McAfee Endpoint Security
Transcript
McAfee Endpoint Security
Guida del prodotto McAfee Endpoint Security 10.2 COPYRIGHT © 2016 Intel Corporation ATTRIBUZIONI DEI MARCHI Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee e il logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. INFORMAZIONI SULLA LICENZA Contratto di licenza AVVISO A TUTTI GLI UTENTI: LEGGERE ATTENTAMENTE IL TESTO DEL CONTRATTO LEGALE RELATIVO ALLA LICENZA ACQUISTATA, CHE STABILISCE LE CONDIZIONI GENERALI PER L'USO DEL SOFTWARE CONCESSO IN LICENZA. NEL CASO IN CUI NON SI SAPPIA CON ESATTEZZA QUALE TIPO DI LICENZA È STATO ACQUISTATO, CONSULTARE I DOCUMENTI DI VENDITA E ALTRI DOCUMENTI RELATIVI ALLA CONCESSIONE DELLA LICENZA O ALL'ORDINE DI ACQUISTO ACCLUSI ALLA CONFEZIONE DEL SOFTWARE O RICEVUTI SEPARATAMENTE IN RELAZIONE ALL'ACQUISTO MEDESIMO (SOTTO FORMA DI OPUSCOLO, FILE CONTENUTO NEL CD DEL PRODOTTO O FILE DISPONIBILE SUL SITO WEB DAL QUALE È STATO SCARICATO IL SOFTWARE). SE NON SI ACCETTANO INTEGRALMENTE I TERMINI DEL CONTRATTO, NON INSTALLARE IL SOFTWARE. SE PREVISTO DAL CONTRATTO, L'UTENTE POTRÀ RESTITUIRE IL PRODOTTO A MCAFEE O AL PUNTO VENDITA IN CUI È STATO ACQUISTATO ED ESSERE INTERAMENTE RIMBORSATO. 2 McAfee Endpoint Security 10.2 Guida del prodotto Sommario 1 McAfee Endpoint Security 7 Introduzione 9 Moduli Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modalità di protezione del computer da parte di Endpoint Security . . . . . . . . . . . . . . Mantenimento dell'aggiornamento della protezione . . . . . . . . . . . . . . . . . Interazione con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee . . Informazioni sui messaggi di notifica . . . . . . . . . . . . . . . . . . . . . . . Informazioni sul client Client Endpoint Security . . . . . . . . . . . . . . . . . . . 2 Uso di Client Endpoint Security 19 Apertura di Client Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . Richiesta di assistenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risposta a richieste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risposta a un messaggio di rilevamento minaccia . . . . . . . . . . . . . . . . . . Risposta a richiesta di scansione . . . . . . . . . . . . . . . . . . . . . . . . Risposta a una richiesta di reputazione del file . . . . . . . . . . . . . . . . . . . Informazioni sulla protezione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipi di gestione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aggiornamento manuale di protezione e software . . . . . . . . . . . . . . . . . . . . . Elementi aggiornati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Visualizzazione del Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . . Nomi e posizioni dei file di registro di Endpoint Security . . . . . . . . . . . . . . . Gestione di Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Accedere come amministratore . . . . . . . . . . . . . . . . . . . . . . . . . Sbloccare l'interfaccia client . . . . . . . . . . . . . . . . . . . . . . . . . . Attivare e disattivare funzionalità . . . . . . . . . . . . . . . . . . . . . . . . Modifica della versione AMCore content . . . . . . . . . . . . . . . . . . . . . Uso dei file Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione delle impostazioni comuni . . . . . . . . . . . . . . . . . . . . . Configurazione del comportamento di aggiornamento . . . . . . . . . . . . . . . . Riferimento interfaccia client — In comune . . . . . . . . . . . . . . . . . . . . . . . Pagina Registro eventi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . In comune – Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . In comune: Attività . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Uso di Prevenzione delle minacce 19 20 20 20 21 21 22 22 23 24 24 25 27 27 28 28 29 29 30 35 41 41 43 51 57 Scansione del computer per individuare malware . . . . . . . . . . . . . . . . . . . . . Tipi di scansioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Esecuzione di una scansione completa o di una scansione rapida . . . . . . . . . . . Scansione di un file o una cartella . . . . . . . . . . . . . . . . . . . . . . . . Gestione dei rilevamenti di minacce . . . . . . . . . . . . . . . . . . . . . . . . . . Gestione degli elementi in quarantena . . . . . . . . . . . . . . . . . . . . . . . . . Nomi rilevamenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Endpoint Security 10.2 9 10 10 12 12 14 14 57 57 58 60 61 62 64 Guida del prodotto 3 Sommario Ripetizione scansione di elementi in quarantena . . . . . . . . . . . . . . . . . . 65 Gestione di Prevenzione delle minacce . . . . . . . . . . . . . . . . . . . . . . . . . 65 Configurazione delle esclusioni . . . . . . . . . . . . . . . . . . . . . . . . . 66 Protezione dei punti di accesso del sistema . . . . . . . . . . . . . . . . . . . . 67 Blocco degli exploit da overflow del buffer . . . . . . . . . . . . . . . . . . . . . 76 Rilevamento di programmi potenzialmente indesiderati . . . . . . . . . . . . . . . 78 Configurazione delle impostazioni di scansione comuni . . . . . . . . . . . . . . . . 80 Funzionamento di McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . 81 Configurare le impostazioni della policy di scansione all'accesso . . . . . . . . . . . . 81 Configurazione delle impostazioni Scansione su richiesta . . . . . . . . . . . . . . 86 Configurazione, pianificazione e attivazione delle attività di scansione . . . . . . . . . 91 Riferimento interfaccia client — Prevenzione delle minacce . . . . . . . . . . . . . . . . . 92 Pagina Quarantena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Prevenzione delle minacce - Protezione dell'accesso . . . . . . . . . . . . . . . . 93 Prevenzione delle minacce - Prevenzione exploit . . . . . . . . . . . . . . . . . 105 Prevenzione delle minacce – Scansione su richiesta . . . . . . . . . . . . . . . . 109 Prevenzione delle minacce – Scansione su richiesta . . . . . . . . . . . . . . . . 114 Percorsi di scansione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Azioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Aggiungi esclusione o Modifica esclusione . . . . . . . . . . . . . . . . . . . . 121 Prevenzione delle minacce – Opzioni . . . . . . . . . . . . . . . . . . . . . . 122 Ripristina AMCore content . . . . . . . . . . . . . . . . . . . . . . . . . . 124 4 Uso di Firewall 125 Funzionamento di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee . . . . . . . . . Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. . Informazioni sui gruppi a tempo . . . . . . . . . . . . . . . . . . . . . . . . Gestione di Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modifica delle opzioni Firewall . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione di gruppi e regole Firewall . . . . . . . . . . . . . . . . . . . . Riferimento interfaccia client — Firewall . . . . . . . . . . . . . . . . . . . . . . . . Firewall - Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall – Regole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Utilizzo di Controllo Web 155 Informazioni sulle funzioni di Controllo Web . . . . . . . . . . . . . . . . . . . . . . Modalità di blocco o segnalazione di un sito o download da parte di Controllo Web . . . . Il pulsante Controllo Web identifica le minacce durante la navigazione . . . . . . . . . Identificazione delle minacce durante la ricerca mediante le icone di sicurezza . . . . . Fornitura di dettagli da parte dei rapporti sul sito . . . . . . . . . . . . . . . . . Compilazione delle classificazioni di sicurezza . . . . . . . . . . . . . . . . . . Accedere alle funzionalità di Controllo Web . . . . . . . . . . . . . . . . . . . . . . . Attivazione del plug-in Controllo Web dal browser . . . . . . . . . . . . . . . . . Visualizzazione di informazioni su un sito durante la navigazione . . . . . . . . . . . Visualizzazione del rapporto sul sito durante le ricerche . . . . . . . . . . . . . . . Gestione di Controllo Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurazione delle opzioni Controllo Web . . . . . . . . . . . . . . . . . . . . Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web . Riferimento interfaccia client — Controllo Web . . . . . . . . . . . . . . . . . . . . . Controllo Web - Opzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . Controllo Web - Azioni contenuto . . . . . . . . . . . . . . . . . . . . . . . 6 Uso di Intelligence sulle minacce McAfee Endpoint Security 10.2 155 156 157 158 158 159 160 160 161 161 162 162 165 166 166 168 171 Funzionamento di Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . . . . 4 125 125 126 126 126 127 131 140 140 144 171 Guida del prodotto Sommario Gestione di Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . . . . . . . Informazioni su Intelligence sulle minacce . . . . . . . . . . . . . . . . . . . . Isolamento dinamico applicazioni . . . . . . . . . . . . . . . . . . . . . . . . Configurazione opzioni Intelligence sulle minacce . . . . . . . . . . . . . . . . . Riferimento interfaccia client — Intelligence sulle minacce . . . . . . . . . . . . . . . . Intelligence sulle minacce: Contenimento dinamico delle applicazioni . . . . . . . . . Intelligence sulle minacce - Opzioni . . . . . . . . . . . . . . . . . . . . . . Indice McAfee Endpoint Security 10.2 172 172 178 185 186 186 189 193 Guida del prodotto 5 Sommario 6 McAfee Endpoint Security 10.2 Guida del prodotto McAfee Endpoint Security ® McAfee Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come utilizzare le funzioni di sicurezza di base e risolvere i principali errori. Guida introduttiva • Moduli Endpoint Security a pagina 9 • Modalità di protezione del computer da parte di Endpoint Security a pagina 10 • Interazione con Endpoint Security a pagina 12 Attività eseguite di frequente • Apertura di Client Endpoint Security a pagina 19 • Aggiornamento manuale di protezione e software a pagina 23 • Scansione del computer per individuare malware a pagina 57 • Sbloccare l'interfaccia client a pagina 28 Ulteriori informazioni Per accedere a ulteriori informazioni sul prodotto, vedere: • Guida all'installazione di McAfee Endpoint Security • Guida alla migrazione di McAfee Endpoint Security • Note sulla versione di McAfee Endpoint Security • Guida Prevenzione delle minacce Endpoint Security • Guida Firewall Endpoint Security • Guida Controllo Web Endpoint Security • Guida Intelligence sulle minacce Endpoint Security • Assistenza McAfee McAfee Endpoint Security 10.2 Guida del prodotto 7 McAfee Endpoint Security 8 McAfee Endpoint Security 10.2 Guida del prodotto 1 Introduzione Endpoint Security è una soluzione di gestione della sicurezza completa che viene eseguita sui computer di rete per identificare e arrestare le minacce automaticamente. Questa guida spiega come utilizzare le funzioni di sicurezza di base e risolvere i principali errori. Se il computer è gestito, un amministratore imposta e configura Endpoint Security utilizzando uno dei seguenti server di gestione: • McAfee ePolicy Orchestrator (McAfee ePO ) • McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) ® ® ® ® ™ ™ Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione per Endpoint Security, consultare l'articolo KB87057. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. Se il computer è autogestito, l'utente e l'amministratore possono configurare il software utilizzando il client Client Endpoint Security. Sommario Moduli Endpoint Security Modalità di protezione del computer da parte di Endpoint Security Interazione con Endpoint Security Moduli Endpoint Security L'amministratore configura e installa uno o più moduli Endpoint Security sui computer client. • Prevenzione delle minacce - Verifica la presenza di virus, spyware, programmi indesiderati e altre minacce attraverso la scansione degli elementi - automaticamente ogni volta che vi si accede o in qualsiasi momento venga richiesta dall'utente. • Firewall - Monitora le comunicazioni tra il computer e le risorse di rete e la rete Internet. Intercetta le comunicazioni sospette. • Controllo Web - Mostra le classificazioni di sicurezza e i rapporti per i siti Web durante la navigazione e la ricerca online. Controllo Web consente all'amministratore del sito di bloccare l'accesso ai siti Web in base alle classificazioni di sicurezza o al contenuto. • Intelligence sulle minacce: offre una sicurezza adattiva in base al contesto per ambienti di rete. Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per ulteriori risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence Exchange. Per informazioni, contattare il rivenditore o il rappresentante commerciale. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. McAfee Endpoint Security 10.2 Guida del prodotto 9 1 Introduzione Modalità di protezione del computer da parte di Endpoint Security Inoltre, il modulo In comune fornisce impostazioni per funzioni comuni, come sicurezza e registrazione dell'interfaccia. Questo modulo viene installato automaticamente se è installato qualsiasi altro modulo. Modalità di protezione del computer da parte di Endpoint Security Normalmente, un amministratore imposta Endpoint Security, installa il software sui computer client, monitora lo stato della sicurezza e configura le regole di sicurezza, dette policy. L'utente del computer client può interagire con Endpoint Security tramite il software client installato sul computer. Le policy impostate dall'amministratore determinano il modo in cui le funzioni e i moduli operano sul computer e la possibilità di modificarli. Se Endpoint Security è autogestito, è possibile specificare il funzionamento di moduli e funzioni. Per stabilire il tipo di gestione, visualizzare la pagina Informazioni. A intervalli regolari, il software client del computer si connette a un sito Internet per aggiornare i propri componenti. Contemporaneamente, invia i dati relativi ai rilevamenti sul computer al server di gestione. Questi dati vengono utilizzati per generare i report per l'amministratore relativi ai rilevamenti e ai problemi di sicurezza del computer. In genere, il software client funziona in background senza interazione dell'utente. Talvolta, tuttavia, può essere necessario interagire con esso. Ad esempio quando si intende controllare la disponibilità di aggiornamenti software o eseguire la scansione anti-malware manualmente. A seconda delle policy impostate dall'amministratore, potrebbe essere possibile personalizzare le impostazioni di sicurezza. L'amministratore può gestire e configurare centralmente il software client utilizzando McAfee ePO o McAfee ePO Cloud. Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione per Endpoint Security, consultare l'articolo KB87057. Vedere anche Informazioni sulla protezione a pagina 22 Mantenimento dell'aggiornamento della protezione Aggiornamenti regolari di Endpoint Security garantiscono una protezione costante del computer dalle più recenti minacce. Per eseguire gli aggiornamenti, il software client si connette a un server McAfee ePO locale o remoto o direttamente a un sito in Internet. Endpoint Security cerca: • Aggiorna i file di contenuto utilizzati per rilevare le minacce. I file di contenuto contengono le definizioni per le minacce quali virus e spyware e tali definizioni vengono aggiornate non appena vengono rilevate nuove minacce. • Gli upgrade dei componenti software, quali patch e hotfix. Per semplificare la terminologia, la presente guida fa riferimento sia agli aggiornamenti sia agli upgrade come aggiornamenti. Gli aggiornamenti in genere vengono eseguiti automaticamente in background. Potrebbe essere inoltre necessario controllare manualmente la disponibilità di aggiornamenti. A seconda delle impostazioni, è possibile aggiornare manualmente la protezione da Client Endpoint Security facendo clic su . 10 McAfee Endpoint Security 10.2 Guida del prodotto Introduzione Modalità di protezione del computer da parte di Endpoint Security 1 Vedere anche Aggiornamento manuale di protezione e software a pagina 23 Funzionamento dei file di contenuto La ricerca delle minacce tra i file effettuata dal motore di scansione avviene sulla base del confronto del contenuto dei file sottoposti a scansione con le informazioni di minacce note memorizzate nei file AMCore content. La prevenzione exploit utilizza i propri file di contenuto per proteggersi dagli exploit. Contenuto AMCore McAfee Labs rileva e aggiunge informazioni sulle minacce note (firme) ai file di contenuto. Insieme alla firme, i file di contenuto includono informazioni su pulizia e metodo di contrasto del danno che potrebbe causare il virus. Se la firma di un virus non è presente nei file di contenuto installati, il motore di scansione non può rilevare il virus e il sistema è vulnerabile agli attacchi. Nuove minacce appaiono continuamente. McAfee Labs rilascia aggiornamenti del motore e nuovi file di contenuto che includono i risultati delle ricerche sulle minacce in corso ogni giorno alle 19:00. (GMT/ UTC). Se è presente una nuova minaccia, i file di contenuto AMCore quotidiani possono essere rilasciati in anticipo e, in alcuni casi, i rilasci possono essere posticipati. Per ricevere avvisi sui ritardi e notifiche importanti, abbonarsi al servizio SNS (Support Notification Service). Vedere l'articolo della KnowledgeBase KB67828. Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una versione precedente. Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs rende disponibile un file Extra.DAT fino al rilascio dell'aggiornamento dei contenuti successivo. Per informazioni sull'installazione dei file Extra.DAT, consultare la guida di Prevenzione delle minacce. Contenuto di prevenzione exploit Il contenuto di prevenzione exploit include: • Firme di protezione della memoria: protezione generica da overflow del buffer (GBOP), convalida chiamante, protezione da aumento generico dei privilegi (GPEP) e Monitoraggio API assegnate. • Elenco protezione applicazioni: processi protetti dalla prevenzione exploit. McAfee rilascia nuovi file di contenuto di prevenzione exploit una volta al mese. File di contenuto di Intelligence sulle minacce I file di contenuto di Intelligence sulle minacce includono regole per l'elaborazione dinamica della reputazione di file e processi negli endpoint. McAfee rilascia nuovi file di contenuto di Intelligence sulle minacce ogni due mesi. Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per ulteriori risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence Exchange. Per informazioni, contattare il rivenditore o il rappresentante commerciale. McAfee Endpoint Security 10.2 Guida del prodotto 11 1 Introduzione Interazione con Endpoint Security Interazione con Endpoint Security Endpoint Security fornisce componenti visivi per l'interazione con Client Endpoint Security. • Icona McAfee nella barra delle applicazioni di Windows – Consente di avviare Client Endpoint Security e visualizzare gli stati di sicurezza. • Messaggi di notifica – Avvisano l'utente di eseguire la scansione e il rilevamento delle intrusioni firewall e di file con reputazione sconosciuta; richiedono un input. • Pagina Scansione all'accesso – Mostra l'elenco dei rilevamenti di minacce quando il programma di scansione all'accesso rileva una minaccia. • Client Endpoint Security - Mostra lo stato di protezione attuale e fornisce accesso alle funzioni. Per i sistemi gestiti, l'amministratore configura e assegna le policy per specificare quali componenti sono visualizzati. Vedere anche Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee a pagina 12 Informazioni sui messaggi di notifica a pagina 14 Gestione dei rilevamenti di minacce a pagina 61 Informazioni sul client Client Endpoint Security a pagina 14 Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee L'icona McAfee nella barra delle applicazioni di Windows consente di accedere al client Client Endpoint Security e ad alcune attività di base. In base alle impostazioni, l'icona McAfee può essere o non essere disponibile. Fare clic con il tasto destro nell'icona della barra delle applicazioni McAfee per: Verificare lo stato della sicurezza. Selezionare Visualizza stato della sicurezza per aprire la pagina Stato della sicurezza McAfee. Aprire il client Client Endpoint Security. Selezionare McAfee Endpoint Security. Aggiornare manualmente Selezionare Aggiorna sicurezza. la protezione e il software. 12 McAfee Endpoint Security 10.2 Guida del prodotto 1 Introduzione Interazione con Endpoint Security Disattivazione e riattivazione di Firewall. Selezionare Disattiva Firewall Endpoint Security dal menu Impostazioni rapide. Attivare, disattivare o visualizzare i gruppi a tempo Firewall. Selezionare un'opzione dal menu Impostazioni rapide: Se Firewall è disattivato, l'opzione è Attiva Firewall Endpoint Security. • Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per un periodo definito per consentire l'accesso a Internet prima dell'applicazione di regole che limitano l'accesso. Se i gruppi a tempo sono attivati, l'opzione è Disattiva gruppi a tempo Firewall. Ogni volta che si seleziona questa opzione, il tempo dei gruppi viene reimpostato. In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una motivazione per l'attivazione dei gruppi a tempo. • Visualizza gruppi a tempo Firewall: visualizza i nomi dei gruppi a tempo e il periodo rimanente di attività di ciascun gruppo. Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle impostazioni. Modalità di indicazione dello stato di Endpoint Security nell'icona L'aspetto dell'icona cambia per indicare lo stato di Endpoint Security. Mantenere il cursore sull'icona per visualizzare un messaggio che descrive lo stato. Icona Indica... Endpoint Security protegge il sistema e non è presente alcun problema. Endpoint Security rileva un problema di sicurezza, ad esempio una tecnologia o un modulo disattivato. • Firewall è disattivato. • Prevenzione delle minacce: Prevenzione exploit, Scansione all'accesso o ScriptScan sono disattivati. Endpoint Security segnala i problemi in modo diverso, in base al tipo di gestione. • Autogestito: • Una o più tecnologie sono disattivate. • Una o più tecnologie non rispondono. • Gestito: • Una o più tecnologie sono disattivate, non come risultato dell'imposizione delle policy dal server di gestione o da Client Endpoint Security. • Una o più tecnologie non rispondono. Quando viene rilevato un problema, la pagina Stato della sicurezza McAfee indica quale modulo o tecnologia sono disattivati. Vedere anche Elementi aggiornati a pagina 24 McAfee Endpoint Security 10.2 Guida del prodotto 13 1 Introduzione Interazione con Endpoint Security Informazioni sui messaggi di notifica Endpoint Security utilizza due tipi di messaggi per informare l'utente a proposito dei problemi di protezione o per richiedere un input. Alcuni messaggi potrebbero non essere visualizzati, in base alla modalità di configurazione delle impostazioni. Il processo McTray.exe deve essere in esecuzione affinché Endpoint Security possa visualizzare messaggi di notifica. Endpoint Security invia due tipi di notifiche: • Gli avvisi compaiono al di sopra dell'icona di McAfee per cinque secondi, quindi scompaiono. Gli avvisi informano l'utente a proposito dei rilevamenti di minacce, come gli eventi di intrusione Firewall, o quando una scansione su richiesta viene sospesa o ripristinata. Non è necessaria alcuna azione da parte dell'utente. • Le richieste aprono una pagina nella parte inferiore dello schermo e restano visibili fino a quando si seleziona un'opzione. Ad esempio: • Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente di rinviare la scansione. • Quando il programma di scansione all'accesso rileva una minaccia, Endpoint Security potrebbe richiedere all'utente di rispondere al rilevamento. • Quando Intelligence sulle minacce rileva un file con reputazione ignota, Endpoint Security potrebbe richiedere all'utente di consentire o bloccare il file. Windows 8 e 10 utilizzano notifiche popup: messaggi visualizzati per comunicare all'utente avvisi e richieste. Fare clic sulla notifica popup per visualizzare la notifica in modalità Desktop. Vedere anche Risposta a un messaggio di rilevamento minaccia a pagina 20 Risposta a richiesta di scansione a pagina 21 Risposta a una richiesta di reputazione del file a pagina 21 Informazioni sul client Client Endpoint Security Il client Client Endpoint Security consente di verificare lo stato di protezione e di accedere alle funzionalità del proprio computer. • Le opzioni del menu Azione Impostazioni consentono di accedere alle funzioni. Configura le impostazioni delle funzioni. Questa opzione di menu è disponibile se una delle affermazioni seguenti è vera: • La modalità interfaccia client è impostata su Accesso completo. • L'utente ha effettuato l'accesso come amministratore. Carica Extra.DAT 14 Consente di installare un file Extra.DAT scaricato. McAfee Endpoint Security 10.2 Guida del prodotto Introduzione Interazione con Endpoint Security Ripristina AMCore content 1 Ripristina una versione precedente di AMCore content. Questa opzione di menu è disponibile se una versione precedente del contenuto AMCore esiste sul sistema e se una delle seguenti affermazioni è vera: • La modalità interfaccia client è impostata su Accesso completo. • L'utente ha effettuato l'accesso come amministratore. Guida in linea Visualizza la Guida in linea. Link assistenza Consente di visualizzare una pagina con collegamenti a pagine utili, come McAfee ServicePortal e il Centro informazioni. Accesso amministratore Consente di accedere come amministratore del sito. (Richiede le credenziali di amministratore.) Questa opzione di menu è disponibile se la Modalità interfaccia client non è impostata su Accesso completo. Se è stato effettuato l'accesso come amministratore, questa opzione è Disconnetti amministratore. • Informazioni su Visualizza informazioni su Endpoint Security. Esci Esce dal client Client Endpoint Security. I pulsanti nella parte superiore destra della pagina forniscono un accesso rapido alle attività frequenti. Verifica la presenza di malware con una scansione completa o una scansione rapida del sistema. Questo pulsante è disponibile solo se il modulo Prevenzione delle minacce è installato. Aggiorna i file di contenuto e i componenti software sul computer. Questo pulsante potrebbe non essere visualizzato, in base alla modalità di configurazione delle impostazioni. • I pulsanti sul lato sinistro della pagina forniscono informazioni sulla protezione. Stato L'utente viene riportato alla pagina Stato principale. Registro eventi Mostra il registro di tutti gli eventi di protezione e minaccia sul computer. Quarantena Apre il Gestore quarantena. Questo pulsante è disponibile solo se il modulo Prevenzione delle minacce è installato. • Il Riepilogo minacce fornisce informazioni sulle minacce rilevate nel sistema da Endpoint Security negli ultimi 30 giorni. Vedere anche Caricamento di un file Extra.DAT a pagina 30 Accedere come amministratore a pagina 27 Scansione del computer per individuare malware a pagina 57 Aggiornamento manuale di protezione e software a pagina 23 Visualizzazione del Registro eventi a pagina 24 Gestione degli elementi in quarantena a pagina 62 Gestione di Endpoint Security a pagina 27 Informazioni su Riepilogo minacce a pagina 16 McAfee Endpoint Security 10.2 Guida del prodotto 15 1 Introduzione Interazione con Endpoint Security Informazioni su Riepilogo minacce La pagina Stato di Client Endpoint Security fornisce un riepilogo in tempo reale delle minacce rilevate sul sistema negli ultimi 30 giorni. Quando vengono rilevate nuove minacce, la pagina Stato aggiorna in modo dinamico i dati nell'area Riepilogo minacce, nel riquadro inferiore. Il Riepilogo minacce include: • Data dell'ultima minaccia eliminata • I due vettori principali di minaccia, per categoria: • Web Minacce da pagine Web o download. Dispositivi o supporti esterni Minacce da dispositivi esterni, come USB, firewire 1394, eSATA, unità nastro, CD, DVD o dischi. Rete Minacce dalla rete (condivisione di file non in rete). Sistema locale Minacce dall'unità di sistema file di boot locale (solitamente C:) o da unità diverse da quelle classificate come Dispositivi o supporti esterni. Condivisione file Minacce da una condivisione di file in rete. Email Minacce dai messaggi email. Messaggio immediato Minacce da messaggistica immediata. Sconosciuto Minacce per le quale il vettore di attacco non è stabilito (a causa di una condizione di errore o di altri errori). Numero di minacce per vettore di minaccia Se Client Endpoint Security non riesce a stabilire una connessione con Event ManagerClient Endpoint Security, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il proprio sistema per visualizzare il Riepilogo minacce. Influenza delle impostazioni sull'accesso al client Le impostazioni Modalità interfaccia client assegnate al computer determinano a quali moduli e funzioni è possibile accedere. Modificare la Modalità interfaccia client nelle impostazioni In comune. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. Le opzioni Modalità interfaccia client per il client sono: 16 McAfee Endpoint Security 10.2 Guida del prodotto Introduzione Interazione con Endpoint Security 1 Consente di accedere a tutte le funzionalità, tra cui: Accesso completo • Attivazione e disattivazione di singoli moduli e funzioni. • Accesso alla pagina Impostazioni per visualizzare o modificare tutte le impostazioni di Client Endpoint Security. (Opzione predefinita) Visualizza lo stato di protezione e consente di accedere alla maggior parte delle funzionalità: Accesso standard • Aggiorna i file di contenuto e i componenti software sul computer (se attivato dall'amministratore). • Esecuzione di un controllo approfondito di tutte le zone del sistema (consigliato se si sospetta che il computer sia infetto). • Esecuzione di un controllo rapido (2 minuti) delle zone del sistema più soggette alle infezioni. • Accesso al registro eventi. • Gestione di elementi in quarantena. Dalla modalità interfaccia Accesso standard, è possibile eseguire l'accesso come amministratore e accedere a tutte le funzioni, comprese tutte le impostazioni. Richiede una password per accedere al client. Blocca interfaccia client Una volta sbloccata l'interfaccia client, è possibile accedere a tutte le funzioni. Se non è possibile accedere a Client Endpoint Security o ad attività e funzioni specifiche necessarie per il proprio lavoro, contattare l'amministratore. Vedere anche Controllo dell'accesso all'interfaccia client a pagina 33 Come influiscono i moduli installati sul client Alcuni aspetti del client potrebbero non essere disponibili, a seconda dei moduli installati sul computer. Le seguenti funzionalità sono disponibili solo se Prevenzione delle minacce è installato: • Pulsante • Pulsante Quarantena McAfee Endpoint Security 10.2 Guida del prodotto 17 1 Introduzione Interazione con Endpoint Security Le funzioni installate sul sistema determinano le funzionalità visualizzate: • Nell'elenco a discesa Filtra per modulo del Registro eventi. • Nella pagina Impostazioni. In comune Viene visualizzato se è installato un modulo. Prevenzione delle minacce Viene visualizzato solo se Prevenzione delle minacce è installato. Firewall Viene visualizzato solo se Firewall è installato. Controllo Web Viene visualizzato solo se Controllo Web è installato. Intelligence sulle minacce Viene visualizzato solo se Intelligence sulle minacce e Prevenzione delle minacce sono installati. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. In base alla Modalità interfaccia client e al tipo di configurazione dell'accesso da parte dell'amministratore, alcune o tutte queste funzioni potrebbero non essere disponibili. Vedere anche Influenza delle impostazioni sull'accesso al client a pagina 16 18 McAfee Endpoint Security 10.2 Guida del prodotto 2 Uso di Client Endpoint Security Utilizzare il client in modalità di accesso Standard per eseguire la maggior parte delle funzioni, incluse le scansioni di sistema e la gestione degli elementi in quarantena. Sommario Apertura di Client Endpoint Security Richiesta di assistenza Risposta a richieste Informazioni sulla protezione Aggiornamento manuale di protezione e software Visualizzazione del Registro eventi Gestione di Endpoint Security Riferimento interfaccia client — In comune Apertura di Client Endpoint Security Aprire Client Endpoint Security per visualizzare lo stato delle funzioni di protezione installate sul computer. Se la modalità interfaccia è impostata su Blocca interfaccia client, inserire la password amministratore per aprire Client Endpoint Security. Attività 1 2 Utilizzare uno di questi metodi per visualizzare Client Endpoint Security: • Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni, quindi selezionare McAfee Endpoint Security. • Selezionare Start | Tutti i programmi | McAfee | McAfee Endpoint Security. • In Windows 8 e 10, avviare l'app McAfee Endpoint Security. 1 Premere il tasto Windows. 2 Inserire McAfee Endpoint Security nell'area di ricerca, quindi fare doppio clic o toccare l'app McAfee Endpoint Security. Se richiesto, immettere la password amministratore nella pagina Accesso amministratore, quindi fare clic su Accedi. Client Endpoint Security si apre nella modalità interfaccia configurata dall'amministratore. Vedere anche Sbloccare l'interfaccia client a pagina 28 McAfee Endpoint Security 10.2 Guida del prodotto 19 2 Uso di Client Endpoint Security Richiesta di assistenza Richiesta di assistenza I due metodi di richiesta di assistenza durante l'uso del client sono l'opzione di menu Guida e l'icona ?. Per consultare la guida di Endpoint Security con Internet Explorer, è necessario attivare gli script attivi nel browser. Attività 1 Aprire Client Endpoint Security. 2 A seconda della pagina in cui ci si trova: • Pagine Stato, Registro eventi e Quarantena: dal menu Azione • Pagine Impostazioni, Aggiorna, Esegui scansione del sistema, Ripristina contenuto di AMCore e Carica Extra.DAT: fare clic su ? nell'interfaccia. , selezionare Guida. Risposta a richieste A seconda della configurazione delle impostazioni, Endpoint Security può richiedere all'utente un input quando sta per iniziare una scansione su richiesta pianificata. Attività • Risposta a un messaggio di rilevamento minaccia a pagina 20 Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. • Risposta a richiesta di scansione a pagina 21 Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione. • Risposta a una richiesta di reputazione del file a pagina 21 Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint Security potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta solo se Intelligence sulle minacce è configurato per eseguirla. Risposta a un messaggio di rilevamento minaccia Quando il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. Windows 8 e 10 utilizzano notifiche popup: messaggi visualizzati per comunicare all'utente avvisi e richieste. Fare clic sulla notifica popup per visualizzare la notifica in modalità Desktop. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. • Dalla pagina Scansione all'accesso, selezionare le opzioni per gestire i rilevamenti di minacce. È possibile aprire nuovamente e in qualsiasi momento la pagina di scansione per gestire i rilevamenti. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. 20 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Risposta a richieste 2 Vedere anche Gestione dei rilevamenti di minacce a pagina 61 Risposta a richiesta di scansione Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security potrebbe richiedere all'utente un input per procedere. La richiesta viene visualizzata solo se la scansione è configurata per consentire all'utente di rinviare, sospendere, riprendere o annullare la scansione. Se non si seleziona un'opzione, la scansione viene avviata automaticamente. Esclusivamente per i sistemi gestiti, se la scansione è configurata per essere eseguita solo quando il computer è inattivo, Endpoint Security mostra una finestra di dialogo quando la scansione viene sospesa. Se configurato, è inoltre possibile riprendere le scansioni sospese o reimpostarle per l'esecuzione solo quando il sistema è inattivo. Windows 8 e 10 utilizzano notifiche popup: messaggi visualizzati per comunicare all'utente avvisi e richieste. Fare clic sulla notifica popup per visualizzare la notifica in modalità Desktop. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. • Quando viene visualizzata la richiesta, selezionare una delle seguenti opzioni. Le opzioni visualizzate dipendono dal tipo di configurazione della scansione. Avvia scansione Avvia immediatamente la scansione. Visualizza scansione Visualizza i rilevamenti per una scansione in corso. Sospendi scansione Sospende la scansione. A seconda della configurazione, se si fa clic su Sospendi scansione la scansione potrebbe essere reimpostata per l'esecuzione solamente quando il sistema è inattivo. Fare clic su Riprendi scansione per riprendere la scansione da dove è stata sospesa. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla la scansione. Rinvia scansione Ritarda la scansione per il numero di ore specificato. Le opzioni della scansione pianificata determinano quante volte è possibile rinviare la scansione per un'ora. Potrebbe essere possibile rinviare la scansione più di una volta. Chiude la pagina di scansione. Chiudi Se il programma di scansione rileva una minaccia, Endpoint Security potrebbe richiedere all'utente un input per procedere, in base alla modalità di configurazione delle impostazioni. Risposta a una richiesta di reputazione del file Quando si tenta di eseguire un file con un determinato livello di reputazione, Endpoint Security potrebbe inviare una richiesta di conferma per continuare. La richiesta si presenta solo se Intelligence sulle minacce è configurato per eseguirla. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. L'amministratore configura una soglia di reputazione, che, nel momento in cui viene superata, determina l'invio della richiesta di conferma. Ad esempio, se la soglia di reputazione è Sconosciuti, Endpoint Security invia una richiesta di conferma per tutti i file con reputazione sconosciuta e inferiore. McAfee Endpoint Security 10.2 Guida del prodotto 21 2 Uso di Client Endpoint Security Informazioni sulla protezione Se non viene selezionata alcuna opzione, Intelligence sulle minacce esegue l'azione predefinita configurata dall'amministratore. Le azioni di richiesta, timeout e opzione predefinita dipendono dalla configurazione di Intelligence sulle minacce. Windows 8 e 10 utilizzano notifiche popup: messaggi visualizzati per comunicare all'utente avvisi e richieste. Fare clic sulla notifica popup per visualizzare la notifica in modalità Desktop. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 (Opzionale) Insieme alla richiesta, è possibile inserire un messaggio da inviare all'amministratore. Ad esempio, il messaggio potrebbe descrivere il file o spiegare il motivo per cui l'accesso al file è stato bloccato o consentito nel sistema. 2 Cliccare su Consenti o Blocca. Consenti Consente l'accesso al file. Blocca Blocca l'accesso al file nel sistema. Per impostare Intelligence sulle minacce e non far inviare nuovamente una richiesta di conferma per lo stesso file, selezionare Memorizza questa decisione. Intelligence sulle minacce, basandosi sulla scelta dell'utente o l'azione predefinita, interviene e chiude la finestra di richiesta. Informazioni sulla protezione È possibile ottenere informazioni sulla protezione Endpoint Security, inclusi tipo di gestione, moduli, funzioni, stato, numeri di versione e licenze della protezione. Attività 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic sul nome di un modulo o di una funzione a sinistra per passare alle informazioni su quell'elemento. 4 Fare clic sul pulsante Chiudi del browser per chiudere la pagina Informazioni. , selezionare Informazioni. Vedere anche Tipi di gestione a pagina 22 Apertura di Client Endpoint Security a pagina 19 Tipi di gestione Il tipo di gestione indica la modalità di gestione di Endpoint Security. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. 22 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Aggiornamento manuale di protezione e software Tipo gestione Descrizione McAfee ePolicy Orchestrator Un amministratore gestisce Endpoint Security utilizzando McAfee ePO (in sede). McAfee ePolicy Orchestrator Cloud Un amministratore gestisce Endpoint Security utilizzando McAfee ePO Cloud. 2 Le informazioni più recenti sulla licenza di gestione e sull'autorizzazione per Endpoint Security, consultare l'articolo KB87057. Autogestito Endpoint Security è gestito localmente utilizzando Client Endpoint Security. Questa modalità è anche definita non gestito o autonomo. Aggiornamento manuale di protezione e software In base al tipo di configurazione delle impostazioni, è possibile eseguire la ricerca e scaricare gli aggiornamenti manualmente per i file di contenuto e i componenti software dal Client Endpoint Security. Gli aggiornamenti manuali sono denominati aggiornamenti su richiesta. È inoltre possibile eseguire aggiornamenti manuali dall'icona della barra delle applicazioni di McAfee. Endpoint Security non supporta recupero e copia manuale dei file di contenuto aggiornati nel sistema client. Per assistenza durante l'aggiornamento di una specifica versione di contenuto, mettersi in contatto con l' Assistenza McAfee . Attività 1 Aprire Client Endpoint Security. 2 Fare clic su . Se il pulsante non viene visualizzato nel client, è possibile attivarlo nelle impostazioni. Client Endpoint Security verifica la disponibilità di aggiornamenti. • Per annullare l'aggiornamento, fare clic su Annulla. • Se il sistema è aggiornato, la pagina mostra l'opzione Nessun aggiornamento disponibile e la data e l'ora dell'ultimo aggiornamento. • Se l'aggiornamento viene completato, la pagina visualizza la data e l'ora correnti dell'ultimo aggiornamento. Tutti i messaggi o errori vengono visualizzati nell'area Messaggi. Per maggiori informazioni consultare il file PackageManager_Activity.log o PackageManager_Debug.log. 3 Fare clic su Chiudi per chiudere la pagina di aggiornamento. Vedere anche Accesso alle attività di Endpoint Security dall'icona della barra delle applicazioni McAfee a pagina 12 Mantenimento dell'aggiornamento della protezione a pagina 10 Nomi e posizioni dei file di registro di Endpoint Security a pagina 25 Elementi aggiornati a pagina 24 Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37 Apertura di Client Endpoint Security a pagina 19 McAfee Endpoint Security 10.2 Guida del prodotto 23 2 Uso di Client Endpoint Security Visualizzazione del Registro eventi Elementi aggiornati Endpoint Security aggiorna contenuto di sicurezza, software (hotfix e patch) e impostazioni della policy in modo diverso, a seconda del tipo di gestione. La visibilità e il comportamento del pulsante possono essere configurati. Tipo gestione Metodo di aggiornamento Aggiornamenti McAfee ePO Opzione Aggiorna sicurezza nel menu dell'icona della barra delle applicazioni di sistema McAfee Solo contenuto e software, non le impostazioni della policy. Pulsante Endpoint Security McAfee ePO Cloud Opzione Aggiorna sicurezza nel menu dell'icona della barra delle applicazioni McAfee Pulsante Security Autogestito nel client Client in Client Endpoint Opzione Aggiorna sicurezza nel menu dell'icona della barra delle applicazioni McAfee Pulsante Endpoint Security nel client Client Contenuto, software e impostazioni della policy, se configurate. Contenuto, software e impostazioni della policy. Contenuto, software e impostazioni della policy, se configurate. Solo contenuto e software. Contenuto, software e impostazioni della policy, se configurate. Vedere anche Aggiornamento manuale di protezione e software a pagina 23 Visualizzazione del Registro eventi Nei registri attività e debug è memorizzato un record degli eventi che si verificano nel sistema protetto da McAfee. È possibile visualizzare il registro eventi da Client Endpoint Security. Attività Per assistenza, nel menu Azione , selezionare Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Registro eventi nella parte sinistra della pagina. Nella pagina sono visualizzati gli eventi registrati da Endpoint Security nel sistema negli ultimi 30 giorni. Se Client Endpoint Security non riesce a raggiungere Gestore eventi, visualizza un messaggio di errore di comunicazione. In questo caso, riavviare il sistema per visualizzare il registro eventi. 3 Selezionare un evento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore. Per modificare le dimensioni relative dei riquadri, fare clic e trascinare il widget sash tra i riquadri. 24 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Visualizzazione del Registro eventi 4 2 Nella pagina Registro eventi, ordinare, cercare, filtrare o ricaricare eventi. Le opzioni visualizzate dipendono dal tipo di configurazione della scansione. Per... Passaggi Ordinare gli eventi per data, funzioni, azione intrapresa e gravità. Fare clic sull'intestazione colonna della tabella. Eseguire ricerche nel registro eventi. Inserire il testo da cercare nel campo Cerca e premere Invio o fare clic su Cerca. La ricerca distingue fra maiuscole e minuscole e viene eseguita in tutti i campi del registro eventi. Nell'elenco eventi sono mostrati tutti gli elementi che contengono il testo corrispondente. Per annullare la ricerca e visualizzare tutti gli eventi, fare clic su x nel campo Cerca. 5 Filtrare gli eventi per gravità o modulo. Selezionare un'opzione dall'elenco a discesa del filtro. Aggiornare la visualizzazione del Registro eventi con eventuali eventi. Fare clic su Aprire la cartella che contiene i file di registro. Fare clic su Visualizza cartella registri. Per rimuovere il filtro e visualizzare tutti gli eventi, selezionare Mostra tutti gli eventi dall'elenco a discesa. . Sfogliare il registro eventi. Per... Passaggi Visualizzare la pagina di eventi precedente. Fare clic su Pagina precedente. Visualizzare la pagina di eventi successiva. Fare clic su Pagina successiva. Visualizzare una pagina specifica nel registro. Immettere un numero di pagina e premere Invio o fare clic su Vai. Per impostazione predefinita, il registro eventi mostra 20 eventi per pagina. Per visualizzare più eventi per pagina, selezionare un'opzione dall'elenco a discesa Eventi per pagina. Vedere anche Nomi e posizioni dei file di registro di Endpoint Security a pagina 25 Apertura di Client Endpoint Security a pagina 19 Nomi e posizioni dei file di registro di Endpoint Security I file di registro di attività, errori e debug registrano gli eventi che si verificano nei sistemi in cui è attivo Endpoint Security. Configurare la registrazione nelle impostazioni In comune. I file di registro attività vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite del sistema. Per impostazione predefinita, tutti i file di registro attività e di debug vengono memorizzati in uno dei seguenti percorsi, a seconda del sistema operativo. Sistema operativo Percorso predefinito Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8 e 8.1 McAfee Endpoint Security 10.2 Guida del prodotto 25 2 Uso di Client Endpoint Security Visualizzazione del Registro eventi Sistema operativo Percorso predefinito Microsoft Windows 7 Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs Ogni modulo, funzione o tecnologia posiziona registrazioni di attività o debug in un file separato. Tutti i moduli posizionano registrazioni di errore in un singolo file denominato EndpointSecurityPlatform_Errors.log. L'attivazione della registrazione debug per qualsiasi modulo attiva anche la registrazione di debug per le funzioni del modulo In comune, come l'autoprotezione. Tabella 2-1 File di registro Modulo Funzionalità o tecnologia In comune Nome file EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log Autoprotezione SelfProtection_Activity.log SelfProtection_Debug.log Aggiornamenti PackageManager_Activity.log PackageManager_Debug.log Prevenzione delle minacce Errori EndpointSecurityPlatform_Errors.log L'attivazione della registrazione debug per qualsiasi tecnologia Prevenzione delle minacce attiva anche la registrazione debug per Client Endpoint Security. ThreatPrevention_Activity.log Protezione dell'accesso AccessProtection_Activity.log ThreatPrevention_Debug.log AccessProtection_Debug.log Prevenzione exploit ExploitPrevention_Activity.log ExploitPrevention_Debug.log Scansione all'accesso OnAccessScan_Activity.log OnAccessScan_Debug.log Scansione su richiesta OnDemandScan_Activity.log • Scansione rapida OnDemandScan_Debug.log • Scansione completa • Scansione di scelta rapida Client Endpoint Security Firewall MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Registra gli eventi di traffico bloccati e consentiti, se configurato. Controllo Web 26 McAfee Endpoint Security 10.2 WebControl_Activity.log Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 Tabella 2-1 File di registro (segue) Modulo Funzionalità o tecnologia Nome file WebControl_Debug.log Intelligence sulle minacce ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log Isolamento dinamico dell'applicazione DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Per impostazione predefinita, i file di registro di installazione vengono memorizzati nelle seguenti posizioni: Autogestito %TEMP%\McAfeeLogs (cartella TEMP dell'utente Windows) Gestito TEMP\McAfeeLogs (cartella TEMP del sistema Windows) Gestione di Endpoint Security In qualità di amministratore, è possibile gestire Endpoint Security da Client Endpoint Security e ciò include la disattivazione e l'attivazione di funzioni, la gestione di file di contenuto, la specifica della modalità di comportamento dell'interfaccia client, la pianificazione delle attività e la configurazione delle impostazioni in comune. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. Vedere anche Accedere come amministratore a pagina 27 Sbloccare l'interfaccia client a pagina 28 Attivare e disattivare funzionalità a pagina 28 Modifica della versione AMCore content a pagina 29 Uso dei file Extra.DAT a pagina 29 Configurazione delle impostazioni comuni a pagina 30 Accedere come amministratore Per attivare e disattivare le funzionalità e configurare le impostazioni, accedere al client Client Endpoint Security come amministratore. Prima di iniziare La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Accesso standard. Attività Per assistenza, nel menu Azione , selezionare Guida. 