OME C RITERI DA REGOLA SODDISFARE Transizione Il computer client è in fase di avvio. Transizione nessuna Metti in quarantena La versione del pattern antivirus è più vecchia di almeno una versione rispetto alla versione presente sul server OfficeScan presso il quale il client è registrato. Metti in quarantena Creazione di una voce nel registro di convalida del client DEL SERVER A ZIONE DEL CLIENT nessuna • Aggiornamento dei componenti • Attivazione automatica delle operazioni Esegui disinfezione ed Esegui scansione dopo l'attivazione della scansione in tempo reale o dopo l'aggiornamento • Visualizzazione di un messaggio di notifica sul computer client Non protetto 15-16 La Scansione in tempo reale è disattivato. Infetto Creazione di una voce nel registro di convalida del client • Attivazione della scansione in tempo reale sul client • Visualizzazione di un messaggio di notifica sul computer client Utilizzo di Policy Server per Cisco NAC Composizione dei criteri I criteri comprendono un numero qualsiasi di regole e risposte e operazioni predefinite. Implementazione delle regole Policy Server implementa le regole secondo un ordine specifico; questo consente di assegnare delle priorità alle regole. È possibile modificare l'ordine delle regole, aggiungerne di nuove e rimuovere quelle esistenti da un criterio. Risposte predefinite per i criteri Come le regole, anche i criteri sono dotati di risposte predefinite che consentono di comprendere lo stato dei client OfficeScan in rete quando viene effettuata la convalida dei client. Tuttavia, le risposte predefinite vengono associate ai client solo quando il loro stato di protezione NON corrisponde a nessuna regola del criterio. Le risposte per i criteri sono uguali a quelle per le regole (per l'elenco delle risposte, consultare Risposte predefinite per le regole a pagina 15-12). Operazioni di client OfficeScan e Policy Server Il Policy Server implementa le regole nei client sottoponendo le informazioni sullo stato del client a ciascuna regola associata al criterio. Le regole vengono applicate dall'alto verso il basso in base alle regole in uso specificate nella console Web. Se lo stato del client corrisponde a una qualsiasi regola, l'operazione corrispondente alla regola viene implementata nel client. Se non corrisponde a nessuna regola, viene applicata la regola predefinita e nel client viene implementata l'azione ad essa corrispondente. I criteri predefiniti per la modalità infezione valutano i client OfficeScan attraverso la regola "In salute". Richiedono a tutti i client che non corrispondono a questa regola di implementare immediatamente le operazioni previste dalla risposta "Infetto". I criteri predefiniti per la modalità normale valutano i client OfficeScan utilizzando tutte le regole diverse da "In salute" (Transizione, Non protetto, Quarantena, Controllo). Classificano tutti i client che non corrispondono a nessuna di queste regole come "in salute" e applicano le azioni legate alla regola "In salute". 15-17 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Criteri predefiniti Policy Server fornisce criteri predefiniti che costituiscono una base dalla quale partire per la configurazione delle impostazioni. Sono disponibili due criteri predefiniti: uno per la modalità Normale e uno per la modalità Infezione. TABELLA 15-4. Criteri predefiniti N OME CRITERIO Criteri predefiniti per la modalità normale D ESCRIZIONE • Regole predefinite associate al criterio: Transizione, Non protetto, Quarantena e Controllo • Risposta nel caso in cui non ci sia corrispondenza con nessuna regola: In salute • Azione del server: nessuna • Azione del client: nessuna Criteri predefiniti per la modalità infezione • Regole predefinite associate al criterio: In salute • Risposta nel caso in cui non ci sia corrispondenza con nessuna regola: Infetto • Azione del server: Creazione di una voce nel registro di convalida del client • Azione del client: • Attivazione della scansione in tempo reale sul client • Aggiornamento dei componenti • Attivazione dell'operazione Esegui disinfezione dopo l'attivazione della scansione in tempo reale o dopo l'aggiornamento • Visualizzazione di un messaggio di notifica sul computer client 15-18 Utilizzo di Policy Server per Cisco NAC Sincronizzazione Sincronizzare regolarmente il Policy Server con i server OfficeScan registrati per fare in modo che le versioni di Policy Server del pattern antivirus, del motore di scansione virus e dello stato delle infezioni del server (modalità normale o infezione) siano aggiornate in base a quelle del server OfficeScan. Per effettuare la sincronizzazione, utilizzare i seguenti metodi: • Sincronizzazione manuale: effettuabile in qualsiasi momento tramite la schermata Riepilogo (consultare Informazioni riepilogative di un Policy Server a pagina 15-42). • Sincronizzazione pianificata: consente di impostare una sincronizzazione pianificata (vedere Operazioni di amministrazione a pagina 15-45). Certificati La tecnologia Cisco NAC utilizza i seguenti certificati digitali per stabilire un collegamento corretto tra i vari componenti: TABELLA 15-5. C ERTIFICATO Certificati Cisco NAC D ESCRIZIONE Certificato ACS Stabilisce una comunicazione affidabile tra il server ACS e il server della Certificate Authority (CA). Il server della Certificate Authority firma il certificato ACS e lo salva sul server ACS. Certificato CA Autentica il client OfficeScan presso il server ACS di Cisco. Il server OfficeScan implementa il certificato CA sia sul server ACS che sui client OfficeScan (nello stesso pacchetto di Cisco Trust Agent). Certificato SSL di Policy Server Stabilisce una comunicazione HTTPS sicura tra il Policy Server e il server ACS. Il programma di installazione di Policy Server genera automaticamente il certificato SSL di Policy Server durante l'installazione di Policy Server. Il certificato SSL di Policy Server è facoltativo. Tuttavia, è preferibile utilizzarlo per garantire che siano trasmessi soltanto i dati crittografati tra Policy Server e il server ACS. 15-19 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore La figura seguente illustra i passaggi per la creazione e l'implementazione dei certificati ACS e CA: Server Certificate Authority (CA) Certificato CA Certificato ACS Certificato CA Server OfficeScan Server Cisco Secure ACS Certificato CA con CTA Client OfficeScan FIGURA 15-4. Creazione e implementazione del certificato ACS e CA 1. Dopo l'emissione di una richiesta di firma del certificato da parte del server ACS al server CA, CA emette un certificato chiamato certificato ACS. Il certificato ACS installa quindi il server ACS. Per ulteriori informazioni, consultare Iscrizione del server Cisco Secure ACS a pagina 15-27. 2. Un certificato CA viene esportato dal server CA e installato nel server ACS. Per istruzioni dettagliate, consultare Installazione di un certificato CA a pagina 15-27. 3. Nel server OfficeScan viene salvata una copia dello stesso certificato CA. 4. Il server OfficeScan implementa il certificato CA sui client dotati di CTA. Per istruzioni dettagliate, consultare Implementazione di Cisco Trust Agent a pagina 15-29. 15-20 Utilizzo di Policy Server per Cisco NAC Certificato CA I client OfficeScan con installazioni CTA effettuano l'autenticazione con il server ACS prima di comunicare lo stato di protezione client. Sono disponibili più metodi per effettuare l'autenticazione (per i dettagli, consultare la documentazione di Cisco Secure ACS). Ad esempio, potrebbe essere già stata attivata l'autenticazione del computer per Cisco Secure ACS mediante Windows Active Directory, che può essere configurata in modo da fornire un certificato client per l'utente finale all'aggiunta di un nuovo computer nella Active Directory. Per istruzioni, consultare Microsoft Knowledge Base Article 313407, HOW TO: Creare richieste di certificato automatiche utilizzando i Criteri di gruppo in Windows. Per gli utenti che dispongono di un proprio server Certificate Authority (CA), ma i cui client per utenti finali non hanno alcun certificato, OfficeScan fornisce un sistema