1 Aprire il client Client Endpoint Security. 2 Dal menu Azione 3 Nel campo Password immettere la password dell'amministratore, quindi fare clic su Accesso. McAfee Endpoint Security 10.2 selezionare Accesso amministratore. Guida del prodotto 27 2 Uso di Client Endpoint Security Gestione di Endpoint Security È ora possibile accedere a tutte le funzionalità di Client Endpoint Security. Per disconnettersi, selezionare Azione | Disconnetti amministratore. Il client ritorna alla modalità interfaccia Accesso standard. Sbloccare l'interfaccia client Se l'interfaccia del client Client Endpoint Security è bloccata, sbloccarla con la password dell'amministratore per accedere a tutte le impostazioni. Prima di iniziare La modalità dell'interfaccia per Client Endpoint Security deve essere impostata su Blocca interfaccia client. Attività 1 Aprire Client Endpoint Security. 2 Nella pagina Accesso amministratore, immettere la password dell'amministratore nel campo Password, quindi fare clic su Accedi. Viene aperto il client Client Endpoint Security ed è quindi possibile accedere a tutte le funzionalità del client. 3 Per uscire e chiudere il client, dal menu Azione , selezionare Disconnetti amministratore. Attivare e disattivare funzionalità L'amministratore può disattivare e attivare le funzionalità di Endpoint Security dal client Client Endpoint Security. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. La pagina Stato mostra lo stato attivato del modulo, che potrebbe non riflettere lo stato reale delle funzioni. È possibile visualizzare lo stato di ciascuna funzione nella pagina Impostazioni. Ad esempio, se l'impostazione Attiva ScriptScan non è applicata correttamente, lo stato potrebbe essere (Stato: disattivato). Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic sul nome del modulo (ad esempio Prevenzione delle minacce o Firewall) nella pagina Stato principale. In alternativa, dal menu Azione pagina Impostazioni. 3 , selezionare Impostazioni, quindi fare clic sul nome del modulo nella Selezionare o deselezionare l'opzione Attiva modulo o funzione. Attivando una delle funzioni di Prevenzione delle minacce verrà attivato il modulo Prevenzione delle minacce. Vedere anche Accedere come amministratore a pagina 27 28 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 Modifica della versione AMCore content Utilizzare Client Endpoint Security per modificare la versione di AMCore content sul sistema. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Endpoint Security archivia il file di contenuto attualmente caricato e le due versioni precedenti nella cartella Program Files\Common Files\McAfee\Engine\content. Se necessario, è possibile tornare a una versione precedente. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Dall'elenco a discesa, selezionare la versione da caricare. 4 Fare clic su Applica. , selezionare Ripristina AMCore content. I rilevamenti nel file AMCore content caricato vengono applicati immediatamente. Vedere anche Funzionamento dei file di contenuto a pagina 11 Accedere come amministratore a pagina 27 Uso dei file Extra.DAT È possibile installare un file Extra.DAT per proteggere il sistema da infezioni malware significative fino al rilascio dell'aggiornamento AMCore content successivo. Attività • Download di file Extra.DAT a pagina 30 Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs. • Caricamento di un file Extra.DAT a pagina 30 Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security. Vedere anche Informazioni sui file Extra.DAT a pagina 29 Informazioni sui file Extra.DAT Quando viene scoperto un nuovo malware ed è necessario effettuare ulteriori rilevamenti, McAfee Labs rende disponibile un file Extra.DAT. I file Extra.DAT contengono informazioni utilizzate da Prevenzione delle minacce per gestire i nuovi malware. È possibile scaricare file Extra.DAT per minacce specifiche dalla pagina di richiesta file Extra.DAT McAfee Labs. Prevenzione delle minacce supporta l'utilizzo di un solo file Extra.DAT. McAfee Endpoint Security 10.2 Guida del prodotto 29 2 Uso di Client Endpoint Security Gestione di Endpoint Security Ogni file Extra.DAT include una data di scadenza. Quando il file Extra.DAT viene caricato, questa data di scadenza viene confrontata con la data di creazione di AMCore content installato sul sistema. Se la data di creazione del contenuto AMCore è più recente rispetto alla data di scadenza del file Extra.DAT, quest'ultimo viene considerato scaduto e non viene più caricato e utilizzato dal motore. Durante l'aggiornamento successivo, il file Extra.DAT viene rimosso dal sistema. Se il successivo aggiornamento di AMCore content include la firma Extra.DAT, il file Extra.DAT viene rimosso. Endpoint Security archivia i file Extra.DAT nella cartella al seguente percorso: c:\Program Files \Common Files\McAfee\Engine\content\avengine\extradat. Download di file Extra.DAT Per scaricare un file Extra.DAT fare clic sul link di download fornito da McAfee Labs. Attività 1 Fare clic sul link di download, specificare un percorso in cui salvare il file Extra.DAT, quindi fare clic su Salva. 2 Se necessario, estrarre il file EXTRA.ZIP. 3 Caricare il file Extra.DAT con Client Endpoint Security. Caricamento di un file Extra.DAT Per installare il file Extra.DAT scaricato, utilizzare Client Endpoint Security. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Nel menu Azione 3 Fare clic su Sfoglia, individuare il percorso in cui è stato scaricato il file Extra.DAT, quindi fare clic su Apri. 4 Fare clic su Applica. , selezionare Carica Extra.DAT. I nuovi rilevamenti nel file Extra.DAT hanno effetto immediato. Vedere anche Accedere come amministratore a pagina 27 Configurazione delle impostazioni comuni Configurare le impostazioni applicabili a tutti i moduli e le funzionalità di Endpoint Security nel modulo In comune. Queste impostazioni includono le impostazioni della lingua e della sicurezza 30 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 dell'interfacciaClient Endpoint Security, la registrazione, le impostazioni del server proxy per McAfee GTI e la configurazione degli aggiornamenti. Attività • Protezione di risorse Endpoint Security a pagina 31 Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint Security nelle impostazioni del modulo In comune per impedire l'arresto o la modifica dei servizi e dei file di Endpoint Security. • Configurazione delle impostazioni di registrazione a pagina 32 Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune. • Consentire autenticazione mediante certificato a pagina 32 I certificati consentono a un fornitore di eseguire codice nei processi McAfee. • Controllo dell'accesso all'interfaccia client a pagina 33 Per controllare l'accesso al client Client Endpoint Security, impostare una password nelle impostazioni del modulo In comune. • Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 34 Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del modulo In comune. Protezione di risorse Endpoint Security Una delle prime operazioni che i malware cercano di eseguire durante un attacco è la disattivazione del software di sicurezza del sistema. Configurare le impostazioni di autoprotezione di Endpoint Security nelle impostazioni del modulo In comune per impedire l'arresto o la modifica dei servizi e dei file di Endpoint Security. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Se si disattiva l'autoprotezione Endpoint Security, il sistema è vulnerabile agli attacchi. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da Autoprotezione, verificare che Autoprotezione sia attivata. 5 Specificare l'azione per ciascuna delle seguenti risorse Endpoint Security: 6 , selezionare Impostazioni. • File e cartelle: impedisce agli utenti di modificare il database McAfee, i file binari, i file di ricerche sicure e i file di configurazione. • Registro: impedisce agli utenti di modificare l'hive del registro McAfee, i componenti COM e di eseguire disinstallazioni utilizzando il valore di registro. • Processi: impedisce l'arresto dei processi McAfee. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Accedere come amministratore a pagina 27 McAfee Endpoint Security 10.2 Guida del prodotto 31 2 Uso di Client Endpoint Security Gestione di Endpoint Security Configurazione delle impostazioni di registrazione Configurare la registrazione Endpoint Security nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Configurare le impostazioni Registrazione client nella pagina. 5 Fare clic su Applica per salvare le modifiche, oppure su Annulla. , selezionare Impostazioni. Vedere anche Nomi e posizioni dei file di registro di Endpoint Security a pagina 25 Accedere come amministratore a pagina 27 Consentire autenticazione mediante certificato I certificati consentono a un fornitore di eseguire codice nei processi McAfee. Quando viene rilevato un processo, la tabella dei certificati viene compilata con Fornitore, Soggetto e Hash della chiave pubblica associata. Questa impostazione potrebbe causare problemi di compatibilità e ridurre la sicurezza. Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. Attività 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Nella sezione Certificati, selezionare Consenti. 5 Fare clic su Applica per salvare le modifiche, oppure su Annulla. , selezionare Impostazioni. Visualizza i dettagli della certificazione nella tabella. 32 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 Controllo dell'accesso all'interfaccia client Per controllare l'accesso al client Client Endpoint Security, impostare una password nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Per impostazione predefinita, la modalità Interfaccia client è impostata su Accesso completo, in modo da consentire agli utenti di modificare la propria configurazione di sicurezza, operazione che può pregiudicare la protezione dei sistemi dagli attacchi malware. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Configurare le impostazioni della modalità Interfaccia client nella pagina. , selezionare Impostazioni. Procedura consigliata: per aumentare la sicurezza, impostare la modalità Interfaccia client su Standard o Blocca interfaccia client. Entrambe le opzioni richiedono una password per accedere alle impostazioni del client Client Endpoint Security. 4 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Effetti dell'impostazione di una password amministratore a pagina 33 Accedere come amministratore a pagina 27 Effetti dell'impostazione di una password amministratore Quando si imposta la modalità dell'interfaccia su Accesso standard, è inoltre necessario impostare una password amministratore. L'impostazione di una password amministratore in Client Endpoint Security ha effetto per i seguenti utenti: McAfee Endpoint Security 10.2 Guida del prodotto 33 2 Uso di Client Endpoint Security Gestione di Endpoint Security Non amministratori Gli utenti non amministratori possono: (utenti privi di diritti di amministratore) • Visualizzare alcuni parametri di configurazione. • Eseguire scansioni. • Verificare la disponibilità di aggiornamenti (se attivato). • Visualizzare la quarantena. • Visualizzare il registro eventi. • Accedere alla pagina Impostazioni per visualizzare o modificare le regole Firewall (se attivate). Gli utenti non amministratori non possono: • Modificare i parametri di configurazione. • Visualizzare, creare, eliminare o modificare le impostazioni delle . Un'eccezione è la possibilità di visualizzare o modificare le regole Firewall (se attivate). Amministratori Gli amministratori devono immettere la password per accedere alle aree (utenti che dispongono dei protette e modificare le impostazioni. privilegi amministrativi) Configurazione delle impostazioni del server proxy per McAfee GTI Specificare le opzioni server proxy per recuperare la reputazione McAfee GTI nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Configurare le impostazioni Server proxy per McAfee GTI nella pagina. 5 Fare clic su Applica per salvare le modifiche, oppure su Annulla. , selezionare Impostazioni. Vedere anche Funzionamento di McAfee GTI a pagina 34 Accedere come amministratore a pagina 27 Funzionamento di McAfee GTI Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni sito e i rapporti per Controllo Web. Se si configura Controllo Web per la scansione dei file scaricati, il 34 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 programma di scansione utilizza la reputazione dei file fornita da McAfee GTI per verificare la presenza di file sospetti. Il programma di scansione invia le impronte digitali degli elementi, o hash, a un server di database centrale ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs pubblica l'aggiornamento. È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un campione rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo un maggior numero di rilevamenti è possibile ottenere un maggior numero di falsi positivi. • Per Prevenzione delle minacce, il livello di sensibilità di McAfee GTI è impostato su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di scansione nelle impostazioni di Prevenzione delle minacce. • Per Controllo Web, il livello di sensibilità di McAfee GTI è impostato su Molto elevato per impostazione predefinita. Configurare il livello di sensibilità per la scansione dei download di file nelle impostazioni Opzioni di Controllo Web. È possibile configurare Endpoint Security per utilizzare un server proxy per il recupero delle informazioni di reputazione di McAfee GTI nelle impostazioni del modulo In comune. Configurazione del comportamento di aggiornamento Specificare il comportamento per gli aggiornamenti avviati da Client Endpoint Security nelle impostazioni In comune. Attività • Configurazione dei siti di origine per gli aggiornamenti a pagina 35 È possibile configurare i siti dai quali il client Client Endpoint Security ottiene file di sicurezza aggiornati nelle impostazioni del modulo In comune. • Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37 È possibile specificare il comportamento predefinito per gli aggiornamenti avviati dal client Client Endpoint Security nelle impostazioni del modulo In comune. • Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39 È possibile configurare le attività di aggiornamento personalizzato o modificare la pianificazione dell'attività Aggiornamento client predefinito dal client Client Endpoint Security nelle impostazioni del modulo In comune. • Configurazione, pianificazione e attivazione dei compiti di mirroring a pagina 40 È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle impostazioni del In comune . Configurazione dei siti di origine per gli aggiornamenti È possibile configurare i siti dai quali il client Client Endpoint Security ottiene file di sicurezza aggiornati nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. McAfee Endpoint Security 10.2 Guida del prodotto 35 2 Uso di Client Endpoint Security Gestione di Endpoint Security Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da In comune, fare clic su Opzioni. 5 Configurare le impostazioni Siti di origine per gli aggiornamenti nella pagina. , selezionare Impostazioni. È possibile attivare e disattivare il sito di origine backup predefinito, McAfeeHttp, e il server di gestione (per i sistemi gestiti), ma non è possibile modificarli o eliminarli. L'ordine dei siti determina l'ordine utilizzato da Endpoint Security per cercare il sito di aggiornamento. Per... Attenersi alla seguente procedura Aggiungere un sito all'elenco. 1 Fare clic su Aggiungi. 2 Specificare le impostazioni del sito, quindi fare clic su OK. Il sito viene visualizzato all'inizio dell'elenco. Modificare un sito esistente. 1 Fare doppio clic sul nome del sito. Eliminare un sito. Selezionare il sito, quindi fare clic su Elimina. Importare siti da un file contenente un elenco di siti di origine. 1 Fare clic su Importa. 2 Modificare le impostazioni, quindi fare clic su OK. 2 Selezionare il file da importare, quindi fare clic su OK. Il file con l'elenco di siti sostituisce l'elenco dei siti di origine esistente. Esportare l'elenco di siti di origine in un file SiteList.xml. 1 Fare clic su Esporta tutto. Riordinare i siti nell'elenco. Per spostare gli elementi: 2 Selezionare la posizione in cui salvare il file con l'elenco di siti di origine e fare clic su OK. 1 Selezionare gli elementi da spostare. Il simbolo di spostamento viene visualizzato a sinistra degli elementi che possono essere spostati. 2 Trascinare e rilasciare gli elementi nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. 6 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Contenuto dell'elenco degli archivi a pagina 37 Funzionamento dell'attività Aggiornamento client predefinito a pagina 38 Accedere come amministratore a pagina 27 Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39 36 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 Contenuto dell'elenco degli archivi L'elenco degli archivi specifica informazioni sugli archivi utilizzati da McAfee Agent per aggiornare i prodotti McAfee, compresi i file DAT e del motore. L'elenco degli archivi include: • Informazioni sugli archivi e relativi percorsi • Preferenza dell'ordine degli archivi • Impostazioni del server proxy, se necessario • Credenziali crittografate necessarie per accedere a ciascun archivio L'attività client di aggiornamento del prodotto McAfee Agent si connette al primo archivio attivato (sito di aggiornamento) nell'elenco degli archivi. Se questo archivio non è disponibile, l'attività contatta il sito successivo nell'elenco fino a stabilire correttamente la connessione o a raggiungere la fine dell'elenco. Se la rete utilizza un server proxy, è possibile specificare le impostazioni proxy da utilizzare, l'indirizzo del server proxy e determinare se utilizzare o meno l'autenticazione. Le informazioni relative al proxy vengono memorizzate nell'elenco degli archivi. Le impostazioni proxy configurate si applicano a tutti gli archivi presenti nell'elenco. La posizione dell'elenco degli archivi dipende dal sistema operativo: Sistema operativo Posizione elenco degli archivi Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Versioni precedenti C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Configurazione del comportamento predefinito per gli aggiornamenti È possibile specificare il comportamento predefinito per gli aggiornamenti avviati dal client Client Endpoint Security nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Utilizzare le impostazioni seguenti per: • Visualizzare o nascondere il pulsante • nel client. Specificare cosa aggiornare quando l'utente fa clic sul pulsante o esegue l'attività Aggiornamento client predefinito. Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno all'una di notte e ripetuta ogni quattro ore fino alle 23:59. Sui sistemi autogestiti, l'attività Aggiornamento client predefinito aggiorna tutti i contenuti e il software. Sui sistemi gestiti, questa attività aggiorna solo i contenuti. McAfee Endpoint Security 10.2 Guida del prodotto 37 2 Uso di Client Endpoint Security Gestione di Endpoint Security Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Configurare le impostazioni di Aggiornamento client predefinito nella pagina. 5 Fare clic su Applica per salvare le modifiche, oppure su Annulla. , selezionare Impostazioni. Vedere anche Accedere come amministratore a pagina 27 Configurazione dei siti di origine per gli aggiornamenti a pagina 35 Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39 Funzionamento dell'attività Aggiornamento client predefinito L'attività Aggiornamento client predefinito esegue il download della protezione più recente nel client Client Endpoint Security. Endpoint Security include l'attività Aggiornamento client predefinito che viene eseguita ogni giorno all'una di notte e ripetuta ogni quattro ore fino alle 23:59. L'attività Aggiornamento client predefinito: 1 Esegue la connessione al primo sito di origine attivato nell'elenco. Se questo sito non è disponibile, l'attività contatta il sito successivo fino a stabilire la connessione o a raggiungere la fine dell'elenco. 2 Scarica un file CATALOG.Z crittografato dal sito. Il file contiene le informazioni necessarie per eseguire l'aggiornamento, compresi i file e gli aggiornamenti disponibili. 3 Verifica le versioni del software contenute nel file confrontandole con quelle presenti nel computer e scarica eventuali nuovi aggiornamenti software disponibili. Se l'attività Aggiornamento client predefinito viene interrotta durante l'aggiornamento: Aggiornamenti da... Se interrotto... HTTP, UNC o un sito locale All'avvio successivo la scansione verrà ripresa dal punto in cui era stata sospesa. Sito FTP (download di un singolo file) Non riprende se viene interrotta. Sito FTP (download di più file) Riprende prima del file che si trovava in fase di download al momento dell'interruzione. Vedere anche Configurazione dei siti di origine per gli aggiornamenti a pagina 35 Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39 Contenuto dell'elenco degli archivi a pagina 37 38 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Gestione di Endpoint Security 2 Configurazione, pianificazione e attivazione delle attività di aggiornamento È possibile configurare le attività di aggiornamento personalizzato o modificare la pianificazione dell'attività Aggiornamento client predefinito dal client Client Endpoint Security nelle impostazioni del modulo In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Utilizzare queste impostazioni per configurare dal client l'esecuzione dell'attività Aggiornamento client predefinito. È anche possibile configurare il comportamento predefinito per gli aggiornamenti client avviati dal client Client Endpoint Security. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da In comune, fare clic su Attività. 5 Configurare le impostazioni dell'attività di aggiornamento nella pagina. , selezionare Impostazioni. Per... Attenersi alla seguente procedura Creare un'attività di aggiornamento personalizzata. 1 Fare clic su Aggiungi. 2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività selezionare Aggiorna. 3 Configurare le impostazioni, quindi fare clic su OK per salvare l'attività. Modificare un'attività di aggiornamento. • Fare doppio clic sull'attività, apportare le modifiche quindi fare clic su OK per salvare l'attività. Rimuovere un'attività di aggiornamento personalizzata. • Selezionare l'attività, quindi fare clic su Elimina. Creare una copia di un'attività di aggiornamento. 1 Selezionare l'attività, quindi fare clic su Duplica. McAfee Endpoint Security 10.2 2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK per salvare l'attività. Guida del prodotto 39 2 Uso di Client Endpoint Security Gestione di Endpoint Security Per... Attenersi alla seguente procedura Modificare la pianificazione 1 Fare doppio clic su Aggiornamento client predefinito. per un'attività Aggiornamento 2 Fare clic sulla scheda Pianificazione, modificare la pianificazione, quindi client predefinito. fare clic su OK per salvare l'attività. È anche possibile configurare il comportamento predefinito per gli aggiornamenti client avviati dal client Client Endpoint Security. Eseguire un'attività di aggiornamento. • Selezionare l'attività, quindi fare clic su Esegui adesso. Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia in Visualizza. Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint Security richiede di salvare le impostazioni. 6 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Funzionamento dell'attività Aggiornamento client predefinito a pagina 38 Configurazione dei siti di origine per gli aggiornamenti a pagina 35 Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37 Configurazione, pianificazione e attivazione dei compiti di mirroring È possibile modificare o pianificare le attività di mirroring da Client Endpoint Securitynelle impostazioni del In comune . Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da In comune, fare clic su Attività. 5 Configurare le impostazioni dell'attività di mirroring nella pagina. , selezionare Impostazioni. Per... Attenersi alla seguente procedura Creare un'attività di mirroring. 1 Fare clic su Aggiungi. 2 Immettere il nome, quindi dall'elenco a discesa Seleziona tipo di attività selezionare Esegui il mirroring. 3 Configurare le impostazioni, quindi fare clic su OK. 40 Modificare un'attività di mirroring. • Fare doppio clic sull'attività di mirroring, apportare le modifiche, quindi fare clic su OK. Rimuovere un'attività di mirroring. • Selezionare l'attività, quindi fare clic su Elimina. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Riferimento interfaccia client — In comune Per... Attenersi alla seguente procedura Creare una copia di un'attività di mirroring. 1 Selezionare l'attività, quindi fare clic su Duplica. Pianificare un'attività di mirroring. 1 Fare doppio clic sull'attività. 2 2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK. 2 Fare clic sulla scheda Pianificazione, modificare la pianificazione, quindi fare clic su OK per salvare l'attività. Eseguire un'attività di • Selezionare l'attività, quindi fare clic su Esegui adesso. mirroring. Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia in Visualizza. Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint Security richiede di salvare le impostazioni. 6 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Funzionamento delle attività di mirroring L'attività di mirroring consente di replicare su un sito di mirroring della rete i file di aggiornamento contenuti nel primo archivio accessibile definito nell'elenco degli archivi. L'utilizzo più comune di questa attività è il mirroring dei contenuti del sito di download di McAfee in un server locale. Dopo aver replicato il sito McAfee che contiene i file di aggiornamento, i computer della rete possono scaricare i file dal sito di mirroring. Questo approccio consente di aggiornare qualsiasi computer nella rete, a prescindere che abbia accesso a Internet. L'utilizzo di un sito replicato è più efficiente poiché i sistemi comunicano con un server più vicino rispetto a un sito Internet McAfee, con un risparmio in termini di tempo di accesso e download. Per gli aggiornamenti, Endpoint Security si basa su una directory. Di conseguenza, quando si esegue il mirroring di un sito, è necessario replicare l'intera struttura della directory. Riferimento interfaccia client — In comune Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Pagina Registro eventi In comune – Opzioni In comune: Attività Pagina Registro eventi Mostra le attività e gli eventi di debug nel Registro eventi. Tabella 2-2 Opzioni Opzione Definizione Numero di eventi Indica il numero di eventi registrati da Endpoint Security sul sistema negli ultimi 30 giorni. Aggiorna la visualizzazione del Registro eventi con eventuali nuovi dati di eventi. McAfee Endpoint Security 10.2 Guida del prodotto 41 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-2 Opzioni (segue) Opzione Definizione Visualizza cartella registri Apre la cartella contenente i file di registro in Windows Explorer. Mostra tutti gli eventi Rimuove tutti i filtri. Filtra per gravità Filtra gli eventi per livello di gravità: Filtra per modulo Avviso Mostra solo gli eventi con gravità 1. Critico e superiori Mostra solo gli eventi con gravità 1 e 2. Avviso e superiori Mostra solo gli eventi con gravità 1, 2 e 3. Notifica e superiori Mostra gli eventi con gravità 1, 2, 3 e 4. Filtra gli eventi per modulo: In comune Mostra solo gli eventi In comune. Prevenzione delle minacce Mostra solo gli eventi Prevenzione delle minacce. Firewall Mostra solo gli eventi Firewall. Controllo Web Mostra solo gli eventi Controllo Web. Intelligence sulle minacce Mostra solo gli eventi di Intelligence sulle minacce. Le funzioni visualizzate nell'elenco a discesa dipendono dalle funzionalità installate sul sistema nel momento in cui è stato aperto il Registro eventi. Cerca Esegue la ricerca di una stringa nel Registro eventi. Eventi per pagina Seleziona il numero di eventi da visualizzare in una pagina. (Per impostazione predefinita, 20 eventi per pagina) Pagina precedente Mostra la pagina precedente nel Registro eventi. Pagina successiva Mostra la pagina successiva nel Registro eventi. Pagina x di x Seleziona una pagina a cui accedere nel Registro eventi. Immettere un numero nel campo Pagina e premere Invio oppure fare clic su Vai per accedere alla pagina. 42 Intestazione colonna Ordina elenco degli eventi per... Data Data in cui si è verificato l'evento. Funzionalità Funzionalità che ha registrato l'evento. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Riferimento interfaccia client — In comune Intestazione colonna Ordina elenco degli eventi per... Azione intrapresa Azione eventualmente eseguita da Endpoint Security in risposta a un evento. 2 L'azione è configurata nelle impostazioni. Consentito L'accesso al file viene consentito. Accesso negato L'accesso al file viene impedito. Eliminato Il file viene eliminato automaticamente. Continua Ripulito La minaccia viene rimossa automaticamente dal file. Spostato Il file viene spostato in quarantena. Bloccato L'accesso al file è bloccato. Bloccherà Una regola di protezione dell'accesso, se imposta, bloccherà l'accesso al file. Livello di gravità dell'evento. Gravità Critico 1 Grave 2 Minore 3 Avviso 4 Informativo 5 Vedere anche Visualizzazione del Registro eventi a pagina 24 In comune – Opzioni Configura le impostazioni relative a: interfaccia Client Endpoint Security, autoprotezione, registrazione attività e debug, nonché server proxy. Tabella 2-3 Opzioni Sezione Opzione Definizione Modalità interfaccia client Accesso completo Consente di accedere a tutte le funzionalità. (Opzione predefinita) Accesso standard Visualizza lo stato di protezione e consente di accedere alla maggior parte delle funzionalità, come gli aggiornamenti e le scansioni. La modalità Accesso standard richiede una password per la visualizzazione e la modifica delle impostazioni nella pagina Impostazioni del client Client Endpoint Security. Blocca interfaccia client È necessaria una password per accedere alClient Endpoint Security. McAfee Endpoint Security 10.2 Guida del prodotto 43 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-3 Opzioni (segue) Sezione Opzione Definizione Imposta password amministratore Per Accesso standard e Blocca interfaccia client, specifica la password amministratore per accedere a tutte le funzionalità dell'interfaccia del client Client Endpoint Security. • Password: indica la password di Web Reporter. • Conferma password: conferma la password. Disinstallazione Richiedi password per disinstallare il client Richiede una password per disinstallare il client Client Endpoint Security e specifica la password. La password predefinita è mcafee. (Disattivato per impostazione predefinita) • Password: indica la password di Web Reporter. • Conferma password: conferma la password. Tabella 2-4 Opzioni avanzate Sezione Opzione Definizione Lingua interfaccia client Automatico Seleziona automaticamente la lingua da utilizzare per il testo dell'interfaccia Client Endpoint Security in base alla lingua del sistema client. Lingua Specifica la lingua da utilizzare per il testo dell'interfaccia del client Client Endpoint Security. Per i sistemi gestiti, la modifica della lingua apportata Client Endpoint Security ha priorità sulle modifiche della policy per il server di gestione. La modifica della lingua viene applicata in seguito al riavvio di Client Endpoint Security. La lingua del client non interessa i file di registro. I file di registro vengono visualizzati nella lingua specificata dalle impostazioni locali predefinite del sistema. Autoprotezione Attiva autoprotezione Protegge le risorse del sistema Endpoint Security da attività dannose. Azione Specifica l'azione da intraprendere quando si verificano attività dannose: • Blocca e segnala: blocca l'attività e invia una segnalazione a McAfee ePO. (Opzione predefinita) • Solo blocco: blocca l'attività, ma non invia una segnalazione a McAfee ePO. • Solo segnalazione: invia una segnalazione a McAfee ePO senza bloccare l'attività. 44 File e cartelle Impedisce la modifica o l'eliminazione di file e cartelle di sistema McAfee. Registro Impedisce la modifica o l'eliminazione di chiavi e valori di registro McAfee. Processi Impedisce l'arresto dei processi McAfee. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Riferimento interfaccia client — In comune 2 Tabella 2-4 Opzioni avanzate (segue) Sezione Opzione Definizione Escludi questi processi Consente l'accesso ai processi specificati. Sono supportati i caratteri jolly. Aggiungi: aggiunge un processo all'elenco di esclusioni. Fare clic su Aggiungi, quindi immettere il nome esatto della risorsa, ad esempio avtask.exe. Doppio clic su un elemento – Modifica l'elemento selezionato. Eliminazione: elimina l'elemento selezionato. selezionare la risorsa, quindi fare clic su Elimina. Certificati Specifica le opzioni per i certificati. Consenti Consente a un fornitore di eseguire codice nei processi McAfee. Questa impostazione potrebbe causare problemi di compatibilità e ridurre la sicurezza. Fornitore Specifica il nome comune (CN) dell'autorità che ha firmato ed emesso il certificato. Oggetto Specifica il nome distinto del firmatario (SDN) che definisce l'entità associata al certificato. Queste informazioni possono includere: • CN – Nome comune • OU – Unità organizzativa • O – Organizzazione • L – Località • ST – Stato o provincia • C – Codice paese Registrazione client Hash Specifica l'hash della chiave pubblica associata. Percorso file di registro Specifica il percorso del file di registro. Il percorso predefinito è: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs Per andare a una nuova posizione, immettere il percorso o fare clic su Sfoglia. Registrazione attività Attiva registrazione attività Attiva la registrazione di tutte le attività Endpoint Security. Limita le dimensioni Limita ciascun file del registro attività alla dimensione massima (MB) di ciascun file specificata (tra 1 MB e 999 MB). L'impostazione predefinita è 10 del registro attività MB. Se il file di registro supera le dimensioni impostate, il 25% delle voci meno recenti viene eliminato per consentire l'aggiunta di nuovi dati al file. Disattivare l'opzione per consentire ai file di registro di raggiungere qualsiasi dimensione. McAfee Endpoint Security 10.2 Guida del prodotto 45 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-4 Opzioni avanzate (segue) Sezione Opzione Registrazione debug Definizione L'attivazione della registrazione debug per qualsiasi modulo attiva anche la registrazione di debug per le funzioni del modulo In comune, come l'autoprotezione. Procedura consigliata: attivare la registrazione debug almeno per le prime 24 ore durante le fasi pilota e di testing. Se non vengono riscontrati problemi durante questa fase, disattivare la registrazione debug per evitare conseguenze per le prestazioni dei sistemi client. Attiva per Prevenzione delle minacce Attiva la registrazione dettagliata per Prevenzione delle minacce e le singole tecnologie: Attiva per protezione dell'accesso - Registra in AccessProtection_Debug.log. Attiva per la prevenzione exploit: registra in ExploitPrevention_Debug.log. Attiva per Scansione all'accesso: registra in OnAccessScan_Debug.log. Attiva per Scansione su richiesta: registra in OnDemandScan_Debug.log. L'attivazione della registrazione debug per qualsiasi tecnologia Prevenzione delle minacce attiva anche la registrazione debug per Client Endpoint Security. Attiva per Firewall Consente la registrazione dettagliata delle attività Firewall. Attiva per Controllo Web Consente la registrazione dettagliata delle attività Controllo Web. Attiva per Intelligence sulle minacce Attiva la registrazione dettagliata delle attività di Intelligence sulle minacce. Limita le dimensioni Limita ciascun file di registro di debug alla dimensione massima (MB) di ciascun file specificata (compresa tra 1 MB e 999 MB). L'impostazione del registro di debug predefinita è 50 MB. Se il file di registro supera le dimensioni impostate, il 25% delle voci meno recenti viene eliminato per consentire l'aggiunta di nuovi dati al file. Disattivare l'opzione per consentire ai file di registro di raggiungere qualsiasi dimensione. Registrazione eventi Invia eventi a McAfee ePO Invia tutti gli eventi registrati nel Registro eventi del client Client Endpoint Security a McAfee ePO. Questa opzione è disponibile solamente sui sistemi gestiti da McAfee ePO. Registra eventi nel registro di Applicazione Windows 46 McAfee Endpoint Security 10.2 Invia tutti gli eventi registrati nel Registro eventi del client Client Endpoint Security al registro di Applicazione Windows. Il registro di Applicazione Windows è accessibile da Visualizzatore eventi | Registri di Windows | Applicazione. Guida del prodotto 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-4 Opzioni avanzate (segue) Sezione Opzione Definizione Livelli di gravità Specifica il livello di gravità degli eventi da registrare nel Registro eventi del client Client Endpoint Security: • Nessuno: non invia alcun avviso • Solo Avviso: invia solo avvisi di livello 1. • Critico e Avviso: invia avvisi di livello 1 e 2. • Avvertenza, Critico e Avviso: invia avvisi di livello 1-3. • Tutti tranne Informativo: invia avvisi di livello 1–4. • Tutti: invia avvisi di livello 1–5. • 1 - Avviso • 2 - Critico • 3 - Avvertenza • 4 - Notifica • 5 - Informativo Eventi Prevenzione delle minacce da registrare Specifica i livelli di gravità degli eventi per ciascuna funzionalità di Prevenzione delle minacce da registrare: Protezione dell'accesso: registra in AccessProtection_Activity.log. L'attivazione della registrazione degli eventi per la protezione dell'accesso attiva anche la registrazione degli eventi per l'autoprotezione. Prevenzione exploit: registra in ExploitPrevention_Activity.log. Scansione all'accesso: registra in OnAccessScan_Activity.log. Scansione su richiesta: registra in OnDemandScan_Activity.log. Server proxy per McAfee GTI Eventi Firewall da registrare Specifica i livelli di gravità degli eventi Firewall da registrare. Eventi Controllo Web da registrare Specifica i livelli di gravità degli eventi Controllo Web da registrare. Eventi Intelligence sulle minacce da registrare Specifica il livello di gravità degli eventi di Intelligence sulle minacce da registrare. Nessun server proxy Specifica che i sistemi gestiti recuperano le informazioni relative alla reputazione McAfee GTI direttamente da Internet e non tramite un server proxy. (Opzione predefinita) Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva proxy di sistema facoltativamente l'autenticazione proxy HTTP. Configura server proxy Personalizza le impostazioni proxy. • Indirizzo – Specifica l'indirizzo IP o il nome di dominio completo del server proxy HTTP. • Porta – Limita l'accesso dalla porta specificata. • Escludi questi indirizzi: il server proxy HTTP non deve essere utilizzato per i siti Web o gli indirizzi IP che iniziano con le voci specificate. Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da escludere. McAfee Endpoint Security 10.2 Guida del prodotto 47 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-4 Opzioni avanzate (segue) Sezione Opzione Definizione Attiva autenticazione proxy HTTP Il server proxy HTTP necessita di autenticazione. (L'opzione è disponibile solo se si seleziona un server proxy HTTP.) Immettere le credenziali proxy HTTP: • Nome utente – Specifica l'account utente con autorizzazioni sufficienti per l'accesso al server proxy HTTP. • Password – Specifica la password per il Nome utente. • Conferma password – Conferma la password specificata. Aggiornamento client predefinito Attiva il pulsante Aggiorna ora nel client Mostra o nasconde il pulsante principale del client Client Endpoint Security. nella pagina Fare clic su questo pulsante per verificare e scaricare manualmente gli aggiornamenti dei file di contenuto e i componenti software nel sistema client. Elementi da aggiornare Specifica cosa aggiornare quando il pulsante viene selezionato. • Contenuto di sicurezza, hotfix e patch - Aggiorna tutti i contenuti di sicurezza (fra cui motore e contenuto AMCore e di prevenzione exploit), nonché altri hotfix e patch alle ultime versioni. • Contenuto di sicurezza: aggiorna solo i contenuti di sicurezza. (Opzione predefinita) • Hotfix e patch - Aggiorna solo hotfix e patch. Configura i siti da cui ottenere gli aggiornamenti per i file di contenuto e i componenti software. Siti di origine per gli aggiornamenti È possibile attivare e disattivare il sito di origine backup predefinito, McAfeeHttp, e il server di gestione (per i sistemi gestiti), ma non è possibile modificarli o eliminarli. Indica gli elementi che possono essere spostati nell'elenco. Selezionare degli elementi, quindi trascinarli e rilasciarli nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. Aggiungi Aggiunge un sito all'elenco siti di origine. Doppio clic su un elemento Modifica l'elemento selezionato. Elimina Elimina il sito selezionato dall'elenco dei siti di origine. Importa Importa siti da un file contenente un elenco di siti di origine. Selezionare il file da importare, quindi fare clic su OK. Il file con l'elenco di siti sostituisce l'elenco dei siti di origine esistente. Esporta tutto Esporta l'elenco di siti di origine nel file SiteList.xml. Selezionare la posizione in cui salvare il file con l'elenco di siti di origine e fare clic su OK. Server proxy per siti di origine 48 Nessun server proxy Specifica il recupero, da parte dei sistemi gestiti, delle informazioni relative alla reputazione McAfee GTI direttamente da Internet e non tramite un server proxy. (Opzione predefinita) McAfee Endpoint Security 10.2 Guida del prodotto 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-4 Opzioni avanzate (segue) Sezione Opzione Definizione Utilizza impostazioni Specifica l'utilizzo di impostazioni proxy dal sistema client e attiva proxy di sistema facoltativamente l'autenticazione proxy HTTP o FTP. Configura server proxy Personalizza le impostazioni proxy. • Indirizzo HTTP/FTP – Specifica l'indirizzo DNS, IPv4 o IPv6 del server proxy HTTP o FTP. • Porta: limita l'accesso dalla porta specificata. • Escludi questi indirizzi: specifica gli indirizzi per i client Client Endpoint Security per cui non si desidera utilizzare il server proxy per ottenere le classificazioni McAfee GTI. Fare clic su Aggiungi, quindi immettere il nome dell'indirizzo da escludere. Attiva autenticazione proxy HTTP/FTP Il server proxy HTTP o FTP necessita di autenticazione. (L'opzione è disponibile solo se è stata selezionata un'opzione server proxy HTTP o FTP.) Immettere le credenziali proxy: • Nome utente – Specifica l'account utente con autorizzazioni sufficienti per l'accesso al server proxy. • Password – Specifica la password per il Nome utente specificato. • Conferma password: conferma la password specificata. Vedere anche Protezione di risorse Endpoint Security a pagina 31 Configurazione delle impostazioni di registrazione a pagina 32 Controllo dell'accesso all'interfaccia client a pagina 33 Configurazione delle impostazioni del server proxy per McAfee GTI a pagina 34 Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37 Configurazione dei siti di origine per gli aggiornamenti a pagina 35 Aggiungi sito o Modifica sito a pagina 49 Aggiungi sito o Modifica sito Aggiunge o modifica un sito nell'elenco dei siti di origine. Tabella 2-5 Definizioni delle opzioni Opzione Definizione Nome Indica il nome del sito di origine contenente i file di aggiornamento. Attiva Attiva o disattiva l'uso del sito di origine per il download dei file di aggiornamento. Recupera file da Specifica da dove recuperare i file. McAfee Endpoint Security 10.2 Guida del prodotto 49 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-5 Definizioni delle opzioni (segue) Opzione Definizione Archivio HTTP Recupera i file dal percorso dell'archivio HTTP specificato. Un sito HTTP consente l'aggiornamento indipendentemente dalla protezione di rete, ma supporta livelli di connessioni simultanee superiori rispetto a FTP. URL • Nome DNS – Indica che l'URL è un nome di dominio. • IPv4 – Indica che l'URL è un indirizzo IPv4. • IPv6 – Indica che l'URL è un indirizzo IPv6. http:// – Specifica l'indirizzo del server e della cartella HTTP in cui si trovano i file di aggiornamento. Porta – Specifica il numero di porta per il server HTTP. Utilizza autenticazione Seleziona l'utilizzo dell'autenticazione e specifica le credenziali per l'accesso alla cartella del file di aggiornamento. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. 50 McAfee Endpoint Security 10.2 Guida del prodotto 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-5 Definizioni delle opzioni (segue) Opzione Definizione Archivio FTP Recupera i file dal percorso dell'archivio FTP specificato. Un sito FTP offre flessibilità di aggiornamento senza la necessità di doversi conformare ad autorizzazioni di sicurezza della rete. Poiché l'FTP si è rivelato meno soggetto ad attacchi di codice non desiderato rispetto a HTTP, esso può offrire una maggiore tolleranza. URL • Nome DNS – Indica che l'URL è un nome di dominio. • IPv4 – Indica che l'URL è un indirizzo IPv4. • IPv6 – Indica che l'URL è un indirizzo IPv6. ftp:// – Specifica l'indirizzo del server e della cartella FTP in cui si trovano i file di aggiornamento. Porta – Specifica il numero di porta per il server FTP. Seleziona l'utilizzo dell'FTP anonimo per l'accesso alla cartella del file di aggiornamento. Utilizza accesso anonimo Deselezionare questa opzione per specificare le credenziali di accesso. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. Percorso UNC o Recupera i file dal percorso UNC o locale specificato. Percorso locale Un sito UNC è il sito più rapido e semplice da impostare. Per gli aggiornamenti UNC tra domini è necessario disporre delle autorizzazioni di sicurezza per ciascun dominio e ciò rende la configurazione dell'aggiornamento più complessa. Percorso • Percorso UNC – Specifica il percorso utilizzando la notazione UNC (\ \servername\path\). • Percorso locale – Specifica il percorso di una cartella su un'unità locale o di rete. Utilizza account di connessione Accede ai file di aggiornamento utilizzando l'account con il quale è stato effettuato l'accesso. Questo account deve disporre di autorizzazioni di lettura alle cartelle contenenti i file di aggiornamento. Deselezionare questa opzione per specificare le credenziali di accesso. • Dominio – Specifica il dominio per l'account utente. • Nome utente – Specifica l'account utente con autorizzazioni di lettura per la cartella del file di aggiornamento. • Password – Specifica la password per il Nome utente specificato. • Conferma password – Conferma la password specificata. In comune: Attività Configura e pianifica le attività di Client Endpoint Security. Nei sistemi gestiti, non è possibile attivare, bloccare o eliminare le attività Amministratore. McAfee Endpoint Security 10.2 Guida del prodotto 51 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-6 Opzioni Sezione Opzione Definizione Attività Indica le attività attualmente definite e pianificate. • Nome - Nome dell'attività pianificata. • Funzionalità - Modulo o funzionalità ai quali è associata l'attività. • Pianifica - Indica se l'attività è pianificata per l'esecuzione e se è disattivata. Ad esempio, nei sistemi gestiti, la pianificazione dell'attività di Aggiornamento client predefinito deve essere disattivata dall'amministratore. • Stato - Stato dell'ultima volta in cui è stata eseguita l'attività: • (nessuno stato) – Nessuna esecuzione • Esecuzione – Attualmente in esecuzione o ripristinata • Sospesa – Sospesa dall'utente (come una scansione) • Rinviata – Rinviata dall'utente (come una scansione) • Terminata – Esecuzione completata senza errori • Terminata (errori) – Esecuzione completata con errori • Non riuscita – Completamento non riuscito • Ultima esecuzione - Data e ora dell'ultima esecuzione dell'attività. • Origine - Origine dell'attività: • McAfee - Fornito da McAfee. • Amministratore - (Solo sistemi gestiti) Definito dall'amministratore. • Utente - Definito sul Client Endpoint Security. A seconda di quale sia l'origine, non è possibile modificare o eliminare alcune attività. Ad esempio, l'attività Aggiornamento client predefinito può essere modificata solo sui sistemi autogestiti. Le attività Amministratore, definite dall'amministratore nei sistemi gestiti, non possono essere modificate o eliminate nel Client Endpoint Security. 52 Doppio clic su un elemento Modifica l'elemento selezionato. Aggiungi Creare un'attività di scansione, aggiornamento o mirroring. Elimina Elimina l'attività selezionata. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-6 2 Opzioni (segue) Sezione Opzione Definizione Duplica Crea una copia dell'attività selezionata. Esegui adesso Consente di eseguire l'attività selezionata. Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia in Visualizza. • Scansione rapida - Apre la finestra di dialogo Scansione rapida e avvia la scansione. • Scansione completa - Apre la finestra di dialogo Scansione completa e avvia la scansione. • Scansione personalizzata - Apre la finestra di dialogo Scansione personalizzata e avvia la scansione. • Aggiornamento client predefinito - Apre la finestra di dialogo Aggiornamento e avvia l'aggiornamento. • Aggiornamento - Apre la finestra di dialogo Aggiornamento personalizzato e avvia l'aggiornamento. • Mirror: apre la finestra di dialogo Mirror e avvia la replica dell'archivio. Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint Security richiede di salvare le impostazioni. Vedere anche Esecuzione di una scansione completa o di una scansione rapida a pagina 58 Aggiornamento manuale di protezione e software a pagina 23 Configurazione, pianificazione e attivazione dei compiti di mirroring a pagina 40 Aggiungi attività a pagina 53 Aggiungi attività Aggiunge attività di scansione personalizzata, mirroring o aggiornamento. Opzione Definizione Nome Specifica il nome dell'attività. Seleziona tipo di attività Specifica il tipo di attività: • Scansione personalizzata – Configura e pianifica una scansione personalizzata, come scansioni della memoria quotidiane. • Esegui il mirroring – Replica su un sito di mirroring della rete i file di contenuto e di motore aggiornati contenuti nel primo archivio accessibile. • Aggiorna – Configura e pianifica un aggiornamento dei file di contenuto, del motore di scansione o del prodotto. Vedere anche Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 54 Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 55 Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 54 McAfee Endpoint Security 10.2 Guida del prodotto 53 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Aggiunta di attività di scansione o Modifica di attività di scansione Pianifica l'attività Scansione completa o Scansione rapida oppure configura e pianifica le attività di scansione personalizzata eseguite sul sistema client. Tabella 2-7 Scheda Opzioni Opzione Definizione Configura le impostazioni dell'attività di scansione. Impostazioni Nome Indica il nome dell'attività. Opzioni Configura le impostazioni di Scansione su richiesta per la scansione. È possibile configurare le impostazioni delle attività Scansione completa e Scansione rapida solamente nei sistemi autogestiti. Attiva e pianifica l'attività per l'esecuzione in un orario specifico. Pianifica Vedere anche Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Esecuzione di una scansione completa o di una scansione rapida a pagina 58 Prevenzione delle minacce – Scansione su richiesta a pagina 114 Pianifica a pagina 55 Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento Pianifica l'Aggiornamento client predefinito oppure configura e pianifica le attività di aggiornamento personalizzato eseguite sul sistema client. Tabella 2-8 Opzioni Scheda Opzione Definizione Configura le impostazioni dell'attività di aggiornamento. Impostazioni Nome Indica il nome dell'attività. Elementi da aggiornare Specifica cosa aggiornare: • Contenuto di sicurezza, hotfix e patch • Contenuto di sicurezza • Hotfix e patch È possibile configurare queste impostazioni solamente nei sistemi autogestiti. Pianifica Attiva e pianifica l'attività per l'esecuzione in un orario specifico. Per impostazione predefinita, l'attività Aggiornamento client predefinito viene eseguita ogni giorno a mezzanotte e ripetuta ogni quattro ore fino alle 23:59. Vedere anche In comune – Opzioni a pagina 43 Configurazione del comportamento predefinito per gli aggiornamenti a pagina 37 Configurazione, pianificazione e attivazione delle attività di aggiornamento a pagina 39 Pianifica a pagina 55 54 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Client Endpoint Security Riferimento interfaccia client — In comune 2 Aggiunta di attività di mirroring o Modifica di attività di mirroring Configura e pianifica le attività di mirroring. Tabella 2-9 Opzioni Scheda Opzione Definizione Impostazioni Nome Indica il nome dell'attività. Posizione mirror Specifica la cartella in cui memorizzare la replica dell'archivio. Attiva e pianifica l'attività per l'esecuzione in un orario specifico. Pianifica Vedere anche Configurazione, pianificazione e attivazione dei compiti di mirroring a pagina 40 Pianifica a pagina 55 Pianifica Pianificazione delle attività di scansione, aggiornamento e mirroring. Tabella 2-10 Opzioni Categoria Opzione Definizione Pianifica Pianifica l'attività per l'esecuzione in un orario specifico. (Attivato per impostazione predefinita) Attiva pianificazione È necessario selezionare questa opzione per pianificare l'attività. Tipo di pianificazione Specifica l'intervallo per l'esecuzione dell'attività. • Ogni giorno – Esegue l'attività ogni giorno, a un'ora specificata, in modo ricorrente in un intervallo specificato tra due orari del giorno o in base a una combinazione di entrambi. • Ogni settimana – Esegue l'attività settimanalmente: • In un giorno feriale specifico, tutti i giorni feriali, nel fine settimana o in base a una combinazione di giorni • A un'ora specifica dei giorni selezionati o in modo ricorrente in un intervallo specificato tra due orari dei giorni selezionati • Ogni mese – Esegue l'attività mensilmente: • Nel giorno del mese specificato • Nei giorni della settimana specificati: primo, secondo, terzo, quarto o ultimo • Una volta – Avvia l'attività all'ora e nella data specificate. • All'avvio del sistema – Esegue l'attività quando si avvia il sistema. • All'accesso – Avvia l'attività al successivo accesso dell'utente al sistema. • Esegui subito: avvia l'attività immediatamente. Frequenza Specifica la frequenza per le attività giornaliere e settimanali. Esegui il Specifica il giorno della settimana per le attività settimanali e mensili. Esegui in Specifica i mesi dell'anno per le attività mensili. Esegui l'attività solo una volta al giorno Esegue l'attività una volta al giorno per le attività All'avvio del sistema e All'accesso. Ritarda l'attività di Specifica il numero di minuti di ritardo prima dell'esecuzione delle attività All'avvio del sistema e All'accesso. McAfee Endpoint Security 10.2 Guida del prodotto 55 2 Uso di Client Endpoint Security Riferimento interfaccia client — In comune Tabella 2-10 Opzioni (segue) Categoria Opzione Definizione Data di inizio Specifica la data di inizio per le attività Ogni giorno, Ogni settimana, Ogni mese ed eseguite Solo una volta. Data di fine Specifica la data di fine per le attività Ogni giorno, Ogni settimana e Ogni mese. Ora di inizio Specifica l'orario in cui iniziare l'attività. • Esegui una volta nell'orario definito – Esegue l'attività una volta all'Ora di inizio specificata. • Esegui nell'orario definito e ripeti fino a – Esegue l'attività all'Ora di inizio specificata. Quindi, avvia l'attività dopo il numero di ore/minuti specificati da Avvia attività ogni fino all'ora di fine specificata. • Esegui nell'orario definito e ripeti per – Esegue l'attività all'Ora di inizio specificata. Quindi, avvia l'attività dopo il numero di ore/minuti specificati da Avvia attività ogni fino a quando è stata eseguita per il periodo di tempo specificato. Opzioni Esegui questa attività in base a UTC (tempo universale coordinato) Specificare se la pianificazione dell'attività viene eseguita in base all'ora locale del sistema gestito o all'ora UTC (tempo universale coordinato). Termina l'attività se eseguita per oltre Arresta l'attività dopo il numero di ore e minuti specificato. Tempo di avvio attività casuale alle Se l'attività viene interrotta prima del completamento, all'avvio successivo la scansione verrà ripresa dal punto in cui è stata interrotta. Indica che l'attività specificata viene eseguita casualmente nel periodo specificato. In caso contrario, l'attività viene avviata all'ora pianificata, indipendentemente dalla presenza di altre attività client la cui esecuzione sia pianificata alla stessa ora. Esegui attività non eseguita Esegue l'attività dopo il numero di minuti specificato da Ritarda avvio alle dopo il riavvio del sistema gestito. Specifica le credenziali per eseguire l'attività. Account Se non vengono specificate credenziali, l'attività viene eseguita come account amministratore del sistema locale. Nome utente Specifica l'account utente. Password Specifica la password per l'account utente specificato. Conferma password Conferma la password per l'account utente specificato. Dominio Specifica il dominio dell'account utente specificato. Vedere anche Aggiunta di attività di scansione o Modifica di attività di scansione a pagina 54 Aggiunta di attività di aggiornamento o Modifica di attività di aggiornamento a pagina 54 Aggiunta di attività di mirroring o Modifica di attività di mirroring a pagina 55 56 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Prevenzione delle minacce verifica la presenza di virus, spyware, programmi indesiderati e altre minacce eseguendo la scansione degli elementi del computer. Sommario Scansione del computer per individuare malware Gestione dei rilevamenti di minacce Gestione degli elementi in quarantena Gestione di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Scansione del computer per individuare malware Scansione per rilevare malware sul computer selezionando opzioni in Client Endpoint Security o Windows Explorer. Attività • Esecuzione di una scansione completa o di una scansione rapida a pagina 58 Utilizzare il client Client Endpoint Security per eseguire una scansione completa o una scansione rapida manuale sul computer. • Scansione di un file o una cartella a pagina 60 Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere minacce. Vedere anche Tipi di scansioni a pagina 57 Tipi di scansioni Endpoint Security fornisce due tipi di scansione: scansioni all'accesso e su richiesta. • Scansione all'accesso – L'amministratore configura le scansioni all'accesso per l'esecuzione sui computer gestiti. Per i computer autogestiti, configurare il programma di scansione all'accesso nella pagina Impostazioni. Quando si accede a file, cartelle e programmi, il programma di scansione all'accesso intercetta l'operazione ed esegue la scansione dell'elemento, sulla base dei criteri definiti nelle impostazioni. • Scansione su richiesta McAfee Endpoint Security 10.2 Guida del prodotto 57 3 Uso di Prevenzione delle minacce Scansione del computer per individuare malware Manuale L'amministratore (o utente, per i sistemi autogestiti) configura scansioni su richiesta predefinite o personalizzate che gli utenti possono eseguire sui computer gestiti. • Eseguire una scansione su richiesta predefinita in qualsiasi momento da Client Endpoint Security facendo clic su un tipo di scansione: e selezionando Scansione rapida esegue un rapido controllo delle zone del sistema più soggette a infezione. Scansione completa esegue un controllo approfondito di tutte le zone del sistema. (consigliato se si teme che il computer sia infetto.) • Eseguire la scansione di un singolo file o una cartella in qualsiasi momento da Windows Explorer facendo clic con il pulsante destro del mouse sul file o la cartella e selezionando Ricerca minacce dal menu popup. • Configurare ed eseguire una scansione su richiesta personalizzata come amministratore da Client Endpoint Security: 1 Selezionare Impostazioni | In comune | Attività. 2 Selezionare l'attività da eseguire. 3 Fare clic su Esegui adesso. Pianificata L'amministratore (o utente, per i sistemi autogestiti) configura e pianifica le scansioni su richiesta per l'esecuzione sui computer. Quando una scansione su richiesta pianificata sta per iniziare, Endpoint Security mostra una richiesta di scansione nella parte bassa della schermata. È possibile avviare la scansione immediatamente o ritardarla, se configurato. Per configurare e pianificare le scansioni su richiesta predefinite, Scansione rapida e Scansione completa: 1 Scheda Impostazioni | Scansione su richiesta | Scansione completa o Scansione rapida – Configura le scansioni su richiesta. 2 Impostazioni | Common | Attività – Pianifica scansioni su richiesta. Vedere anche Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Risposta a richiesta di scansione a pagina 21 Esecuzione di una scansione completa o di una scansione rapida Utilizzare il client Client Endpoint Security per eseguire una scansione completa o una scansione rapida manuale sul computer. Prima di iniziare Il modulo Prevenzione delle minacce deve essere installato. Il comportamento della scansione completa e scansione rapida dipende dalla modalità di configurazione delle impostazioni. È possibile modificare e pianificare queste scansioni nelle impostazioni della Scansione su richiesta con le credenziali di amministratore. 58 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Scansione del computer per individuare malware 3 Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su 3 . Nella pagina Esegui scansione del sistema, fare clic su Avvia scansione per la scansione che si desidera eseguire. Scansione completa Esegue un controllo approfondito di tutte le zone del sistema (consigliato se si sospetta che il computer sia infetto). Scansione rapida Esegue un controllo rapido delle zone del sistema più soggette alle infezioni. Se è già in corso una scansione, il pulsante Avvia scansione diventa Visualizza scansione. È inoltre possibile visualizzare il pulsante Visualizza rilevamenti per il programma di scansione all'accesso, in base alla configurazione delle impostazioni e al rilevamento o meno di una minaccia. Fare clic su questo pulsante per aprire la pagina Scansione all'accesso e gestire i rilevamenti in qualsiasi momento. Client Endpoint Security mostra lo stato della scansione su una nuova pagina. Procedura consigliata: la Data di creazione del contenuto AMCore indica l'ultimo orario di aggiornamento del contenuto. Se la data del contenuto risale a più di due giorni prima, aggiornare la protezione prima di eseguire la scansione. 4 5 Fare clic sui pulsanti nella parte superiore della pagina di stato per controllare la scansione. Sospendi scansione Sospende la scansione prima di terminarla. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla una scansione in esecuzione. Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a scansione, il tempo trascorso e gli eventuali rilevamenti. Nome rilevamento Identifica il nome del malware rilevato. Tipo Mostra il tipo di minaccia. File Identifica il file infetto. Azione intrapresa Descrive l'ultima azione di sicurezza intrapresa sul file infetto: • Accesso negato • Ripulito • Eliminato • Nessuno L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. McAfee Endpoint Security 10.2 Guida del prodotto 59 3 Uso di Prevenzione delle minacce Scansione del computer per individuare malware 6 Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare il file infetto. A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non essere disponibili. 7 Fare clic su Chiudi per chiudere la pagina. Vedere anche Tipi di scansioni a pagina 57 Nomi rilevamenti a pagina 64 Aggiornamento manuale di protezione e software a pagina 23 Gestione dei rilevamenti di minacce a pagina 61 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Scansione di un file o una cartella Fare clic con il pulsante destro del mouse in Windows Explorer per eseguire immediatamente la scansione di un singolo file o cartella che si ritiene possano contenere minacce. Prima di iniziare Il modulo Prevenzione delle minacce deve essere installato. Il comportamento della scansione di scelta rapida dipende dalla modalità di configurazione delle impostazioni. È possibile modificare queste scansioni nelle impostazioni della Scansione su richiesta con le credenziali di amministratore. Attività 1 In Windows Explorer, fare clic con il pulsante destro del mouse sul file o sulla cartella e selezionare Ricerca minacce dal menu popup. Client Endpoint Security mostra lo stato della scansione nella pagina Ricerca minacce. 2 3 Fare clic sui pulsanti nella parte superiore della pagina per controllare la scansione. Sospendi scansione Sospende la scansione prima di terminarla. Riprendi scansione Riprende una scansione sospesa. Annulla scansione Annulla una scansione in esecuzione. Al termine della scansione, nella pagina vengono visualizzati il numero di file sottoposti a scansione, il tempo trascorso e gli eventuali rilevamenti. Nome rilevamento Identifica il nome del malware rilevato. Tipo Mostra il tipo di minaccia. File Identifica il file infetto. Azione intrapresa Descrive l'ultima azione di sicurezza intrapresa sul file infetto: • Accesso negato • Ripulito • Eliminato • Nessuno L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. 60 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione dei rilevamenti di minacce 4 3 Selezionare un rilevamento nella tabella, quindi fare clic su Ripulisci o Elimina per ripulire o eliminare il file infetto. A seconda del tipo di minaccia e delle impostazioni di scansione, queste azioni potrebbero non essere disponibili. 5 Fare clic su Chiudi per chiudere la pagina. Vedere anche Tipi di scansioni a pagina 57 Nomi rilevamenti a pagina 64 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Gestione dei rilevamenti di minacce In base al tipo di configurazione delle impostazioni, è possibile gestire i rilevamenti di minacce da Client Endpoint Security. Prima di iniziare Il modulo Prevenzione delle minacce deve essere installato. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Avvia scansione per aprire la pagina Esegui scansione del sistema. 3 In Scansione all'accesso, fare clic su Visualizza rilevamenti. Questa opzione non è disponibile se l'elenco non contiene rilevamenti o se l'opzione di messaggistica utente è disattivata. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. 4 Nella pagina Scansione all'accesso, selezionare una di queste opzioni. Pulisci Cerca di ripulire l'elemento (file, voce di registro) e di posizionarlo in quarantena. Endpoint Security utilizza le informazioni del file di contenuto per pulire i file. Se il file di contenuto non dispone di uno strumento di pulizia o il file è stato danneggiato oltre la riparazione, il programma di scansione vi nega l'accesso. In questo caso, McAfee consiglia di eliminare il file dalla quarantena e di ripristinarlo da una copia di backup pulita. Elimina Elimina l'elemento che contiene la minaccia. Rimuovi voce Rimuove la voce dall'elenco di rilevamenti. Chiudi Chiude la pagina di scansione. Se per la minaccia non è disponibile alcuna azione, l'opzione corrispondente è disattivata. Ad esempio, Pulisci non è disponibile se il file è già stato eliminato. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. McAfee Endpoint Security 10.2 Guida del prodotto 61 3 Uso di Prevenzione delle minacce Gestione degli elementi in quarantena Gestione degli elementi in quarantena Endpoint Security salva gli elementi rilevati come minacce nella quarantena. Sugli elementi in quarantena è possibile eseguire azioni. Prima di iniziare Il modulo Prevenzione delle minacce deve essere installato. Ad esempio, è possibile ripristinare un elemento dopo aver scaricato una versione successiva del contenuto, che contiene informazioni in grado di eliminare la minaccia. Gli elementi in quarantena possono includere diversi tipi di oggetti sottoposti a scansione, come file, registri o qualsiasi elemento per il quale Endpoint Security ha eseguito una scansione per rilevare malware. Attività Per assistenza, nel menu Azione , selezionare Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Quarantena nella parte sinistra della pagina. La pagina mostra tutti gli elementi in quarantena. Se Client Endpoint Security non riesce a stabilire una connessione con Gestore quarantena, viene visualizzato un messaggio di errore di comunicazione. In questo caso, riavviare il sistema per visualizzare la pagina Quarantena. 62 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione degli elementi in quarantena 3 Selezionare un elemento dal riquadro superiore per visualizzare i dettagli nel riquadro inferiore. Per... Eseguire questa operazione Modificare le dimensioni relative dei riquadri. Fare clic e trascinare il widget scorrevole tra i riquadri. Ordinare gli elementi nella tabella per nome o tipo di minaccia. 4 Fare clic sull'intestazione colonna della tabella. Nella pagina Quarantena, eseguire azioni sugli elementi selezionati. Per... Attenersi alla seguente procedura Eliminare elementi dalla quarantena. Selezionare gli elementi, fare clic su Elimina, quindi ancora su Elimina per confermare. Gli elementi eliminati non possono essere ripristinati. Ripristinare elementi Selezionare gli elementi, fare clic su Ripristina, quindi ancora su Ripristina per dalla quarantena. confermare. Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla quarantena. Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce in quarantena al successivo accesso. Ripetere la scansione Selezionare gli elementi, quindi fare clic su Ripeti scansione. di elementi. Ad esempio, è possibile ripetere la scansione di un elemento dopo aver aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è possibile ripristinarlo nella posizione originale e rimuoverlo dalla quarantena. Visualizzare un elemento nel registro eventi. Selezionare un elemento, quindi fare clic sul link Visualizza in registro eventi nel riquadro dei dettagli. Ottenere ulteriori informazioni su una minaccia. Selezionare un elemento, quindi fare clic sul link Ulteriori informazioni su questa minaccia nel riquadro dei dettagli. Viene visualizzata la pagina del registro eventi con l'evento relativo all'elemento selezionato evidenziato. Si apre una nuova finestra del browser nella pagina del sito Web McAfee Labs che riporta ulteriori informazioni sulla minaccia che ha causato l'inserimento in quarantena dell'elemento. Vedere anche Nomi rilevamenti a pagina 64 Ripetizione scansione di elementi in quarantena a pagina 65 Apertura di Client Endpoint Security a pagina 19 Aggiornamento manuale di protezione e software a pagina 23 McAfee Endpoint Security 10.2 Guida del prodotto 63 3 Uso di Prevenzione delle minacce Gestione degli elementi in quarantena Nomi rilevamenti Minacce riportate dalla quarantena per nome rilevamento. Nome rilevamento Descrizione Adware Genera fatturato visualizzando messaggi pubblicitari indirizzati all'utente. L'adware acquisisce guadagni dal fornitore o dai relativi partner. Alcuni tipi di adware possono acquisire o trasmettere dati personali. Dialer Reindirizza le connessioni Internet verso un corrispondente diverso dall'ISP predefinito dell'utente. Il reindirizzamento è finalizzato a provocare addebiti per la connessione a un fornitore di contenuti, fornitore o terza parte. Joke Finto danneggiamento di un computer, senza addebiti o usi nocivi. I joke non recano danno alla sicurezza o alla privacy, ma potrebbero allarmare o infastidire un utente. Keylogger Intercetta i dati tra l'inserimento da parte dell'utente e l'applicazione di destinazione prevista. I keylogger di trojan horse o programmi potenzialmente indesiderati potrebbero presentare un funzionamento identico. Il software McAfee rileva entrambi i tipi per prevenire violazioni della privacy. Password cracker Consente a un utente o amministratore di recuperare le password smarrite o dimenticate di account o file dati. In mano agli autori di attacchi, questi strumenti consentono di accedere a informazioni riservate e rappresentano una minaccia alla sicurezza e alla privacy. Programma potenzialmente indesiderato Software spesso legittimi (non malware) che possono alterare lo stato di sicurezza o la privacy del sistema. Questo software può essere scaricato insieme a un programma desiderato. Può includere spyware, adware, keylogger, password cracker, strumenti di hacking e dialer. Strumento di amministrazione remota Fornisce a un amministratore il controllo remoto di un sistema. Questi strumenti possono costituire una minaccia significativa per la sicurezza se controllati da un autore di attacchi. Spyware Trasmette informazioni personali a una terza parte senza che l'utente ne sia a conoscenza o fornisca il consenso. Uno spyware sfrutta i computer infetti per acquisire vantaggi commerciali: • Fornendo contenuti pubblicitari pop-up non richiesti • Carpendo i dati personali, comprese le informazioni finanziarie come i numeri delle carte di credito • Monitorando l'attività di navigazione sul Web a scopo di marketing • Indirizzando le richieste HTTP a siti di contenuti pubblicitari Vedere anche Programmi potenzialmente indesiderati. Stealth Si tratta di un tipo di virus che cerca di evitare il rilevamento da parte dei software antivirus. Noto anche come intercettatore di interrupt. Molti virus stealth intercettano le richieste di accesso al disco. In questo modo, quando un'applicazione antivirus cerca di leggere i file o settori di boot per individuare il virus, il virus invia al programma un'immagine "pulita" dell'elemento richiesto. Altri virus nascondono le dimensioni reale di un file infetto e mostrano le dimensioni del file prima dell'infezione. 64 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Nome rilevamento Descrizione Trojan horse Si tratta di un programma dannoso che finge di essere un'applicazione innocua. Un trojan non esegue repliche ma danneggia o compromette la sicurezza del computer. Generalmente, un computer diventa infetto: • Quando un utente apre un allegato contenente un trojan in un'email. • Quando un utente scarica un trojan da un sito Web. • Networking peer-to-peer. Poiché non eseguono repliche di sé stessi, i trojan non sono considerati virus. Virus Si unisce ai dischi o ad altri file e si replica ripetutamente, generalmente a insaputa o senza il permesso dell'utente. Alcuni virus si uniscono ai file in modo che quando il file infetto viene eseguito, anche il virus va in esecuzione. Altri virus risiedono nella memoria del computer e infettano i file nel momento in cui il computer li apre, modifica o crea. Alcuni virus presentano sintomi, mentre altri danneggiano file e sistemi del computer. Ripetizione scansione di elementi in quarantena Quando si ripete la scansione di elementi in quarantena, Endpoint Security utilizza le impostazioni di scansione designate per fornire la massima protezione. Procedura consigliata: ripetere sempre la scansione degli elementi in quarantena prima del ripristino. Ad esempio, è possibile ripetere la scansione di un elemento dopo aver aggiornato la protezione. Se l'elemento non costituisce più una minaccia, è possibile ripristinarlo nella posizione originale e rimuoverlo dalla quarantena. Nell'intervallo di tempo tra quando la minaccia è stata identificata e quando la scansione viene ripetuta, le condizioni di scansione possono cambiare, influenzando il rilevamento degli elementi in quarantena. Durante la ripetizione della scansione degli elementi in quarantena, Endpoint Security sempre: • Scansiona file con codifica MIME. • Scansiona file di archivio compressi. • Esegue una ricerca McAfee GTI nel file. • Imposta il livello di sensibilità di McAfee GTI su Molto elevato. Sebbene vengano utilizzate queste impostazioni di scansione, la ripetizione della scansione di un elemento in quarantena potrebbe non rilevare una minaccia. Ad esempio, se sono cambiati i metadati dell'elemento (percorso o posizione nel registro), la ripetizione della scansione potrebbe dare un falso positivo anche se l'elemento è ancora infetto. Gestione di Prevenzione delle minacce In qualità di amministratore, è possibile specificare le impostazioni Prevenzione delle minacce per impedire l'accesso di minacce e configurare le scansioni. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. McAfee Endpoint Security 10.2 Guida del prodotto 65 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Configurazione delle esclusioni Prevenzione delle minacce consente di ottimizzare la protezione specificando gli elementi da escludere. Ad esempio, potrebbe essere necessario escludere alcuni tipi di file per impedire al programma di scansione di bloccare un file utilizzato da un database o un server. Un file bloccato può causare problemi al database o al server o produrre errori. Le esclusioni inserite negli elenchi di esclusioni si escludono a vicenda. Ciascuna esclusione viene valutata separatamente dalle altre incluse nell'elenco. Per escludere una cartella sui sistemi Windows, aggiungere una barra rovesciata (\) alla fine del percorso. Per questa funzione... Specificare gli elementi da escludere Dove eseguire la configurazione Escludi elementi per Utilizzare caratteri jolly? Protezione dell'accesso Processi (per tutte le regole o una regola specificata) Impostazioni Protezione dell'accesso Nome o percorso file di processo, hash MD5 o firmatario Tranne per l'hash MD5 Prevenzione exploit Processi Impostazioni Prevenzione exploit Nome o percorso file di processo, hash MD5 o firmatario Tranne per l'hash MD5 Nome o percorso file del modulo chiamante, hash MD5 o firmatario API Tutte le scansioni Nomi rilevamenti Opzioni impostazioni Nome rilevamento (distinzione tra maiuscole e minuscole) Sì Nome Sì Nome file o cartella, tipo di file o data del file Sì URL ScriptScan Nome URL No File, cartelle e unità Impostazioni Scansione su richiesta Nome file o cartella, tipo di file o data del file Sì File, cartelle e unità In comune | Attività | Aggiungi attività | Scansione personalizzata Nome file o cartella, tipo di file o data del file Sì Programmi potenzialmente indesiderati Scansione all'accesso File, tipi di file e cartelle Impostazioni Scansione all'accesso • Predefinito • Rischio elevato • Rischio basso Scansione su richiesta • Scansione rapida • Scansione completa • Scansione di scelta rapida Scansione su richiesta personalizzata Vedere anche Caratteri jolly nelle esclusioni di scansione a pagina 67 66 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Caratteri jolly nelle esclusioni di scansione È possibile utilizzare caratteri jolly per rappresentare i caratteri nelle esclusioni per le scansioni di file, cartelle, nomi rilevamenti e programmi potenzialmente indesiderati. Tabella 3-1 Caratteri jolly validi Carattere jolly Nome ? Rappresenta Punto interrogativo Singolo carattere. Questo carattere jolly verrà applicato solo se il numero di caratteri corrisponde alla lunghezza del nome del file o della cartella. Ad esempio: L'esclusione W?? esclude WWW, ma non WW o WWWW. * Asterisco Caratteri multipli, eccetto la barra rovesciata (\). *\ non è consentito all'inizio del percorso di un file. Usare **\. Ad esempio: **\ABC\*. ** Doppio asterisco Zero o più caratteri qualsiasi, inclusa la barra rovesciata (\). Questo carattere jolly corrisponde a zero o più caratteri. Ad esempio: C:\ABC\**\XYZ corrisponde a C:\ABC\DEF\XYZ e C: \ABC\XYZ. I caratteri jolly possono essere visualizzati davanti a barre rovesciate (\) nei percorsi. Ad esempio, il percorso C:\ABC\*\XYZ corrisponde a C:\ABC\DEF\XYZ. Esclusioni a livello di root Prevenzione delle minacce richiede un percorso assoluto per le esclusioni a livello di root. Questo significa che non è consentito utilizzare \ o i caratteri jolly ?:\ all'inizio di un percorso per far corrispondere i nomi delle unità a livello di root. Questo comportamento è diverso da VirusScan Enterprise. Vedere l'articolo KB85746 della KnowledgeBase e la Guida di Migrazione McAfee Endpoint Security. Con Prevenzione delle minacce, è possibile utilizzare i caratteri jolly **\ all'inizio di un percorso per far corrispondere unità e sottocartelle nelle esclusioni a livello di root. Ad esempio, **\test corrisponde ai seguenti percorsi: C:\test D:\test C:\temp\test D:\foo\test Protezione dei punti di accesso del sistema La prima linea di difesa contro i malware consiste nella protezione dei punti di accesso al sistema dall'ingresso di minacce. La protezione dell'accesso impedisce che nei computer gestiti si verifichino modifiche indesiderate mediante la limitazione dell'accesso a file, condivisioni, chiavi e valori di registro e processi. La protezione dell'accesso utilizza regole definite sia da McAfee sia dall'utente (dette anche regole personalizzate) per segnalare o bloccare l'accesso agli elementi. La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole e agisce secondo la regola. McAfee Endpoint Security 10.2 Guida del prodotto 67 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce La protezione dell'accesso deve essere attivata per rilevare tentativi di accesso a file, condivisioni, chiavi e valori di registro e processi. La protezione dell'accesso è attivata per impostazione predefinita. Modalità di accesso delle minacce Le minacce accedono al sistema tramite diversi punti di accesso. Punto di accesso Descrizione Macro Come parte dei documenti di elaboratori di testo e delle applicazioni di fogli elettronici. File eseguibili Programmi apparentemente innocui che insieme al programma previsto possono contenere virus. Alcune estensioni di file comuni sono .EXE, .COM, .VBS, .BAT, .HLP e .DLL. Script Associati a pagine Web ed email, gli script, come ad esempio ActiveX e JavaScript, se eseguiti possono contenere virus. Messaggi Internet Relay Chat (IRC) File inviati con questi messaggi possono facilmente contenere malware. Ad esempio, i processi ad avvio automatico possono contenere minacce quali worm e cavalli di Troia. File della guida del browser e delle applicazioni Il download di questi file della Guida espone il sistema a virus ed eseguibili incorporati. Email Scherzi, giochi e immagini vengono inviati come parte di messaggi email con allegati. Combinazione di tutti questi punti di accesso Autori di programmi malware sofisticati combinano tutti questi metodi di invio delle minacce e incorporano persino programmi malware uno dentro l'altro per tentare di accedere al computer gestito. Modalità di arresto delle minacce da parte della protezione dell'accesso La protezione dell'accesso arresta le potenziali minacce gestendo le azioni in base alle regole di protezione definite da McAfee e dall'utente. Prevenzione delle minacce segue questo processo di base per fornire la protezione dell'accesso. Quando si verifica una minaccia Quando un utente o un processo agisce: 1 La protezione dell'accesso esamina l'azione in base a regole definite. 2 Se l'azione viola una regola, la protezione dell'accesso gestisce l'azione utilizzando le informazioni nelle regole configurate. 3 La protezione dell'accesso aggiorna il file di registro e genera e invia un evento al server gestito, se gestito. Esempio di minaccia all'accesso 68 1 Un utente scarica un programma legittimo (non malware), ad esempio MyProgram.exe, da Internet. 2 L'utente avvia il programma MyProgram.exe che sembra partire nel modo previsto. 3 MyProgram.exe avvia un processo figlio, denominato AnnoyMe.exe. 4 AnnoyMe.exe tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato all'avvio. McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 5 La protezione dell'accesso elabora la richiesta e la confronta con una regola esistente che è configurata per bloccare le minacce e inviare un report. 6 La protezione dell'accesso impedisce ad AnnoyMe.exe di modificare il sistema operativo e registra i dettagli del tentativo. La protezione dell'accesso, inoltre, genera e invia un avviso al server di gestione. Informazioni sulle regole di protezione dell'accesso Utilizzare le regole di protezione dell'accesso definite da McAfee e dall'utente per proteggere i punti di accesso del sistema. Le regole definite da McAfee vengono sempre applicate prima delle regole definite dall'utente. Tipo di regola Descrizione Regole definite da McAfee • Queste regole impediscono la modifica delle impostazioni e dei file utilizzati più di frequente. • È possibile attivare, disattivare e modificare la configurazione delle regole definite da McAfee, ma non è possibile eliminarle. Regole definite dall'utente • Queste regole integrano la protezione offerta dalle regole definite da McAfee. • Se la tabella degli eseguibili è vuota, la regola viene applicata a tutti gli eseguibili. • Se la tabella Nomi utente è vuota, la regola viene applicata a tutti gli utenti. • È possibile aggiungere ed eliminare, ma anche attivare, disattivare e modificare la configurazione di queste regole. Esclusioni A livello di regola, esclusioni e inclusioni si applicano alla regola specificata. A livello di policy, le esclusioni si applicano a tutte le regole. Le esclusioni sono facoltative. Vedere anche Esclusione dei processi dalla protezione dell'accesso a pagina 75 Configurare le regole di protezione dell'accesso definite da McAfee Le regole predefinite da McAfee impediscono agli utenti di modificare i file e le impostazioni utilizzati più di frequente. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. È possibile: • Modificare le impostazioni di blocco e segnalazione per queste regole. • Aggiungere eseguibili da escludere o includere a queste regole. Non è possibile: • Eliminare queste regole. • Modificare i file e le impostazioni protetti da queste regole. • Aggiungere sottoregole o nomi utente a queste regole. McAfee Endpoint Security 10.2 Guida del prodotto 69 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. 3 Fare clic su Mostra Avanzate. 4 Fare clic su Protezione dell'accesso. 5 Modificare la regola: a 6 , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola. • Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. • Per disattivare la regola, deselezionare Blocca e Segnala. b Fare doppio clic su una regola definita da McAfee da modificare. c Nella pagina Modifica regola definita da McAfee, configurare le impostazioni. d Nella sezione Eseguibili, fare clic su Aggiungi, configurare le impostazioni e fare clic due volte su Salva per salvare la regola. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Regole di protezione dell'accesso definite da McAfee a pagina 70 Accedere come amministratore a pagina 27 Esclusione dei processi dalla protezione dell'accesso a pagina 75 Regole di protezione dell'accesso definite da McAfee Utilizzare le regole di protezione dell'accesso definite da McAfee per proteggere il computer da modifiche indesiderate. Regola definita da McAfee Descrizione Alterazione delle registrazioni Protegge le chiavi di registro in HKEY_CLASSES_ROOT dove sono registrate delle estensioni di file le estensioni dei file. Questa regola impedisce ai malware di modificare le registrazioni di estensione dei file per consentire ai malware di essere eseguiti in background. Procedura consigliata: disattivare questa regola durante l'installazione di applicazioni valide che modificano le registrazioni dell'estensione dei file nel registro. Questa regola costituisce un'alternativa più restrittiva a Assunzione del controllo di file eseguibili con estensione .EXE e altre estensioni. Alterazione delle policy di diritti utente Protegge i valori di registro che contengono informazioni di sicurezza Windows. Questa regola impedisce ai worm di modificare gli account che dispongono di diritti amministratore. 70 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Regola definita da McAfee Descrizione Creazione di nuovi file eseguibili nella cartella Programmi Impedisce la creazione di nuovi file eseguibili nella cartella Programmi. 3 Questa regola impedisce ad adware e spyware di creare nuovi file .EXE e .DLL e di installare nuovi file eseguibili nella cartella Programmi. Procedura consigliata: installare la applicazioni prima di attivare questa regola o inserire i processi bloccati nell'elenco di esclusioni. Creazione di nuovi file eseguibili nella cartella Windows Impedisce la creazione di file da qualsiasi processo, non soltanto in rete. Questa regola impedisce la creazione di file .EXE e .DLL nella cartella Windows. Procedura consigliata: aggiungere all'elenco di esclusioni i processi che devono salvare file nella cartella Windows. Disattivazione di Editor del Registro e Task Manager Protegge le voci di registro Windows, impedendo la disattivazione dell'Editor del Registro e di Task Manager. Durante un'epidemia, disattivare questa regola per poter modificare il registro oppure aprire Task Manager per arrestare i processi attivi. Esecuzione di script di Windows script host (CScript.exe o Wscript.exe) da qualsiasi cartella temporanea Impedisce a Windows Scripting Host di eseguire script VBScript e JavaScript da qualsiasi cartella che contiene "temp" nel nome. Assunzione del controllo di file eseguibili con estensione .EXE o altre estensioni Protegge .EXE, .BAT e altre chiavi di registro eseguibili in HKEY_CLASSES_ROOT. Questa regola protegge da numerosi trojan e meccanismi di installazione Web discutibili utilizzati da applicazioni adware e spyware. Questa regola potrebbe bloccare l'installazione o l'esecuzione di applicazioni di terze parti e script legittimi. Questa regola impedisce ai malware di modificare le chiavi di registro per eseguire il virus quando si sta eseguendo un altro eseguibile. Questa regola è un'alternativa meno restrittiva a Modifica di tutte le registrazioni delle estensioni di file. Installazione di oggetti helper Impedisce l'installazione di adware, spyware e trojan come oggetti helper browser o estensioni shell browser nel computer host. Questa regola impedisce l'installazione di adware e spyware sui sistemi. Procedura consigliata: per consentire ad applicazioni personalizzate o di terze parti legittime di installare questi oggetti, aggiungerli all'elenco di esclusioni. Dopo l'installazione, è possibile riattivare la regola in quanto non impedisce il funzionamento degli oggetti helper browser installati. Installazione di nuovi CLSID, APPID e TYPELIB Impedisce l'installazione o la registrazione di nuovi server COM. Questa regola protegge da programmi adware e spyware che si installano come add-on COM in Internet Explorer o nelle applicazioni Microsoft Office. Procedura consigliata: consentire le applicazioni legittime che si registrano come add-on COM, comprese alcune applicazioni comuni come Adobe Flash, aggiungendole all'elenco delle esclusioni. McAfee Endpoint Security 10.2 Guida del prodotto 71 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Regola definita da McAfee Descrizione Apertura automatica di file dalla cartella Programmi scaricati di Internet Explorer Impedisce l'installazione di software tramite il browser Web. Questa regola è specifica per Microsoft Internet Explorer. Poiché questa regola potrebbe bloccare anche l'installazione di software legittimo, installare l'applicazione prima di attivarla o aggiungere il processo di installazione come esclusione. L'impostazione predefinita della regola è Segnala. Questa regola impedisce ad adware e spyware di installare ed eseguire eseguibili da questa cartella. Modifica di processi Windows Impedisce la creazione o l'esecuzione di file con i nomi contraffatti più principali comuni. Questa regola impedisce a virus e trojan di essere eseguiti con il nome di un processo Windows. Questa regola esclude i file Windows autentici. Modifica di impostazioni Internet Explorer Impedisce ai processi di modificare le impostazioni di Internet Explorer. Questa regola impedisce a trojan, adware e spyware della pagina iniziale di modificare le impostazioni browser, come cambiare la pagina iniziale o installare i preferiti. Modifica delle impostazioni di Impedisce ai processi non presenti nell'elenco di esclusioni di modificare le rete impostazioni di rete di un sistema. Questa regola protegge dai Layered Service Provider che trasmettono dati, come i comportamenti di navigazione, acquisendo il traffico di rete e inviandolo a siti di terze parti. Procedura consigliata: aggiungere i processi che devono modificare le impostazioni di rete all'elenco di esclusioni o disattivare la regola quando si apportano modifiche. Registrazione di programmi Blocca i tentativi di adware, spyware, trojan e virus di registrarsi per il da eseguire automaticamente caricamento a ogni riavvio del sistema. Questa regola impedisce ai processi non presenti nell'elenco di esclusioni di registrare processi che vengono eseguiti a ogni riavvio del sistema. Procedura consigliata: aggiungere applicazioni legittime all'elenco di esclusioni o installarle prima dell'attivazione della regola. Accesso remoto a file o cartelle locali Impedisce l'accesso al computer in lettura e scrittura da computer remoti. Questa regola impedisce la diffusione di un worm di tipo share-hopping. In un ambiente standard, questa regola è adatta alle workstation, ma non ai server, ed è utile solamente quando i computer si trovano sotto attacco attivo. Se un computer viene gestito eseguendovi il push di file, questa regola impedisce l'installazione di aggiornamenti o patch. Questa regola non influisce sulle funzioni di gestione di McAfee ePO. Creazione remota di file di esecuzione automatica Impedisce ad altri computer di stabilire una connessione e creare o modificare i file di esecuzione automatica (autorun.inf). I file di esecuzione automatica vengono utilizzati per avviare automaticamente i file di programmi, normalmente file di configurazione da CD. Questa regola impedisce l'esecuzione di spyware e adware distribuiti su CD. Questa regola è selezionata per impostazione predefinita per Blocca e Segnala. 72 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Regola definita da McAfee Descrizione Creazione o modifica di file o cartelle da remoto Blocca l'accesso in scrittura a tutte le condivisioni. Questa regola è utile durante un'epidemia, in quanto impedisce l'accesso in scrittura per limitare la diffusione dell'infezione. La regola blocca i malware che altrimenti limiterebbero gravemente l'uso del computer o della rete. In un ambiente standard, questa regola è adatta alle workstation, ma non ai server, ed è utile solamente quando i computer si trovano sotto attacco attivo. Se un computer viene gestito eseguendovi il push di file, questa regola impedisce l'installazione di aggiornamenti o patch. Questa regola non influisce sulle funzioni di gestione di McAfee ePO. Creazione o modifica remota di tipi di file quali eseguibile portabile, .INI, .PIF e percorsi sistema principale Impedisce ad altri computer di stabilire una connessione e modificare i file eseguibili, come i file nella cartella Windows. Questa regola riguarda solamente i tipi di file generalmente infettati da virus. Questa regola protegge da worm o virus che si diffondono rapidamente, che attraversano una rete tramite le condivisioni aperte o amministrative. Questa regola è un'alternativa meno sicura a Impostare tutte le condivisioni come di sola lettura. Esecuzione di file da Impedisce agli eseguibili di eseguire o avviare file da qualsiasi cartella che qualsiasi cartella temporanea contiene "temp" nel nome. Questa regola protegge contro il malware salvato ed eseguito dalla cartella Temp dell'utente o del sistema. Tale malware potrebbe includere allegati eseguibili nell'email e nei programmi scaricati. Nonostante questa regola fornisca la protezione maggiore, potrebbe bloccare l'installazione di applicazioni legittime. Esecuzione file dalla cartella temporanea da parte di programmi comuni Impedisce alle applicazioni di installare software dal browser o dal client email. Questa regola impedisce l'esecuzione di allegati email ed eseguibili nelle pagine Web. Procedura consigliata: per installare un'applicazione che utilizza la cartella temporanea, aggiungere il processo all'elenco di esclusioni. Vedere anche Configurare le regole di protezione dell'accesso definite da McAfee a pagina 69 Configurare le regole di protezione dell'accesso definite dall'utente Queste regole definite dall'utente integrano la protezione offerta dalle regole definite da McAfee. È possibile aggiungere ed eliminare, ma anche attivare, disattivare e modificare la configurazione di queste regole. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Procedura consigliata: per informazioni sulla creazione di regole di protezione dell'accesso contro i ransomware, consultare l'articolo PD25203. McAfee Endpoint Security 10.2 Guida del prodotto 73 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Protezione dell'accesso. 5 Creazione della regola: nella sezione Regole, fare clic su Aggiungi. Nella pagina Aggiungi regola, configurare le impostazioni. a Nella sezione Eseguibili, fare clic su Aggiungi, configurare le proprietà dell'eseguibile e fare clic due volte su Salva. Se la tabella degli eseguibili è vuota, la regola viene applicata a tutti gli eseguibili. b Nella sezione Nomi utente, fare clic su Aggiungi e configurare le proprietà del nome utente. Se la tabella Nomi utente è vuota, la regola viene applicata a tutti gli utenti. c Nella sezione Sottoregole, fare clic su Aggiungi e configurare le proprietà della sottoregola. Procedura consigliata: per evitare effetti negativi sulle prestazioni, non selezionare l'operazione Leggi. Nella sezione Destinazioni, fare clic su Aggiungi, configurare le informazioni sulla destinazione e fare clic due volte su Salva. 6 7 Nella sezione Regole, selezionare Blocca, Segnala o entrambe le opzioni per la regola. • Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. • Per disattivare la regola, deselezionare Blocca e Segnala. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Esclusione dei processi dalla protezione dell'accesso a pagina 75 Valutazione delle destinazioni nelle sottoregole di Protezione dell'accesso Ciascuna destinazione viene aggiunta con una direttiva Includi o Escludi. 74 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Quando si valuta un evento di sistema utilizzando una sottoregola, questa lo valuta come vero se: • Almeno una direttiva Includi è vera. e • Tutte le direttive Escludi sono false. Escludi ha la precedenza su Includi. Di seguito sono riportati alcuni esempi: • Se un'unica sottoregola include ed esclude il file C:\marketing\jjohns, la sottoregola non viene attivata per quel file. • Se una sottoregola include tutti i file ma esclude il file C:\marketing\jjohns, la sottoregola viene attivata se il file non è C:\marketing\jjohns. • Se una sottoregola include il file C:\marketing\*, ma esclude C:\marketing\jjohns, la sottoregola viene attivata per C:\marketing\anyone, ma non per C:\marketing\jjohns. Esclusione dei processi dalla protezione dell'accesso Se viene bloccato un programma ritenuto affidabile, escludere il processo creando un'esclusione basata su policy o basata su regole. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. 3 Fare clic su Mostra Avanzate. 4 Fare clic su Protezione dell'accesso. McAfee Endpoint Security 10.2 , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce Guida del prodotto 75 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 5 Verificare che Protezione dell'accesso sia attivata. La Protezione dell'accesso è attivata per impostazione predefinita. 6 Eseguire una delle seguenti operazioni: Per... Eseguire questa operazione... Creare un'esclusione 1 Nella sezione Esclusioni, fare clic su Aggiungi per aggiungere processi da basata su policy. escludere da tutte le regole. 2 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile. 3 Fare clic su Salva, quindi su Applica per salvare le impostazioni. Creare un'esclusione 1 Modificare una regola esistente o aggiungerne una nuova. basata su regole. 2 Nella pagina Aggiungi regola o Modifica regola, fare clic su Aggiungi per aggiungere un eseguibile da escludere. 