per la distribuzione di un certificato root ai client OfficeScan. Distribuire il certificato durante l'installazione di OfficeScan o dalla console Web di OfficeScan. OfficeScan distribuisce il certificato quando implementa Cisco Trust Agent nei client (consultare Implementazione di Cisco Trust Agent a pagina 15-29). Nota. Se già si dispone di un certificato da una Certificate Authority o ne è stato prodotto uno proprio e distribuito ai client per utenti finali, non è necessario ripetere questa operazione. Prima di distribuire il certificato ai client, iscrivere il server ACS con il server CA e preparare il certificato (per maggiori dettagli, vedere Iscrizione del server Cisco Secure ACS a pagina 15-27). 15-21 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Requisiti di sistema per Policy Server Prima di installare il Policy Server, verificare che il computer risponda ai seguenti requisiti: Sistema operativo • Windows 2000 Professional con Service Pack 4 • Windows 2000 Server con Service Pack 4 • Windows 2000 Advanced Server con Service Pack 4 • Windows XP Professional con Service Pack 3 o versioni successive, a 32 bit e a 64 bit • Windows Server 2003 (Standard e Enterprise Edition) con Service Pack 2 o versioni successive, a 32 bit e a 64 bit Hardware • Processore Intel Pentium II da 300 MHz o equivalente • 128 MB di RAM • 300 MB di spazio su disco disponibile • Monitor che supporti la risoluzione 800 x 600 a 256 colori o superiore Server Web • Microsoft Internet Information Server (IIS) versione 5.0 o 6.0 • Server Web Apache 2.0 o successivo (solo per Windows 2000/XP/Server 2003) Console Web Per utilizzare la console Web OfficeScan sono necessari i seguenti requisiti: • Processore Intel Pentium a 133 MHz o equivalente • 64 MB di RAM • 30 MB di spazio su disco disponibile • Monitor che supporti la risoluzione 800 x 600 a 256 colori o superiore • Microsoft Internet Explorer versione 5.5 o successiva 15-22 Utilizzo di Policy Server per Cisco NAC Requisiti per Cisco Trust Agent (CTA) Prima di implementare Cisco Trust Agent nei computer client, controllare che i computer rispondano ai seguenti requisiti: Nota. Cisco Trust Agent non supporta IPv6. Non è possibile implementare l'agent su endpoint IPv6 puri. Sistema operativo • Windows 2000 Professional e Server con Service Pack 4 • Windows XP Professional con Service Pack 3 o versioni successive a 32 bit • Windows Server 2003 (Standard ed Enterprise Edition) con Service Pack 2 o versioni successive, a 32 bit Hardware • Processore Intel Pentium singolo o multiplo da 200 MHz • 128 MB di RAM per Windows 2000 • 256 MB di RAM per Windows XP e Windows Server 2003 • 5 MB di spazio su disco disponibile (20 MB consigliati) Altre • Windows Installer 2.0 o successivo 15-23 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Piattaforme compatibili e requisiti Le seguenti piattaforme supportano la funzionalità Cisco NAC: TABELLA 15-6. Piattaforme compatibili e requisiti P IATTAFORMA SUPPORTATA M ODELLI I MMAGINI IOS M EMORIA MINIMA / FLASH R OUTER 15-24 Cisco serie 830, 870 831, 836, 837 IOS 12.3(8) o successiva 48 MB/8 MB Cisco serie 1700 1701, 1711, 1712, 1721, 1751, 1751-V, 1760 IOS 12.3(8) o successiva 64 MB/16 MB Cisco serie 1800 1841 IOS 12.3(8) o successiva 128 MB/32 MB Cisco serie 2600 2600XM, 2691 IOS 12.3(8) o successiva 96 MB/32 MB Cisco serie 2800 2801, 2811, 2821, 2851 IOS 12.3(8) o successiva 128 MB/64 MB Cisco serie 3600 3640/3640A, serie 3660-ENT IOS 12.3(8) o successiva 48 MB/16 MB Cisco serie 3700 3745, 3725 IOS 12.3(8) o successiva 128 MB/32 MB Cisco serie 3800 3845, 3825 IOS 12.3(8) o successiva 256 MB/64 MB Cisco serie 7200 720x, 75xx IOS 12.3(8) o successiva 128 MB/48 MB Utilizzo di Policy Server per Cisco NAC TABELLA 15-6. Piattaforme compatibili e requisiti (continua) P IATTAFORMA SUPPORTATA M ODELLI I MMAGINI IOS M EMORIA MINIMA / FLASH C ONCENTRATORI VPN Cisco VPN serie 3000 3005 - 3080 V4.7 o successiva N.D. S WITCH Cisco Catalyst 2900 2950, 2970 IOS 12.1(22)EA5 N.D. Cisco Catalyst 3x00 3550, 3560, 3750 IOS 