3 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile. 4 Fare clic su Salva per salvare le esclusioni. Blocco degli exploit da overflow del buffer Prevenzione exploit impedisce l'esecuzione di codici arbitrari da parte di overflow del buffer interessati da exploit. La funzione controlla le chiamate all'API della modalità utente e riconosce se sono il risultato di un overflow del buffer. Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività, visualizzate nel sistema client e inviate al server di gestione, se configurato. Prevenzione delle minacce si serve dei file di contenuto di prevenzione exploit per proteggere applicazioni come Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e MSN Messenger. Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2. Se McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni della policy. Modalità di verifica dell'exploit di overflow del buffer Gli autori dell'attacco sfruttano gli exploit di overflow del buffer per avviare codice eseguibile tramite l'overflow dei buffer di memoria di dimensioni fisse per un processo di input. Tale codice consente all'autore dell'attacco di assumere il controllo del computer bersaglio o di comprometterne i dati. Oltre il 25% degli attacchi malware è costituito da attacchi di overflow del buffer che cercano di sovrascrivere la memoria adiacente nello stack frame. Esistono due tipologie di exploit di overflow del buffer: • Gli attacchi basati su stack utilizzano gli oggetti della memoria stack per memorizzare l'input dell'utente e sono i più comuni. • Gli attacchi basati su heap occupano lo spazio di memoria riservato a un programma, ma sono rari. L'oggetto della memoria stack di dimensioni fisse è in genere vuoto e in attesa dell'input dell'utente. Quando un programma riceve l'input dell'utente, i dati vengono memorizzati nella parte superiore dello stack e viene loro assegnato un indirizzo di memoria di restituzione. Quando lo stack viene elaborato, l'input dell'utente viene inviato all'indirizzo di restituzione specificato dal programma. 76 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Di seguito viene fornita una descrizione degli attacchi tramite overflow del buffer basati su stack: 1 Overflow dello stack. Quando il programma viene compilato, una quantità di spazio di memoria specifica viene riservata ai dati. Gli overflow dello stack si verificano se la quantità di dati scritti supera lo spazio a essi riservato nello stack della memoria. Questo rappresenta un problema solo quando è presente un input pericoloso. 2 Exploit dell'overflow. Il programma attende l'input dell'utente. Se l'autore dell'attacco digita un comando eseguibile che supera la dimensione dello stack, tale comando viene salvato al di fuori dello spazio riservato. 3 Esecuzione del malware. Il comando non viene eseguito automaticamente perché supera la quantità di spazio disponibile nel buffer dello stack. Prima il programma inizia ad arrestarsi in modo anomalo a causa dell'overflow del buffer. Se l'autore dell'attacco ha fornito un indirizzo di memoria di restituzione che fa riferimento al comando dannoso, il programma cerca di recuperarlo utilizzando l'indirizzo di restituzione. Se l'indirizzo di restituzione è un indirizzo valido, il comando dannoso viene eseguito. 4 Exploit delle autorizzazioni. Il malware viene ora eseguito con le stesse autorizzazioni dell'applicazione compromessa. Poiché i programmi vengono in genere eseguiti in modalità kernel o con autorizzazioni ereditate da un account di servizio, l'autore dell'attacco ora è in grado di controllare completamente il sistema operativo. Configurare le impostazioni della policy di prevenzione exploit Per impedire l'esecuzione di codice arbitrario da parte delle applicazioni sul computer personale, configurare le impostazioni della policy di prevenzione exploit. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Prevenzione exploit. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accedere come amministratore a pagina 27 McAfee Endpoint Security 10.2 Guida del prodotto 77 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Esclusione di processi dalla prevenzione exploit Quando si verifica un evento di violazione di prevenzione exploit, esiste un processo associato e un possibile modulo chiamante o API. Se si sospetta che l'evento di violazione sia un falso positivo, è possibile aggiungere un'esclusione che specifica il processo, il modulo chiamante o l'API. All'interno di una stessa esclusione, il processo, il modulo e l'API sono collegati con un AND logico. Per evitare che si ripetano violazioni, processo, modulo e API associati all'evento di violazione devono corrispondere. Ogni esclusione è indipendente: più esclusioni sono collegate con un OR logico, per cui, se un'esclusione corrisponde, l'evento di violazione non si verifica. Rilevamento di programmi potenzialmente indesiderati Per proteggere il computer gestito da programmi potenzialmente indesiderati, è necessario configurare i file e i programmi da rilevare nell'ambiente, quindi attivare il rilevamento. I programmi potenzialmente indesiderati sono programmi software fastidiosi o in grado di alterare lo stato di protezione oppure i criteri di riservatezza del sistema. I programmi potenzialmente indesiderati possono essere contenuti in programmi scaricati intenzionalmente dall'utente. I programmi potenzialmente indesiderati possono includere spyware, adware e dialer. 1 Specificare i programmi indesiderati personalizzati che i programmi di scansione all'accesso e su richiesta dovranno rilevare nelle impostazioni della policy Opzioni. 2 Attivare il rilevamento dei programmi indesiderati e specificare quali azioni intraprendere quando si verificano dei rilevamenti nelle seguenti impostazioni: • Impostazioni della policy di scansione all'accesso • Impostazioni della policy di scansione su richiesta Vedere anche Specificare programmi potenzialmente indesiderati personalizzati da rilevare a pagina 78 Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e risposte a pagina 79 Configurare le impostazioni della policy di scansione all'accesso a pagina 81 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Specificare programmi potenzialmente indesiderati personalizzati da rilevare Specificare i programmi aggiuntivi che i programmi di scansione all'accesso e su richiesta dovranno gestire come indesiderati nelle impostazioni Opzioni. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file di contenuto AMCore. 78 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Da Rilevamenti di programmi potenzialmente indesiderati: • Fare clic su Aggiungi per specificare il nome e la descrizione facoltativa di singoli file o programmi da rilevare come programmi potenzialmente indesiderati. Quando viene effettuato un rilevamento, la descrizione compare come nome rilevamento. • Fare doppio clic sul nome o la descrizione di un programma potenzialmente indesiderato esistente per modificarli. • Selezionare un programma potenzialmente indesiderato esistente, quindi fare clic su Elimina per rimuoverlo dall'elenco. Vedere anche Accedere come amministratore a pagina 27 Attivazione e configurazione di rilevamenti di programmi potenzialmente indesiderati e risposte Attivare il rilevamento di programmi potenzialmente indesiderati e specificare le risposte in caso di rilevamento da parte dei programmi di scansione all'accesso e su richiesta. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Configurare le impostazioni della policy di scansione all'accesso. a Aprire Client Endpoint Security. b Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. c Fare clic su Mostra Avanzate. d Fare clic su Scansione all'accesso. McAfee Endpoint Security 10.2 , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce Guida del prodotto 79 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 2 e In Impostazioni per i processi, per ciascun tipo di scansione all'accesso, selezionare Rileva programmi indesiderati. f In Azioni, configurare le risposte a programmi indesiderati. Configurare le impostazioni della policy di scansione su richiesta. a Aprire Client Endpoint Security. b Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce c Fare clic su Mostra Avanzate. d Fare clic su Scansione su richiesta. e Per ciascun tipo di scansione (scansione completa, scansione rapida e scansione di scelta rapida): • Selezionare Rileva programmi indesiderati. • In Azioni, configurare le risposte a programmi indesiderati. Vedere anche Configurare le impostazioni della policy di scansione all'accesso a pagina 81 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Accedere come amministratore a pagina 27 Configurazione delle impostazioni di scansione comuni Per specificare impostazioni che si applicano sia alle scansioni all'accesso sia a quelle su richiesta, configurare le impostazioni della policy Prevenzione delle minacce Opzioni. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Queste impostazioni si applicano a tutte le scansioni: • Posizione di quarantena e numero di giorni in cui gli elementi resteranno in quarantena prima di essere automaticamente eliminati • Nomi dei rilevamenti da escludere dalle scansioni • Programmi potenzialmente indesiderati da rilevare, come spyware e adware • Feedback telemetria basato su McAfee GTI Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. 3 80 , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce Fare clic su Mostra Avanzate. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 4 Fare clic su Opzioni. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. 3 Vedere anche Accedere come amministratore a pagina 27 Configurare le impostazioni della policy di scansione all'accesso a pagina 81 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Funzionamento di McAfee GTI Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni sito e i rapporti per Controllo Web. Se si configura Controllo Web per la scansione dei file scaricati, il programma di scansione utilizza la reputazione dei file fornita da McAfee GTI per verificare la presenza di file sospetti. Il programma di scansione invia le impronte digitali degli elementi, o hash, a un server di database centrale ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs pubblica l'aggiornamento. È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un campione rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo un maggior numero di rilevamenti è possibile ottenere un maggior numero di falsi positivi. • Per Prevenzione delle minacce, il livello di sensibilità di McAfee GTI è impostato su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di scansione nelle impostazioni di Prevenzione delle minacce. • Per Controllo Web, il livello di sensibilità di McAfee GTI è impostato su Molto elevato per impostazione predefinita. Configurare il livello di sensibilità per la scansione dei download di file nelle impostazioni Opzioni di Controllo Web. È possibile configurare Endpoint Security per utilizzare un server proxy per il recupero delle informazioni di reputazione di McAfee GTI nelle impostazioni del modulo In comune. Configurare le impostazioni della policy di scansione all'accesso Queste impostazioni attivano e configurano la scansione all'accesso e ciò include la specifica di messaggi da inviare al rilevamento di una minaccia e diverse impostazioni basate sul tipo di processo. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. McAfee Endpoint Security 10.2 , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce Guida del prodotto 81 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Scansione all'accesso. 5 Selezionare Attiva scansione all'accesso per attivare il programma di scansione all'accesso e modificare le opzioni. 6 Specificare se utilizzare le impostazioni Standard per tutti i processi o diverse impostazioni per i processi con rischio basso ed elevato. 7 • Impostazioni standard – Configurare le impostazioni di scansione nella scheda Standard. • Diverse policy basate sul tipo di processo – Selezionare la scheda (Standard, Rischio elevato o Rischio basso) e configurare le impostazioni di scansione per ciascun tipo di processo. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Accedere come amministratore a pagina 27 Configurazione delle impostazioni di scansione comuni a pagina 80 Funzionamento della scansione all'accesso Il programma di scansione all'accesso si integra con i livelli più bassi del sistema (driver di filtro del file system) ed esegue la scansione dei file nel punto in cui entrano nel sistema. Il programma di scansione all'accesso consegna notifiche all'interfaccia del servizio in caso di rilevamenti. Quando viene eseguito un tentativo di apertura o chiusura di un file, il programma di scansione intercetta l'operazione e intraprende le azioni seguenti: 1 Il programma di scansione determina se sottoporre l'elemento a scansione in base ai criteri seguenti: • L'estensione del file corrisponde a quanto indicato nella configurazione. • Il file non è stato memorizzato nella cache, escluso o precedentemente sottoposto a scansione. Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti. 2 Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le firme contenute nell'elemento con le firme dei file AMCore content correntemente caricati. • Se il file non è infetto, il risultato viene memorizzato nella cache e l'accesso viene consentito in lettura o scrittura. • Se il file contiene una minaccia, l'operazione viene negata e il programma di scansione esegue l'azione configurata. Se ad esempio l'azione consiste nel ripulire il file, il programma di scansione: 82 1 Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file. 2 Registra i risultati nel registro attività. 3 Notifica all'utente il rilevamento di una minaccia nel file e richiede che venga intrapresa l'azione appropriata (ripulire o eliminare il file). McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Windows 8 e 10: se il programma di scansione rileva una minaccia nel percorso di un'applicazione del Windows Store installata, contrassegna tale file come alterato. Windows aggiunge il contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione. 3 Se il file non soddisfa i requisiti di scansione, il programma di scansione memorizza il file nella cache e consente l'accesso. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i file quando: • La configurazione della scansione all'accesso subisce modifiche. • È stato aggiunto un file Extra.DAT. Scansione durante la scrittura su disco, la lettura dal disco o consentire a McAfee di decidere È possibile specificare quando il programma di scansione all'accesso deve eseguire la scansione dei file: durante la scrittura su disco, durante la lettura dal disco o consentire a McAfee di decidere quando eseguire la scansione. Quando i file vengono scritti sul disco, il programma di scansione all'accesso esegue la scansione di questi file: • File in ingresso che vengono scritti sul disco rigido locale. • File creati sul disco rigido locale o su un'unità di rete mappata, se attivata (compresi i file nuovi, modificati o copiati/spostati da un'unità all'altra). McAfee Endpoint Security 10.2 Guida del prodotto 83 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Quando i file vengono letti dal disco, il programma di scansione esegue la scansione di questi file: • File in uscita che vengono letti dal disco rigido locale o dalle unità di rete mappate (se attivate). • Qualsiasi file che tenta di eseguire un processo sul disco rigido locale. • File aperti sul disco rigido locale. Se si consente a McAfee di decidere se un file deve essere sottoposto a scansione, il programma di scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Ad esempio, McAfee analizza alcuni programmi e li considera affidabili. Se McAfee verifica che questi programmi non sono stati alterati, il programma di scansione potrebbe eseguire una scansione ridotta o ottimizzata. Procedura consigliata: attivare questa opzione per ottimizzare protezione e prestazioni. Informazioni su ScriptScan Il programma di scansione script di Prevenzione delle minacce agisce come componente proxy nel Windows Script Host nativo, intercettando ed eseguendo la scansione di script prima della loro esecuzione. • Se uno script non è infetto, il programma di scansione degli script lo trasmette al sistema Windows Script Host nativo. • Se lo script contiene una minaccia potenziale, il programma di scansione script ne impedisce l'esecuzione. Esclusioni di ScriptScan I siti e le applicazioni Web ad alta densità di script potrebbero funzionare in maniera non ottimale quando ScriptScan è attivato. Anziché disattivare ScriptScan, si consiglia di specificare esclusioni URL per i siti affidabili, come quelli all'interno dell'Intranet o le applicazioni Web ritenute sicure. 84 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Quando si creano esclusioni URL: • Non utilizzare caratteri jolly. • Non includere numeri di porta. • Si consiglia di utilizzare solo nomi di dominio completi (FQDN) e nomi NetBIOS. Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Internet Explorer, a meno che non si attivino estensioni di browser di terze parti e si riavvii il sistema. Vedere l'articolo KB69526 della KnowledgeBase. ScriptScan e Internet Explorer Quando Prevenzione delle minacce è installato, al primo avvio di Internet Explorer viene visualizzata una richiesta di attivare i componenti aggiuntivi di McAfee. Affinché ScriptScan esegua la scansione degli script: • L'impostazione Attiva ScriptScan deve essere selezionata. • Il componente aggiuntivo deve essere attivato nel browser. Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script dannosi in quella istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato ScriptScan affinché rilevi gli script dannosi. Determinazione delle impostazioni di scansione per i processi Seguire questa procedura per determinare se configurare diverse impostazioni in base al tipo di processo. McAfee Endpoint Security 10.2 Guida del prodotto 85 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Configurazione delle impostazioni Scansione su richiesta Queste impostazioni consentono di configurare il comportamento di tre scansioni su richiesta predefinite: Scansione completa, Scansione rapida e Scansione di scelta rapida. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Consultare la Guida per le impostazioni delle Opzioni del modulo Prevenzione delle minacce. 86 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Prevenzione delle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Prevenzione delle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Scansione su richiesta. 5 Fare clic su una scheda per configurare le impostazioni per la scansione specificata. 6 • Scansione completa • Scansione rapida • Scansione di scelta rapida Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accedere come amministratore a pagina 27 Configurazione delle impostazioni di scansione comuni a pagina 80 Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Modalità di funzionamento della scansione su richiesta Il programma di scansione su richiesta esamina file, cartelle, memoria e registro del sistema alla ricerca di eventuali malware che avrebbero potuto infettare il sistema. Il momento e la frequenza di esecuzione delle scansioni su richiesta vengono stabiliti dall'utente. È possibile eseguire la scansione del sistema manualmente, a un orario pianificato o all'avvio. 1 Il programma di scansione su richiesta applica i seguenti criteri per stabilire se l'elemento deve essere sottoposto a scansione: • L'estensione del file corrisponde a quanto indicato nella configurazione. • Il file non è stato memorizzato nella cache, escluso o esaminato in precedenza (se il programma di scansione utilizza una cache di scansione). Se si configura McAfee GTI, il programma di scansione utilizza l'euristica per verificare la presenza di file sospetti. 2 Se il file soddisfa il criterio di scansione, ne viene eseguita la scansione confrontando le informazioni contenute nell'elemento con le firme di malware note nei file AMCore content correntemente caricati. • Se il file è pulito, il risultato viene inserito nella cache e viene eseguita la verifica del successivo elemento. • Se il file contiene una minaccia, il programma di scansione applica l'azione configurata. McAfee Endpoint Security 10.2 Guida del prodotto 87 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Ad esempio, se l'azione è quella di ripulire il file, il programma di scansione: 1 Utilizza le informazioni del file AMCore content correntemente caricato per ripulire il file. 2 Registra i risultati nel registro attività. 3 Invia una notifica all'utente a proposito del rilevamento di una minaccia nel file e include il nome dell'elemento e l'azione intrapresa. Windows 8 e 10: se il programma di scansione rileva una minaccia nel percorso di un'applicazione del Windows Store installata, contrassegna tale file come alterato. Windows aggiunge il contrassegno di alterato al riquadro dell'app. Quando si cerca di eseguirla, Windows informa l'utente del problema e lo reindirizza a Windows Store per la reinstallazione. 3 Se l'elemento non soddisfa i requisiti di scansione, il programma di scansione non lo controlla. Anzi, il programma continua fino ad aver eseguito la scansione di tutti i dati. L'elenco di rilevamento della scansione su richiesta viene ripulito quando viene avviata la scansione su richiesta successiva. Prevenzione delle minacce scarica la cache di scansione globale ed esegue nuovamente la scansione di tutti i file al caricamento di un Extra.DAT. Riduzione dell'impatto delle scansioni sugli utenti Per minimizzare l'impatto prodotto dalle scansioni su richiesta su un sistema, specificare le opzioni relative alle prestazioni durante la configurazione di queste scansioni. Esegui scansione solo quando il sistema è inattivo Il modo più semplice per assicurarsi che la scansione non produca alcun impatto sugli utenti consiste nell'eseguirla su richiesta solo quando il computer è inattivo. 88 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Quando questa opzione è selezionata, Prevenzione delle minacce mette in pausa la scansione quando rileva attività del disco o dell'utente, come l'accesso mediante tastiera o mouse. Prevenzione delle minacce riprende la scansione dopo tre minuti dall'ultimo accesso al sistema da parte dell'utente. È inoltre possibile: • Consentire agli utenti di riprendere le scansioni messe in pausa a causa di attività dell'utente. • Ripristinare l'esecuzione della scansione solo quando il sistema è inattivo. Disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono solamente tramite connessione desktop remota (RDP). Prevenzione delle minacce dipende da McTray per stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene avviato e il programma di scansione su richiesta non viene mai eseguito. Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files\McAfee\Agent\mctray.exe, per impostazione predefinita) manualmente quando accedono tramite RDP. Selezionare Scansiona solo quando il sistema è inattivo nella sezione Prestazioni della schedaImpostazionidell'attività di scansione su richiesta. Mettere in pausa le scansioni automaticamente Per migliorare le prestazioni, è possibile mettere in pausa le scansioni su richiesta quando la batteria è quasi esaurita. È inoltre possibile mettere in pausa la scansione quando un'applicazione, come un browser, programma di riproduzione multimediale o una presentazione, vengono eseguiti in modalità a schermo intero. La scansione riprende immediatamente quando il sistema viene connesso all'alimentazione o non si trova più in modalità a schermo intero. Selezionare queste opzioni nella sezione Prestazioni della scheda Impostazioni dell'attività di scansione: • Non eseguire la scansione quando il sistema è alimentato a batteria • Non eseguire la scansione quando il sistema è in modalità presentazione (disponibile quando Scansiona in qualsiasi momento è selezionato) Consentire agli utenti di rinviare le scansioni Se si sceglie Scansiona in qualsiasi momento, è possibile consentire agli utenti di rinviare le scansioni pianificate in incrementi di un'ora, fino a 24 ore, o per sempre. Ciascun rinvio dell'utente può durare un'ora. Ad esempio, se l'opzione Numero massimo di ore di rinvio da parte dell'utente è impostata su 2, l'utente può rinviare l'attività di scansione per due volte (due ore). Quando il numero di ore massimo specificato scade, la scansione riprende. Se si consente di configurare rinvii illimitati impostando l'opzione sul valore zero, l'utente potrà continuare a rinviare la scansione a tempo indeterminato. Selezionare L'utente può rinviare le scansioni nella sezione Prestazioni delle impostazioni dell'attività di scansione: Limitazione dell'attività di scansione con scansioni incrementali Utilizzare scansioni incrementali o recuperabili per impostare un limite di tempo per il verificarsi dell'attività di scansione su richiesta e di eseguire la scansione dell'intero sistema in più sessioni. Per utilizzare la scansione incrementale aggiungere un limite di tempo alla scansione pianificata. La scansione si interrompe quando viene raggiunto il limite. Al successivo avvio, questa attività riprenderà dal punto nel file e nella struttura della cartella in cui la scansione precedente si era interrotta. Selezionare Termina l'attività se eseguita per oltre nella sezione opzioni della scheda Pianifica dell'Attività di scansione. McAfee Endpoint Security 10.2 Guida del prodotto 89 3 Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce Configurare l'utilizzo del sistema Utilizzo del sistema specifica la quantità di tempo della CPU che il programma di scansione riceve durante la scansione. Per i sistemi con attività dell'utente finale, impostare l'utilizzo del sistema su Basso. Selezionare Utilizzo del sistema nella sezione Prestazioni della scheda Impostazioni dell'attività di scansione. Vedere anche Configurazione delle impostazioni Scansione su richiesta a pagina 86 Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Modalità di funzionamento dell'utilizzo del sistema Il programma di scansione su richiesta utilizza l'impostazione di priorità di Windows per la priorità dei processi di scansione e dei thread. L'impostazione di utilizzo del sistema (limitazione delle richieste) consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di scansione su richiesta riceve durante il processo di scansione. Se si imposta l'utilizzo del sistema per la scansione su un valore basso, aumentano le prestazioni delle altre applicazioni in esecuzione. L'impostazione sul livello basso è utile per i sistemi con attività dell'utente finale. Di contro, impostando l'utilizzo del sistema su un valore normale, la scansione viene eseguita più rapidamente. L'impostazione normale è utile per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre attività. Tabella 3-2 Impostazioni processo predefinite Impostazione processo Questa opzione... Prevenzione delle minacce Impostazione della priorità di Windows Basso Fornisce prestazioni migliori per le altre Basso applicazioni in uso. Selezionare questa opzione per i sistemi con attività dell'utente finale. Al di sotto del normale Imposta l'utilizzo di sistema per la scansione sul valore McAfee ePO predefinito. Normale (predefinito) Consente di completare la scansione più Normale rapidamente. Selezionare questa opzione per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. Al di sotto del normale Modalità di funzionamento della scansione dell'archivio remoto È possibile configurare il programma di scansione su richiesta per eseguire la scansione del contenuto dei file gestiti dall'archivio remoto. Archivio remoto monitora la quantità di spazio disponibile nel sistema locale. Quando necessario, l'archivio remoto esegue una migrazione automatica del contenuto (dati) da file qualificati del sistema client a un dispositivo di archiviazione, come una libreria di nastri. Quando un utente apre un file i cui dati sono stati migrati, l'archivio remoto recupera automaticamente i dati dal dispositivo di archiviazione. Selezionare l'opzione File di cui è stata eseguita la migrazione nell'archivio per configurare il programma di scansione su richiesta per eseguire la scansione di file gestiti dall'archivio remoto. Quando il programma di scansione incontra un file il cui contenuto è stato migrato, il file viene ripristinato nel sistema locale prima della scansione. Per ulteriori informazioni, vedere What is Remote Storage. 90 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Gestione di Prevenzione delle minacce 3 Configurazione, pianificazione e attivazione delle attività di scansione È possibile pianificare le attività di scansione completa e scansione rapida predefinite oppure creare attività di scansione personalizzata da Client Endpoint Security nelle impostazioni di In comune. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Dal menu Azione 3 Fare clic su Mostra Avanzate. 4 Da In comune, fare clic su Attività. 5 Configurare le impostazioni dell'attività di scansione nella pagina. , selezionare Impostazioni. Per... Attenersi alla seguente procedura Creare un'attività di scansione personalizzata. 1 Fare clic su Aggiungi. 2 Immettere il nome, selezionare Scansione personalizzata dall'elenco a discesa, quindi fare clic su Avanti. 3 Configurare le impostazioni e la pianificazione dell'attività di scansione, quindi fare clic su OK per salvare l'attività. Modificare un'attività di scansione. • Fare doppio clic sull'attività, apportare le modifiche quindi fare clic su OK per salvare l'attività. Rimuovere un'attività di scansione personalizzata. • Selezionare l'attività, quindi fare clic su Elimina. Creare una copia di un'attività di scansione. 1 Selezionare l'attività, quindi fare clic su Duplica. McAfee Endpoint Security 10.2 2 Immettere il nome, configurare le impostazioni, quindi fare clic su OK per salvare l'attività. Guida del prodotto 91 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Per... Attenersi alla seguente procedura Modificare la pianificazione per un'attività di scansione completa o di scansione rapida. 1 Fare doppio clic su Scansione completa o Scansione rapida. 2 Fare clic sulla scheda Pianificazione, modificare la pianificazione, quindi fare clic su OK per salvare l'attività. È possibile configurare le impostazioni delle attività Scansione completa e Scansione rapida solamente nei sistemi autogestiti. Per impostazione predefinita, l'esecuzione della Scansione completa è pianificata ogni mercoledì a mezzanotte. L'esecuzione della Scansione rapida è pianificata ogni giorno alle 19:00. Le pianificazioni sono attivate. Eseguire un'attività di scansione. • Selezionare l'attività, quindi fare clic su Esegui adesso. Se l'attività è già in esecuzione, incluse le pause o i rinvii, il pulsante cambia in Visualizza. Se si esegue un'attività prima di aver applicato le modifiche, Client Endpoint Security richiede di salvare le impostazioni. 6 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Accedere come amministratore a pagina 27 Configurazione delle impostazioni Scansione su richiesta a pagina 86 Esecuzione di una scansione completa o di una scansione rapida a pagina 58 Riferimento interfaccia client — Prevenzione delle minacce Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Pagina Quarantena Prevenzione delle minacce - Protezione dell'accesso Prevenzione delle minacce - Prevenzione exploit Prevenzione delle minacce – Scansione su richiesta Prevenzione delle minacce – Scansione su richiesta Percorsi di scansione McAfee GTI Azioni Aggiungi esclusione o Modifica esclusione Prevenzione delle minacce – Opzioni Ripristina AMCore content 92 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce 3 Pagina Quarantena Gestione di elementi in quarantena. Tabella 3-3 Opzioni Opzione Definizione Elimina Elimina gli elementi selezionati dalla quarantena. Gli elementi eliminati non possono essere ripristinati. Ripristina gli elementi dalla quarantena. Ripristina Endpoint Security ripristina gli elementi nella posizione originale e li rimuove dalla quarantena. Se un elemento costituisce ancora una minaccia valida, Endpoint Security lo reinserisce immediatamente in quarantena. Ripeti scansione Ripete la scansione degli elementi selezionati nella quarantena. Se l'elemento non costituisce più una minaccia, Endpoint Security lo ripristina nella posizione originale e lo rimuove dalla quarantena. Intestazione colonna Ordina elenco quarantena per... Nome rilevamento Nome del rilevamento. Tipo Tipo di minaccia, ad esempio, Trojan o Adware. Tempo in quarantena Il lasso di tempo durante il quale l'elemento è rimasto in quarantena. Numero di oggetti Il numero di oggetti del rilevamento. Versione AMCore content Il numero di versione di AMCore content che ha identificato la minaccia. Stato della ripetizione della scansione Lo stato della ripetizione della scansione, se l'elemento ha ripetuto la scansione risulta: • Non infetto - La ripetizione della scansione non ha rilevato minacce. • Infetto: Endpoint Security ha rilevato una minaccia durante la ripetizione della scansione. Vedere anche Gestione degli elementi in quarantena a pagina 62 Nomi rilevamenti a pagina 64 Ripetizione scansione di elementi in quarantena a pagina 65 Prevenzione delle minacce - Protezione dell'accesso Protegge i punti di accesso del sistema in base alle regole configurate. Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. La protezione dell'accesso confronta un'azione richiesta con l'elenco di regole configurate e agisce secondo la regola. Procedura consigliata: per informazioni sulla creazione di regole di protezione dell'accesso contro i ransomware, consultare l'articolo PD25203. Tabella 3-4 Opzioni Sezione Opzione Definizione PROTEZIONE DELL'ACCESSO Attiva protezione dell'accesso Attiva la funzione di protezione dell'accesso. McAfee Endpoint Security 10.2 Guida del prodotto 93 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-5 Opzioni avanzate Sezione Opzione Descrizione Esclusioni Consente di accedere ai processi specificati, detti anche eseguibili, per tutte le regole. • Aggiungi: aggiunge un processo all'elenco di esclusioni. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. Regole Configura le regole di protezione dell'accesso. È possibile attivare, disattivare e modificare le regole definite da McAfee, ma non è possibile eliminarle. • Aggiungi – Crea una regola personalizzata e la aggiunge all'elenco. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina – elimina l'elemento selezionato. • Duplica – Crea una copia dell'elemento selezionato. • Blocca solo: blocca i tentativi di accesso senza eseguire la registrazione. • Segnala solo – Avvisa senza bloccare i tentativi di accesso. • Blocca e Segnala – Blocca e registra i tentativi di accesso. Procedura consigliata: se non si conosce l'impatto completo di una regola, selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi di accesso. In questo modo è possibile decidere se bloccare l'accesso, monitorare i registri e i report. Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. Per disattivare la regola, deselezionare Blocca e Segnala. Vedere anche Configurare le regole di protezione dell'accesso definite da McAfee a pagina 69 Configurare le regole di protezione dell'accesso definite dall'utente a pagina 73 Aggiungi regola o Modifica regola a pagina 94 Regole di protezione dell'accesso definite da McAfee a pagina 70 Aggiungi regola o Modifica regola Aggiunge o modifica le regole di protezione dell'accesso definite dall'utente. 94 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-6 3 Opzioni Sezione Opzione Definizione Opzioni Nome Specifica o indica il nome della regola. (Obbligatorio) Azione Specifica le azioni per la regola. • Blocca solo – Blocca i tentativi di accesso senza eseguire la registrazione. • Segnala solo – Avvisa senza bloccare i tentativi di accesso. • Blocca e Segnala: blocca e registra i tentativi di accesso. Procedura consigliata: se non si conosce l'impatto completo di una regola, selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi di accesso. In questo modo è possibile decidere se bloccare l'accesso, monitorare i registri e i report. Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. Per disattivare la regola, deselezionare Blocca e Segnala. Eseguibili Specifica gli eseguibili per la regola. • Aggiungi – Crea un eseguibile e lo aggiunge all'elenco. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. • Attiva/disattiva stato inclusione: modifica lo stato di inclusione dell'elemento alternando Includi ed Escludi. Nomi utente Specifica i nomi utenti per i quali viene applicata la regola (solo per le regole definite dagli utenti). • Aggiungi: seleziona un nome utente e lo aggiunge all'elenco. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. • Attiva/disattiva stato inclusione: modifica lo stato di inclusione dell'elemento alternando Includi ed Escludi. Sottoregole Configura le sottoregole (solo per le regole definite dagli utenti). • Aggiungi: crea una sottoregola e la aggiunge all'elenco. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. Note Fornisce ulteriori informazioni sull'elemento. Vedere anche Aggiungi eseguibile o Modifica eseguibile a pagina 104 Aggiungi nome utente o Modifica nome utente a pagina 96 Aggiungi sottoregola o Modifica sottoregola a pagina 96 McAfee Endpoint Security 10.2 Guida del prodotto 95 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Aggiungi nome utente o Modifica nome utente Aggiunge o modifica i nomi utenti per i quali viene applicata la regola (solo per le regole definite dagli utenti). Tabella 3-7 Opzioni Opzione Definizione Nome Specifica il nome dell'utente al quale viene applicata la regola. Per indicare l'utente, usare il seguente formato: • Utente locale: esempi di voci valide: <nome_macchina>\<nome_utente_locale> .\<nome_utente_locale> .\amministratore (per l'amministratore locale) • Utente di dominio: <nome dominio>\<nome utente_dominio> • Sistema locale: Locale\Sistema indica l'account NT AUTHORITY\System sul sistema. Stato inclusione Specifica lo stato di inclusione dell'utente. • Includi: attiva la regola se l'utente specificato esegue l'eseguibile che viola una sottoregola. • Escludi: non attiva la regola se l'utente specificato esegue l'eseguibile che viola una sottoregola. Vedere anche Aggiungi regola o Modifica regola a pagina 94 Aggiungi sottoregola o Modifica sottoregola Aggiunta o modifica di una sottoregola (solo per le regole definite dagli utenti). Tabella 3-8 Opzioni Sezione Opzione Definizione Descrizione Nome Specifica il nome della sottoregola. Proprietà Indica il tipo di sottoregola. Tipo di sottoregola Modificando il tipo di sottoregola si rimuovono le voci eventualmente definite in precedenza nella tabella delle destinazioni. • File: protegge un file o una directory. Ad esempio, è possibile creare una regola personalizzata per bloccare o segnalare i tentativi di eliminazione di un foglio di calcolo Excel contenente informazioni riservate. • Chiave di registro – Protegge la chiave specificata. Una chiave di registro è il contenitore del valore di registro. Ad esempio, HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run. • Valore di registro – Protegge il valore specificato. I valori di registro sono memorizzati nelle chiavi di registro e sono riportati separatamente dalle chiavi di registro. Ad esempio, HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Autorun. • Processi: protegge i processi specificati. Ad esempio, consente di creare una regola personalizzata per bloccare o segnalare le operazioni tentate su un processo. 96 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-8 Opzioni (segue) Sezione Opzione Operazioni Definizione Indica le operazioni permesse con il tipo di sottoregola. È necessario specificare almeno un'operazione da applicare alla sottoregola. Procedura consigliata: per evitare effetti negativi sulle prestazioni, non selezionare l'operazione Leggi. • File: • Modifica attributi di sola lettura/nascosti: blocca o segnala le modifiche di tali attributi dei file contenuti nella cartella specificata. • Crea: blocca o segnala la creazione di file nella cartella specificata. • Elimina: blocca o segnala l'eliminazione di file nella cartella specificata. • Esegui: blocca o segnala l'esecuzione di file nella cartella specificata. • Modifica delle autorizzazioni: blocca o segnala le impostazioni di modifica delle autorizzazioni per i file contenuti nella cartella specificata. • Leggi: blocca o segnala l'accesso in lettura ai file specificati. • Rinomina: blocca o segnala il tentativo di rinominare i file specificati. McAfee Endpoint Security 10.2 Guida del prodotto 97 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-8 Opzioni (segue) Sezione Opzione Definizione Se si specifica la destinazione File di destinazione, Rinomina è l'unica operazione consentita. • Scrivi: blocca o segnala l'accesso in scrittura ai file specificati. • Chiave di registro: • Scrivi: blocca o segnala l'accesso in scrittura alla chiave specificata. • Crea: blocca o segnala la creazione della chiave specificata. • Elimina: blocca o segnala l'eliminazione della chiave specificata. • Leggi: blocca o segnala l'accesso in lettura alla chiave specificata. • Enumera: blocca o segnala l'enumerazione delle sottochiavi della chiave di registro specificata. • Carica: blocca o segnala la possibilità di scaricare la chiave di registro specificata e le relative sottochiavi dal registro. • Sostituisci: blocca o segnala la sostituzione della chiave di registro specificata e delle relative sottochiavi con un altro file. • Ripristina: blocca o segnala la possibilità di salvare le informazioni di registro in un file specificato e ricopia la chiave specificata. • Modifica delle autorizzazioni: blocca o segnala le impostazioni di modifica delle autorizzazioni per le chiavi di registro specificate e le relative sottochiavi. • Valore di registro: • Scrivi: blocca o segnala l'accesso in scrittura al valore specificato. • Crea: blocca o segnala la creazione del valore specificato. • Elimina: blocca o segnala l'eliminazione del valore specificato. • Leggi: blocca o segnala l'accesso in lettura al valore specificato. • Processi: • Apri con qualsiasi accesso: blocca o segnala l'apertura del processo con qualsiasi accesso. • Apri con accesso per creare un thread: blocca o segnala l'apertura del processo con accesso per creare un thread. • Apri con accesso per modifica: blocca o segnala l'apertura del processo con accesso per la modifica. • Apri con accesso per arresto: blocca o segnala l'apertura del processo con accesso per l'arresto. • Esegui eseguibile di destinazione: blocca o segnala l'esecuzione dell'eseguibile di destinazione specificato. È necessario aggiungere almeno un eseguibile di destinazione alla regola. Per l'operazione Esegui eseguibile di destinazione, quando si verifica un tentativo di eseguire il processo di destinazione, viene generato un evento. Per tutte le altre operazioni, quando la destinazione viene aperta viene generato un evento. Destinazioni 98 • Aggiungi: specifica le destinazioni della regola. Le destinazioni variano a seconda del tipo di regola selezionato. È necessario aggiungere almeno una destinazione alla sottoregola. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-8 3 Opzioni (segue) Sezione Opzione Definizione Fare clic su Aggiungi, selezionare lo stato di inclusione, quindi immettere o selezionare la destinazione da includere o escludere. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. Vedere anche Aggiungi regola o Modifica regola a pagina 94 DestinazioniPagina a pagina 100 Aggiungi eseguibile o Modifica eseguibile a pagina 104 McAfee Endpoint Security 10.2 Guida del prodotto 99 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce DestinazioniPagina Specifica lo stato di inclusione e la definizione di una destinazione. Tabella 3-9 Sezione Opzioni Opzione Definizione Determina se la destinazione è una corrispondenza positiva per la sottoregola. Specifica inoltre lo stato di inclusione della destinazione. Destinazioni • Includi: indica che la sottoregola può corrispondere alla destinazione specificata. • Escludi: indica che la sottoregola non deve corrispondere alla destinazione specificata. Se è stato selezionato il tipo di sottoregola File... 100 McAfee Endpoint Security 10.2 Specifica il nome del file, il nome della cartella, il percorso o il tipo di unità di destinazione per una sottoregola File. • Percorso file: Cercare e selezionare il file. • File di destinazione: Cercare e selezionare il nome del file di destinazione o il percorso per rinominarlo. Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-9 Sezione Opzioni (segue) Opzione Definizione Se la destinazione del file di destinazione è selezionata, deve essere selezionata (solo) l'operazione Rinomina. • Tipo di unità: selezionare il tipo di unità di destinazione dall'elenco a discesa: • Rimovibile: file in un'unità USB o in un'altra unità rimovibile collegata a una porta USB, comprese quelle in cui è installato Windows To Go. Non sono inclusi i file salvati su CD, DVD o floppy disk. Se si blocca questo tipo di unità, vengono bloccate anche le unità in cui è installato Windows To Go. • Rete: file in condivisioni di rete • Fissi: file che si trovano nel disco rigido locale o in altri dischi rigidi fissi • CD/DVD: file memorizzato su un CD o DVD • Dischetto: file salvati in un dischetto È possibile utilizzare ?, * e ** come caratteri jolly. Procedure consigliate per la destinazione della sottoregola File Ad esempio, per proteggere: • Un file o una cartella con nome c:\testap, usare la destinazione c: \testap o c:\testap\ • I contenuti della cartella, usare il carattere jolly asterisco: c:\testap\* • I contenuti di una cartella e delle sottocartelle, usare due asterischi: c: \testap\** Le variabili di ambiente del sistema sono supportate. È possibile specificare le variabili di ambiente in uno dei seguenti formati: • $(EnvVar) - $(SystemDrive), $(SystemRoot) • %EnvVar% - %SystemRoot%, %SystemDrive% Non tutte le variabili di ambiente definite dal sistema sono accessibili utilizzando la sintassi $(var), in particolare quelle contenenti i caratteri o. È possibile utilizzare la sintassi %var% per evitare questo problema. Le variabili di ambiente dell'utente non sono supportate. McAfee Endpoint Security 10.2 Guida del prodotto 101 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-9 Sezione Opzioni (segue) Opzione Definizione Se è stato selezionato il tipo di sottoregola Chiave di registro... Definisce le chiavi di registro usando chiavi principali. Sono supportate le seguenti chiavi principali: • HKLM o HKEY_LOCAL_MACHINE • HKCU o HKEY_CURRENT_USER • HKCR o HKEY_CLASSES_ROOT • HKCCS corrisponde a HKLM/SYSTEM/CurrentControlSet e HKLM/ SYSTEM/ControlSet00X • HKLMS corrisponde a HKLM/Software nei sistemi a 32 e 64 bit e a HKLM/Software/Wow6432Node solo nei sistemi a 64 bit • HKCUS corrisponde a HKCU/Software nei sistemi a 32 e 64 bit e a HKCU/Software/Wow6432Node solo nei sistemi a 64 bit • HKULM è trattato sia come HKLM sia come HKCU • HKULMS è trattato sia come HKLMS sia come HKCUS • HKALL è trattato sia come HKLM sia come HKU È possibile utilizzare ?, * e ** come caratteri jolly e | (barra verticale) come carattere di escape. Procedure consigliate per la destinazione della sottoregola Chiave di registro Ad esempio, per proteggere: • Una chiave di registro con nome HKLM\SOFTWARE\testap, usare la destinazione HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\ • I contenuti di una chiave di registro, usare il carattere jolly asterisco: HKLM\SOFTWARE\testap\* • I contenuti di una chiave di registro e delle relative sottochiavi, usare due asterischi: HKLM\SOFTWARE\testap\** • Chiavi di registro e valori di una chiave di registro, attivare l'operazione di scrittura 102 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-9 Sezione Opzioni (segue) Opzione Definizione Se è stato selezionato il tipo di sottoregola Valore di registro... Definisce i valori di registro di registro usando chiavi principali. Sono supportate le seguenti chiavi principali: • HKLM o HKEY_LOCAL_MACHINE • HKCU o HKEY_CURRENT_USER • HKCR o HKEY_CLASSES_ROOT • HKCCS corrisponde a HKLM/SYSTEM/CurrentControlSet e HKLM/ SYSTEM/ControlSet00X • HKLMS corrisponde a HKLM/Software nei sistemi a 32 e 64 bit e a HKLM/Software/Wow6432Node solo nei sistemi a 64 bit • HKCUS corrisponde a HKCU/Software nei sistemi a 32 e 64 bit e a HKCU/Software/Wow6432Node solo nei sistemi a 64 bit • HKULM è trattato sia come HKLM sia come HKCU • HKULMS è trattato sia come HKLMS sia come HKCUS • HKALL è trattato sia come HKLM sia come HKU È possibile utilizzare ?, * e ** come caratteri jolly e | (barra verticale) come carattere di escape. Procedure consigliata per la destinazione della sottoregola Valore di registro Ad esempio, per proteggere: • Un valore di registro con nome HKLM\SOFTWARE\testap, usare la destinazione HKLM\SOFTWARE\testap • I valori di registro di una chiave di registro, usare il carattere jolly asterisco: HKLM\SOFTWARE\testap\* • I valori di registro di una chiave di registro e delle relative sottochiavi, usare due asterischi: HKLM\SOFTWARE\testap\** Se è stato selezionato il tipo di sottoregola Processi... Definisce il nome o il percorso del file di processo, l'hash MD5 o la destinazione del firmatario della sottoregola Processi. È possibile usare ?, * e ** come caratteri jolly tranne per l'hash MD5. Procedure consigliate per la destinazione della sottoregola Processi Ad esempio, per proteggere: • Un processo con nome c:\testap.exe, usare il nome o il percorso di file di destinazione c:\testap.exe • Tutti i processi contenuti in una cartella, usare il carattere jolly asterisco: c:\testap\* • Tutti i processi contenuti in una cartella e nelle relative sottocartelle, usare due asterischi: c:\testap\** Vedere anche Aggiungi sottoregola o Modifica sottoregola a pagina 96 McAfee Endpoint Security 10.2 Guida del prodotto 103 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Aggiungi eseguibile o Modifica eseguibile Consente di aggiungere o modificare un eseguibile da escludere o includere. Per la protezione dell'accesso di Prevenzione delle minacce è possibile escludere gli eseguibili a livello di policy oppure includerli o escluderli a livello di regola. Per Contenimento dinamico delle applicazioni di Intelligence sulle minacce è possibile escludere gli eseguibili a livello di policy. Per specificare esclusioni e inclusioni, tenere presente quanto segue: • È necessario specificare almeno un identificatore: Nome o percorso del file, Hash MD5 o Firmatario. • Se si specifica più di un identificatore, vengono applicati tutti gli identificatori. • Se si specificano più identificatori, ma non corrispondono (ad esempio, il nome del file e l'hash MD5 non si riferiscono allo stesso file), l'esclusione o l'inclusione viene considerata non valida. • Le esclusioni e le inclusioni non fanno distinzione tra maiuscole e minuscole. • È consentito l'uso di caratteri jolly tranne per l'hash MD5. Tabella 3-10 Opzioni Opzione Definizione Nome Specifica il nome assegnato all'eseguibile. Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso file, Hash MD5 o Firmatario. Stato inclusione Determina lo stato di inclusione per l'eseguibile. • Includi: attiva la regola se l'eseguibile viola una sottoregola. • Escludi: non attiva la regola se l'eseguibile viola una sottoregola. Lo stato di inclusione viene visualizzato solo per la protezione dell'accesso di Prevenzione delle minacce, quando si aggiunge un eseguibile a una regola o la destinazione della sottoregola Processi. Nome o percorso file Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare. Fare clic su Sfoglia per selezionare l'eseguibile. Il percorso file può contenere caratteri jolly. Hash MD5 104 Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo. McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-10 Opzioni (segue) Opzione Definizione Firmatario Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Autore firma: consente solo i file firmati dal firmatario del processo specificato. È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi. Il firmatario del processo viene visualizzato nel formato corretto negli eventi del Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia di McAfee ePO. Ad esempio: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Per ottenere l'SDN di un eseguibile: 1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà. 2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli. 3 Nella scheda Generale, fare clic su Visualizza certificato. 4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto del firmatario. Ad esempio, Firefox dispone di questo SDN: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = Stati Uniti Fornisce ulteriori informazioni sull'elemento. Note Vedere anche Aggiungi regola o Modifica regola a pagina 94 Prevenzione delle minacce - Prevenzione exploit Attivazione e configurazione di Prevenzione exploit per impedire agli exploit di overflow del buffer di eseguire codice arbitrario sul computer. Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2. Se McAfee Host IPS è attivato, Prevenzione exploit viene disattivato anche se attivato nelle impostazioni della policy. Tabella 3-11 Opzioni Sezione Opzione Definizione PREVENZIONE EXPLOIT Attiva prevenzione exploit Attiva la funzione di prevenzione exploit. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. McAfee Endpoint Security 10.2 Guida del prodotto 105 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-12 Opzioni avanzate Sezione Opzione Definizione Specifica il livello di protezione della prevenzione exploit. Livello di protezione Standard Rileva e blocca solo gli exploit di overflow del buffer con livello di gravità elevato identificati nel file di contenuto di prevenzione exploit e arresta il thread rilevato. Usare questa funzione in modalità Standard per un breve periodo. Controllare il contenuto del file di registro per il tempo di utilizzo della funzione e stabilire se è necessario passare alla protezione Massima. Massima Rileva e blocca gli exploit di overflow del buffer con livello di gravità elevato e medio identificati nel file di contenuto di prevenzione exploit e arresta il thread rilevato. Questa impostazione può generare falsi positivi. Protezione da aumento generico dei privilegi Protezione esecuzione programmi di Windows Attiva la protezione da aumento generico dei privilegi Attiva il supporto per la protezione da aumento generico dei privilegi (GPEP). (Disattivato per impostazione predefinita) Attiva Protezione esecuzione programmi di Windows Consente l'integrazione di Protezione esecuzione programmi di Windows (DEP). (Disattivato per impostazione predefinita) GPEP utilizza firme GPEP nel contenuto di Prevenzione exploit per garantire la protezione da exploit di aumento dei privilegi nelle modalità kernel e utente. Poiché GPEP potrebbe generare report con falsi positivi, questa opzione è disattivata per impostazione predefinita. Selezionare questa opzione per: • Se non è già stato attivato, attivare DEP per le applicazioni a 32 bit nell'elenco di protezione delle applicazioni McAfee e utilizzarlo al posto della protezione generica da overflow del buffer (GBOP). Convalida chiamante e Monitoraggio API assegnate vengono ancora imposte. • Monitora i rilevamenti DEP nelle applicazioni a 32 bit in cui è attivo DEP. • Monitora i rilevamenti DEP nelle applicazioni a 64 bit incluse nell'elenco di protezione delle applicazioni McAfee. • Registra tutti i rilevamenti DEP e invia un evento a McAfee ePO. Disattivando questa opzione non si hanno effetti sui processi con DEP attivata come conseguenza della policy DEP di Windows. Specifica le azioni Blocca o Segnala per la prevenzione exploit. Azione L'impostazione di segnalazione non si applica quando la Protezione esecuzione programmi di Windows è attiva. Blocca Blocca il processo specificato. Selezionare Blocca per attivare la prevenzione exploit o deselezionarlo per disattivare la prevenzione exploit. Per bloccare i tentativi di accesso senza registrarli, selezionare Blocca ma non selezionare Segnala. 106 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-12 Opzioni avanzate (segue) Sezione Opzione Definizione Segnala Attiva la segnalazione dei tentativi di violazione della prevenzione exploit. Al verificarsi di un rilevamento, le informazioni vengono memorizzate nel registro attività. Procedura consigliata: se non si conosce l'impatto completo di una regola, selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi di accesso. In questo modo è possibile decidere se bloccare l'accesso, monitorare i registri e i report. Indica il processo, il modulo chiamante o l'API da escludere. Esclusioni Le esclusioni con Modulo chiamante o API non si applicano a DEP. • Aggiungi: crea un'esclusione e la aggiunge all'elenco. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. Vedere anche Configurare le impostazioni della policy di prevenzione exploit a pagina 77 Aggiungi esclusione o Modifica esclusione a pagina 107 Aggiungi esclusione o Modifica esclusione Aggiunge o modifica un'esclusione di Prevenzione exploit. È necessario indicare almeno un valore tra Processo, Modulo chiamante e API. Le esclusioni con Modulo chiamante o API non si applicano a DEP. Per specificare le esclusioni, tenere presente quanto segue: • È necessario specificare almeno un identificatore: Nome o percorso del file, Hash MD5 o Firmatario. • Se si specifica più di un identificatore, tutti gli identificatori vengono applicati all'esclusione. • Se si specificano più identificatori, ma non corrispondono (ad esempio, il nome del file e l'hash MD5 non si riferiscono allo stesso file), l'esclusione viene considerata non valida. • Le esclusioni non distinguono tra maiuscole e minuscole. • È consentito l'uso di caratteri jolly tranne per l'hash MD5. Tabella 3-13 Opzioni Sezione Opzione Definizione Processo Nome Specifica il nome del processo da escludere. La prevenzione exploit esclude il processo indipendentemente da dove questo si trovi. Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso file, Hash MD5 o Firmatario. Nome o percorso file Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare. Hash MD5 Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo. McAfee Endpoint Security 10.2 Fare clic su Sfoglia per selezionare l'eseguibile. Guida del prodotto 107 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-13 Sezione Opzioni (segue) Opzione Definizione Firmatario Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Autore firma: consente solo i file firmati dal firmatario del processo specificato. È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi. Il firmatario del processo viene visualizzato nel formato corretto negli eventi del Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia di McAfee ePO. Ad esempio: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Per ottenere l'SDN di un eseguibile: 1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà. 2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli. 3 Nella scheda Generale, fare clic su Visualizza certificato. 4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto del firmatario. Ad esempio, Firefox dispone di questo SDN: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = Stati Uniti Modulo chiamante Nome Specifica il nome del modulo cui appartiene la memoria scrivibile che effettua la chiamata. Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso file, Hash MD5 o Firmatario. 108 Nome o percorso file Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare. Hash MD5 Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo. McAfee Endpoint Security 10.2 Fare clic su Sfoglia per selezionare l'eseguibile. Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-13 Sezione Opzioni (segue) Opzione Definizione Firmatario Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Autore firma: consente solo i file firmati dal firmatario del processo specificato. È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi. Il firmatario del processo viene visualizzato nel formato corretto negli eventi del Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia di McAfee ePO. Ad esempio: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Per ottenere l'SDN di un eseguibile: 1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà. 2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli. 3 Nella scheda Generale, fare clic su Visualizza certificato. 4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto del firmatario. Ad esempio, Firefox dispone di questo SDN: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = Stati Uniti API Nome Specifica il nome dell'API (Application Programming Interface) che viene chiamata. Note Fornisce ulteriori informazioni sull'elemento. Vedere anche Prevenzione delle minacce - Prevenzione exploit a pagina 105 Esclusione di processi dalla prevenzione exploit a pagina 78 Prevenzione delle minacce – Scansione su richiesta Attivare e configurare le impostazioni di scansione all'accesso. Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. McAfee Endpoint Security 10.2 Guida del prodotto 109 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-14 Opzioni Sezione Opzione Definizione SCANSIONE ALL'ACCESSO Attiva scansione all'accesso Attiva la funzione Scansione all'accesso. Attiva scansione all'accesso all'avvio del sistema Attiva la funzione Scansione all'accesso ogni volta che si accende il computer. Specifica il numero massimo di secondi per la scansione di ciascun file Limita la scansione di ciascun file al numero di secondi specificato. (Attivato per impostazione predefinita) (Attivato per impostazione predefinita) (Attivato per impostazione predefinita) Il valore predefinito è 45 secondi. Se viene superato il limite di tempo, la scansione si interrompe e viene registrato un messaggio. Scansione dei settori di avvio Esamina il settore di avvio del disco. (Attivato per impostazione predefinita) Procedura consigliata: quando il disco contiene un settore di avvio univoco o anomalo che non può essere sottoposto a scansione, disattivare la scansione del settore di avvio. Scansione dei processi Esegue nuovamente la scansione di tutti i processi attualmente in ad avvio servizio e memoria, ogni volta che: aggiornamento • Riattiva le scansioni all'accesso. contenuto • I file di contenuto sono aggiornati. • Il sistema viene avviato. • Il processo McShield.exe viene avviato. Procedura consigliata: poiché alcuni programmi o eseguibili vengono avviati automaticamente quando si avvia il sistema, disattivare questa opzione per ridurre il tempo di avvio del sistema. (Disattivato per impostazione predefinita) Quando il programma di scansione all'accesso è attivo, esegue sempre le scansioni di tutti i processi quando questi vengono eseguiti. Esegui scansione dei programmi di installazione affidabili Esegue la scansione dei file MSI (installati da msiexec.exe e con firma McAfee o Microsoft) o dei file del servizio Windows Trusted Installer. (Disattivato per impostazione predefinita) Procedura consigliata: disattivare questa opzione per migliorare le prestazioni dei programmi di installazione della maggior parte delle applicazioni Microsoft. 110 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-14 Sezione Opzioni (segue) Opzione Definizione Scansione durante la copia da cartelle locali Esegue la scansione dei file quando l'utente li copia da una cartella locale a un'altra. Se questa opzione è: • Disattivato – Vengono sottoposti a scansione solo gli elementi che si trovano nella cartella di destinazione. • Attivato – Vengono sottoposti a scansione sia gli elementi nella cartella di origine (lettura) sia quelli in quella di destinazione (scrittura). (Disattivato per impostazione predefinita) Attiva e configura le impostazioni di McAfee GTI. McAfee GTI ScriptScan Attiva ScriptScan Consente agli script di scansione JavaScript e VBScript di impedire l'esecuzione di script indesiderati. (Attivato per impostazione predefinita) Se ScriptScan è disattivato all'avvio di Internet Explorer e viene attivato in seguito, non rileva gli script dannosi in quella istanza di Internet Explorer. È necessario riavviare Internet Explorer dopo aver attivato ScriptScan affinché rilevi gli script dannosi. Escludi questi URL Specifica le esclusioni ScriptScan in base all'URL. Aggiungi: aggiunge un URL all'elenco di esclusioni. Elimina – Rimuove un URL dall'elenco di esclusioni. Gli URL non possono includere caratteri jolly. Tuttavia, qualsiasi URL che contenga una stringa proveniente da un URL escluso viene a sua volta escluso. Ad esempio, se l'URL msn.com è escluso, anche i seguenti URL vengono esclusi: • http://weather.msn.com • http://music.msn.com Sui sistemi Windows Server 2008, le esclusioni degli URL ScriptScan non funzionano con Internet Explorer, a meno che non si attivino estensioni di browser di terze parti e si riavvii il sistema. Vedere l'articolo KB69526 della KnowledgeBase. Tabella 3-15 Opzioni avanzate Sezione Opzione Definizione Messaggistica utente rilevamento minacce Al rilevamento di una minaccia, mostra la finestra di scansione all'accesso Mostra la pagina Scansione all'accesso con il messaggio specificato agli utenti client quando si verifica un rilevamento. (Attivato per impostazione predefinita) Quando questa opzione è selezionata, gli utenti possono aprire questa pagina dalla pagina Avvia scansione ogni volta che l'elenco di rilevamenti include almeno una minaccia. L'elenco di rilevamenti della scansione all'accesso viene ripulito al riavvio del servizio Endpoint Security o del sistema. Messaggio Specifica il messaggio da mostrare agli utenti client quando si verifica un rilevamento. Il messaggio predefinito è: McAfee Endpoint Security ha rilevato una minaccia. McAfee Endpoint Security 10.2 Guida del prodotto 111 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-15 Opzioni avanzate (segue) Sezione Opzione Definizione Impostazioni dei processi Utilizza impostazioni standard per tutti i processi Applica le stesse impostazioni configurate a tutti i processi durante l'esecuzione di una scansione all'accesso. Configura impostazioni diverse per processi ad alto e basso rischio Configura diverse impostazioni di scansione per ciascun tipo di processo identificato. Standard Configura le impostazioni per i processi non identificati come a rischio elevato o basso. (Attivato per impostazione predefinita) Scansione Rischio elevato Configura le impostazioni per i processi che presentano un rischio elevato. Rischio basso Configura le impostazioni per i processi che presentano un rischio basso. Aggiungi Aggiunge un processo all'elenco Rischio elevato o Rischio basso. Elimina Rimuove un processo dall'elenco Rischio elevato o Rischio basso. Quando eseguire la scansione Durante la scrittura sul disco Tenta la scansione di tutti i file quando vengono scritti o modificati nel computer o in altri dispositivi di memorizzazione dati. Durante la lettura dal disco Esegue la scansione di tutti i file quando vengono letti dal computer o da altri dispositivi di memorizzazione dati. Lascia decidere McAfee Consente a McAfee di decidere se sottoporre un file a scansione, utilizzando la logica di affidabilità per ottimizzare la scansione. La logica di affidabilità migliora la sicurezza e le prestazioni evitando scansioni non necessarie. Procedura consigliata: attivare questa opzione per ottimizzare protezione e prestazioni. Non eseguire la scansione durante la lettura o la scrittura da disco Specifica di non eseguire la scansione dei soli processi con Rischio basso. Elementi da sottoporre a scansione Tutti i file Esegue la scansione di tutti i file, indipendentemente dalla loro estensione. Se non è possibile attivare tutti i file, il sistema è vulnerabile agli attacchi malware. Tipi di file specificati e predefiniti Esegue la scansione di: • Elenco predefinito di estensioni di file nel file di contenuto AMCore corrente, inclusi i file senza estensione • Eventuali estensioni file aggiuntive specificate Separare le estensioni con una virgola. • (Facoltativo) Minacce di macro conosciute nell'elenco delle estensioni file specificate e predefinite 112 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-15 Opzioni avanzate (segue) Sezione Opzione Definizione Solo i tipi di file specificati Esegue la scansione di (un'opzione individualmente o entrambe contemporaneamente): • Solo file con le estensioni specificate (separate da virgole) • Tutti i file senza estensione Sulle unità di rete Esegue la scansione delle risorse sulle unità di rete mappate. Procedura consigliata: disattivare questa opzione per migliorare le prestazioni. Aperto per i backup Esegue la scansione dei file quando aperto da un software di backup. Procedura consigliata: nella maggior parte degli ambienti, non è necessario attivare questa impostazione. File di archivio compressi Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar. La scansione dei file compressi può ridurre le prestazioni del sistema. File compressi con codifica MIME Consente di rilevare, decodificare e sottoporre a scansione i file MIME (Multipurpose Internet Mail Extensions) codificati. Opzioni di scansione aggiuntive Rileva programmi indesiderati Consente al programma di scansione di rilevare programmi potenzialmente indesiderati. Il programma di scansione utilizza le informazioni configurate nelle impostazioni Prevenzione delle minacce Opzioni per rilevare programmi potenzialmente indesiderati. Rileva minacce di programma sconosciute Utilizza McAfee GTI per rilevare file eseguibili con codice simile a malware. Rileva minacce di macro sconosciute Utilizza McAfee GTI per rilevare virus macro sconosciuti. Azioni Specifica la modalità di risposta del programma di scansione al rilevamento di una minaccia. Esclusioni Specifica i file, le cartelle e le unità da escludere dalla scansione. Aggiungi Aggiunge un elemento all'elenco di esclusioni. Elimina Rimozione di un elemento dall'elenco di esclusioni. Vedere anche Configurare le impostazioni della policy di scansione all'accesso a pagina 81 McAfee GTI a pagina 118 Azioni a pagina 119 Aggiungi esclusione o Modifica esclusione a pagina 121 McAfee Endpoint Security 10.2 Guida del prodotto 113 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Prevenzione delle minacce – Scansione su richiesta Configura le impostazioni di Scansione su richiesta per le scansioni preconfigurate e le scansioni personalizzate eseguite sul sistema. Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. Queste impostazioni specificano il comportamento del programma di scansione quando: • Si seleziona Scansione completa o Scansione rapida dalla pagina Esegui Scansione nel Client Endpoint Security. • Come amministratore, si configura ed esegue una scansione su richiesta personalizzata come amministratore dalle Impostazioni | Attività | In comune nel Client Endpoint Security. • Si fa clic con il pulsante destro del mouse su un file o una cartella e si seleziona Ricerca minacce dal menu popup. Tabella 3-16 Opzioni Sezione Opzione Definizione Elementi da sottoporre a scansione Settori di avvio Esamina il settore di avvio del disco. Procedura consigliata: quando il disco contiene un settore di avvio univoco o anomalo che non può essere sottoposto a scansione, disattivare la scansione del settore di avvio. File di cui è stata eseguita la migrazione nell'archivio Esegue la scansione di file gestiti dall'archiviazione remota. Alcune soluzioni di archiviazione dati offline sostituiscono i file originali con file stub. Quando il programma di scansione incontra un file stub, questo viene ripristinato dal programma di scansione nel sistema locale prima della scansione. Si consiglia la disattivazione di questa opzione. File compressi con codifica MIME Consente di rilevare, decodificare e sottoporre a scansione i file MIME (Multipurpose Internet Mail Extensions) codificati. File di archivio compressi Esamina il contenuto dei file di archivio (compressi), inclusi i file .jar. Procedura consigliata: usare questa opzione di scansione nei tempi di inattività, quando il sistema non è utilizzato, perché la scansione dei file compressi può ridurre le prestazioni del sistema. Opzioni di scansione aggiuntive Percorsi di scansione 114 Sottocartelle (solo Scansione di scelta rapida) Esamina tutte le sottocartelle della cartella specificata. Rileva programmi indesiderati Consente al programma di scansione di rilevare programmi potenzialmente indesiderati. Il programma di scansione utilizza le informazioni configurate nelle impostazioni Prevenzione delle minacce Opzioni per rilevare programmi potenzialmente indesiderati. Rileva minacce di programma sconosciute Utilizza McAfee GTI per rilevare file eseguibili con codice simile a malware. Rileva minacce di macro sconosciute Utilizza McAfee GTI per rilevare virus macro sconosciuti. (Solo Scansione completa e Scansione rapida) Specifica i percorsi da sottoporre a scansione. McAfee Endpoint Security 10.2 Queste opzioni si applicano solamente a scansione completa e scansione rapida. Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-16 Opzioni (segue) Sezione Opzione Definizione Tipi di file da sottoporre a scansione Tutti i file Esegue la scansione di tutti i file, indipendentemente dalla loro estensione. McAfee consiglia vivamente di attivare Tutti i file. Se non è possibile attivare tutti i file, il sistema è vulnerabile agli attacchi malware. Tipi di file specificati Esegue la scansione di: e predefiniti • Elenco predefinito di estensioni di file nel file di contenuto AMCore corrente, inclusi i file senza estensione • Eventuali estensioni file aggiuntive specificate Separare le estensioni con una virgola. • (Facoltativo) Minacce di macro conosciute nell'elenco delle estensioni file specificate e predefinite Solo i tipi di file specificati Esegue la scansione di (un'opzione individualmente o entrambe contemporaneamente): • Solo file con le estensioni specificate (separate da virgole) • Tutti i file senza estensione McAfee GTI Attiva e configura le impostazioni di McAfee GTI. Esclusioni Specifica i file, le cartelle e le unità da escludere dalla scansione. Aggiungi Aggiunge un elemento all'elenco di esclusioni. Elimina Rimozione di un elemento dall'elenco di esclusioni. Specifica la modalità di risposta del programma di scansione al rilevamento di una minaccia. Azioni Prestazioni Utilizza la cache di scansione Consente al programma di scansione di utilizzare i risultati di scansione dei file ripuliti esistenti. Selezionare questa opzione per ridurre le scansioni duplicate e migliorare le prestazioni. Utilizzo del sistema Consente al sistema operativo di impostare la quantità di tempo della CPU che il programma di scansione riceve durante il processo di scansione. Ogni attività viene eseguita in maniera indipendente e senza considerare i limiti impostati per le altre attività. • Basso: fornisce prestazioni migliori per altre applicazioni in uso. Procedura consigliata: selezionare questa opzione per i sistemi con attività dell'utente finale. • Al di sotto del normale: imposta l'utilizzo di sistema per la scansione sul valore predefinito di McAfee ePO. • Normale (opzione predefinita): consente di completare la scansione più rapidamente. Procedura consigliata: selezionare questa opzione per i sistemi che dispongono di grandi volumi e una minima attività dell'utente finale. McAfee Endpoint Security 10.2 Guida del prodotto 115 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-16 Sezione Opzioni di scansione pianificata Opzioni (segue) Opzione Definizione Queste opzioni si applicano solamente a scansione completa e scansione rapida. Esegui scansione solo quando il sistema è inattivo Esegue la scansione solo quando il sistema è inattivo. Prevenzione delle l'utente accede al Prevenzione delle la CPU) è inattivo minacce mette in pausa la scansione quando sistema utilizzando la tastiera o il mouse. minacce riprende la scansione quando l'utente (e per cinque minuti. Disattivare questa opzione sui sistemi server e i sistemi ai quali gli utenti accedono solamente tramite connessione desktop remota (RDP). Prevenzione delle minacce dipende da McTray per stabilire se il sistema è inattivo. Sui sistemi ai quali si accede solamente tramite RDP, McTray non viene avviato e il programma di scansione su richiesta non viene mai eseguito. Per aggirare questo problema, gli utenti possono avviare McTray (in C:\Program Files\McAfee\Agent \mctray.exe, per impostazione predefinita) manualmente quando accedono tramite RDP. Scansiona in qualsiasi momento Esegue la scansione anche se l'utente è attivo e specifica le opzioni di scansione. L'utente può rinviare le scansioni: consente all'utente di rinviare le scansioni pianificate e specifica le opzioni per il rinvio. • Numero massimo di volte in cui gli utenti possono rinviare per un'ora: specifica il numero di volte (1–23) in cui l'utente può rinviare la scansione per un'ora. • Messaggio utente – Specifica il messaggio da visualizzare quando una scansione sta per iniziare. Il messaggio predefinito è: McAfee Endpoint Security sta per eseguire la scansione del sistema. • Durata messaggio (secondi) – Specifica la durata (in secondi) di visualizzazione del messaggio utente quando una scansione sta per iniziare. L'intervallo valido per la durata è 30–300; il valore predefinito è 45 secondi. Non eseguire la scansione quando il sistema è in modalità presentazione: rinvia la scansione mentre il sistema si trova in modalità di presentazione. Non eseguire la Rinvia la scansione quando l'alimentazione è a batteria. scansione quando il sistema è alimentato a batteria Vedere anche Configurazione delle impostazioni Scansione su richiesta a pagina 86 Configurazione, pianificazione e attivazione delle attività di scansione a pagina 91 Esecuzione di una scansione completa o di una scansione rapida a pagina 58 Scansione di un file o una cartella a pagina 60 Percorsi di scansione a pagina 117 McAfee GTI a pagina 118 Azioni a pagina 119 Aggiungi esclusione o Modifica esclusione a pagina 121 116 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Percorsi di scansione Specifica i percorsi da sottoporre a scansione. Queste opzioni si applicano solamente a scansione completa e scansione rapida. Tabella 3-17 Opzioni Sezione Opzione Definizione Percorsi di scansione Scansiona sottocartelle Il programma di scansione esamina tutte le sottocartelle nei volumi specificati quando una di queste opzioni è selezionata: • Cartella principale • Cartella Temp • Cartella del profilo utente • File o cartella • Cartella Programmi Deselezionare questa opzione per esaminare solo il livello principale dei volumi. Specifica percorsi Specifica i percorsi da sottoporre a scansione. • Aggiungi: aggiunge un percorso alla scansione. Fare clic su Aggiungi, quindi selezionare la posizione dal menu a discesa. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: rimuove un percorso dalla scansione. Selezionare il percorso e fare clic su Elimina. Memoria per i rootkit Esegue la scansione della memoria del sistema per individuare rootkit installati, processi nascosti e altri segnali che indichino il tentativo di nascondersi da parte di malware. Questa scansione viene eseguita prima di tutte le altre. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. Processi in esecuzione Esegue la scansione della memoria di tutti i processi in esecuzione. Le Azioni diverse da Pulisci file vengono trattate come Continua scansione. Se questa opzione non viene attivata, il sistema non è protetto dagli attacchi malware. File registrati Esegue la scansione dei file riportati dal registro di Windows. Il programma di scansione esegue prima una ricerca nel registro in base al nome dei file, stabilisce se i file esistono, crea un elenco di file da sottoporre a scansione ed esegue la scansione dei file. McAfee Endpoint Security 10.2 Risorse del computer Esegue la scansione di tutte le unità collegate fisicamente al computer o delle unità logiche mappate a lettere di unità del computer in uso. Tutte le unità locali esegue la scansione di tutte le unità e delle relative sottocartelle sul computer in uso. Tutte le unità fisse Esegue la scansione di tutte le unità collegate fisicamente al computer in uso. Tutte le unità rimovibili Esegue la scansione di tutte le unità rimovibili o di altri dispositivi di archiviazione collegati al computer, tranne le unità in cui è installato Windows To Go. Guida del prodotto 117 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-17 Opzioni (segue) Sezione Opzione Definizione Tutte le unità mappate esegue la scansione di tutte le unità logiche di rete mappate a un'unità di rete del computer in uso. Cartella principale Esegue la scansione della cartella principale dell'utente che ha avviato la scansione. Cartella del profilo utente Esegue la scansione del profilo dell'utente che avvia la scansione, inclusa la cartella Documenti dell'utente. Cartella Windows Esegue la scansione della cartella Windows. Cartella Programmi Esegue la scansione dei contenuti della cartella Programmi. Cartella Temp esegue la scansione della cartella Temp. Cestino Esegue la scansione del contenuto del Cestino. File o cartella esegue la scansione di un file o una cartella specifici. Vedere anche Prevenzione delle minacce – Scansione su richiesta a pagina 114 McAfee GTI Attivazione e configurazione delle impostazioni di McAfee GTI (Global Threat Intelligence). Tabella 3-18 Sezione Opzioni Opzione Definizione Attiva e disattiva i controlli euristici. Attiva McAfee GTI • Quando è attivata, questa opzione invia impronte digitali degli esempi o hash a McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file AMCore content, quando McAfee Labs pubblica l'aggiornamento. • Quando non è attiva, nessuna impronta digitale o dato viene inviato a McAfee Labs. Consente di configurare il livello di sensibilità da utilizzare per determinare se un elemento rilevato è malware. Livello di sensibilità Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo l'esecuzione di un elevato numero di rilevamenti è possibile ottenere un maggior numero di risultati falsi positivi. Molto basso Indica che la quantità di rilevamenti e il rischio che si verifichino falsi positivi corrispondono a quelli che si presentano quando si utilizzano i normali file di contenuto AMCore. Anziché attendere il successivo aggiornamento del file di contenuto AMCore, un rilevamento può essere reso disponibile a Prevenzione delle minacce quando viene pubblicato da McAfee Labs. Utilizzare questa impostazione per i desktop e server con diritti utente limitati e un'impronta digitale di sicurezza affidabile. Questa impostazione produce una media di 10-15 query al giorno, per computer. Basso Questa impostazione è quella minima raccomandata per i laptop o i desktop e per i server con un'impronta digitale di sicurezza affidabile. Questa impostazione produce una media di 10-15 query al giorno, per computer. 118 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-18 Sezione Opzioni (segue) Opzione Definizione Medio Utilizzare questo livello quando il rischio normale di esposizione al malware è maggiore del rischio di un falso positivo. Le verifiche euristiche proprietarie di McAfee Labs sono in gradi di rilevare gli elementi malware. Tuttavia, alcuni rilevamenti possono generare falsi positivi. Con questa impostazione, McAfee Labs verifica che i file di applicazioni e sistemi operativi largamente diffusi non generino falsi positivi. Questa impostazione è quella minima raccomandata per i laptop o i desktop e per i server. Questa impostazione produce una media di 20-25 query al giorno, per computer. Elevato Utilizzare questa impostazione per la distribuzione nei sistemi o nelle aree infettati regolarmente. Questa impostazione produce una media di 20-25 query al giorno, per computer. Molto elevato McAfee consiglia di utilizzare questo livello solamente per la scansione di volumi e directory che non supportano l'esecuzione di programmi o sistemi operativi. Benché presumibilmente pericolosi, i rilevamenti ottenuti mediante questo livello non sono stati sottoposti a verifiche esaustive per confermare che non si tratti di falsi positivi. Procedura consigliata: utilizzare questa impostazione sui volumi non relativi a sistemi operativi. Questa impostazione produce una media di 20-25 query al giorno, per computer. Vedere anche Prevenzione delle minacce – Scansione su richiesta a pagina 109 Prevenzione delle minacce – Scansione su richiesta a pagina 114 Controllo Web - Opzioni a pagina 166 Azioni Specificare la modalità di risposta del programma di scansione al rilevamento di una minaccia. Tabella 3-19 Sezione Opzioni Opzione Definizione Tipo di scansione Scansione all'accesso Prima risposta al rilevamento delle minacce Scansione su richiesta Consente di selezionare la prima azione che il programma di scansione deve intraprendere al rilevamento di una minaccia. Nega l'accesso ai file Impedisce agli utenti di accedere a qualsiasi file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. McAfee Endpoint Security 10.2 Guida del prodotto 119 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-19 Sezione Opzioni (segue) Opzione Definizione Tipo di scansione Scansione all'accesso Pulisci file Rimuove la minaccia dal file rilevato, se possibile. Elimina file Elimina i file contenenti potenziali minacce. Scansione su richiesta Consente di selezionare l'azione che il programma di scansione deve intraprendere al rilevamento di una minaccia se la prima azione non riesce. Se la prima risposta non riesce Nega l'accesso ai file Impedisce agli utenti di accedere a qualsiasi file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Elimina file Elimina i file contenenti potenziali minacce. Consente di selezionare la prima azione che il programma di scansione deve eseguire al rilevamento di un programma potenzialmente indesiderato. Prima risposta ai programmi indesiderati Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato. Nega l'accesso ai file Impedisce agli utenti di accedere a qualsiasi file con potenziali minacce. Consenti Consente agli utenti di accedere l'accesso ai file ai file con potenziali minacce. Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Pulisci file Rimuove la minaccia dal file del programma potenzialmente indesiderato, se possibile. Elimina file Elimina i file del programma potenzialmente indesiderato. Consente di selezionare l'azione che il programma di scansione deve eseguire al rilevamento di un programma potenzialmente indesiderato, se la prima azione non ha esito positivo. Se la prima risposta non riesce Questa opzione è disponibile solo se Rileva programmi indesiderati è selezionato. Nega l'accesso ai file Impedisce agli utenti di accedere a qualsiasi file con potenziali minacce. Consenti Consente agli utenti di accedere l'accesso ai file ai file con potenziali minacce. 120 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-19 Sezione 3 Opzioni (segue) Opzione Definizione Tipo di scansione Scansione all'accesso Continua a eseguire la scansione Continua a eseguire la scansione in caso di rilevamento di una minaccia. Il programma di scansione non sposta gli elementi in quarantena. Elimina file Elimina automaticamente i file del programma potenzialmente indesiderato. Scansione su richiesta Vedere anche Prevenzione delle minacce – Scansione su richiesta a pagina 109 Prevenzione delle minacce – Scansione su richiesta a pagina 114 Aggiungi esclusione o Modifica esclusione Aggiungere o modificare una definizione di esclusione. Tabella 3-20 Sezione Opzioni Opzione Definizione Tipo di scansione All'accesso Su richiesta Elementi da escludere Specifica il tipo di esclusione e i dettagli dell'esclusione. Nome o percorso file Specifica il file o il percorso da escludere. Il percorso file può contenere caratteri jolly. Per escludere una cartella sui sistemi Windows, aggiungere una barra rovesciata (\) alla fine del percorso. Se necessario, selezionare Escludi anche le sottocartelle. Tipo di file Specifica i tipi di file (estensioni di file) da escludere. Data file Specifica il tipo di accesso (Ultima modifica, Ultimo accesso (solo per scansione su richiesta) o Data creazione) dei file da escludere e il Tempo minimo in giorni. Specifica quando escludere l'elemento selezionato. Quando escludere Durante la scrittura Esclude dalla scansione quando i file o la lettura del vengono scritti o letti dal disco o da altri disco dispositivi di memorizzazione dati. Durante la lettura dal disco Esclude dalla scansione quando i file vengono letti dal computer o da altri dispositivi di memorizzazione dati. Durante la scrittura Esclude dalla scansione quando i file sul disco vengono scritti o modificati dal disco o da altri dispositivi di memorizzazione dati. McAfee Endpoint Security 10.2 Guida del prodotto 121 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Vedere anche Prevenzione delle minacce – Scansione su richiesta a pagina 109 Prevenzione delle minacce – Scansione su richiesta a pagina 114 Caratteri jolly nelle esclusioni di scansione a pagina 67 Configurazione delle esclusioni a pagina 66 Prevenzione delle minacce – Opzioni Configurare le impostazioni applicabili alla funzionalità Prevenzione delle minacce, incluse quarantena, programmi potenzialmente indesiderati ed esclusioni. Questa sezione include solo opzioni Avanzate. Tabella 3-21 Sezione Opzioni avanzate Opzione Gestore quarantena Cartella di quarantena Definizione Specifica il percorso per la cartella di quarantena o accetta il percorso predefinito: c:\Quarantena La cartella di quarantena è limitata a 190 caratteri. Specifica il numero Specifica il numero di giorni (1–999) in cui gli elementi resteranno massimo di giorni di in quarantena prima di essere automaticamente eliminati. Il valore conservazione dei predefinito è 30 giorni. dati in quarantena Esclusioni in base Escludi questi nomi Specifica le esclusioni di rilevamento in base al nome rilevamento. al nome rilevamento rilevamento Ad esempio, per specificare che il programma di scansione all'accesso e su richiesta non rilevino le minacce di verifica dell'installazione, immettere Installation Check. Aggiungi – Aggiunge un nome rilevamento all'elenco di esclusioni. Fare clic su Aggiungi, quindi immettere il nome rilevamento. Doppio clic su un elemento – Modifica l'elemento selezionato. Elimina - Rimuove un nome rilevamento dall'elenco di esclusioni. Selezionare il nome, quindi fare clic su Elimina. 122 McAfee Endpoint Security 10.2 Guida del prodotto 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Tabella 3-21 Opzioni avanzate (segue) Sezione Opzione Definizione Rilevamenti di programmi potenzialmente indesiderati Escludere i programmi indesiderati personalizzati Consente di specificare singoli file o programmi da rilevare come programmi potenzialmente indesiderati. I programmi di scansione rilevano i programmi specificati dall'utente e quelli specificati nei file di contenuto AMCore. Il programma di scansione non rileva programmi indesiderati definiti dall'utente di dimensioni pari a zero byte. • Aggiungi – Definisce un programma indesiderato personalizzato. Fare clic su Aggiungi, immettere il nome, quindi premere Tab per immettere la descrizione. • Nome - Specifica il nome del file del programma potenzialmente indesiderato. • Descrizione – Specifica le informazioni da visualizzare come nome rilevamento quando viene rilevato un elemento. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina – Rimuove un programma potenzialmente indesiderato dall'elenco. Selezionare il programma nella tabella, quindi fare clic su Elimina. Analisi dati proattiva Invia dati di utilizzo e diagnostica anonimi a McAfee. Feedback McAfee GTI Attiva il feedback telemetrico basato su McAfee GTI per ottenere dati anonimi relativi ai file e ai processi in esecuzione sul sistema client. Impulso di sicurezza Verifica lo stato del sistema client prima e dopo l'aggiornamento dei file di contenuto AMCore e invia i risultati a McAfee a intervalli regolari. I risultati crittografati vengono inviati a McAfee tramite SSL. Quindi McAfee aggrega e analizza i dati derivanti da questi report per identificare anomalie che potrebbero indicare potenziali problemi relativi al contenuto. L'identificazione della richiesta di tali problemi è fondamentale per provvedere all'immediato contenimento e risoluzione degli stessi. L'impulso di sicurezza raccoglie i tipi di dati seguenti: • Versione sistema operativo e impostazioni locali • Versione prodotto McAfee • AMCore content e versione motore • Informazioni sui processi in esecuzione di McAfee e Microsoft Reputazione AMCore content Esegue un controllo della reputazione McAfee GTI nei file AMCore content prima dell'aggiornamento del sistema client. • Se McAfee GTI consente l'accesso al file, Endpoint Security aggiorna AMCore content. • Se McAfee GTI non consente l'accesso al file, Endpoint Security non aggiorna AMCore content. Vedere anche Configurazione delle impostazioni di scansione comuni a pagina 80 McAfee Endpoint Security 10.2 Guida del prodotto 123 3 Uso di Prevenzione delle minacce Riferimento interfaccia client — Prevenzione delle minacce Ripristina AMCore content Modifica di AMCore content a una versione precedente. Opzione Definizione Selezionare la versione da caricare Specifica i numeri di versione di un file AMCore content precedente da caricare. Endpoint Security conserva le due versioni precedenti sul sistema client. Quando si torna a una versione precedente, Endpoint Security rimuove la versione corrente di AMCore content dal sistema. Vedere anche Modifica della versione AMCore content a pagina 29 124 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Il Firewall agisce come filtro tra il computer e la rete o Internet. Sommario Funzionamento di Firewall Attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. Gestione di Firewall Riferimento interfaccia client — Firewall Funzionamento di Firewall Firewall esegue la scansione di tutto il traffico in ingresso e in uscita. Poiché esamina il traffico in ingresso e in uscita, Firewall controlla i relativi elenchi di regole, che sono costituiti da una serie di criteri con azioni associate. Se il traffico corrisponde a tutti i criteri di una regola, Firewall agisce secondo la regola, bloccando o consentendo il traffico attraverso Firewall. Le informazioni sui rilevamenti delle minacce vengono salvate nei rapporti inviati all'amministratore per la notifica di qualsiasi problema di sicurezza per il computer. Le regole e opzioni Firewall definiscono il funzionamento del Firewall. I gruppi di regole organizzano le regole firewall per una gestione semplificata. Se la Modalità interfaccia client è impostata su Accesso completo oppure è stato effettuato l'accesso come amministratore, è possibile configurare regole e gruppi utilizzando Client Endpoint Security. Per i sistemi gestiti, le regole e i gruppi creati potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. Vedere anche Configurazione Firewall a pagina 127 Funzionamento delle regole firewall a pagina 131 Funzionamento dei gruppi di regole firewall a pagina 133 Attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee In base alla configurazione delle impostazioni, è possibile attivare e disattivare Firewall dall'icona della barra delle applicazioni McAfee. Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle impostazioni. McAfee Endpoint Security 10.2 Guida del prodotto 125 4 Uso di Firewall Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. Attività • Fare clic con il tasto destro sull'icona della barra delle applicazioni McAfee e selezionare Disattiva Firewall Endpoint Security, un'opzione del menu Impostazioni rapide. Se Firewall è attivato, l'opzione è Disattiva Firewall Endpoint Security. In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una motivazione per la disattivazione di Firewall. Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. Attivare, disattivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. Queste opzioni potrebbero non essere disponibili, in base alla modalità di configurazione delle impostazioni. Attività • Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni di sistema McAfee e selezionare un'opzione dal menu Impostazioni rapide. • Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per un periodo definito per consentire l'accesso a Internet prima dell'applicazione di regole che limitano l'accesso. Se i gruppi a tempo sono attivati, l'opzione è Disattiva gruppi a tempo Firewall. Ogni volta che si seleziona questa opzione, il tempo dei gruppi viene reimpostato. In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una motivazione per l'attivazione dei gruppi a tempo. • Visualizza gruppi a tempo Firewall: visualizza i nomi dei gruppi a tempo e il periodo rimanente di attività di ciascun gruppo. Informazioni sui gruppi a tempo I gruppi a tempo sono gruppi di regole Firewall attivi per un determinato periodo di tempo. Ad esempio, un gruppo a tempo può essere attivato per consentire a un sistema client di collegarsi a una rete pubblica e stabilire una connessione VPN. A seconda delle impostazioni della , i gruppi a tempo possono essere attivati: • In base a una pianificazione. • Manualmente, selezionando le opzioni dall'icona della barra delle applicazioni McAfee. Gestione di Firewall In qualità di amministratore, è possibile configurare opzioni Firewall e creare regole e gruppi in Client Endpoint Security. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. 126 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Firewall Gestione di Firewall 4 Modifica delle opzioni Firewall In qualità di amministratore, è possibile modificare le opzioni Firewall da Client Endpoint Security. Attività • Configurazione Firewall a pagina 127 Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall, attivare la modalità adattiva e configurare altre opzioni Firewall. • Blocco del traffico DNS a pagina 128 Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni agli indirizzi IP spostandole ai nomi di dominio. • Definizione di reti da utilizzare in regole e gruppi a pagina 129 Definire indirizzi di rete, sottoreti o intervalli da utilizzare in regole e gruppi. È anche possibile indicare se le reti sono affidabili. • Configurazione di eseguibili affidabili a pagina 130 Definire o modificare l'elenco di eseguibili affidabili considerati sicuri per l'ambiente. Vedere anche FAQ – McAfee GTI e Firewall a pagina 128 Configurazione Firewall Configurare le impostazioni in Opzioni di disattivare e attivare la protezione firewall, attivare la modalità adattiva e configurare altre opzioni Firewall. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Selezionare Attiva Firewall per attivare il Firewall e modificarne le opzioni. Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2. Se McAfee Host IPS Firewall è installato e attivato, Firewall Endpoint Security viene disattivato anche se è attivato nelle impostazioni della policy. 4 Fare clic su Mostra Avanzate. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. Vedere anche Accedere come amministratore a pagina 27 McAfee Endpoint Security 10.2 Guida del prodotto 127 4 Uso di Firewall Gestione di Firewall Blocco del traffico DNS Per affinare la protezione firewall, creare un elenco di FQDN da bloccare. Firewall blocca le connessioni agli indirizzi IP spostandole ai nomi di dominio. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Firewall nella pagina 3 In Blocco DNS, fare clic su Aggiungi. 4 Immettere l'FQDN dei domini da bloccare, quindi fare clic su Salva. È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com. Le voci duplicate saranno rimosse automaticamente. 5 Fare clic su Salva. 