12.2(25)SEC N.D. Cisco Catalyst 4x00 Supervisor 2+ o superiore IOS 12.2(25)EWA N.D. Cisco Catalyst 6500 6503, 6509, Supervisor 2 o superiore CatOS 8.5 o successiva Sup2 - 128 MB Sup32 - 256 MB Sup720 - 512 MB A CCESS P OINT WIRELESS Cisco serie AP1200 1230 N.D. N.D. 15-25 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Implementazione di Policy Server per NAC Le seguenti procedure vengono fornite solo come riferimento e possono essere soggette a modifica a seconda degli aggiornamenti alle interfacce Microsoft e/o Cisco. Prima di effettuare altre operazioni, verificare che i dispositivi di accesso alla rete in uso siano compatibili con Cisco NAC (vedere Piattaforme compatibili e requisiti a pagina 15-24). Per indicazioni sull'installazione e la configurazione, fare riferimento alla documentazione fornita con i dispositivi. Installare, inoltre, il server ACS sulla rete. Per istruzioni consultare la documentazione di Cisco Secure ACS. 1. Installare il server OfficeScan sulla rete (consultare la Guida all'installazione e all'aggiornamento). 2. Installare il programma client OfficeScan su tutti i client per i quali si desidera che Policy Server effettui la valutazione. 3. Effettuare l'iscrizione del server Cisco Secure ACS. Stabilire un collegamento affidabile tra il server ACS e un server Certificate Authority (CA) in modo che il server ACS emetta una richiesta di firma del certificato. Quindi, salvare il certificato CA firmato (chiamato certificato ACS) sul server ACS (per maggiori informazioni, vedere Iscrizione del server Cisco Secure ACS a pagina 15-27). 4. Esportare il certificato CA sul server ACS e archiviarne una copia sul server OfficeScan. Questo passaggio è necessario solo nel caso in cui non si implementi un certificato sui client e sul server ACS (consultare Installazione di un certificato CA a pagina 15-27). 5. Implementare Cisco Trust Agent e il certificato CA su tutti i client OfficeScan in modo che i client possano inviare le informazioni sullo stato della protezione al Policy Server (vedere Implementazione di Cisco Trust Agent a pagina 15-29). 6. Installare Policy Server per Cisco NAC per gestire le richieste da parte del server ACS (vedere Installazione di Policy Server per Cisco NAC a pagina 15-34). 7. Esportare un certificato SSL dal Policy Server al server Cisco ACS per stabilire una comunicazione SSL protetta tra i due server (vedere Installazione di Policy Server per Cisco NAC a pagina 15-34). 8. Configurare il server ACS per inoltrare richieste di convalida dello stato al Policy Server (vedere Configurazione del server ACS a pagina 15-39). 9. Configurare Policy Server per NAC. Creare e modificare regole e criteri per attivare la strategia di protezione della propria organizzazione sui client OfficeScan (vedere Configurazione di Policy Server for Cisco NAC a pagina 15-40). 15-26 Utilizzo di Policy Server per Cisco NAC Iscrizione del server Cisco Secure ACS Effettuare l'iscrizione del server Cisco Secure ACS con il server Certificate Authority (CA) per stabilire una connessione affidabile tra i due server. La seguente procedura è valida per gli utenti che eseguono un server Windows Certification Authority per la gestione dei certificati sulla rete. Consultare la documentazione del fornitore se si utilizza un'applicazione CA diversa e consultare la documentazione del server ACS per istruzioni su come eseguire l'iscrizione di un certificato. Installazione di un certificato CA Il client OfficeScan esegue l'autenticazione mediante un server ACS prima di inviare i dati sullo stato di protezione. Ai fini di tale autenticazione, il certificato CA è necessario. Innanzitutto, esportare il certificato CA dal server CA ai server ACS e OfficeScan, quindi creare il pacchetto di implementazione dell'agente CTA. Il pacchetto comprende il certificato CA (consultare Certificato CA a pagina 15-21 e Implementazione di Cisco Trust Agent a pagina 15-29). Eseguire l'esportazione e l'installazione del certificato CA: • Esportare il certificato CA dal server Certificate Authority • Installarlo nel server Cisco Secure ACS • Memorizzarne una copia sul server OfficeScan Nota. La seguente procedura è valida per gli utenti che eseguono un server Windows Certification Authority per la gestione dei certificati sulla rete. Consultare la documentazione del fornitore se si utilizza un'applicazione o un servizio Certification Authority diversi. Per esportare e installare il certificato CA per la distribuzione: 1. Esportare il certificato dal server Certification Authority (CA). a. Sul server CA, fare clic su Avvio > Esegui. Si apre la schermata Esegui. b. Digitare mmc nella casella Apri. Si apre una nuova schermata della console di gestione. c. Fare clic su File > Aggiungi/Rimuovi snap-in. Si apre la schermata Aggiungi/Rimuovi snap-in. 15-27 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore d. Fare clic su Certificati e poi su Aggiungi. Si apre la schermata Certificati snap-in. e. Fare clic su Account computer e fare clic su Avanti. Si apre la schermata Seleziona computer. f. Fare clic su Computer locale e quindi su Fine. g. Fare clic su Chiudi per chiudere la schermata Aggiungi snap-in autonomo. h. Fare clic su OK per chiudere la schermata Aggiungi/Rimuovi snap-in. i. Nella visualizzazione della struttura della console, fare clic su Certificati > Origine affidabile > Certificati. j. Selezionare il certificato da distribuire ai client e al server ACS dall'elenco. k. Fare clic su Operazione > Tutte le operazioni > Esporta... Si apre la procedura guidata di esportazione dei certificati. l. Fare clic su Avanti. m. Fare clic su DER encoded binary x.509, quindi su Avanti. n. Immettere un nome file e specificare la directory nella quale esportare il certificato. o. Fare clic su Avanti. p. Fare clic su Fine. Viene visualizzata una finestra di conferma. q. Fare clic su OK. 2. Installare il certificato su Cisco Secure ACS. a. Fare clic su Configurazione di sistema > Impostazione certificato ACS > Impostazione ACS Certification Authority. b. Digitare il percorso completo e il nome file del certificato nel campo File certificato CA. c. Fare clic su Invia. Cisco Secure ACS richiede il riavvio del servizio. d. Fare clic su Configurazione di sistema > Controllo servizio. e. 15-28 Fare clic su Avvio. Cisco Secure ACS viene riavviato. Utilizzo di Policy Server per Cisco NAC f. Fare clic su Configurazione di sistema > Gestione certificati ACS > Modifica elenco certificati affidabili. Viene visualizzata la schermata Modifica elenco certificati affidabili. g. Selezionare la casella di controllo corrispondente al certificato importato nel passaggio b e fare clic su Invia. Cisco Secure ACS richiede il riavvio del servizio. h. Fare clic su Configurazione di sistema > Controllo servizio. i. 3. Fare clic su Avvio. Cisco Secure ACS viene riavviato. Copiare il certificato (file .cer) nel computer server OfficeScan per implementarlo nel client con CTA (per ulteriori informazioni, vedere Implementazione di Cisco Trust Agent a pagina 15-29). Nota. Memorizzare il certificato in una unità locale e non sulle unità collegate. Implementazione di Cisco Trust Agent Cisco Trust Agent (CTA) è un programma in hosting all'interno del server OfficeScan installato sui client che consente ai client OfficeScan di trasmettere le informazioni antivirus a Cisco ACS. Nota. Cisco Trust Agent non supporta IPv6. Non è possibile implementare l'agent su endpoint IPv6 puri. Implementazione di CTA durante l'installazione del server OfficeScan Se è già stato preparato un certificato CA prima dell'installazione del server OfficeScan, implementare il CTA durante l'installazione del server OfficeScan. L'opzione di implementazione CTA si trova nella schermata Altri programmi OfficeScan dell'Installazione principale. Per istruzioni sull'installazione del server OfficeScan, consultare la Guida all'installazione e all'aggiornamento. 15-29 Trend Micro™ OfficeScan™ 10.6 Guida per l'amministratore Per implementare il CTA nei client utilizzando il programma di installazione di OfficeScan: 1. Nella schermata Instal