6 Fare clic su Applica per salvare le modifiche, oppure su Annulla. FAQ – McAfee GTI e Firewall Di seguito sono riportate le risposte alle domande più frequenti. Le impostazioni delle Opzioni Firewall consentono di bloccare il traffico in ingresso e in uscita da una connessione di rete valutata come a rischio elevato da McAfee GTI. Queste domande frequenti spiegano la funzione di McAfee GTI e come influisce sul firewall. Che cos'è McAfee GTI? McAfee GTI è un sistema informativo globale della reputazione su Internet che determina quali sono i comportamenti corretti e dannosi sul Web. McAfee GTI si serve dell'analisi in tempo reale dei criteri globali di comportamento e invio relativi a email, attività Web, malware e comportamento tra i sistemi. Tramite i dati ottenuti dall'analisi, McAfee GTI calcola dinamicamente il punteggio reputazione che rappresenta il livello di rischio per la rete posto da una determinata pagina Web. Il risultato è un database di punteggi reputazione per indirizzi IP, domini, messaggi specifici, URL e immagini. Come funziona? Quando le opzioni McAfee GTI sono selezionate, vengono create due regole firewall: McAfee GTI – Consenti il servizio Endpoint Security Firewall e McAfee GTI – Ottieni classificazione. La prima regola consente un collegamento a McAfee GTI e la seconda blocca o consente il traffico basato sulla reputazione della connessione e la soglia di blocco impostata. Cosa significa "reputazione"? Per ogni indirizzo IP su Internet, McAfee GTI calcola un valore di reputazione. McAfee GTI basa il valore sui comportamenti di invio o hosting e su vari dati di ambiente raccolti da clienti e partner sullo stato delle minacce su Internet. La reputazione viene espressa in quattro classi, basate sulla nostra analisi: 128 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Gestione di Firewall • Non bloccare (rischio minimo) – Questo sito è una fonte o destinazione legittima di contenuti/ traffico. • Non verificato – Questo sito è una fonte o destinazione legittima di contenuti/traffico. Tuttavia, presenta anche proprietà che necessitano di un'ulteriore verifica. • Rischio medio – Questa origine/destinazione mostra comportamenti ritenuti sospetti e contenuti/traffico che richiedono un'osservazione speciale. • Rischio elevato – Questa origine/destinazione invia o potrebbe effettuare l'invio o l'hosting di contenuti/traffico potenzialmente dannosi. Presenta un rischio elevato. McAfee GTI provoca tempi di latenza? Quanto durano? Quando McAfee GTI viene contattato per una ricerca della reputazione è inevitabile che si verifichi una latenza. McAfee ha adottato tutte le misure necessarie per minimizzarla. McAfee GTI: • Verifica le reputazioni solo se le opzioni sono state selezionate. • Utilizza un'architettura intelligente di memorizzazione nella cache. Nei normali criteri di utilizzo della rete, la cache risolve le connessioni più richieste senza una query di reputazione in tempo reale. Se il firewall non può contattare i server McAfee GTI, il traffico si interrompe? Se il firewall non riesce a contattare i server, McAfee GTI assegna automaticamente a tutte le connessioni applicabili una reputazione consentita predefinita. Il firewall quindi continua ad analizzare le regole che seguono. Definizione di reti da utilizzare in regole e gruppi Definire indirizzi di rete, sottoreti o intervalli da utilizzare in regole e gruppi. È anche possibile indicare se le reti sono affidabili. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Fare clic su Mostra Avanzate. McAfee Endpoint Security 10.2 Guida del prodotto 129 4 Uso di Firewall Gestione di Firewall 4 Da Reti definite, procedere in uno dei seguenti modi: Per... Definizione di una nuova rete. Passaggi Fare clic su Aggiungi e inserire le informazioni della rete affidabile. Definire la rete come affidabile selezionando Sì dal menu a discesa Affidabile. Se si seleziona No, la rete viene definita per l'uso in regole e gruppi, ma il traffico in ingresso e in uscita dalla rete non viene considerato automaticamente affidabile. Modifica della definizione In ciascuna colonna, fare doppio clic sull'elemento e inserire le nuove di una rete. informazioni. Eliminazione di una rete. 5 Selezionare una riga e fare clic su Elimina. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Informazioni sulle reti affidabili Vengono definite reti affidabili indirizzi IP, intervalli di indirizzi IP e sottoreti considerate sicure dall'azienda. Se una rete viene definita affidabile, viene creata una regola bidirezionale Consenti per la rete remota in cima all'elenco delle regole di Firewall. Una volta definite, è possibile creare regole firewall applicabili a queste reti affidabili. Le reti affidabili fungono anche da eccezioni a McAfee GTI nel firewall. Procedura consigliata: quando si aggiungono reti alle regole e ai gruppi firewall, selezionare Reti definite per il Tipo di rete per usufruire di questa funzionalità. Configurazione di eseguibili affidabili Definire o modificare l'elenco di eseguibili affidabili considerati sicuri per l'ambiente. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 130 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Fare clic su Mostra Avanzate. McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Gestione di Firewall 4 5 Da Eseguibili affidabili, effettuare una delle seguenti procedure: Per... Passaggi Definire un nuovo eseguibile affidabile. Fare clic su Aggiungi e inserire le informazioni dell'eseguibile affidabile. Modificare la definizione di un eseguibile. In ciascuna colonna, fare doppio clic sull'elemento e inserire le nuove informazioni. Eliminare un eseguibile. Selezionare una riga e fare clic su Elimina. Fare clic su Applica per salvare le modifiche, oppure su Annulla. Informazioni su eseguibili e applicazioni affidabili Gli eseguibili affidabili sono eseguibili che non presentano vulnerabilità note e vengono considerati sicuri. Se si configura un eseguibile affidabile, viene creata una regola bidirezionale Consenti per l'eseguibile in cima all'elenco delle regole di Firewall. Il mantenimento di un elenco di eseguibili sicuri per un sistema riduce o elimina la maggior parte dei falsi positivi. Ad esempio, quando viene eseguita un'applicazione di backup, è possibile che vengano attivati diversi eventi di falsi positivi. Per evitare l'attivazione di falsi positivi, assicurarsi che l'applicazione di backup sia inclusa nell'elenco degli eseguibili affidabili. Un'applicazione affidabile è suscettibile a vulnerabilità comuni, come overflow del buffer e uso illegale. Di conseguenza, Firewall monitora gli eseguibili affidabili e attiva eventi per prevenire gli exploit. Il Catalogo Firewall contiene eseguibili e applicazioni. Gli eseguibili nel catalogo possono essere associati a un'applicazione contenitore. È possibile aggiungere gli eseguibili e le applicazioni dal catalogo all'elenco di eseguibili affidabili. Una volta definiti, è possibile visualizzare gli eseguibili nelle regole e nei gruppi. Configurazione di gruppi e regole Firewall In qualità di amministratore, è possibile configurare gruppi e regole Firewall da Client Endpoint Security. Attività • Creazione e gestione di regole e gruppi Firewall a pagina 137 Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. • Creazione di gruppi di isolamento connessione a pagina 139 Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si applicano solo in caso di connessione a una rete con particolari parametri. • Creazione di gruppi a tempo a pagina 139 Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del sistema client tramite VPN. Funzionamento delle regole firewall Le regole Firewall consentono di stabilire come gestire il traffico di rete. Ogni regola fornisce una serie di condizioni alle quali il traffico deve risultare conforme e un'azione per consentire o bloccare il traffico. Quando Firewall rileva del traffico corrispondente alle condizioni di una regola, esegue l'azione associata. McAfee Endpoint Security 10.2 Guida del prodotto 131 4 Uso di Firewall Gestione di Firewall È possibile definire le regole in modo ampio (ad esempio, tutto il traffico IP) o singolarmente (ad esempio, identificando una specifica applicazione o servizio) e specificare le opzioni. È possibile raggruppare le regole in base a una funzione operativa, a un servizio o a un'applicazione per una gestione più semplice. Come le regole, è possibile definire gruppi di regole per rete, trasporto, applicazione, pianificazione e opzioni di posizione. Firewall applica le regole in base alla priorità: 1 Firewall applica la prima regola dell'elenco regole firewall. Se il traffico è conforme alle condizioni di questa regola, Firewall consente o blocca il traffico. Non cerca di applicare nessun'altra regola all'elenco. 2 Se il traffico non è conforme alle condizioni della prima regola, Firewall cerca la regola successiva nell'elenco e così via fino a trovare una regola che corrisponda al traffico. 3 Se nessuna regola corrisponde, il firewall blocca automaticamente il traffico. Se la modalità adattiva è attivata, viene creata una regola di consenso per il traffico. A volte il traffico intercettato corrisponde a più di una regola nell'elenco. In questo caso, priorità significa che Firewall applica solo la prima regola che corrisponde nell'elenco. Procedure consigliate Posizionare le regole più specifiche all'inizio dell'elenco e le più generali alla fine. Questo ordine garantisce che Firewall filtri correttamente il traffico. 132 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Gestione di Firewall Ad esempio, per consentire tutte le richieste HTTP eccetto quelle provenienti da un indirizzo specifico (ad esempio, indirizzo IP 10.10.10.1), creare due regole: • Regola di blocco – Blocca il traffico HTTP dall'indirizzo IP 10.10.10.1. Questa regola è specifica. • Regola di consenso – Consente tutto il traffico tramite il servizio HTTP. Questa regola è generale. Posizionare la regola di blocco più in alto nell'elenco delle regole firewall rispetto alla regola di consenso. Quando il firewall intercetta la richiesta HTTP dall'indirizzo 10.10.10.1, la prima regola corrispondente trovata è quella che blocca questo traffico attraverso il firewall. Se la regola di consenso si trova in una posizione più elevata rispetto alla specifica regola di blocco, Firewall esegue la corrispondenza delle richieste nei confronti della regola di consenso prima di trovare la regola di blocco. Consente il traffico, anche se si voleva bloccare la richiesta HTTP da un indirizzo specifico. Funzionamento dei gruppi di regole firewall I gruppi di regole Firewall organizzano le regole firewall per una gestione semplificata. I gruppi di regole Firewall non influenzano il modo in cui Firewall gestisce le regole al loro interno; Firewall elabora comunque le regole dalla prima all'ultima. Firewall elabora le impostazioni per il gruppo prima di elaborare quelle per le regole che contiene. Se è presente un conflitto tra queste impostazioni, le impostazioni del gruppo hanno la priorità. Impostazione dei gruppi come in grado di riconoscere la posizione Firewall consente di creare un gruppo e le relative regole in grado di riconoscere la posizione e di creare un isolamento della connessione. La Posizione e le Opzioni di rete del gruppo consentono di creare i gruppi in modo che siano in grado di riconoscere l'adattatore di rete. Utilizzare i gruppi dell'adattatore di rete per applicare le regole specifiche della scheda per i computer con interfacce di rete multiple. Dopo aver attivato lo stato e aver assegnato un nome alla posizione, i parametri per le connessioni consentite possono includere quanto segue, per ciascun adattatore di rete: Posizione: • Richiede la raggiungibilità di McAfee ePO • Indirizzo IP Server WINS principale • Suffisso DNS specifico per la connessione • Indirizzo IP Server WINS secondario • Indirizzo IP Gateway predefinito • Raggiungibilità dominio • Indirizzo IP Server DHCP • Chiave di registro • Server DNS interrogato per risolvere URL Reti: • Indirizzo IP Rete locale • Tipi di connessione Se due gruppi in grado di riconoscere la posizione sono applicabili a una connessione, Firewall utilizza la priorità normale, elaborando il primo gruppo applicabile nel suo elenco delle regole. Se nessuna delle regole nel primo gruppo corrisponde, l'elaborazione delle regole prosegue. Quando Firewall esegue una corrispondenza tra i parametri di un gruppo in grado di riconoscere la posizione e una connessione attiva, applica le regole all'interno di un gruppo. Gestisce le regole come piccoli set di regole e applica una priorità normale. Se alcune regole non corrispondono al traffico intercettato, il firewall le ignora. McAfee Endpoint Security 10.2 Guida del prodotto 133 4 Uso di Firewall Gestione di Firewall Se questa opzione è selezionata... Quindi... Attiva riconoscimento della posizione Un nome posizione è obbligatorio. Richiede la raggiungibilità di McAfee ePO McAfee ePO è raggiungibile e l'FQDN del server è stato risolto. Rete locale L'indirizzo IP dell'adattatore deve corrispondere a una delle voci dell'elenco. Suffisso DNS specifico per la connessione Il suffisso DNS dell'adattatore deve corrispondere a una delle voci dell'elenco. Gateway predefinito L'indirizzo IP dell'adattatore predefinito deve corrispondere a una delle voci dell'elenco. Server DHCP L'indirizzo IP del server dell'adattatore DHCP deve corrispondere a una delle voci dell'elenco. Server DNS L'indirizzo IP della scheda del server DNS deve corrispondere a una delle voci dell'elenco. Server WINS principale L'indirizzo IP del server WINS principale deve corrispondere a una delle voci dell'elenco. Server WINS secondario L'indirizzo IP del server WINS secondario deve corrispondere a una delle voci dell'elenco. Raggiungibilità dominio Il dominio specificato deve essere raggiungibile. Gruppi di regole Firewall e isolamento della connessione Utilizzare l'isolamento della connessione per i gruppi per impedire l'accesso di traffico indesiderato alla rete designata. Quando l'isolamento della connessione è attivato per un gruppo e una scheda d'interfaccia di rete (NIC o Network Interface Card) attiva corrisponde ai criteri del gruppo, Firewall elabora solo il traffico che corrisponde: • Alle regole di assenso sopra il gruppo nell'elenco delle regole firewall • Ai criteri gruppo Tutto il resto del traffico viene bloccato. Qualsiasi gruppo con un isolamento connessione attivato non può avere eseguibili o opzioni di trasporto associate. 134 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Gestione di Firewall Come esempi dell'uso dell'isolamento della connessione, considerare due impostazioni: un ambiente aziendale e un hotel. L'elenco delle regole firewall attive contiene regole e gruppi in questo ordine: 1 Regole per la connessione di base 2 Regole di connessione VPN 3 Gruppo con regole di connessione LAN aziendali 4 Gruppo con regole di connessione VPN Esempio: isolamento connessione nella rete aziendale Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di connessione LAN aziendali. Questo gruppo contiene le impostazioni seguenti: • Tipo di connessione = Cablata • Suffisso DNS specifico per la connessione = mycompany.com • Gateway predefinito • Isolamento connessione = Attivato Il computer dispone di adattatori di rete wireless e LAN. Il collegamento alla rete aziendale viene effettuato tramite connessione cablata. Tuttavia, l'interfaccia wireless è ancora attiva, quindi si collega a un hotspot fuori dall'ufficio. Il computer esegue la connessione a entrambe le reti in quanto le regole per l'accesso di base sono in alto nell'elenco delle regole firewall. La connessione LAN cablata è attiva e soddisfa i criteri del gruppo LAN aziendale. Il firewall elabora il traffico attraverso la LAN ma poiché l'isolamento della connessione è attivato, tutto il resto del traffico che non passa per la LAN viene bloccato. McAfee Endpoint Security 10.2 Guida del prodotto 135 4 Uso di Firewall Gestione di Firewall Esempio: isolamento connessione in un hotel Le regole di connessione vengono elaborate fino a quando viene incontrato il gruppo con regole di connessione VPN. Questo gruppo contiene le impostazioni seguenti: • Tipo di connessione = Virtuale • Suffisso DNS specifico per la connessione = vpn.mycompany.com • Indirizzo IP = Un indirizzo in un intervallo specifico per il concentratore VPN • Isolamento connessione = Attivato Le regole di connessione generali consentono di impostare un account a tempo nell'hotel per poter accedere a Internet. Le regole di connessione VPN consentono la connessione e l'uso di un tunnel VPN. Dopo aver stabilito il tunnel, il client VPN crea un adattatore virtuale che corrisponde ai criteri del gruppo VPN. Il solo traffico consentito dal firewall si trova dentro il tunnel VPN e il traffico di base sull'adattatore reale. I tentativi di accesso al computer tramite la rete da parte di altri ospiti dell'hotel, sia di tipo cablato che wireless, vengono bloccati. Gruppi di regole firewall predefiniti Firewall include vari gruppi firewall predefiniti. Gruppo Firewall Descrizione Funzionalità di base rete McAfee Contiene le regole di funzionalità di base rete fornite da McAfee e include regole per consentire app e DNS McAfee. Non è possibile modificare o eliminare queste regole. È possibile disattivare il gruppo in Firewall Opzioni, ma tale opzione potrebbe interrompere le comunicazioni di rete sul client. Aggiunto dall'amministratore Contiene regole definite dall'amministratore dal server di gestione. Non è possibile modificare o eliminare queste regole in Client Endpoint Security. Aggiunto dall'utente Contiene regole definite in Client Endpoint Security. A seconda delle impostazioni della policy, queste regole potrebbero essere sovrascritte quando si impone la policy. Dinamico Contiene regole create dinamicamente da altri moduli Endpoint Security installati nel sistema. Ad esempio, Prevenzione delle minacce potrebbe inviare un evento al modulo Client Endpoint Security per creare una regola che blocca l'accesso a un sistema nella rete. Adattivo Contiene regole di eccezione client create automaticamente quando il sistema è in modalità adattiva. A seconda delle impostazioni della policy, queste regole potrebbero essere sovrascritte quando si impone la policy. Predefinito Contiene regole predefinite fornite da McAfee. Non è possibile modificare o eliminare queste regole. 136 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Gestione di Firewall Creazione e gestione di regole e gruppi Firewall Per i sistemi gestiti, le regole e i gruppi configurati da Client Endpoint Security potrebbero essere sovrascritti quando l'amministratore distribuisce una policy aggiornata. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. I gruppi e le regole vengono visualizzati in ordine di priorità nella tabella Regole Firewall. Non è possibile ordinare le regole per colonna. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Utilizzare queste attività per gestire le regole e i gruppi firewall. Per eseguire queste operazioni... Attenersi alla seguente procedura Visualizzare le regole in un gruppo Fare clic su firewall. . Comprimere un gruppo firewall. Fare clic su . Modificare una regola esistente. 1 Espandere il gruppo Aggiunto dall'utente. È possibile modificare regole solo nel gruppo Aggiunto dall'utente. 2 Fare doppio clic sulla regola. 3 Modificare le impostazioni della regola. 4 Per salvare le modifiche, fare clic su OK. Visualizzare una regola esistente in ogni nuovo gruppo. 1 Espandere il gruppo. Creare una regola. 1 Fare clic su Aggiungi regola. 2 Selezionare la regola per visualizzarne i dettagli nel riquadro inferiore. 2 Specificare le impostazioni della regola. 3 Per salvare le modifiche, fare clic su OK. La regola viene visualizzata alla fine del gruppo Aggiunto dall'utente. Creare copie di regole. 1 Selezionare la regola o le regole e fare clic su Duplica. Le regole copiate vengono visualizzate alla fine del gruppo Aggiunto dall'utente con lo stesso nome. 2 Modificare le regole per cambiare il nome e le impostazioni. McAfee Endpoint Security 10.2 Guida del prodotto 137 4 Uso di Firewall Gestione di Firewall Per eseguire queste operazioni... Attenersi alla seguente procedura Eliminare regole. 1 Espandere il gruppo. È possibile eliminare regole solo dal gruppo Aggiunto dall'utente e dal gruppo Adattivo. Creare un gruppo. 2 Selezionare la regola o le regole e fare clic su Elimina. 1 Fare clic su Aggiungi gruppo. 2 Specificare le impostazioni del gruppo. 3 Per salvare le modifiche, fare clic su OK. Il gruppo viene visualizzato nel gruppo Aggiunto dall'utente. Sposta regole e gruppi all'interno e tra gruppi. È possibile spostare regole e gruppi solo nel gruppo Aggiunto dall'utente. Per spostare gli elementi: 1 Selezionare gli elementi da spostare. Il simbolo di spostamento viene visualizzato a sinistra degli elementi che possono essere spostati. 2 Trascinare e rilasciare gli elementi nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. 4 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Caratteri jolly nelle regole firewall a pagina 138 Accedere come amministratore a pagina 27 Creazione di gruppi di isolamento connessione a pagina 139 Caratteri jolly nelle regole firewall È possibile utilizzare caratteri jolly al fine di rappresentare caratteri per alcuni valori nelle regole firewall. Caratteri jolly in percorsi e valori indirizzo Per percorsi di file, chiavi di registro, eseguibili e URL, utilizzare i seguenti caratteri jolly. I percorsi chiave di registro per le posizioni gruppo firewall non riconoscono i caratteri jolly. ? Punto interrogativo Singolo carattere. * Asterisco Caratteri multipli, esclusi barra (/) e barra rovesciata (\). Utilizzare questo carattere per creare una corrispondenza tra i contenuti a livello di radice di una cartella senza sottocartelle. ** Doppio asterisco Caratteri multipli, inclusi barra (/) e barra rovesciata (\). | Carattere jolly di escape. Barra verticale Per il doppio asterisco (**) il carattere di escape è |*|*. Caratteri jolly in tutti gli altri valori Per i valori che normalmente non contengono informazioni di percorso con barre, utilizzare questi caratteri jolly. 138 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Firewall Gestione di Firewall ? Punto interrogativo Singolo carattere. * Asterisco Caratteri multipli, inclusi barra (/) e barra rovesciata (\). | Barra verticale Carattere jolly di escape. 4 Creazione di gruppi di isolamento connessione Creare un gruppo di regole firewall di isolamento connessione per stabilire un set di regole che si applicano solo in caso di connessione a una rete con particolari parametri. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Firewall nella pagina 3 In REGOLE, fare clic su Aggiungi gruppo. 4 In Descrizione, specificare le opzioni per il gruppo. 5 In Posizione, selezionare Attiva riconoscimento della posizione e Attiva isolamento connessione. Quindi, selezionare i criteri di posizione per la corrispondenza. 6 In Reti, per Tipi di connessione, selezionare il tipo di connessione (Cablata, Wireless o Virtuale) per applicare le regole nel gruppo. Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della connessione. 7 Fare clic su OK. 8 Creare nuove regole nel gruppo o spostarvi le regole esistenti dall'elenco di regole firewall. 9 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Gruppi di regole Firewall e isolamento della connessione a pagina 134 Funzionamento dei gruppi di regole firewall a pagina 133 Creazione di gruppi a tempo Creare gruppi a tempo Firewall per limitare l'accesso a Internet fino alla connessione del sistema client tramite VPN. McAfee Endpoint Security 10.2 Guida del prodotto 139 4 Uso di Firewall Riferimento interfaccia client — Firewall Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Firewall nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 3 , selezionare Impostazioni, quindi fare clic su Firewall nella pagina Creare un gruppo Firewall con impostazioni predefinite che consentono la connettività Internet. Ad esempio, consentire il traffico HTTP sulla porta 80. 4 Nella sezione Pianificazione, selezionare la modalità di attivazione del gruppo. • Attiva pianificazione: consente di indicare una data di inizio e una data di fine per l'attivazione del gruppo. • Disattiva pianificazione e attiva il gruppo dall'icona della barra delle applicazioni McAfee: consente agli utenti di attivare il gruppo dall'icona della barra delle applicazioni McAfee e mantiene il gruppo attivo per il numero di minuti indicato. Se si consente agli utenti di gestire il gruppo a tempo, è possibile chiedere che forniscano una giustificazione prima di attivare il gruppo. 5 Per salvare le modifiche, fare clic su OK. 6 Creare un gruppo di isolamento connessione corrispondente alla rete VPN per consentire il traffico necessario. Procedura consigliata: per consentire il traffico in uscita solo dal gruppo di isolamento connessione del sistema client, non inserire alcuna regola Firewall in questo gruppo. 7 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Creazione di gruppi di isolamento connessione a pagina 139 Riferimento interfaccia client — Firewall Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Firewall - Opzioni Firewall – Regole Firewall - Opzioni Attiva e disattiva il modulo Firewall, imposta le opzioni di protezione e definisce reti ed eseguibili affidabili. Per ripristinare le impostazioni predefinite McAfee e annullare le modifiche, fare clic su Ripristina predefinite. 140 McAfee Endpoint Security 10.2 Guida del prodotto 4 Uso di Firewall Riferimento interfaccia client — Firewall Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. Host Intrusion Prevention 8.0 può essere installato nello stesso sistema di Endpoint Security 10.2. Se McAfee Host IPS Firewall è installato e attivato, Firewall Endpoint Security viene disattivato anche se è attivato nelle impostazioni della policy. Tabella 4-1 Sezione Opzioni di protezione Opzioni Opzione Definizione Attiva Firewall Attiva e disattiva il modulo Firewall. Consenti il traffico per Consente tutto il traffico che utilizza protocolli non supportati. Quando protocolli non è disattivato, tutto il traffico che utilizza protocolli non supportati supportati viene bloccato. Consenti solo traffico Consente il traffico in uscita ma non quello in ingresso fino a che il in uscita fino all'avvio servizio Firewall non viene avviato. dei servizi firewall Se questa opzione è disattivata, Firewall consente tutto il traffico prima dell'avvio dei servizi, rendendo il sistema potenzialmente vulnerabile. Consenti traffico con bridge Consenti: • Pacchetti in entrata se l'indirizzo MAC di destinazione si trova nell'intervallo di indirizzi MAC VM supportati e non è un indirizzo MAC locale del sistema. • Pacchetti in uscita se l'indirizzo MAC di origine si trova nell'intervallo di indirizzi MAC supportati e non è un indirizzo MAC locale del sistema. Attiva protezione spoofing IP Blocca il traffico di rete dagli indirizzi IP host non locali o dai processi locali che cercano di eseguire lo spoofing degli indirizzi IP. Attiva regole di blocco dinamico Consente ad altri moduli Endpoint Security di creare e aggiungere regole di blocco in modo dinamico al gruppo regole dinamiche nel client Client Endpoint Security. (Disattivato per impostazione predefinita) Blocco DNS Attiva avvisi intrusione firewall Mostra gli avvisi automaticamente quando Firewall rileva un potenziale attacco. Nome di dominio Specifica i nomi di dominio da bloccare. Quando applicata, questa impostazione aggiunge una regola nella parte iniziale delle regole firewall che blocca le connessioni agli indirizzi IP risolvendo i nomi di dominio. • Aggiungi - Aggiunge un nome di dominio all'elenco degli elementi bloccati. Separare più domini con una virgola (,) o un a capo. È possibile utilizzare i caratteri jolly * e ?. Ad esempio, *domain.com. Le voci duplicate saranno rimosse automaticamente. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina - Rimuove il nome di dominio selezionato dall'elenco degli elementi bloccati. McAfee Endpoint Security 10.2 Guida del prodotto 141 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-2 Opzioni avanzate Sezione Opzione Definizione Opzioni di ottimizzazione Attiva modalità adattiva Crea automaticamente regole per consentire il traffico. Procedura consigliata: attivare temporaneamente la modalità adattiva in alcuni sistemi solamente durante la configurazione del Firewall. L'attivazione di questa modalità può generare un elevato numero di regole client che il server McAfee ePO deve elaborare e pertanto potrebbe influire negativamente sulle prestazioni. Disattiva regole di funzionalità di base rete McAfee Disattiva le regole di funzionalità di rete McAfee integrate (nel gruppo Regole di funzionalità di base rete McAfee). (Disattivato per impostazione predefinita) L'attivazione di questa opzione potrebbe interrompere le comunicazioni di rete sul client. Registra tutto il traffico bloccato Registra tutto il traffico bloccato nel registro eventi Firewall (FirewallEventMonitor.log) nel client Client Endpoint Security. (Attivato per impostazione predefinita) Registra tutto il traffico consentito Registra tutto il traffico consentito nel registro eventi Firewall (FirewallEventMonitor.log) nel client Client Endpoint Security. (Disattivato per impostazione predefinita) L'attivazione di questa opzione potrebbe incidere negativamente sulle prestazioni. Reputazione di rete di McAfee GTI Gestisci corrispondenza McAfee GTI come intrusione Gestisce come un'intrusione il traffico che corrisponde all'impostazione della soglia di blocco McAfee GTI. L'attivazione di questa opzione visualizza un avviso, invia un evento al server di gestione e lo aggiunge al file di registro del client Client Endpoint Security. Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla ricerca McAfee GTI. (Attivato per impostazione predefinita) Registra traffico corrispondente Gestisce come un rilevamento il traffico che corrisponde all'impostazione di soglia di blocco McAfee GTI. L'attivazione di questa opzione invia un evento al server di gestione e lo aggiunge al file di registro del client Client Endpoint Security. (Attivato per impostazione predefinita) Qualsiasi indirizzo IP per una rete affidabile viene escluso dalla ricerca McAfee GTI. Blocca tutti gli eseguibili non affidabili 142 McAfee Endpoint Security 10.2 Blocca tutti gli eseguibili non firmati o con reputazione McAfee GTI sconosciuta. Guida del prodotto 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-2 Opzioni avanzate (segue) Sezione Opzione Definizione Soglia reputazione rete in ingresso Specifica la soglia di classificazione McAfee GTI per il blocco del traffico in ingresso o in uscita da una connessione di rete. Soglia reputazione rete in uscita • Non bloccare – Questo sito è una fonte o destinazione legittima di contenuti/traffico. • Rischio elevato – Questa origine/destinazione invia o ospita contenuti/traffico potenzialmente nocivi che McAfee considera rischiosi. • Rischio medio – Questa origine/destinazione mostra il comportamento che McAfee considera sospetto. Qualsiasi contenuto/traffico da questo sito richiede attenzione speciale. • Non verificato – Questo sito sembra essere una fonte o destinazione legittima di contenuti/traffico, ma presenta anche proprietà che suggeriscono la necessità di un'ulteriore verifica. Firewall completo Utilizza ispezione protocollo FTP Consente il rilevamento delle connessioni FTP in modo che necessitino di una sola regola firewall per il traffico client FTP in uscita e per il traffico server FTP in ingresso. Se non è selezionata, le connessioni FTP richiedono una regola separata per il traffico client FTP in ingresso e per il traffico server FTP in uscita. Numero di secondi (1-240) prima della scadenza delle connessioni TCP Specifica il tempo, in secondi, per cui una connessione TCP non stabilita rimane attiva se non vengono più inviati o ricevuti pacchetti che corrispondono alla connessione. L'intervallo valido è 1–240. Numero di secondi (1-300) prima della scadenza delle connessioni virtuali UDP ed echo ICMP Specifica il tempo, in secondi, in cui una connessione virtuale UDP ed echo ICMP rimane attiva se non vengono più inviati o ricevuti pacchetti che corrispondono alla connessione. Questa opzione viene reimpostata al proprio valore predefinito ogni volta che viene inviato o ricevuto un pacchetto che corrisponde alla connessione virtuale. L'intervallo valido è 1-300. Definisce indirizzi di rete, sottoreti o intervalli da utilizzare in regole e gruppi. Reti definite • Aggiungi: aggiunge un indirizzo di rete, sottorete o un intervallo all'elenco di reti definite. Fare clic su Aggiungi e compilare i campi nella riga per definire la rete. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'indirizzo selezionato dall'elenco di reti definite. Tipo di indirizzo Indica il tipo di indirizzo della rete da definire. Affidabile • Sì: consente tutto il traffico dalla rete. Se una rete viene definita affidabile, viene creata una regola bidirezionale Consenti per la rete remota in cima all'elenco delle regole di Firewall. • No: aggiunge la rete all'elenco di reti definite per la creazione di regole. McAfee Endpoint Security 10.2 Guida del prodotto 143 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-2 Opzioni avanzate (segue) Sezione Opzione Definizione Proprietario Specifica gli eseguibili sicuri in ogni ambiente e privi di vulnerabilità note. Questi eseguibili possono eseguire tutte le operazioni tranne quelle che suggeriscono una compromissione degli eseguibili. Eseguibili affidabili Se si configura un eseguibile affidabile, viene creata una regola bidirezionale Consenti per l'eseguibile in cima all'elenco delle regole di Firewall. • Aggiungi – Aggiunge un eseguibile affidabile. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: rimuove l'eseguibile dall'elenco degli eseguibili affidabili. Vedere anche Configurazione Firewall a pagina 127 Definizione di reti da utilizzare in regole e gruppi a pagina 129 Configurazione di eseguibili affidabili a pagina 130 Aggiungi eseguibile o Modifica eseguibile a pagina 151 Firewall – Regole Gestione di regole e gruppi firewall. È possibile aggiungere ed eliminare regole e gruppi solo nel gruppo Aggiunto dall'utente. Firewall sposta automaticamente in questo gruppo le nuove regole aggiunte. Per ripristinare le impostazioni predefinite e annullare le modifiche, fare clic su Ripristina predefinite. Tabella 4-3 Opzioni Sezione Opzione Definizione REGOLE Aggiungi regola Crea una regola firewall. Aggiungi gruppo Crea un gruppo firewall. Doppio clic su un elemento Modifica l'elemento selezionato. Duplica Crea una copia dell'elemento selezionato. Elimina Rimuove un elemento firewall selezionato. Regola Gruppo Indica gli elementi che possono essere spostati nell'elenco. Selezionare degli elementi, quindi trascinarli e rilasciarli nella nuova posizione. Viene visualizzata una riga blu tra gli elementi dove è possibile rilasciare gli elementi trascinati. Vedere anche Creazione e gestione di regole e gruppi Firewall a pagina 137 Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica gruppo a pagina 145 144 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Firewall Riferimento interfaccia client — Firewall 4 Aggiungi regola o Modifica regola, Aggiungi gruppo o Modifica gruppo Aggiunge o modifica le regole e i gruppi firewall. Tabella 4-4 Opzioni Sezione Opzione Definizione Descrizione Nome Specifica il nome descrittivo dell'elemento (obbligatorio). Stato Attiva o disattiva l'elemento. Specifica azioni Consenti – Consente il traffico tramite il firewall se l'elemento corrisponde. Regola Gruppo Blocca – Blocca il traffico tramite il firewall se l'elemento corrisponde. Gestisci corrispondenza come intrusione: gestisce il traffico che corrisponde alla regola come un'intrusione. L'attivazione di questa opzione visualizza un avviso, invia un evento al server di gestione e lo aggiunge al file di registro di Client Endpoint Security. Procedura consigliata: non attivare questa opzione per una regola Consenti poiché è presente in molti eventi. Registra traffico corrispondente – Gestisce il traffico che corrisponde alla regola come un rilevamento. L'attivazione di questa opzione invia un evento al server di gestione e lo aggiunge al file di registro di Client Endpoint Security. Direzione Specifica la direzione: • Entrambe – Monitora il traffico in ingresso e quello in uscita. • Ingresso – Monitora il traffico in ingresso. • Uscita – Monitora il traffico in uscita. Posizione Note Fornisce ulteriori informazioni sull'elemento. Attiva riconoscimento della posizione Attiva o disattiva le informazioni di posizione per il gruppo. Nome Specifica il nome della posizione (obbligatorio). McAfee Endpoint Security 10.2 Guida del prodotto 145 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-4 Sezione Opzioni (segue) Opzione Definizione Attiva isolamento connessione Blocca il traffico su schede di rete che non corrispondono al gruppo quando è presente una scheda che corrisponde al gruppo. Regola Gruppo Le impostazioni per Trasporto ed Eseguibili non sono disponibili per i gruppi di isolamento della connessione. Questa opzione blocca l'ingresso nella rete aziendale del traffico generato da origini potenzialmente indesiderate esterne alla rete. Questo tipo di blocco del traffico è possibile solo se il traffico non è già stato consentito da una regola che precede il gruppo nel firewall. Quando l'isolamento connessione è attivato e una scheda NIC corrisponde al gruppo, il traffico viene consentito solo se si applica una delle seguenti condizioni: • Il traffico corrisponde a una Regola di consenso prima del gruppo. • Il traffico che passa per la scheda NIC corrisponde al gruppo ed è presente una regola nel gruppo o dopo di esso che lo consente. Se nessuna scheda NIC corrisponde al gruppo, questo viene ignorato e prosegue il tentativo di far corrispondere le regole. Richiede la raggiungibilità di McAfee ePO 146 McAfee Endpoint Security 10.2 Attiva la corrispondenza del gruppo solo se presente la comunicazione con il server McAfee ePO e se l'FQDN del server è stato risolto. Guida del prodotto Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-4 Sezione 4 Opzioni (segue) Opzione Definizione Criteri posizione • Suffisso DNS specifico per la connessione – Indica un suffisso DNS specifico per la connessione con formato: esempio.com. Regola Gruppo • Gateway predefinito – Specifica un unico indirizzo IP per un gateway predefinito con formato IPv4 o IPv6. • Server DHCP – Specifica un unico indirizzo IP per un server DHCP con formato IPv4 o IPv6. • Server DNS – Specifica un unico indirizzo IP per un server DNS con formato IPv4 o IPv6. • Server WINS principale – Specifica un unico indirizzo IP per un server WINS principale con formato IPv4 o IPv6. • Server WINS secondario – Specifica un unico indirizzo IP per un server WINS secondario con formato IPv4 o IPv6. • Raggiungibilità dominio: richiede che il dominio specificato sia raggiungibile. • Chiave di registro: specifica la chiave di registro e il relativo valore. 1 Fare clic su Aggiungi. 2 Nella colonna Valore, specificare la chiave di registro con il formato: <ROOT>\<KEY>\[VALUE_NAME] • <ROOT> – Deve indicare il nome completo della directory principale, come HKEY_LOCAL_MACHINE e non l'HKLM abbreviato. • <KEY> – È il nome chiave sotto la directory principale. • [VALUE_NAME] – È il nome del valore chiave. Se non viene incluso il nome del valore, si presume sia il valore predefinito. Formati di esempio: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Specifica le opzioni host di rete applicabili all'elemento. Reti Protocollo di rete Specifica il protocollo di rete applicabile all'elemento. Qualsiasi protocollo Consente sia i protocolli IP sia quelli non IP. McAfee Endpoint Security 10.2 Se viene specificato un protocollo di trasporto o un'applicazione, sono consentiti solo i protocolli IP. Guida del prodotto 147 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-4 Sezione Opzioni (segue) Opzione Definizione Protocollo IP Esclude i protocolli non IP. Regola Gruppo • Protocollo IPv4 • Protocollo IPv6 Se nessuna casella di controllo è selezionata, è applicabile qualsiasi protocollo IP. Possono essere selezionati entrambi i protocolli: IPv4 e IPv6. Protocollo non IP Include solo i protocolli non IP. • Selezionare EtherType dall'elenco – Specifica un EtherType. • Specificare EtherType personalizzato – Specifica i quattro caratteri del valore esadecimale EtherType del protocollo non IP. Vedere Numeri Ethernet per i valori EtherType. Ad esempio, immettere 809B per AppleTalk, 8191 per NetBEUI o 8037 per IPX. Tipi di connessione Indica se uno o tutti i tipi di connessione sono applicabili: • Cablata • Wireless • Virtuale Un tipo di connessione Virtuale consiste in un adattatore presentato da una VPN o un'applicazione macchina virtuale, come VMware, piuttosto che un adattatore fisico. Specifica reti Specifica le reti applicabili all'elemento. • Aggiungi – Crea e aggiunge una rete. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina – Rimuove la rete dall'elenco. Trasporto 148 McAfee Endpoint Security 10.2 Specifica le opzioni di trasporto applicabili all'elemento. Guida del prodotto Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-4 Sezione 4 Opzioni (segue) Opzione Definizione Protocollo di trasporto Specifica il protocollo di trasporto associato all'elemento. Regola Gruppo Selezionare il protocollo, quindi fare clic su Aggiungi per aggiungere porte. • Tutti i protocolli: sono consentiti i protocolli IP, non IP e non supportati. • TCP e UDP: selezionare dall'elenco a discesa: • Porta locale: specifica il servizio o la porta del traffico locale ai quali è applicabile l'elemento. • Porta remota – Specifica il servizio o la porta su un altro computer ai quali è applicabile l'elemento. Porta locale e Porta remota possono essere: • Un singolo servizio. Ad esempio, 23. • Un intervallo. Ad esempio, 1–1024. • Un elenco separato da virgole di singole porte e intervalli. Ad esempio, 80, 8080, 1–10, 8443 (fino a 4 elementi). Per impostazione predefinita, le regole sono applicabili a tutti i servizi e porte. • ICMP – Nel menu a discesa Tipo di messaggio, specificare un tipo di messaggio ICMP. Vedere ICMP. • ICMPv6 – Nel menu a discesa Tipo di messaggio, specificare un tipo di messaggio ICMP. Vedere ICMPv6. • Altro – Esegue la selezione da un elenco di protocolli meno comuni. Eseguibili Specifica gli eseguibili applicabili alla regola. • Aggiungi – Crea e aggiunge un eseguibile. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina – Rimuove un eseguibile dall'elenco. Pianificazione McAfee Endpoint Security 10.2 Specifica le impostazioni di pianificazione per la regola o il gruppo. Guida del prodotto 149 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-4 Sezione Opzioni (segue) Opzione Definizione Attiva pianificazione Attiva la pianificazione per la regola o il gruppo a tempo. Regola Gruppo Con la pianificazione disattivata, la regola o le regole nel gruppo non vengono applicate. • Ora di inizio – Specifica l'ora di inizio per l'attivazione della pianificazione. • Ora di fine – Specifica l'ora per la disattivazione della pianificazione. • Giorni della settimana – Specifica i giorni della settimana per l'attivazione della pianificazione. Per l'ora di inizio e di fine, utilizzare un formato orario di 24 ore. Ad esempio, 13:00 = 1:00 PM. È possibile pianificare i gruppi a tempo di Firewall o consentire all'utente di attivarli dall'icona della barra delle applicazioni McAfee. Disattiva pianificazione e attiva il gruppo dall'icona della barra delle applicazioni di sistema McAfee Specifica che l'utente può attivare il gruppo a tempo per un numero definito di minuti dall'icona della barra delle applicazioni di sistema di McAfee anziché utilizzando la pianificazione. Procedura consigliata: utilizzare questa opzione per consentire un ampio accesso di rete, ad esempio in un hotel, prima di poter stabilire una connessione VPN. Selezionando questa opzione vengono visualizzate più opzioni di menu in Impostazioni rapide, nell'icona della barra delle applicazioni di sistema di McAfee: • Attiva gruppi a tempo Firewall: attiva i gruppi a tempo per un periodo definito per consentire l'accesso a Internet prima dell'applicazione di regole che limitano l'accesso. Se i gruppi a tempo sono attivati, l'opzione è Disattiva gruppi a tempo Firewall. Ogni volta che si seleziona questa opzione, il tempo dei gruppi viene reimpostato. In base alle impostazioni, potrebbe essere richiesto di fornire all'amministratore una motivazione per l'attivazione dei gruppi a tempo. • Visualizza gruppi a tempo Firewall: visualizza i nomi dei gruppi a tempo e il periodo rimanente di attività di ciascun gruppo. Numero di minuti (1-60) per attivare il gruppo 150 McAfee Endpoint Security 10.2 Specifica il numero di minuti (1-60) di attivazione del gruppo a tempo dopo la selezione di Attiva gruppi a tempo Firewall dall'icona della barra delle applicazioni di McAfee. Guida del prodotto Uso di Firewall Riferimento interfaccia client — Firewall 4 Vedere anche Creazione e gestione di regole e gruppi Firewall a pagina 137 Creazione di gruppi a tempo a pagina 139 Attivare o visualizzare i gruppi a tempo Firewall dall'icona della barra delle applicazioni McAfee. a pagina 126 Aggiungi rete o Modifica rete a pagina 152 Aggiungi eseguibile o Modifica eseguibile a pagina 151 Aggiungi eseguibile o Modifica eseguibile Aggiunge o modifica un eseguibile associato a una regola o gruppo. Tabella 4-5 Opzioni Opzione Definizione Nome Specifica il nome assegnato all'eseguibile. Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso file, Descrizione del file, Hash MD5 o firmatario. Nome o percorso file Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare. Fare clic su Sfoglia per selezionare l'eseguibile. Il percorso file può contenere caratteri jolly. Descrizione del file Indica la descrizione del file. Hash MD5 Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo. McAfee Endpoint Security 10.2 Guida del prodotto 151 4 Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-5 Opzioni (segue) Opzione Definizione Firmatario Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Autore firma: consente solo i file firmati dal firmatario del processo specificato. È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi. Il firmatario del processo viene visualizzato nel formato corretto negli eventi del Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia di McAfee ePO. Ad esempio: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Per ottenere l'SDN di un eseguibile: 1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà. 2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli. 3 Nella scheda Generale, fare clic su Visualizza certificato. 4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto del firmatario. Ad esempio, Firefox dispone di questo SDN: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = Stati Uniti Note Fornisce ulteriori informazioni sull'elemento. Aggiungi rete o Modifica rete Aggiunge o modifica una rete associata a una regola o gruppo. Tabella 4-6 Opzioni Opzione Definizione Nome Specifica il nome dell'indirizzo di rete (obbligatorio). Tipo Consente di selezionare: Regola Gruppo • Rete locale – Crea e aggiunge una rete locale. • Rete remota – Crea e aggiunge una rete remota. 152 Aggiungi Aggiunge un tipo di rete all'elenco di reti. Doppio clic su un elemento Modifica l'elemento selezionato. Elimina elimina l'elemento selezionato. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Firewall Riferimento interfaccia client — Firewall Tabella 4-6 4 Opzioni (segue) Opzione Definizione Regola Gruppo Tipo di indirizzo Specifica l'origine o la destinazione del traffico. Selezionare dall'elenco a discesa Tipo di indirizzo. Indirizzo Specifica l'indirizzo IP da aggiungere alla rete. I caratteri jolly sono validi. Vedere anche Tipo di indirizzo a pagina 153 Tipo di indirizzo Specificare il tipo di indirizzo per una specifica rete. Tabella 4-7 Opzioni Opzione Definizione IP singolo Specifica un particolare indirizzo IP. Ad esempio: • IPv4 – 123.123.123.123 • IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Sottorete Specifica l'indirizzo della sottorete di qualsiasi adattatore nella rete. Ad esempio: • IPv4 – 123.123.123.0/24 • IPv6 – 2001:db8::0/32 Sottorete locale Specifica l'indirizzo della sottorete dell'adattatore locale. Intervallo Specifica un intervallo di indirizzi IP. Inserire il punto di inizio e il punto di fine dell'intervallo. Ad esempio: • IPv4 – 123.123.1.0 – 123.123.255.255 • IPv6 – 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff Nome di dominio completo Specifica l'FQDN. Ad esempio, www.esempio.com. Qualsiasi indirizzo IP locale Specifica qualsiasi indirizzo IP locale. Qualsiasi indirizzo IPv4 Specifica qualsiasi indirizzo IPv4. Qualsiasi indirizzo IPv6 Specifica qualsiasi indirizzo IPv6. McAfee Endpoint Security 10.2 Guida del prodotto 153 4 Uso di Firewall Riferimento interfaccia client — Firewall 154 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Accedere alle funzionalità di protezione di Controllo Web dal browser durante la navigazione o la ricerca. Sommario Informazioni sulle funzioni di Controllo Web Accedere alle funzionalità di Controllo Web Gestione di Controllo Web Riferimento interfaccia client — Controllo Web Informazioni sulle funzioni di Controllo Web Poiché viene eseguito su ogni sistema gestito, Controllo Web segnala le minacce all'utente mentre si effettuano ricerche o si naviga sui siti Web. Un team di McAfee analizza ciascun sito Web e assegna classificazioni di sicurezza con codifica a colori in base ai risultati del test. Il colore indica il livello di sicurezza del sito. Il software utilizza i risultati del test per segnalare all'utente le minacce basate sul Web che si potrebbero incontrare. Sulle pagine dei risultati di ricerca – Viene visualizzata un'icona accanto a ciascun sito in elenco. Il colore dell'icona indica la classificazione di sicurezza del sito. L'utente può accedere a ulteriori informazioni con le icone. Nella finestra del browser – Viene visualizzato un pulsante. Il colore del pulsante indica la classificazione della sicurezza del sito. È possibile accedere a ulteriori informazioni facendo clic sul pulsante. Il pulsante segnala anche quando si verificano problemi di comunicazione e offre un accesso rapido a test che consentono di identificare problemi comuni. Nei rapporti sulla sicurezza – I dettagli mostrano in che modo è stata calcolata la classificazione di sicurezza in base ai tipi di minacce rilevate, ai risultati dei test e ad altri dati. Per i sistemi gestiti, gli amministratori creano policy per: • Attivare e disattivare Controllo Web sul sistema e impedire o consentire la disattivazione del plug-in del browser. • Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di contenuto. Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli. • Identificare i siti come bloccati o consentiti, in base agli URL e ai domini. McAfee Endpoint Security 10.2 Guida del prodotto 155 5 Utilizzo di Controllo Web Informazioni sulle funzioni di Controllo Web • Impedire di disinstallare o modificare file, chiavi di registro, valori di registro, servizi e processi di Controllo Web. • Personalizzare la notifica visualizzata quando si tenta di accedere a un sito Web bloccato. • Monitorare e regolare l'attività del browser sui computer della rete e creare report dettagliati sui siti Web. Per i sistemi autogestiti, è possibile configurare le impostazioni per: • Attivare e disattivare Controllo Web sul sistema. • Controllare l'accesso a siti, pagine e download in base alla classificazione della sicurezza o al tipo di contenuto. Ad esempio, blocco dei siti rossi e avvisi per gli utenti che provano ad accedere ai siti gialli. Il software supporta i browser Microsoft Internet Explorer, Mozilla Firefox e Google Chrome. Nei sistemi autogestiti, per impostazione predefinita sono consentiti tutti i browser (supportati e non supportati). Chrome non supporta l'opzione Mostra area commenti. Vedere anche Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 157 Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 158 Fornitura di dettagli da parte dei rapporti sul sito a pagina 158 Compilazione delle classificazioni di sicurezza a pagina 159 Modalità di blocco o segnalazione di un sito o download da parte di Controllo Web Quando un utente visita un sito che è stato bloccato o segnalato, Controllo Web mostra una pagina o un messaggio popup che ne indica il motivo. Se le azioni di classificazione dei siti sono impostate su: • Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate al sito. • Facendo clic su Annulla, l'utente ritorna al sito precedente. Se in precedenza non sono stati visitati altri siti, Annulla non è disponibile. • • Facendo clic su Continua, l'utente accede al sito. Blocca - Controllo Web mostra un messaggio che indica il blocco del sito. Facendo clic su OK, l'utente ritorna al sito precedente. Se in precedenza non sono stati visitati altri siti, OK non è disponibile. Se le azioni di classificazione dei download sono impostate su: • • Avviso - Controllo Web mostra un avviso per informare gli utenti delle potenziali minacce associate al download del file. • Blocca previene il download e ritorna al sito. • Continua procede con il download. Blocca - Controllo Web mostra un messaggio che indica il blocco del sito e previene il download. Facendo clic su OK, l'utente ritorna al sito. 156 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Informazioni sulle funzioni di Controllo Web Il pulsante Controllo Web identifica le minacce durante la navigazione Quando si accede a un sito Web, nel browser viene visualizzato un pulsante con codifica a colori . Il colore del pulsante corrisponde alla classificazione della sicurezza del sito. La classificazione della sicurezza si applica solo agli URL con protocollo HTTP e HTTPS. Internet Explorer e Safari (Macintosh) Firefox e Chrome Descrizione Questo sito viene controllato quotidianamente e certificato come sicuro da McAfee SECURE . (solo Windows) ™ Questo sito è sicuro. Questo sito potrebbe presentare dei problemi. Questo sito presenta dei problemi gravi. Non è disponibile una classificazione per questo sito. Questo pulsante viene visualizzato per gli URL con protocollo FILE (file://). Si è verificato un errore di comunicazione con il server McAfee GTI che contiene le informazioni di classificazione. Controllo Web non ha posto una query a McAfee GTI per questo sito e ciò indica che il sito è interno o si trova in un intervallo di indirizzi IP privati. Questo è un sito di phishing. Il phishing è un tentativo di acquisizione di informazioni riservate, come nomi utente, password e dettagli di carte di credito. I siti di phishing si nascondono sotto le false spoglie di enti affidabili in una comunicazione elettronica. Un'impostazione consente questo sito. Un'impostazione ha disattivato Controllo Web. La posizione del pulsante dipende dal browser: • Internet Explorer - Barra degli strumenti Controllo Web • Firefox – Angolo destro della barra degli strumenti Firefox • Chrome - Barra degli indirizzi Vedere anche Visualizzazione di informazioni su un sito durante la navigazione a pagina 161 McAfee Endpoint Security 10.2 Guida del prodotto 157 5 Utilizzo di Controllo Web Informazioni sulle funzioni di Controllo Web Identificazione delle minacce durante la ricerca mediante le icone di sicurezza Quando l'utente digita parole chiave in un motore di ricerca come Google, Yahoo, Bing o Ask, vengono visualizzate icone di sicurezza accanto ai siti nella pagina dei risultati della ricerca. Il colore del pulsante corrisponde alla classificazione di sicurezza del sito. I test non hanno rivelato problemi significativi. I test hanno rilevato problemi dei quali informare l'utente. Ad esempio, il sito ha cercato di modificare le impostazioni predefinite del browser di chi ha eseguito il test, ha visualizzato popup o inviato a chi ha eseguito il test una quantità significativa di email non classificate come spam. I test hanno rilevato problemi gravi che l'utente deve tenere in considerazione prima di accedere a questo sito. Ad esempio, il sito ha inviato a chi ha eseguito il test email di spam o adware in bundle con un download. Un'impostazione ha bloccato questo sito. Questo sito non è classificato. Vedere anche Visualizzazione del rapporto sul sito durante le ricerche a pagina 161 Fornitura di dettagli da parte dei rapporti sul sito L'utente può visualizzare il rapporto sul sito per un sito Web per dettagli sulle minacce specifiche. I rapporti sul sito sono forniti dal server delle classificazioni McAfee GTI e offrono le seguenti informazioni. Questo elemento... Indica... Panoramica La classificazione complessiva del sito Web, determinata da questi test: • Vengono valutate le pratiche di email e download di un sito Web utilizzando tecniche proprietarie di raccolta e analisi dei dati. • Viene esaminato il sito Web stesso per verificare se attiva pratiche fastidiose quali popup eccessivi o richieste di modifica della home page. • Viene eseguita un'analisi delle affiliazioni online per valutare se il sito è associato ad altri siti sospetti. • La valutazione dei siti sospetti di McAfee viene integrata con i commenti dei servizi Threat Intelligence. Affiliazioni online Indicazione del livello di aggressività con cui il sito tenta di indirizzare ad altri siti contrassegnati da McAfee come rossi. I siti sospetti spesso si associano con altri siti sospetti. Lo scopo principale dei siti feeder è quello di far visitare il sito sospetto. Un sito può essere classificato in rosso se, ad esempio, collega in modo troppo aggressivo ad altri siti rossi. In questo caso, Controllo Web considera il sito come rosso per associazione. 158 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Informazioni sulle funzioni di Controllo Web Questo elemento... Indica... Test di spam Web La classificazione complessiva delle procedure di invio di email di un sito Web, in base ai risultati dei test. McAfee classifica i siti in base alla quantità di messaggi email ricevuti dopo aver inserito un indirizzo nel sito e al fatto che tali messaggi siano di spam. Se uno di questi valori è superiore a quanto considerato accettabile, McAfee classifica il sito come giallo. Se entrambi i valori sono elevati o se uno dei due è particolarmente elevato, McAfee classifica il sito come rosso. Test di download La classificazione complessiva dell'impatto che un software scaricabile dal sito ha avuto sul computer che ha eseguito il test, in base ai risultati del test. McAfee contrassegna come rossi i siti con download con virus o che aggiungono software non correlato che molti utenti considererebbero adware o spyware. La classificazione tiene anche conto dei server di rete contattati dal programma scaricato durante la sua esecuzione, nonché di eventuali modifiche alle impostazioni del browser o ai file di registro del computer. Vedere anche Visualizzazione del rapporto sul sito durante le ricerche a pagina 161 Visualizzazione di informazioni su un sito durante la navigazione a pagina 161 Compilazione delle classificazioni di sicurezza Un team McAfee sviluppa le classificazioni di sicurezza tramite la verifica di numerosi criteri per ogni sito e la valutazione dei risultati in modo da rilevare le minacce comuni. La compilazione delle classificazioni di sicurezza per un sito web a seguito delle verifiche automatiche viene eseguita mediante: • Download di file per verificare la presenza di virus e programmi potenzialmente indesiderati uniti al download. • Immissione delle informazioni di contatto nei moduli di registrazione e verifica dello spam risultante o di un volume elevato di email non indesiderate provenienti dal sito o dalle sue affiliate. • Verifica di una presenza eccessiva di finestre popup. • Verifica dei tentativi da parte del sito di sfruttare le vulnerabilità del browser. • Verifica di eventuali pratiche ingannevoli o fraudolente utilizzate da un sito. Il team inserisce i risultati delle verifiche in un rapporto sulla sicurezza, che può anche contenere: • Commenti inviati dal proprietario del sito, che possono includere descrizioni delle precauzioni di sicurezza utilizzate dal sito o risposte ai commenti degli utenti sul sito. • Commenti inviati dagli utenti del sito, che possono comprendere rapporti sui messaggi di phishing o sulle esperienze negative durante gli acquisti. • Ulteriori analisi effettuate da esperti McAfee. Il server McAfee GTI archivia le classificazioni sito e i report. McAfee Endpoint Security 10.2 Guida del prodotto 159 5 Utilizzo di Controllo Web Accedere alle funzionalità di Controllo Web Accedere alle funzionalità di Controllo Web È possibile accedere alle funzionalità di Controllo Web dal browser. Attività • Attivazione del plug-in Controllo Web dal browser a pagina 160 In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere una notifica delle minacce basate su Web quando si naviga e si effettuano ricerche. • Visualizzazione di informazioni su un sito durante la navigazione a pagina 161 Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il funzionamento del pulsante varia a seconda del browser. • Visualizzazione del rapporto sul sito durante le ricerche a pagina 161 Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori informazioni riguardo al sito. Attivazione del plug-in Controllo Web dal browser In alcuni browser, è necessario attivare manualmente il plug-in Controllo Web per ricevere una notifica delle minacce basate su Web quando si naviga e si effettuano ricerche. Prima di iniziare È necessario attivare il modulo Controllo Web. Al primo avvio di Internet Explorer o Chrome, viene chiesto di attivare i plug-in. Il plug-in Controllo Web è attivato per impostazione predefinita in Firefox. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. • Quando viene visualizzata la richiesta, fare clic sul pulsante per attivare il plug-in. Internet Explorer • Fare clic su Attiva. • Se è disponibile più di un plug-in, fare clic su Scegli componenti aggiuntivi, quindi fare clic su Attiva in corrispondenza della barra degli strumenti Controllo Web. Chrome Fare clic su Attiva estensione. Firefox • Fare clic su Componenti aggiuntivi | Estensioni. • Fare clic su Attiva per attivare l'estensione Controllo Web Endpoint Security. • Riavviare Firefox. In Internet Explorer, se si disattiva la barra degli strumenti Controllo Web, viene chiesto di disattivare anche il plug-in Controllo Web. Per i sistemi gestiti, se le impostazioni della policy impediscono la disinstallazione o la disattivazione del plug-in, il plug-in Controllo Web resta attivato anche se la barra degli strumenti non è visibile. 160 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Accedere alle funzionalità di Controllo Web Visualizzazione di informazioni su un sito durante la navigazione Utilizzare il pulsante Controllo Web nel browser per visualizzare informazioni su un sito. Il funzionamento del pulsante varia a seconda del browser. Prima di iniziare • È necessario attivare il modulo Controllo Web. • Il plug-in Controllo Web deve essere attivato nel browser. • L'opzione Nascondi barra degli strumenti nel browser client nelle impostazioni Opzioni deve essere disattivata. Quando Internet Explorer è in modalità a schermo intero, la barra degli strumenti di Controllo Web non viene visualizzata. Per visualizzare il menu Controllo Web: Internet Explorer e Firefox Chrome Fare clic sul pulsante Fare clic sul pulsante nella barra degli strumenti. nella barra degli indirizzi. Attività 1 Visualizzare un'area commenti con un riepilogo della classificazione della sicurezza del sito: posizionare il cursore sopra il pulsante nella barra degli strumenti Controllo Web. (Solo Internet Explorer e Firefox) 2 Visualizzare il rapporto sul sito dettagliato, che include ulteriori informazioni sulla classificazione della sicurezza del sito: • Fare clic sul pulsante Controllo Web. • Selezionare Visualizza rapporto sul sito dal menu Controllo Web. • Fare clic sul link Leggere il rapporto sul sito nell'area commenti del sito. (Solo Internet Explorer e Firefox) Vedere anche Il pulsante Controllo Web identifica le minacce durante la navigazione a pagina 157 Fornitura di dettagli da parte dei rapporti sul sito a pagina 158 Visualizzazione del rapporto sul sito durante le ricerche Utilizzare l'icona di sicurezza nella pagina dei risultati della ricerca per visualizzare ulteriori informazioni riguardo al sito. Attività 1 Posizionare il cursore sull'icona di sicurezza. Nel testo dell'area commenti viene visualizzato un riepilogo del rapporto sulla sicurezza. 2 Fare clic su Leggi rapporto sul sito nell'area commenti per aprire un rapporto sulla sicurezza del sito dettagliato in un'altra finestra del browser. Vedere anche Identificazione delle minacce durante la ricerca mediante le icone di sicurezza a pagina 158 Fornitura di dettagli da parte dei rapporti sul sito a pagina 158 McAfee Endpoint Security 10.2 Guida del prodotto 161 5 Utilizzo di Controllo Web Gestione di Controllo Web Gestione di Controllo Web In qualità di amministratore, è possibile specificare le impostazioni Controllo Web per consentire e personalizzare la protezione, impostare blocchi in base alle categorie Web e registrare la configurazione. Per i sistemi gestiti, le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle apportate dalla pagina Impostazioni. Configurazione delle opzioni Controllo Web È possibile attivare Controllo Web e configurare le opzioni dal client Client Endpoint Security. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Controllo Web nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. 162 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. McAfee Endpoint Security 10.2 , selezionare Impostazioni, quindi fare clic su Controllo Web nella pagina Guida del prodotto 5 Utilizzo di Controllo Web Gestione di Controllo Web 5 Selezionare Attiva Controllo Web per attivare Controllo Web e modificarne le opzioni. Per... Eseguire questa operazione... Note Nascondere la barra degli strumenti di Controllo Web nel browser senza disattivare la protezione. Selezionare Nascondi barra degli strumenti nel browser client. Rilevare eventi browser da utilizzare per i report. Configurare le impostazioni nella Configurare gli eventi Controllo Web sezione Registrazione eventi. inviati dai sistemi client al server di gestione, da utilizzare per query e report. Attivare blocco o avviso per URL sconosciuti. In Imposizione azione, selezionare l'azione (Blocca, Consenti o Avvisa) per i siti non ancora verificati da McAfee GTI. Eseguire la scansione dei file prima del download. In Imposizione azione, selezionare Attiva scansione file per il download di file, quindi selezionare il livello di rischio McAfee GTI da bloccare. Aggiungere siti esterni alla rete privata locale. In Imposizione azione, accanto a Specifica altri indirizzi IP o intervalli da consentire, fare clic su Aggiungi, quindi immettere un indirizzo IP o un intervallo. Bloccare la visualizzazione di siti rischiosi nei risultati di ricerca. In Ricerca sicura, selezionare Attiva ricerca sicura, selezionare il motore di ricerca e specificare se bloccare i collegamenti ai siti rischiosi. Ricerca sicura filtra automaticamente i siti dannosi nei risultati di ricerca in base alla classificazione di sicurezza. Controllo Web utilizza Yahoo come motore di ricerca predefinito e supporta la Ricerca sicura solo su Internet Explorer. Se viene modificato il motore di ricerca predefinito, riavviare il browser affinché la modifica venga applicata. Al successivo accesso dell'utente a Internet Explorer, Controllo Web mostra un popup che richiede all'utente di passare alla ricerca sicura McAfee con il motore di ricerca specificato. Nelle versioni di Internet Explorer in cui il motore di ricerca è bloccato, il popup di Ricerca sicura non viene visualizzato. 6 Configurare le altre opzioni in base alle esigenze. 7 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Come viene eseguita la scansione dei download di file a pagina 164 Accedere come amministratore a pagina 27 McAfee Endpoint Security 10.2 Guida del prodotto 163 5 Utilizzo di Controllo Web Gestione di Controllo Web Come viene eseguita la scansione dei download di file Controllo Web invia richieste relative al download dei file a Prevenzione delle minacce, affinché venga eseguita la scansione prima del download. Funzionamento di McAfee GTI Se si attiva McAfee GTI per il programma di scansione all'accesso o su richiesta, il programma di scansione utilizza l'euristica per verificare i file sospetti. Il server McAfee GTI archivia le classificazioni sito e i rapporti per Controllo Web. Se si configura Controllo Web per la scansione dei file scaricati, il 164 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Gestione di Controllo Web programma di scansione utilizza la reputazione dei file fornita da McAfee GTI per verificare la presenza di file sospetti. Il programma di scansione invia le impronte digitali degli elementi, o hash, a un server di database centrale ospitato da McAfee Labs per stabilire se si tratta di malware. Inviando gli hash, il rilevamento potrebbe essere reso disponibile prima del successivo aggiornamento dei file di contenuto, quando McAfee Labs pubblica l'aggiornamento. È possibile configurare il livello di sensibilità utilizzato da McAfee GTI per stabilire se un campione rilevato è un malware. Un livello di sensibilità più elevato comporta un maggior numero di rilevamenti di malware. Tuttavia, consentendo un maggior numero di rilevamenti è possibile ottenere un maggior numero di falsi positivi. • Per Prevenzione delle minacce, il livello di sensibilità di McAfee GTI è impostato su Medio per impostazione predefinita. Configurare il livello di sensibilità per ciascun programma di scansione nelle impostazioni di Prevenzione delle minacce. • Per Controllo Web, il livello di sensibilità di McAfee GTI è impostato su Molto elevato per impostazione predefinita. Configurare il livello di sensibilità per la scansione dei download di file nelle impostazioni Opzioni di Controllo Web. È possibile configurare Endpoint Security per utilizzare un server proxy per il recupero delle informazioni di reputazione di McAfee GTI nelle impostazioni del modulo In comune. Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web Configurare le impostazioni della policy Azioni contenuto per specificare le azioni applicabili ai siti e ai download di file, sulla base di classificazioni di sicurezza. Facoltativamente, specificare di bloccare o consentire siti in ogni categoria Web. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Utilizzare le impostazioni in Messaggi di imposizione per personalizzare il messaggio da visualizzare per siti e download di file bloccati o con avviso e le pagine di phishing bloccate. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Controllo Web nella pagina Stato principale. In alternativa, dal menu Azione Impostazioni. , selezionare Impostazioni, quindi fare clic su Controllo Web nella pagina 3 Fare clic su Mostra Avanzate. 4 Fare clic su Azioni contenuto. 5 Nella sezione Blocco categoria Web, per ogni Categoria Web, attivare o disattivare l'opzione Blocca. Per i siti nelle categorie non bloccate, Controllo Web applica anche le azioni di classificazione. McAfee Endpoint Security 10.2 Guida del prodotto 165 5 Utilizzo di Controllo Web Riferimento interfaccia client — Controllo Web 6 Nella sezione Azioni classificazione, specificare le azioni da applicare a tutti i siti e download di file, sulle base delle classificazioni di sicurezza definite da McAfee. Queste azioni sono applicabili anche ai siti non bloccati da un blocco categoria Web. 7 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Uso delle categorie Web per controllare l'accesso a pagina 166 Utilizzo di classificazioni di sicurezza per controllare gli accessi a pagina 166 Accedere come amministratore a pagina 27 Uso delle categorie Web per controllare l'accesso Le categorie Web consentono di controllare l'accesso ai siti, in base alle categorie definite da McAfee. È possibile specificare opzioni per consentire o bloccare l'accesso ai siti in base alla categoria di contenuto. Quando viene attivato il blocco delle categorie Web nelle impostazioni della policy Azioni contenuto, il software blocca o consente categorie di siti Web. Le categorie includono: Gioco d'azzardo, Giochi e Messaggistica immediata. McAfee definisce e mantiene un elenco di circa 105 categorie Web. Quando un utente client accede a un sito, il software ne verifica la categoria Web. Se il sito rientra in una categoria definita, l'accesso viene bloccato o consentito in base alle impostazioni della policy Azioni contenuto. Per i siti e i download di file nelle categorie non bloccate, il software applica le Azioni classificazione specificate. Utilizzo di classificazioni di sicurezza per controllare gli accessi Per specificare se gli utenti possono accedere a un sito o alle risorse di un sito, configurare le azioni in base alle classificazioni di sicurezza. È possibile specificare opzioni di accesso consentito, blocco o avviso per ogni sito o download di file, in base alla classificazione. Questa impostazione consente un maggior livello di granularità nella protezione degli utenti da file che potrebbero rappresentare una minaccia in siti con una classificazione complessiva verde. Riferimento interfaccia client — Controllo Web Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Controllo Web - Opzioni Controllo Web - Azioni contenuto Controllo Web - Opzioni Configura le impostazioni generali di Controllo Web, che includono l'attivazione, la specifica dell'imposizione di azioni, la ricerca sicura e le annotazioni email. Consultare le impostazioni nel modulo In comune per la configurazione della registrazione. 166 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Riferimento interfaccia client — Controllo Web Tabella 5-1 Opzioni Sezione Opzione Definizione OPZIONI Attiva Controllo Web Disattiva o attiva Controllo Web. (Attivato per impostazione predefinita) Nascondi barra degli strumenti nel browser client Nasconde la barra degli strumenti di Controllo Web nel browser senza disattivarne le funzionalità. (Disattivato per impostazione predefinita) Registra categorie Web per siti classificati come verdi Registra le categorie di contenuti per tutti i siti classificati come verdi. Registra eventi iFrame Controllo Web Registra il blocco dei siti pericolosi (rossi) e con avviso (gialli) visualizzati in un iframe HTML. Applica questa azione ai siti non ancora verificati da McAfee GTI Specifica l'azione predefinita da applicare ai siti non ancora classificati da McAfee GTI. Registrazione eventi Imposizione azione La disattivazione di questa funzione può incidere negativamente sulle performance del server McAfee ePO. • Consenti (opzione predefinita) – Consente agli utenti di accedere al sito. • Avvisa – Mostra un avviso per informare gli utenti delle potenziali minacce associate al sito. Gli utenti dovranno chiudere l'avviso per poter procedere. • Blocca – Impedisce agli utenti di accedere al sito e mostra un messaggio che indica il blocco del download del sito. Attiva supporto di iFrame Blocca l'accesso ai siti pericolosi (Rosso) e con avviso (Giallo ) HTML visualizzati in un iframe HTML. (Attivato per impostazione predefinita) Blocca siti per Blocca l'accesso ai siti Web per impostazione predefinita se impostazione predefinita Controllo Web non può raggiungere il server McAfee GTI. se il server delle classificazioni McAfee GTI non è raggiungibile Blocca pagine di phishing per tutti i siti Blocca tutte le pagine di phishing, sovrascrivendo le azioni di classificazione dei contenuti. (Attivato per impostazione predefinita) Attiva scansione file per il download di file Esegue la scansione di tutti i file (.zip, .exe, .ecx, .cab, .msi, .rar, .scr, and .com) prima del download. (Attivato per impostazione predefinita) Questa opzione impedisce agli utenti di accedere a un file scaricato fino a quando Controllo Web e Prevenzione delle minacce lo contrassegnano come non infetto. Controllo Web esegue una ricerca McAfee GTI nel file. Se McAfee GTI consente l'accesso al file, Controllo Web invia il file a Prevenzione delle minacce per la scansione. Se un file scaricato viene rilevato come minaccia, Endpoint Security esegue un'azione sul file e avvisa l'utente. Livello di sensibilità di McAfee GTI McAfee Endpoint Security 10.2 Specifica il livello di sensibilità di McAfee GTI che Controllo Web utilizza per i download. Guida del prodotto 167 5 Utilizzo di Controllo Web Riferimento interfaccia client — Controllo Web Tabella 5-1 Opzioni (segue) Sezione Opzione Definizione Esclusioni Specifica gli indirizzi o gli intervalli IP da escludere dalle classificazioni e/o dal blocco di Controllo Web Aggiunge gli indirizzi IP e gli intervalli specificati alla rete privata locale, escludendoli da classificazione o blocco. Gli indirizzi IP privati sono esclusi per impostazione predefinita. Procedura consigliata: usare questa opzione per trattare i siti esterni come se facessero parte della rete locale. • Aggiungi: aggiunge un indirizzo IP all'elenco degli indirizzi privati nella rete locale. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina un indirizzo IP dall'elenco degli indirizzi privati nella rete locale. Ricerca sicura Attiva ricerca sicura Ricerca sicura blocca automaticamente i siti dannosi nei risultati di ricerca in base alla classificazione della sicurezza. Imposta il motore di ricerca predefinito nei browser supportati Specifica il motore di ricerca predefinito da utilizzare nei browser supportati: • Yahoo • Google • Bing • Ask Blocca i link a siti rischiosi nei risultati di ricerca Impedisce agli utenti di fare clic su link a siti rischiosi nei risultati di ricerca. Tabella 5-2 Opzioni avanzate Sezione Opzione Definizione Annotazioni email Attiva annotazioni nelle email basate su Prende nota degli URL nei client email basati su browser browser, come Yahoo Mail e Gmail. Attiva annotazioni nelle email non basate su browser Prende nota degli URL negli strumenti di gestione delle email a 32 bit, come Microsoft Outlook o Outlook Express. Vedere anche Configurazione delle opzioni Controllo Web a pagina 162 Come viene eseguita la scansione dei download di file a pagina 164 McAfee GTI a pagina 118 Controllo Web - Azioni contenuto Definisce le azioni da intraprendere per siti e categorie di contenuti Web classificati. Per i siti e i download di file nelle categorie non bloccate, Controllo Web applica le azioni di classificazione. 168 McAfee Endpoint Security 10.2 Guida del prodotto 5 Utilizzo di Controllo Web Riferimento interfaccia client — Controllo Web Tabella 5-4 Opzioni Sezione Opzione Definizione Azioni classificazione Azioni Specifica le azioni per i siti classificati come rossi, gialli oppure non classificazione per classificati. siti Siti e download classificati come verdi vengono consentiti automaticamente. • Consenti – Consente agli utenti di accedere al sito. (Opzione predefinita per i siti classificati come Non classificato) • Avvisa – Mostra un avviso per informare gli utenti delle potenziali minacce associate al sito. Fare clic su Annulla per ritornare alla pagina precedente o su Continua per procedere al sito. Se in precedenza non sono stati visitati altri siti, Annulla non è disponibile. (Opzione predefinita per i siti classificati come Giallo) • Blocca – Impedisce agli utenti di accedere al sito e mostra un messaggio che indica il blocco del sito. Fare clic su OK per ritornare alla pagina precedente. Se in precedenza non sono stati visitati altri siti, OK non è disponibile. (Opzione predefinita per i siti classificati come Rosso) Azioni di Specifica le azioni per i download di file classificati come rossi, gialli o classificazione per non classificati. i download di file Queste Azioni di classificazione sono applicabili solo quando Attiva scansione file per il download di file è attivato nelle impostazioni di Opzioni. • Consenti: consente agli utenti di procedere con il download. (Opzione predefinita per i siti classificati come Non classificato) • Avvisa – Visualizza un avviso per segnalare agli utenti i potenziali pericoli associati al file di download. L'avviso va chiuso prima di terminare o di procedere con il download. (Opzione predefinita per i siti classificati come Giallo) • Blocca - Un messaggio segnala il blocco del download e impedisce agli utenti di scaricare il file. (Opzione predefinita per i siti classificati come Rosso) Per personalizzare il messaggio, è possibile utilizzare le opzioni in Messaggi di imposizione. Tabella 5-5 Opzioni avanzate Sezione Opzione Definizione Blocco categoria Web Attiva blocco categoria Web Attiva il blocco dei siti in base alla categoria di contenuto. McAfee Endpoint Security 10.2 Blocca Impedisce agli utenti di accedere a qualsiasi sito che rientra in questa categoria e mostra un messaggio che indica il blocco del sito. Categoria Web Elenca le categorie Web. Guida del prodotto 169 5 Utilizzo di Controllo Web Riferimento interfaccia client — Controllo Web Vedere anche Specificare azioni di classificazione e bloccare l'accesso ai siti in base alla categoria Web a pagina 165 Utilizzo di classificazioni di sicurezza per controllare gli accessi a pagina 166 Uso delle categorie Web per controllare l'accesso a pagina 166 170 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Intelligence sulle minacce offre una sicurezza adattiva in base al contesto per ambienti di rete. Intelligence sulle minacce Endpoint Security è un modulo facoltativo di Endpoint Security. Per ulteriori risorse e funzionalità di Intelligence sulle minacce, distribuire il server Threat Intelligence Exchange. Per informazioni, contattare il rivenditore o il rappresentante commerciale. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. Sommario Funzionamento di Intelligence sulle minacce Gestione di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Funzionamento di Intelligence sulle minacce Intelligence sulle minacce usa l'infrastruttura Data Exchange Layer per condividere immediatamente le informazioni di file e minacce nell'intera rete. In precedenza, veniva inviato un certificato o un file sconosciuto a McAfee per l'analisi, quindi le informazioni sul file venivano aggiornate in rete nei giorni successivi. Intelligence sulle minacce consente di controllare la reputazione di file a livello locale, nell'ambiente di lavoro. L'utente decide quali file è possibile eseguire e quali bloccare, quindi Data Exchange Layer condivide immediatamente le informazioni nell'ambiente di lavoro. Scenari di utilizzo di Intelligence sulle minacce • Bloccare immediatamente un file: Intelligence sulle minacce notifica all'amministratore di rete la presenza di un file sconosciuto nell'ambiente di lavoro. Anziché inviare le informazioni del file a McAfee per l'analisi, l'amministratore blocca immediatamente il file. L'amministratore può quindi utilizzare Intelligence sulle minacce per rilevare se il file è una minaccia e quanti sistemi lo hanno eseguito. • Consentire l'esecuzione di un file personalizzato: consente a una società di utilizzare regolarmente un file la cui reputazione predefinita risulta sospetta o dannosa. Ad esempio, un file personalizzato creato per la società. Poiché tale file è consentito, anziché inviare le relative informazioni a McAfee e ricevere un file DAT aggiornato, l'amministratore può impostarne la reputazione su Affidabile e consentirne l'esecuzione senza avvisi o prompt. • Consentire l'esecuzione di un file in un contenitore: quando una società utilizza per la prima volta un file la cui reputazione è sconosciuta, l'amministratore può approvarne l'esecuzione in un contenitore. In tal caso, l'amministratore configura le regole di contenimento nella categoria Contenimento dinamico delle applicazioni. Le regole di contenimento consentono di definire le azioni che l'applicazione contenuta può eseguire. McAfee Endpoint Security 10.2 Guida del prodotto 171 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Gestione di Intelligence sulle minacce Come amministratore, è possibile specificare le impostazioni di Intelligence sulle minacce, ad esempio scegliendo i gruppi regole ed impostando le soglie di reputazione. Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina Impostazioni. Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. Informazioni su Intelligence sulle minacce Intelligence sulle minacce offre un ecosistema di sicurezza che consente la comunicazione istantanea tra sistemi e dispositivi nell'ambiente di lavoro. Questa comunicazione viene resa possibile con l'infrastruttura Data Exchange Layer. È possibile visualizzare il sistema specifico in cui una minaccia è stata rilevata per la prima volta e la direzione verso cui si muove, quindi arrestarla immediatamente. Intelligence sulle minacce offre i seguenti vantaggi: • Rilevamento rapido e protezione da minacce per la sicurezza e malware. • Possibilità di individuare i sistemi o i dispositivi compromessi e conoscere la diffusione della minaccia nell'ambiente di lavoro. • Possibilità di bloccare, consentire o isolare immediatamente file e certificati specifici in base alle relative reputazioni di minaccia e ai propri criteri di rischio. • Integrazione in tempo reale con McAfee Advanced Threat Defense e McAfee GTI per fornire dati e valutazione dettagliati sulla classificazione del malware. Questa integrazione consente di rispondere alle minacce e condividere le informazioni nell'ambiente di lavoro. ® Intelligence sulle minacce non è supportato nei sistemi gestiti da McAfee ePO Cloud. Componenti di Intelligence sulle minacce Intelligence sulle minacce include i componenti indicati di seguito. • Un modo per Endpoint Security che consente di creare le policy necessarie per bloccare, consentire o isolare un file o un certificato in base alla relativa reputazione. • Un server che archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri sistemi. • I broker Data Exchange Layer che consentono la comunicazione bidirezionale tra sistemi gestiti in una rete. ® ® ™ Questi componenti vengono installati come estensioni di McAfee ePolicy Orchestrator (McAfee ePO ) e aggiungono diverse nuove funzionalità e rapporti. 172 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Il modulo e il server comunicano le informazioni sulle reputazioni dei file. L'infrastruttura Data Exchange Layer inoltra immediatamente tali informazioni a endpoint gestiti. Inoltre, consente di condividere informazioni con altri prodotti McAfee che accedono a Data Exchange Layer, ad esempio McAfee Enterprise Security Manager (McAfee ESM) e McAfee Network Security Platform. ® ® client Intelligence sulle minacce Il modulo Intelligence sulle minacce consente di stabilire ciò che si verifica quando viene rilevato un file dannoso o con una reputazione sconosciuta nel proprio ambiente. È inoltre possibile visualizzare le informazioni sulla cronologia delle minacce e le azioni eseguite. È possibile effettuare le attività riportate di seguito utilizzando il modulo Intelligence sulle minacce. Per stabilire le azioni, il client utilizza regole basate su più punti dati, ad esempio reputazioni, intelligence locale e informazioni contestuali. Le regole possono essere aggiornate in modo indipendente. • Creare policy per: • Consentire, bloccare, ripulire o contenere file in base alla relativa reputazione. • Ricevere un prompt ogni volta che viene tentata l'esecuzione di un file o un certificato con una determinata reputazione. • Inviare file automaticamente ad Advanced Threat Defense per un'ulteriore valutazione. McAfee Endpoint Security 10.2 Guida del prodotto 173 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce • Visualizzare eventi sulle dashboard Intelligence sulle minacce. È possibile visualizzare eventi consentiti, bloccati, ripuliti e contenuti per gli ultimi 30 giorni o in base al tipo di evento. Server Server Exchange Intelligence sulle minacce Il server archivia le informazioni sulle reputazioni di file e certificati per poi inoltrarle ad altri sistemi dell'ambiente di lavoro. Per informazioni sul server, consultare la Guida del prodotto Intelligence sulle minacce. Combinazione di database e server TIE Se si dispone di database e server TIE gestiti da diversi sistemi McAfee ePO, è possibile combinarli per condividere le informazioni sulla reputazione. Per informazioni dettagliate sulla combinazione di server e database TIE, consultare la Guida del prodotto di McAfee Data Exchange Layer e l'articolo KB83896 della KnowledgeBase. Data Exchange Layer L'infrastruttura di Data Exchange Layer include software client e broker che consentono la comunicazione bidirezionale tra gli endpoint di una rete. Data Exchange Layer funziona in background comunicando con i servizi, i database, gli endpoint e le applicazioni. Il client Data Exchange Layer viene installato in ciascun endpoint gestito per consentire la condivisione immediata delle informazioni sulle minacce provenienti dai prodotti di sicurezza che utilizzano DXL con tutti gli altri servizi e dispositivi. La condivisione di informazioni di reputazione appena queste sono disponibili riduce i presupposti di sicurezza reciproci su cui si basano applicazioni e servizi quando scambiano informazioni. Queste informazioni condivise riducono la diffusione delle minacce. Per informazioni sull'installazione e l'utilizzo di McAfee Data Exchange Layer, consultare la guida del prodotto di Data Exchange Layer. Come si determina una reputazione La reputazione di file e certificati viene determinata quando si tenta di eseguire un file su un sistema gestito. La determinazione della reputazione di un file o un certificato prevede i passaggi indicati di seguito. 174 1 Un utente o un sistema tenta di eseguire un file. 2 Endpoint Security controlla il file e non è in grado di determinarne la validità e la reputazione. 3 Il modulo Intelligence sulle minacce controlla il file e raccoglie informazioni su proprietà rilevanti del file e del sistema locale. 4 Il modulo verifica se nella cache della reputazione locale è presente l'hash del file. Se l'hash del file è presente, il modulo rileva dalla cache i dati relativi alla prevalenza e alla reputazione di Enterprise per il file. 5 In caso contrario, il modulo esegue una query sul server TIE. Se l'hash è presente, il modulo rileva i dati sulla prevalenza di Enterprise (ed eventuali reputazioni disponibili) per l'hash del file specifico. 6 Se l'hash del file non è presente nel server o nel database TIE, il server esegue una query su McAfee GTI per ottenere la reputazione dell'hash del file. McAfee GTI invia le informazioni disponibili, ad esempio "sconosciuto" o "dannoso", e tali informazioni vengono memorizzate dal server. McAfee Endpoint Security 10.2 Guida del prodotto Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce 6 Il server invia il file per la scansione se si verifica una delle seguenti condizioni: • Advanced Threat Defense è disponibile o attivato come provider di reputazioni: il server esegue una ricerca localmente per verificare se sia presente la reputazione Advanced Threat Defense; diversamente, contrassegna il file come candidato per l'invio. • La policy sull'endpoint è configurata per inviare il file a Advanced Threat Defense. Vedere i passaggi aggiuntivi in Se Advanced Threat Defense è presente. 7 Il server restituisce al modulo l'età, i dati di prevalenza e la reputazione enterprise dell'hash del file in base ai dati rilevati. Se il file non era presente nell'ambiente, il server invia anche un primo contrassegno di istanza al modulo Intelligence sulle minacce. Se McAfee Web Gateway è presente ed eventualmente invia un punteggio reputazione, il server Intelligence sulle minacce restituisce la reputazione del file. 8 Il modulo valuta i seguenti metadati per determinare la reputazione del file: 9 • Proprietà di file e sistema • Dati di prevalenza ed età di Enterprise • Reputazione Il modulo agisce in base alla policy assegnata al sistema su cui il file è in esecuzione. 10 Il modulo aggiorna il server con le informazioni di reputazione e indica se il file è bloccato, consentito o isolato. Invia inoltre eventi di minaccia a McAfee ePO tramite McAfee Agent. 11 Il server pubblica l'evento di modifica della reputazione per l'hash del file. Se Advanced Threat Defense è presente Se Advanced Threat Defense è presente, si verifica quanto segue. 1 Se il sistema è configurato per inviare file ad Advanced Threat Defense e il file è nuovo nell'ambiente, il server invia il file al server TIE. Il server TIE quindi lo invia ad Advanced Threat Defense per eseguire la scansione. 2 Advanced Threat Defense esegue la scansione del file e invia i risultati della reputazione del file al server TIE utilizzando Data Exchange Layer. Inoltre, il server aggiorna il database e invia le informazioni di reputazione aggiornate a tutti i sistemi abilitati per Intelligence sulle minacce per proteggere immediatamente l'ambiente di lavoro. Questo processo può essere avviato da Intelligence sulle minacce o da qualsiasi altro prodotto McAfee. In entrambi i casi, Intelligence sulle minacce elabora la reputazione e la salva nel database. Per informazioni sulla modalità di integrazione di Advanced Threat Defense con Intelligence sulle minacce, consultare la Guida del prodotto di McAfee Advanced Threat Defense. Se McAfee Web Gateway è presente Se McAfee Web Gateway è presente, si verifica quanto segue. • Durante il download di file, McAfee Web Gateway invia un rapporto al server TIE, che salva il punteggio reputazione nel database. Quando il server riceve una richiesta di reputazione di file dal modulo, restituisce la reputazione ricevuta da McAfee Web Gateway e anche da altri fornitori di reputazioni. Per informazioni su come McAfee Web Gateway scambia informazioni utilizzando un server TIE, consultare il capitolo sui proxy nella Guida del prodotto di McAfee Web Gateway. McAfee Endpoint Security 10.2 Guida del prodotto 175 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Quando viene eseguita l'eliminazione del contenuto della cache? • • L'intero contenuto della cache di Intelligence sulle minacce viene eliminato quando si modifica la configurazione delle regole: • Lo stato di una o più regole è cambiato, ad esempio da attivato a disattivato. • Il set di regole è cambiato, ad esempio da Bilanciato a Sicurezza. Il contenuto della cache di un singolo file o certificato viene eliminato quando: • La cache è più vecchia di 30 giorni. • Il file è cambiato sul disco. • Il server TIE pubblica un evento di modifica della reputazione. La volta successiva in cui Intelligence sulle minacce riceve una notifica per il file, la reputazione viene ricalcolata. Guida introduttiva Operazioni da eseguire dopo avere installato Intelligence sulle minacce. Per iniziare a utilizzare Intelligence sulle minacce, procedere come segue: 1 Creare policy di Intelligence sulle minacce per stabilire quali elementi sono bloccati, consentiti o contenuti. Quindi eseguire Intelligence sulle minacce in modalità di osservazione per creare la prevalenza dei file e osservare quali elementi vengono rilevati da Intelligence sulle minacce nell'ambiente di lavoro. La prevalenza dei file indica la frequenza con cui un file viene visualizzato nell'ambiente di lavoro. 2 Monitorare e regolare le policy o le singole reputazioni di file o certificati per controllare quali elementi sono consentiti nell'ambiente di lavoro. Creazione della prevalenza file e osservazione Dopo l'installazione e la distribuzione, è possibile iniziare a creare la prevalenza dei file e le informazioni sulle minacce correnti. È possibile vedere i programmi in esecuzione nell'ambiente di lavoro e aggiungere informazioni sulla reputazione di file e certificati al database TIE. Queste informazioni inoltre popolano i grafici e le dashboard disponibili nel modulo in cui sono visualizzate informazioni dettagliate sulla reputazione di file e certificati. Per iniziare, creare una o più policy Intelligence sulle minacce da eseguire su alcuni sistemi dell'ambiente di lavoro. Le policy determinano: • Quando viene consentita l'esecuzione su un sistema di un file o un certificato con una reputazione specifica • Quando un file o un certificato viene bloccato • Quando un'applicazione è isolata • Quando viene richiesto all'utente come intende procedere • Quando un file viene inviato a Advanced Threat Defense per un'ulteriore analisi Durante la creazione della prevalenza dei file, è possibile eseguire le policy in modalità di Osservazione. Le reputazioni di file e certificati vengono aggiunte al database ma non viene intrapresa alcuna azione. È possibile vedere cosa viene bloccato, consentito o isolato da Intelligence sulle minacce se viene applicata la policy. 176 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Monitoraggio e modifiche Quando le policy vengono eseguite nell'ambiente, i dati della reputazione vengono aggiunti al database. Utilizzare le dashboard e le visualizzazioni eventi di McAfee ePO per visualizzare i file e i certificati bloccati, consentiti o isolati in base alle policy. È possibile visualizzare informazioni dettagliate in base all'endpoint, al file, alla regola o al certificato e visualizzare rapidamente il numero di voci identificate e le azioni intraprese. È possibile eseguire il drill-down facendo clic su un elemento e modificare le impostazioni della reputazione per file o certificati specifici in modo che venga eseguita l'azione appropriata. Ad esempio, se la reputazione predefinita di un file è sospetta o sconosciuta, ma si è certi che il file sia affidabile, è possibile impostare la reputazione su Affidabile. L'applicazione potrà quindi essere eseguita nell'ambiente dell'utente senza essere bloccata o senza che all'utente venga richiesto di eseguire azioni. La reputazione dei file interni o personalizzati utilizzati nel proprio ambiente può essere modificata. • Utilizzare la funzionalità Reputazioni TIE per cercare un nome di certificato o file specifico. È possibile visualizzare dettagli sul file o sul certificato, inclusi il nome dell'azienda, i valori hash SHA-1 e SHA-256, MD5, la descrizione e le informazioni su McAfee GTI. Per i file è anche possibile accedere ai dati di VirusTotal direttamente dalla pagina dei dettagli Reputazioni TIE e visualizzare ulteriori informazioni. • Utilizzare la pagina Dashboard di reportistica per visualizzare contemporaneamente diversi tipi di informazioni sulla reputazione. È possibile visualizzare il numero di nuovi file rilevati nell'ambiente nell'ultima settimana, i file in base alla reputazione, i file con reputazioni cambiate di recente, i sistemi che hanno eseguito recentemente i nuovi file e altro. Facendo clic su un elemento della dashboard vengono visualizzate informazioni dettagliate. • Se viene identificato un file dannoso o sospetto, è possibile visualizzare rapidamente i sistemi che lo hanno eseguito e che potrebbero essere danneggiati. • Modificare la reputazione di un file o certificato in base alle esigenze dell'ambiente. Le informazioni vengono aggiornate immediatamente nel database e inviate a tutti i dispositivi dell'ambiente. I file e i certificati vengono bloccati, consentiti o contenuti in base alla relativa reputazione. Se si hanno dubbi su quali operazioni eseguire su un file o certificato specifico, è possibile • Bloccarne l'esecuzione mentre si acquisiscono altre informazioni. A differenza di un'azione di pulizia di Prevenzione delle minacce, che potrebbe causare l'eliminazione del file, l'azione di blocco permette di mantenerlo ma non di eseguirlo. Il file rimane inalterato mentre viene cercato e si decide quale operazione eseguire. • Consentirne l'esecuzione come file contenuto. Isolamento dinamico applicazioni esegue le applicazioni con reputazioni specifiche all'interno di un contenitore, bloccando le azioni in base alle regole di isolamento. L'applicazione può essere eseguita, ma potrebbe non essere possibile eseguire alcune azioni, in base alle regole di isolamento. • Importare le reputazioni di file o certificati nel database per consentirne l'esecuzione o il blocco in base ad altre origini di reputazione. Ciò consente di utilizzare le impostazioni importate per file e certificati specifici senza doverle impostare singolarmente sul server. Invio di file per un'ulteriore analisi Se la reputazione di un file è sconosciuta, è possibile inviare il file ad Advanced Threat Defense per sottoporlo a un'ulteriore analisi. Specificare nella policy TIE i file da inviare. McAfee Endpoint Security 10.2 Guida del prodotto 177 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Advanced Threat Defense rileva il malware zero-day e combina le firme antivirus, la reputazione e le difese di emulazione in tempo reale. È possibile inviare i file automaticamente da Intelligence sulle minacce a Advanced Threat Defense in base al relativo livello di reputazione e alle relative dimensioni. Le informazioni sulla reputazione di file inviate da Advanced Threat Defense vengono aggiunte al database del server TIE. Informazioni sulla telemetria di McAfee GTI Le informazioni relative a file e certificati inviate a McAfee GTI vengono utilizzate per comprendere e migliorare le informazioni sulla reputazione. Vedere la tabella per i dettagli sulle informazioni fornite da McAfee GTI per i file e i certificati, per i soli file o per i soli certificati. Categoria Descrizione File e certificati • Versioni del modulo e del server TIE • Impostazioni relative alla priorità delle reputazioni definite con il server TIE • Informazioni esterne sulle reputazioni, ad esempio provenienti da Advanced Threat Defense Solo file • Nome file, percorso, dimensione, prodotto, autore e prevalenza • Informazioni SHA-1, SHA-256 e MD5 • Versione del sistema operativo del computer di reportistica • Reputazione massima, minima e media impostata per il file • Eventuale attivazione della modalità di osservazione per il modulo di reportistica • Eventuale esecuzione consentita, blocco, isolamento o pulizia del file • Il prodotto che ha rilevato il file, ad esempio Advanced Threat Defense o Prevenzione delle minacce Solo certificati • Informazioni SHA-1 • Nome dell'autorità emittente del certificato e relativo oggetto • Data di validità e data di scadenza del certificato McAfee non raccoglie informazioni personali, né condivide informazioni esterne a McAfee. Isolamento dinamico applicazioni Isolamento dinamico applicazioni consente di impostare l'esecuzione di applicazioni con reputazioni specifiche in un contenitore. In base al livello di reputazione, Intelligence sulle minacce richiede a Isolamento dinamico applicazioni di isolare l'applicazione. Le applicazioni isolate possono eseguire alcune azioni in base a quanto specificato nelle regole di isolamento. Questa tecnologia consente di valutare applicazioni sconosciute e potenzialmente non sicure permettendone l'esecuzione nel proprio ambiente, ma limitando le azioni che possono portare a termine. Gli utenti possono utilizzare le applicazioni, ma queste potrebbero non funzionare correttamente se Contenimento dinamico delle applicazioni blocca alcune azioni. Se si stabilisce che un'applicazione è sicura, è possibile configurare Intelligence sulle minacce Endpoint Security o il server TIE in modo da consentirne la normale esecuzione. 178 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Per usare Isolamento dinamico applicazioni: 1 Attivare Intelligence sulle minacce e indicare la soglia di reputazione necessaria per attivare Contenimento dinamico delle applicazioni nelle impostazioni Opzioni. 2 Configurare le regole di contenimento definite da McAfee e le esclusioni nelle impostazioni di Contenimento dinamico delle applicazioni. Vedere anche Consentire la normale esecuzione delle applicazioni isolate a pagina 181 Configurare le regole di isolamento definite da McAfee a pagina 182 Attivare la soglia di attivazione di Isolamento dinamico applicazioni a pagina 181 Funzionamento di Isolamento dinamico applicazioni Intelligence sulle minacce utilizza la reputazione delle applicazioni per stabilire se richiedere a Isolamento dinamico applicazioni di eseguirle con restrizioni. Quando un file con la reputazione specificata viene eseguito nell'ambiente dell'utente, Isolamento dinamico applicazioni blocca o registra le azioni non sicure, in base alle regole di isolamento. Se più tecnologie registrate in Isolamento dinamico applicazioni richiedono l'isolamento di un'applicazione, ciascuna richiesta è cumulativa. L'applicazione rimane isolata finché tutte le tecnologie non hanno rilasciato l'applicazione. Se una tecnologia che ha richiesto l'isolamento viene disattivata o rimossa, Isolamento dinamico applicazioni rilascia l'applicazione. Flusso di lavoro di Isolamento dinamico applicazioni 1 Il processo viene avviato. 2 Intelligence sulle minacce verifica la reputazione del file. Intelligence sulle minacce utilizza il server TIE, se disponibile, per stabilire la reputazione dell'applicazione. Se il server TIE non è disponibile, Intelligence sulle minacce utilizza McAfee GTI per recuperare le informazioni sulla reputazione. 3 Se la reputazione dell'applicazione si trova su un livello inferiore rispetto alla soglia di reputazione per l'isolamento di Intelligence sulle minacce, Intelligence sulle minacce invia una notifica a Isolamento dinamico applicazioni informando che il processo è stato avviato e richiedendo l'isolamento. 4 Isolamento dinamico applicazioni isola il processo. Gli eventi di Isolamento dinamico applicazioni possono essere consultati nel Registro eventi di minaccia di McAfee ePO. 5 Se l'applicazione isolata è considerata sicura, è possibile consentirne la normale esecuzione (senza isolamento). McAfee Endpoint Security 10.2 Guida del prodotto 179 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Vedere anche Configurare le regole di isolamento definite da McAfee a pagina 182 Consentire la normale esecuzione delle applicazioni isolate a pagina 181 180 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Consentire la normale esecuzione delle applicazioni isolate Una volta stabilito che un'applicazione isolata è sicura, è possibile eseguirla normalmente nel proprio ambiente. • Aggiungere l'applicazione all'elenco globale Esclusioni nelle impostazioni di Contenimento dinamico delle applicazioni. L'isolamento dell'applicazione viene rimosso e l'applicazione può essere eseguita normalmente, a prescindere dal numero di tecnologie che ne hanno richiesto l'isolamento. • Configurare Intelligence sulle minacce per alzare la soglia di reputazione e rimuovere il contenimento. L'isolamento dell'applicazione viene rimosso e l'applicazione può essere eseguita normalmente, a meno che un'altra tecnologia non abbia richiesto l'isolamento dell'applicazione. • Se il server TIE è disponibile, modificare la reputazione del file su un livello che ne consenta l'esecuzione, ad esempio Possibilmente affidabile. L'isolamento dell'applicazione viene rimosso e l'applicazione può essere eseguita normalmente, a meno che un'altra tecnologia non abbia richiesto l'isolamento dell'applicazione. Consultare la Guida del prodotto di McAfee Threat Intelligence Exchange. Vedere anche Esclusione dei processi da Isolamento dinamico applicazioni a pagina 185 Attivare la soglia di attivazione di Isolamento dinamico applicazioni Grazie alla tecnologia Contenimento dinamico delle applicazioni è possibile impostare l'esecuzione in un contenitore di applicazioni con reputazioni specifiche, per limitare le azioni che tali applicazioni possono eseguire. Attivare l'imposizione dell'azione di Contenimento dinamico delle applicazioni e indicare la soglia di reputazione raggiunta la quale le applicazioni devono essere contenute. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Intelligence sulle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Verificare che Intelligence sulle minacce sia attivato. 6 Selezionare Attiva Isolamento dinamico applicazioni quando la soglia di reputazione raggiunge. 7 Indicare la soglia di reputazione raggiunta la quale le applicazioni devono essere isolate. • Possibilmente affidabile (predefinito per il gruppo di regole Sicurezza) • Sconosciuto (predefinito per il gruppo di regole Bilanciato) McAfee Endpoint Security 10.2 Guida del prodotto 181 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce • Possibilmente dannoso (predefinito per il gruppo di regole Produttività) • Probabilmente dannoso • Elemento dannoso noto La soglia di reputazione per l'isolamento dinamico delle applicazioni deve essere superiore a quella configurata per il blocco e la pulizia. Ad esempio, se la soglia di blocco è impostata su Elemento dannoso noto, la soglia di Isolamento dinamico applicazioni deve essere impostata almeno su Probabilmente dannoso. 8 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Configurare le regole di isolamento definite da McAfee regole di isolamento definite da McAfee blocca o registra azioni che le applicazioni isolate possono eseguire. È possibile modificare le impostazioni di blocco e segnalazione, ma non è possibile modificare in altro modo o eliminare queste regole. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Selezionare Menu | Policy | Catalogo delle policy, quindi selezionare Intelligence sulle minacce Endpoint Security dell'elenco Prodotto. 2 Aprire Client Endpoint Security. 3 Fare clic su Intelligence sulle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce 4 Fare clic su Mostra Avanzate. 5 Fare clic su Isolamento dinamico applicazioni. 6 Nella sezione Regole di contenimento, selezionare Blocca, Segnala o entrambe le opzioni per la regola. 7 • Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. • Per disattivare la regola, deselezionare Blocca e Segnala. Nella sezione Esclusioni, configurare gli eseguibili da escludere da Isolamento dinamico applicazioni. I processi inclusi nell'elencoEsclusioni vengono eseguiti normalmente (non vengono isolati). 8 Fare clic su Applica per salvare le modifiche, oppure su Annulla. Vedere anche Esclusione dei processi da Isolamento dinamico applicazioni a pagina 185 Regole di isolamento definite da McAfee a pagina 183 182 McAfee Endpoint Security 10.2 Guida del prodotto Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce 6 Regole di isolamento definite da McAfee Regole di isolamento definite da McAfee per controllare le modifiche che le applicazioni isolate possono apportare al sistema dell'utente. È possibile modificare le impostazioni di blocco e segnalazione, ma non è possibile modificare in altro modo o eliminare queste regole. • Accesso ad hash LM di password non sicure • Accesso a percorsi di cookie dell'utente • Allocazione memoria in un altro processo • Creazione di thread in un altro processo • Creazione di file in qualsiasi percorso di rete • Creazione di file su unità CD, floppy e rimovibili • Creazione di file con estensione .bat • Creazione di file con estensione .exe • Creazione di file con estensione .html, .jpg o .bmp • Creazione di file con estensione .job • Creazione di file con estensione .vbs • Creazione di nuovi CLSID, APPID e TYPELIB • Eliminazione di file comunemente presi di mira da malware di classe ransomware • Disattivazione di eseguibili critici del sistema operativo • Esecuzione di qualsiasi processo figlio • Modifica di voci di registro AppInit DLL • Modifica di shim di compatibilità delle applicazioni • Modifica di posizioni del registro e file Windows critici • Modifica di impostazioni di sfondo del desktop • Modifica di associazioni di estensioni di file • Modifica di file con estensione .bat • Modifica di file con estensione .vbs • Modifica di voci di registro di opzioni di esecuzione file immagine • Modifica di file eseguibili portabili • Modifica di impostazioni di screen saver • Modifica di posizioni del registro di avvio • Modifica del debugger automatico • Modifica del bit di attributo nascosto • Modifica del bit di attributo di sola lettura • Modifica della posizione del registro Servizi McAfee Endpoint Security 10.2 Guida del prodotto 183 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce • Modifica della policy di Windows Firewall • Modifica della cartella Attività di Windows • Modifica di policy utente • Modifica di cartelle di dati di utenti • Lettura di file comunemente presi di mira da malware di classe ransomware • Lettura da un'altra memoria di processo • Lettura o modifica di file in qualsiasi percorso di rete • Lettura o modifica di file su unità CD, floppy e rimovibili • Sospensione di un processo • Interruzione di un altro processo • Scrittura da un'altra memoria processo • Scrittura di file comunemente presi di mira da malware di classe ransomware Gestione delle applicazioni isolate Se Isolamento dinamico applicazioni isola un'applicazione affidabile, è possibile escluderla dall'isolamento dal client Client Endpoint Security. Quando si esclude un'applicazione, l'isolamento viene eliminato, l'applicazione viene rimossa dalle Applicazioni isolate e viene aggiunta alle Esclusioni, per impedire che in futuro venga isolata. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Intelligence sulle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Isolamento dinamico applicazioni. 5 Nella sezione Applicazioni contenute, selezionare l'applicazione e fare clic su Escludi. L'applicazione viene visualizzata nell'elenco Esclusioni. L'applicazione rimane nell'elenco Applicazioni isolate finché l'utente non fa clic su Applica. Quando l'utente torna alla pagina Impostazioni, l'applicazione viene visualizzata solo nell'elenco Esclusioni. 6 184 Fare clic su Applica per salvare le modifiche, oppure su Annulla. McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Gestione di Intelligence sulle minacce Esclusione dei processi da Isolamento dinamico applicazioni Se un programma affidabile viene isolato, è possibile escluderlo creando un'esclusione in Isolamento dinamico applicazioni. Le esclusioni create usando il client Client Endpoint Security vengono applicate solo sul sistema client. Queste esclusioni non vengono inviate a McAfee ePO e non vengono visualizzate nella sezione Esclusioni nelle impostazioni della policy di Contenimento dinamico delle applicazioni. Per i sistemi gestiti, creare esclusioni globali nelle impostazioni della policy di Contenimento dinamico delle applicazioni di McAfee ePO. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Intelligence sulle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Isolamento dinamico applicazioni. 5 Nella sezione Esclusioni, fare clic su Aggiungi per aggiungere processi da escludere da tutte le regole. 6 Nella pagina Aggiungi eseguibile, configurare le proprietà dell'eseguibile. 7 Fare clic su Salva, quindi su Applica per salvare le impostazioni. Configurazione opzioni Intelligence sulle minacce Utilizzare le impostazioni della per stabilire quando un file o certificato deve essere eseguito, isolato, ripulito, bloccato o se deve essere richiesto agli utenti come procedere. Prima di iniziare La modalità dell'interfaccia per il client Client Endpoint Security è impostata su Accesso completo oppure è necessario essere registrati come amministratore. Le modifiche alle policy apportate da McAfee ePO potrebbero sovrascrivere quelle della pagina Impostazioni. Attività Per informazioni su funzioni, utilizzo e procedure consigliate del prodotto, fare clic su ? o su Guida. 1 Aprire Client Endpoint Security. 2 Fare clic su Intelligence sulle minacce nella pagina Stato principale. In alternativa, dal menu Azione nella pagina Impostazioni. , selezionare Impostazioni, quindi fare clic su Intelligence sulle minacce 3 Fare clic su Mostra Avanzate. 4 Fare clic su Opzioni. 5 Configurare le impostazioni nella pagina, quindi fare clic su Applica per salvare le modifiche o su Annulla. McAfee Endpoint Security 10.2 Guida del prodotto 185 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Bloccare o consentire file e certificati Le reputazioni di minaccia di file e certificati si basano sul contenuto e sulle proprietà. Le policy di Intelligence sulle minacce determinano se l'esecuzione di file e certificati deve essere bloccata o consentita nei sistemi dell'ambiente in base ai livelli di reputazione. Esistono tre livelli di sicurezza che dipendono da come si desidera bilanciare le regole per tipi di sistemi specifici. Ciascun livello è associato a regole specifiche che identificano file e certificati dannosi e sospetti. • Produttività: sistemi che vengono modificati frequentemente, in cui vengono spesso installati e disinstallati programmi affidabili e che ricevono aggiornamenti frequenti. Esempi di questi sistemi sono i computer utilizzati in ambienti di sviluppo. Per questa impostazione, viene utilizzato un numero inferiore di regole con le policy e gli utenti visualizzano un numero minimo di blocchi e richieste quando vengono rilevati nuovi file. • Bilanciato - Sistemi aziendali tipici in cui raramente vengono installati nuovi programmi o vengono apportate modifiche. Per questa impostazione, viene utilizzato un numero maggiore di regole con le policy e gli utenti visualizzano un numero maggiore di blocchi e richieste. • Sicurezza - Sistemi gestiti da IT con controllo rigido e modifiche ridotte. Un esempio sono i sistemi che accedono a informazioni critiche o sensibili in ambienti di finanza o pubblica amministrazione. Questa impostazione viene utilizzata anche per server. Per questa impostazione, viene utilizzato il numero massimo di regole con le policy e gli utenti visualizzano un numero ancora più elevato di blocchi e richieste. Per visualizzare le regole specifiche associate a ciascun livello di sicurezza, selezionare Menu | Impostazioni del server. Nell'elenco Categorie di impostazioni, selezionare Threat Intelligence. Quando si determina il livello di sicurezza da assegnare a una policy, tenere presente il tipo di sistema in cui viene utilizzata la policy e il numero di blocchi e richieste che si desidera che l'utente visualizzi. Dopo aver creato una policy, assegnarla a computer o dispositivi per determinare quanti blocchi e quante richieste devono verificarsi. Riferimento interfaccia client — Intelligence sulle minacce Gli argomenti della guida di riferimento dell'interfaccia forniscono assistenza sensibile al contesto per le pagine nell'interfaccia client. Sommario Intelligence sulle minacce: Contenimento dinamico delle applicazioni Intelligence sulle minacce - Opzioni Intelligence sulle minacce: Contenimento dinamico delle applicazioni Protegge il sistema limitando le azioni possono essere eseguite dalle applicazioni isolate in base a regole configurate. 186 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Tabella 6-1 Opzioni Sezione Opzione Descrizione Regole di isolamento Configura le regole di Isolamento dinamico applicazioni. È possibile scegliere se bloccare o segnalare le regole di isolamento definite da McAfee, ma non è possibile modificare o eliminare le regole. • Blocca (solo): blocca, senza registrarle, le azioni delle applicazioni isolate specificate dalla regola. • Segnala (solo): registra il tentativo delle applicazioni di eseguire azioni nella regola, ma non impedisce alle applicazioni di eseguire le azioni. • Blocca e Segnala: blocca e registra i tentativi di accesso. Procedura consigliata: se non si conosce l'impatto completo di una regola, selezionare Segnala, non Blocca, per ricevere un avviso senza bloccare i tentativi di accesso. In questo modo è possibile decidere se bloccare l'accesso, monitorare i registri e i report. Per bloccare o segnalare tutto, selezionare Blocca o Segnala nella prima riga. Per disattivare la regola, deselezionare Blocca e Segnala. Applicazioni isolate Fornisce un elenco delle applicazioni che al momento sono isolate. Esclusioni Esclude i processi dall'isolamento. • Escludi: sposta un'applicazione isolata nell'elenco Esclusioni, rimuovendo l'isolamento e consentendone la normale esecuzione. • Aggiungi: aggiunge un processo all'elenco di esclusioni. • Doppio clic su un elemento – Modifica l'elemento selezionato. • Elimina: elimina l'elemento selezionato. • Duplica: Crea una copia dell'elemento selezionato. Vedere anche Funzionamento di Isolamento dinamico applicazioni a pagina 179 Regole di isolamento definite da McAfee a pagina 183 Configurare le regole di isolamento definite da McAfee a pagina 182 Esclusione dei processi da Isolamento dinamico applicazioni a pagina 185 Aggiungi eseguibile o Modifica eseguibile Consente di aggiungere o modificare un eseguibile da escludere o includere. Per la protezione dell'accesso di Prevenzione delle minacce è possibile escludere gli eseguibili a livello di policy oppure includerli o escluderli a livello di regola. Per Contenimento dinamico delle applicazioni di Intelligence sulle minacce è possibile escludere gli eseguibili a livello di policy. Per specificare esclusioni e inclusioni, tenere presente quanto segue: • È necessario specificare almeno un identificatore: Nome o percorso del file, Hash MD5 o Firmatario. • Se si specifica più di un identificatore, vengono applicati tutti gli identificatori. • Se si specificano più identificatori, ma non corrispondono (ad esempio, il nome del file e l'hash MD5 non si riferiscono allo stesso file), l'esclusione o l'inclusione viene considerata non valida. • Le esclusioni e le inclusioni non fanno distinzione tra maiuscole e minuscole. • È consentito l'uso di caratteri jolly tranne per l'hash MD5. McAfee Endpoint Security 10.2 Guida del prodotto 187 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Tabella 6-2 Opzioni Opzione Definizione Nome Specifica il nome assegnato all'eseguibile. Questo campo è obbligatorio ed è necessario almeno un altro campo: Nome o percorso file, Hash MD5 o Firmatario. Stato inclusione Determina lo stato di inclusione per l'eseguibile. • Includi: attiva la regola se l'eseguibile viola una sottoregola. • Escludi: non attiva la regola se l'eseguibile viola una sottoregola. Lo stato di inclusione viene visualizzato solo per la protezione dell'accesso di Prevenzione delle minacce, quando si aggiunge un eseguibile a una regola o la destinazione della sottoregola Processi. Nome o percorso file Specifica il nome o percorso file dell'eseguibile da aggiungere o modificare. Fare clic su Sfoglia per selezionare l'eseguibile. Il percorso file può contenere caratteri jolly. Hash MD5 Indica l'hash MD5 (numero esadecimale a 32 cifre) del processo. Firmatario Attiva controllo firma digitale – Garantisce che il codice non sia stato modificato o corrotto dalla sua firma con un hash crittografico. Se attivato, specificare: • Consenti qualsiasi firma – Consente i file firmati da qualsiasi firmatario di processo. • Autore firma: consente solo i file firmati dal firmatario del processo specificato. È necessario un nome distinto firmatario (SDN) per l'eseguibile, che deve corrispondere esattamente alle voci nel relativo campo, inclusi virgole e spazi. Il firmatario del processo viene visualizzato nel formato corretto negli eventi del Registro eventi del client Client Endpoint Security e nel Registro eventi di minaccia di McAfee ePO. Ad esempio: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Per ottenere l'SDN di un eseguibile: 1 Fare clic con il pulsante destro del mouse su un eseguibile e selezionare Proprietà. 2 Nella scheda Firme digitali, selezionare un firmatario e fare clic su Dettagli. 3 Nella scheda Generale, fare clic su Visualizza certificato. 4 Nella scheda Dettagli, selezionare il campo Oggetto. Viene visualizzato il nome distinto del firmatario. Ad esempio, Firefox dispone di questo SDN: • CN = Mozilla Corporation • OU = Release Engineering • O = Mozilla Corporation • L = Mountain View • S = California • C = Stati Uniti Note 188 Fornisce ulteriori informazioni sull'elemento. McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Intelligence sulle minacce - Opzioni Configurare le impostazioni di Intelligence sulle minacce. Tabella 6-3 Opzioni Sezione Opzione Definizione Opzioni Attiva Intelligence sulle minacce Attiva il modulo Intelligence sulle minacce. Consenti al server Threat Intelligence Exchange di raccogliere dati diagnostici e di utilizzo anonimi Specificare se consentire al server TIE di inviare a McAfee informazioni sul file anonime. Usa reputazione file McAfee GTI se il server Threat Intelligence Exchange non è raggiungibile Recupera le informazioni sulla reputazione dei file dal proxy Global Threat Intelligence se il server TIE non è disponibile. Impedisci agli utenti di modificare le impostazioni (solo client Threat Intelligence Exchange 1.0) Impedisce agli utenti dei sistemi gestiti di modificare le impostazioni di Intelligence sulle minacce. Produttività Assegna il gruppo di regole Produttività. Assegnazione della regola (Disattivato per impostazione predefinita) Utilizzare questo gruppo per sistemi a modifica elevata con installazioni e aggiornamenti frequenti di software affidabili. Questo gruppo utilizza il minor numero di regole. Gli utenti ricevono richieste e blocchi minimi quando vengono rilevati nuovi file. Bilanciato Assegna il gruppo di regole Bilanciato. Utilizzare questo gruppo di regole per sistemi business tipici con nuovo software e modifiche infrequenti. Questo gruppo utilizza più regole e gli utenti ricevono più richieste e blocchi rispetto al gruppo Produttività. Sicurezza Assegna il gruppo di regole Sicurezza. Utilizzare il gruppo di regole Sicurezza per sistemi a modifica ridotta, quali sistemi e server gestiti dal reparto IT con stretto controllo. Gli utenti ricevono più richieste e blocchi rispetto al gruppo Bilanciato. Imposizione azione Attiva modalità di osservazione Genera eventi e li invia al server, ma non impone azioni. Consente di attivare temporaneamente la modalità di osservazione in alcuni sistemi solo durante l'ottimizzazione del modulo Intelligence sulle minacce. Poiché attivando questa modalità il modulo Intelligence sulle minacce genera eventi, ma non impone azioni, i sistemi potrebbero essere vulnerabili alle minacce. McAfee Endpoint Security 10.2 Guida del prodotto 189 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Tabella 6-3 Sezione Opzioni (segue) Opzione Definizione Attiva isolamento dinamico dell'applicazione quando la soglia di reputazione raggiunge Isola le applicazioni se la reputazione raggiunge la soglia specificata: • Possibilmente affidabile (predefinito per il gruppo di regole Sicurezza) • Sconosciuto (predefinito per il gruppo di regole Bilanciato) • Possibilmente dannoso (predefinito per il gruppo di regole Produttività) • Probabilmente dannoso • Elemento dannoso noto La soglia di reputazione per l'isolamento dinamico delle applicazioni deve essere superiore a quella configurata per il blocco e la pulizia. Ad esempio, se la soglia di blocco è impostata su Elemento dannoso noto, la soglia di Isolamento dinamico applicazioni deve essere impostata almeno su Probabilmente dannoso. Quando un'applicazione con la soglia di reputazione specificata tenta l'esecuzione nell'ambiente dell'utente, Isolamento dinamico applicazioni ne consente l'esecuzione in un contenitore e blocca o registra le azioni non sicure, in base alle regole di isolamento. Blocca quando la soglia di reputazione raggiunge Blocca i file quando la reputazione raggiunge una soglia specifica e specifica la soglia: • Possibilmente affidabile • Sconosciuto (predefinito per il gruppo di regole Sicurezza) • Possibilmente dannoso (predefinito per il gruppo di regole Bilanciato) • Probabilmente dannoso (predefinito per il gruppo di regole Produttività) • Elemento dannoso noto Se nell'ambiente viene tentata l'esecuzione di un file con questa soglia di reputazione, il file non viene eseguito, ma non viene rimosso. Se un file è sicuro e si desidera eseguirlo, modificarne la reputazione impostandola su un livello che ne consenta l'esecuzione, ad esempio Possibilmente affidabile. Ripulisci quando la soglia Ripulisce i file quando la reputazione raggiunge una soglia di reputazione raggiunge specifica e specifica la soglia: • Sconosciuto • Possibilmente dannoso • Probabilmente dannoso • Elemento dannoso noto (predefinito per i gruppi di regole Bilanciato e Sicurezza) Il valore predefinito del gruppo di regole Produttività non è selezionato. Procedura consigliata: utilizzare questa opzione con reputazioni file di tipo Elemento dannoso noto perché è possibile che un file venga rimosso con la pulizia. 190 McAfee Endpoint Security 10.2 Guida del prodotto 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Tabella 6-4 Opzioni avanzate Sezione Opzione Messaggistica utente Visualizza notifiche di rilevamento minacce minaccia per l'utente Notifica l'utente quando la soglia di reputazione raggiunge Descrizione Visualizza notifiche di minaccia per l'utente. Notifica l'utente quando la reputazione raggiunge una soglia specifica e specifica la soglia: • Probabilmente affidabile • Possibilmente affidabile (predefinito per il gruppo di regole Sicurezza) • Sconosciuto (predefinito per il gruppo di regole Bilanciato) • Possibilmente dannoso (predefinito per il gruppo di regole Produttività) • Probabilmente dannoso • Elemento dannoso noto Il livello di richiesta non può essere in conflitto con le impostazioni di Esegui pulizia o Blocca. Se ad esempio si bloccano i file sconosciuti, non sarà possibile impostare questo campo su Possibilmente affidabile, poiché il livello è maggiore rispetto a Sconosciuto. Azione predefinita Specifica l'azione da eseguire se l'utente non risponde alla richiesta: • Consenti • Blocca Specifica durata (minuti) del timeout Specifica il numero di minuti da attendere prima che venga eseguita l'azione predefinita. L'impostazione predefinita è 5 minuti. Advanced Threat Defense Messaggio Specifica il testo visualizzato dall'utente quando viene rilevato il tentativo di esecuzione di un file che soddisfa i criteri di visualizzazione delle richieste. Disattiva le notifiche di minaccia se il server Threat Intelligence Exchange non è raggiungibile Disattiva le richieste se il server TIE non è disponibile, in modo che gli utenti non visualizzino le richieste relative a file con reputazioni non disponibili. Inviare i file non ancora verificati a McAfee Advanced Threat Defense per l'analisi Consente di inviare i file eseguibili da analizzare a McAfee Advanced Threat Defense. Se questa opzione è attiva, Intelligence sulle minacce invia i file in modo sicuro tramite HTTPS usando la porta 443 a Advanced Threat Defense nei seguenti casi: • Il server TIE non dispone di informazioni Advanced Threat Defense sul file. • Il livello di reputazione del file corrisponde o è inferiore a quello specificato. • Le dimensioni del file corrispondono o sono inferiori al limite specificato. Specifica informazioni per il server Advanced Threat Defense nella policy di gestione del server TIE. McAfee Endpoint Security 10.2 Guida del prodotto 191 6 Uso di Intelligence sulle minacce Riferimento interfaccia client — Intelligence sulle minacce Tabella 6-4 Opzioni avanzate (segue) Sezione Opzione Descrizione Invia file quando la soglia Invia i file a Advanced Threat Defense quando la reputazione di reputazione raggiunge raggiunge una soglia specifica: • Probabilmente affidabile • Sconosciuto • Probabilmente dannoso Il valore predefinito di tutti i gruppi di regole è Sconosciuto. Limita dimensione (MB) a Specifica le dimensioni dei file inviati a Advanced Threat Defense tra 1 e 10 MB. L'impostazione predefinita è 5 MB. Vedere anche Configurazione opzioni Intelligence sulle minacce a pagina 185 Attivare la soglia di attivazione di Isolamento dinamico applicazioni a pagina 181 Bloccare o consentire file e certificati a pagina 186 192 McAfee Endpoint Security 10.2 Guida del prodotto Indice A account utente, controllo dell'accesso al client 33 adattatore di rete, consenso alla connessione 133 Advanced Threat Defense 177 inviare file a 186 utilizzato per la determinazione delle reputazioni 174 adware, informazioni 64 aggiornamenti annullamento 23 opzione Aggiorna sicurezza 12 pulsante Aggiorna ora, Client Endpoint Security 23 aggiornamenti contenuto 11 aggiornamenti manuali, esecuzione 23 aggiornamenti prodotto pianificazione dal client 39 ricerca manuale 12, 23 aggiornamenti software pianificazione dal client 39 ricerca manuale 12, 23 aggiornamenti su richiesta, vedere aggiornamenti manuali, esecuzione aggiornamenti, componenti software client 10 aggiornamenti, Endpoint Security aggiornamento client predefinito, configurazione 37 Attività di aggiornamento client predefinita, informazioni 38 configurazione del comportamento 35 configurazione e pianificazione dal client 39 configurazione siti di origine per aggiornamenti 35 aggiornamenti, Firewall ricerca manuale 23 aggiornamenti, Prevenzione delle minacce panoramica 11 ricerca manuale 12, 23 aggiornamenti, Threat Prevention file di contenuto 10 file Extra.DAT 30 amministratori accesso a Client Endpoint Security 27 definiti 10 password 28 annullamento scansione 82 App di Windows Store, rilevamento minacce 87 app Windows Store, rilevazione minacce 82 app, Windows Store 82, 87 McAfee Endpoint Security 10.2 applicazioni isolate, Isolamento dinamico applicazioni gestione nel client Endpoint Security 184 applicazioni, informazioni 131 applicazioni, isolate consentire la normale esecuzione 181 gestione nel client Endpoint Security 184 archivi, specifica delle opzioni di scansione 81, 86 aree commenti, Web Control 161 attacchi basati su heap, exploit di overflow del buffer 76 attacchi basati su stack, exploit di overflow del buffer 76 attacchi, exploit di overflow del buffer 76 attività aggiornamento predefinito client configurazione siti di origine per aggiornamenti 35 attività client di aggiornamento del prodotto elenco degli archivi 37 informazioni 37 Attività di aggiornamento client predefinita informazioni 38 attività di aggiornamento client predefinito configurazione 37 pianificazione con Client Endpoint Security 39 attività di aggiornamento predefinito, vedere attività, Client Endpoint Security attività di mirroring configurazione e pianificazione 40 informazioni 41 attività, Client Endpoint Security aggiornamento client predefinito, configurazione 37 aggiornamento client predefinito, pianificazione 39 aggiornamento predefinito, configurazione e pianificazione 39 attività di mirroring, informazioni 41 configurazione e pianificazione delle attività di mirroring 40 attività, Endpoint Security Aggiornamento client predefinito, informazioni 38 attività, Prevenzione delle minacce Scansione completa e scansione rapida, pianificazione 91 scansioni personalizzate, pianificazione 91 attività, Threat Prevention Scansioni completa e rapida, informazioni 57 autogestito, informazioni 22 autonomo, vedere autogestito, informazioni Autoprotezione, configurazione 31 avvisi, Firewall 14 Guida del prodotto 193 Indice avvisi, Prevenzione delle minacce panoramica scansione all'accesso 82 avvisi, Threat Prevention panoramica della scansione su richiesta 87 azioni, Prevenzione delle minacce esecuzione degli elementi in quarantena 62 azioni, Threat Prevention consentire agli utenti di ripulire ed eliminare i file infetti 81, 86 programmi indesiderati 79 specifica delle operazioni necessarie al rilevamento di una minaccia 81, 86 B backup, specifica delle opzioni di scansione 81, 86 Blocco modalità di interfaccia client e impostazioni delle policy 16 browser attivazione del plug-in 160 disattivazione del plug-in di Controllo Web 162 supportati 155, 161 visualizzazione informazioni su un sito 161 classificazioni di sicurezza configurazione delle azioni per siti e download 165 controllo dell'accesso ai siti 166 Controllo Web e 155 icone di sicurezza 158 ottenimento delle classificazioni dei siti web 159 classificazioni, sicurezza, vedere classificazioni di sicurezza classificazioni, Web Control, vedere classificazioni di sicurezza client, vedere Client Endpoint Security Client di protezione McAfee, vedere Endpoint Security Client client Endpoint Security apertura 12 configurazione delle impostazioni di sicurezza 33 esecuzione di scansioni 58 informazioni 14 sbloccare l'interfaccia 28 visualizzazione della guida 20 Client Endpoint Security accesso come amministratore 27 aggiornamento della protezione 23 Attività di aggiornamento client predefinita, informazioni 38 attività di aggiornamento client predefinito, configurazione 37 attività di aggiornamento client predefinito, pianificazione C 39 cache di scansione scansioni all'accesso 82 scansioni su richiesta 87 cache di scansione globale scansioni all'accesso 82 scansioni su richiesta 87 cache, scansione globale scansioni all'accesso 82 scansioni su richiesta 87 caratteri jolly nelle esclusioni 67 nelle esclusioni a livello di root 67 uso nelle esclusioni 67 uso nelle regole firewall 138 cartelle caratteri jolly nelle esclusioni 67 configurazione per la quarantena 80 esecuzione di scansioni 60 gestione della quarantena 62 ripetizione della scansione in quarantena 65 categorie di contenuto, vedere categorie Web categorie Web, blocco o avviso in base a 165, 166 certificati come vengono determinate le reputazioni 174 Chrome attivazione del plug-in 160 browser supportati 155, 161 pulsanti Controllo Web 157 visualizzazione di informazioni su un sito 161 194 McAfee Endpoint Security 10.2 attività di aggiornamento personalizzate, creazione 39 attività di mirroring, configurazione e pianificazione 40 attività di mirroring, informazioni 41 configurazione siti di origine per aggiornamenti client 35 impostazioni policy 16 interazione con 12 moduli 17 registri, informazioni 25 Scansione completa e scansione rapida, pianificazione 91 tipi di gestione 10 visualizzazione Registro eventi 24 client McAfee, vedere Client Endpoint Security colori, pulsanti Controllo Web 157 Configurazione Intelligence sulle minacce 185 configurazione, bridging server TIE 174 contenuto, aggiornamento dal client 23 Controllo Web attivazione 162 attivazione del plug-in 160 Client Endpoint Security 17 come viene eseguita la scansione dei download di file 164 configurazione 162 e siti bloccati 156 e siti segnalati 156 file di registro 25 funzionalità 155 informazioni su 9 menu 157 pulsanti, descrizione 157 registro attività 25 Guida del prodotto Indice Controllo Web (segue) registro di debug 25 visualizzazione informazioni su un sito 161 visualizzazione rapporti sul sito 161 credenziali, elenco degli archivi 37 D Data Exchange Layer informazioni 174 definizione delle reti 129 Desktop remoto, e funzione di scansione quando il sistema è inattivo 88 destinazioni, Protezione dell'accesso esempi 74 valutazione con sottoregole 74 dialer, informazioni 64 domande frequenti, McAfee GTI 128 domini, blocco 128 download comportamento blocchi e avvisi 156 download di file blocco da siti sconosciuti 162 blocco o avviso in base alle classificazioni 165 scansione con Prevenzione delle minacce 164 E eccezioni McAfee GTI 130 elenco degli archivi panoramica 37 posizione sul client 37 preferenza dell'ordine, elenco degli archivi 37 Elenco delle applicazioni isolate, gestione 184 Endpoint Security Client apertura 19 gestione dei rilevamenti di minacce 61 protezione con una password 33 ricerca di malware 57 Riepilogo minacce 16 scansioni di sistema 57 tipi di gestione 22 visualizzazione di informazioni sulla protezione 22 Endpoint Security, come protegge il computer 10 Endpoint Security, gestione 27 errori, aggiornamento 23 esclusioni a livello di root 67 configurazione 66 Isolamento dinamico applicazioni 184, 185 nome rilevamento 80 protezione dell'accesso, basata su policy e basata su regole 75 scansione all'accesso, specifica di file, cartelle e unità 81 scansione su richiesta, specifica 86 specifica di URL per ScriptScan 81 McAfee Endpoint Security 10.2 esclusioni (segue) uso caratteri jolly 67 esclusioni a livello di root, vedere esclusioni eseguibili affidabili, vedere eseguibili affidabili configurazione di affidabili 130 eseguibili affidabili configurazione 130 definizione 131 esempi del flusso di lavoro creare la prevalenza file e osservare 176 esempi di flusso di lavoro 176 invio di file per un'ulteriore analisi 177 esempi flusso di lavoro monitoraggio e configurazione 177 eventi, localizzazione eventi browser Controllo Web 162 exploit blocco dell'overflow del buffer 76, 77 modalità di esecuzione dell'exploit di overflow del buffer 76 exploit di overflow del buffer, informazioni 76 F falsi positivi Firewall, riduzione 131 file caratteri jolly nelle esclusioni 67 come vengono determinate le reputazioni 174 configurazione file di registro 32 configurazione per la quarantena 80 esclusione di tipi specifici dalle scansioni 66 esecuzione di scansioni 60 file di registro 25 gestione della quarantena 62 prevenzione delle modifiche 31 registri Client Endpoint Security 24 ripetizione della scansione in quarantena 65 file AMCore content file Extra.DAT 29, 30 informazioni 10 modifica della versione 29 panoramica della scansione all'accesso 82 panoramica della scansione su richiesta 87 file di contenuto e rilevamenti 20 file Extra.DAT 29, 30 informazioni 10 modifica della versione AMCore 29 panoramica della scansione su richiesta 87 panoramica scansione all'accesso 82 pianificazione aggiornamenti dal client 39 ricerca aggiornamenti manuale 23 ricerca manuale di aggiornamenti 12, 23 file di contenuto AMCore informazioni su firme e aggiornamenti 11 file di definizione dei rilevamenti, vedere file di contenuto Guida del prodotto 195 Indice file di registro Firewall (segue) configurazione 32 informazioni su 9 errori di aggiornamento 23 opzioni di modifica 127 posizioni 25 registro attività 25 visualizzazione 24 registro di debug 25 file e certificati, blocco 186 regole, vedere regole firewall file e certificati, invio 186 firme file Extra.DAT informazioni sulle minacce note 11 caricamento 30 Firme di Monitoraggio API assegnate 11 download 30 Firme di Protezione da aumento generico dei privilegi 11 Vedere anche Firme di Protezione da aumento generico dei privilegi file di contenuto AMCore 11 informazioni 29 firme di Protezione generica da overflow del buffer, vedere panoramica della scansione all'accesso 82 Firme di Protezione generica da overflow del buffer panoramica della scansione su richiesta 87 Firme di Protezione generica da overflow del buffer 11 utilizzo 29 funzionalità file, contenuto attivazione e disattivazione 28 caricamento file Extra.DAT 30 funzione di scansione quando il sistema è inattivo 21, 88 Extra.DAT e AMCore 11 funzioni file Extra.DAT 29, 30 Accesso Endpoint Security basato su policy 16 firme e aggiornamenti 11 Intelligence sulle minacce 11 G modifica della versione AMCore content 29 panoramica della scansione su richiesta 87 Gestione Prevenzione exploit 11 Intelligence sulle minacce 172 uso dei file Extra.DAT 29 Google file, di contenuto Chrome 155 panoramica scansione all'accesso 82 icone di sicurezza 158 Firefox motori di ricerca supportati 158 attivazione del plug-in 160 gruppi a tempo browser supportati 155, 161 gestione dall'icona della barra delle applicazioni McAfee 12 pulsanti Controllo Web 157 gruppi a tempo, Firewall visualizzazione informazioni su un sito 161 creazione 139 firewall gestione dall'icona della barra delle applicazioni 126 attivazione dall'icona della barra delle applicazioni McAfee informazioni 126 12 informazioni sui gruppi a tempo 12 Firewall attivazione e disattivazione dall'icona della barra delle applicazioni 125 attivazione e disattivazione protezione 127 attivazione e visualizzazione dei gruppi a tempo 126 avvisi di intrusione 14 blocco del traffico DNS 128 Client Endpoint Security 17 contenuti di aggiornamento dal client 23 creazione di gruppi a tempo 139 eseguibili affidabili 131 file di registro 25 funzionamento 125 funzionamento delle regole firewall 131 gestione 126 gestione di regole e gruppi 137 gruppi a tempo, informazioni 126 gruppi in grado di riconoscere la posizione, creazione 139 gruppi in grado di riconoscere la posizione, informazioni 133 196 McAfee Endpoint Security 10.2 gruppi di regole firewall configurazione 131 creazione di gruppi a tempo 139 e isolamento connessione 134 gestione dei gruppi a tempo dall'icona della barra delle applicazioni 12, 126 gruppi a tempo, informazioni 126 predefiniti 136 riconoscimento della posizione, creazione 139 gruppi di regole firewall predefiniti 136 gruppi firewall, vedere gruppi regole firewall gruppi in grado di riconoscere la posizione creazione 139 informazioni 133 isolamento connessione 134 gruppi regole firewall funzionamento di Firewall 125 precedenza 133 riconoscimento della posizione, informazioni 133 gruppi regole, Firewall, vedere gruppi regole firewall gruppi, firewall, vedere gruppi regole firewall Guida del prodotto Indice gruppo gruppo gruppo gruppo di di di di regole regole regole regole adattive, Firewall 136 aggiunte dall'amministratore, Firewall 136 aggiunte dall'utente, Firewall 136, 137 di funzionalità di base rete McAfee, Firewall 136 gruppo di regole dinamiche, Firewall 136 gruppo di regole predefinito, Firewall 136 Gruppo regole adattive, Firewall 137 Guida introduttiva di Threat Intelligence 176 Guida, visualizzazione 14, 20 H hash, informazioni 34, 81, 164 Host Intrusion Prevention, e Prevenzione exploit 76 Host IPS, e Prevenzione exploit 76 I icona della barra delle applicazioni, definite da McAfee 12 icona della barra delle applicazioni, McAfee 12, 33 aggiornamento della sicurezza 12 apertura di Endpoint Security Client 19 attivazione e disattivazione di Firewall 125 attivazione e visualizzazione dei gruppi a tempo 126 configurazione dell'accesso a Endpoint Security 33 gruppi a tempo Firewall 12 icona McAfee, vedere icona della barra delle applicazioni, McAfee icone, McAfee, vedere icona della barra delle applicazioni, McAfee icone, Web Control 158 Impostazione della priorità di Windows 90 impostazioni aggiornamenti, configurazione 35 aggiornamenti, configurazione per 37 siti di origine per aggiornamenti client, configurazione 35 siti di origine, configurazione per 35 impostazioni, Threat Prevention configurazione dei programmi potenzialmente indesiderati 78 scansioni all'accesso 79 scansioni su richiesta 79 indirizzi IP 129 affidabili 130 gruppi in grado di riconoscere la posizione 133 gruppi regole 133 Informazioni su Intelligence sulle minacce 172 informazioni, visualizzazione della protezione 22 Intelligence sulle minacce aggiornamenti dei file di contenuto 11 bridging server TIE gestito da McAfee ePO 174 Client Endpoint Security 17 componenti 172 configurazione della soglia di attivazione di Isolamento dinamico applicazioni 181 file di registro 25 registro attività 25 registro di debug 25 scenari 171 Tecnologia di contenimento dinamico delle applicazioni 182 Internet Explorer attivazione del plug-in 160 browser supportati 155, 161 e comportamento di ScriptScan 84 visualizzazione della guida di Endpoint Security 20 visualizzazione informazioni su un sito 161 intrusioni, attivazione avvisi Firewall 127 invio di file per un'ulteriore analisi Advanced Threat Defense 177 Product Improvement Program 177 Isolamento dinamico applicazioni attivazione della soglia di attivazione 181 consentire la normale esecuzione delle applicazioni isolate 181 Impostazioni azioni contenuto, Controllo Web 165 impostazioni azioni del contenuto Controllo Web 166 Impostazioni azioni del contenuto Controllo Web 166 impostazioni Firewall Opzioni 130 impostazioni processo, scansioni su richiesta 90 impostazioni, Controllo Web controllo dell'accesso ai siti Web 165 controllo dell'accesso con categorie Web 166 controllo dell'accesso con classificazioni di sicurezza 166 impostazioni, Firewall Opzioni 130 impostazioni, Intelligence sulle minacce Tecnologia di contenimento dinamico delle applicazioni 182 impostazioni, Prevenzione delle minacce Funzione Protezione dell'accesso 69 McAfee Endpoint Security 10.2 file di registro 25 gestione applicazioni isolate 184 informazioni 178, 179 Intelligence sulle minacce 171 processi, inclusione ed esclusione 185 regole definite da McAfee, configurazione 182 regole definite da McAfee, informazioni 183 J joke, informazioni 64 K keylogger, informazioni 64 L La protezione dell'accesso esempi 68 Guida del prodotto 197 Indice limitazione delle richieste, configurazione 90 livelli di sicurezza esempi 186 livello di sensibilità, McAfee GTI 34, 81, 164 logica di affidabilità, ottimizzazione delle scansioni all'accesso 82 M malware ricerca di 57 rilevamento durante la scansione 60 risposta ai rilevamenti 20 McAfee Agent attività di aggiornamento del prodotto ed elenco degli archivi 37 McAfee Endpoint Security Client, vedere Endpoint Security Client McAfee ePO aggiornamento della protezione 10 e tipi di gestione 22 recupero dei file di contenuto AMCore 11 McAfee GTI classificazioni sicurezza Web Control 159 configurazione livello di sensibilità 80 domande frequenti 128 e categorie Web 166 eccezioni 130 errore di comunicazione Controllo Web 157 feedback telemetria 80 invio eventi di blocco al server 127 opzioni firewall, configurazione 127 panoramica 34, 81, 164 rapporto sul sito Web Control 158 reputazione di rete del firewall, configurazione 127 scansione dei file prima del download 162, 164 scansioni all'accesso, configurazione 81 scansioni all'accesso, funzionamento 82 scansioni su richiesta, configurazione 86 scansioni su richiesta, funzionamento 87 specifica delle impostazioni del server proxy 34 McAfee Labs aggiornamenti file di contenuto AMCore 11 download di Extra.DAT 29 e McAfee GTI 34, 81, 164 Extra.DAT 30 ulteriori informazioni sulle minacce 62 McAfee SECURE, pulsante Controllo Web 157 McTray, avvio 88 menu Azione 14, 28 Controllo Web 161 Guida 14, 20 Impostazioni 14, 16, 17, 127, 137 Informazioni 22 menu Azione, informazioni 14 198 McAfee Endpoint Security 10.2 Menu Start, apertura di Endpoint Security Client 19 messaggi di errore, stati dell'icona della barra delle applicazioni 12 messaggi di notifica informazioni su 14 interazione con Client Endpoint Security 12 Windows 8 e 10 14 messaggi, Endpoint Security informazioni su 14 visualizzazione al rilevamento di una minaccia 81, 86 messaggi, Web Control 158 Microsoft Internet Explorer, vedere Internet Explorer minacce App di Windows Store 87 app Windows Store 82 cartella quarantena 62 e classificazioni di sicurezza 159 file di contenuto AMCore 11 gestione rilevamenti 61 ottenere altre informazioni da McAfee Labs 62 Processo di protezione dell'accesso 68 rilevamento durante la scansione 60 ripetizione della scansione di elementi in quarantena 65 risposta ai rilevamenti 20 tipi 64 violazioni dei punti di accesso 68 modalità accesso completo opzioni modifica firewall 127 Modalità accesso completo impostazioni policy 16 modalità Accesso standard configurazione delle impostazioni di sicurezza client 33 Modalità accesso standard accesso come amministratore 27 modalità accesso, Client Endpoint Security 16 modalità adattiva configurazione in Firewall 127 Modalità adattiva priorità regola 131 Modalità Blocca interfaccia client sbloccare l'interfaccia 28 modalità Desktop, Windows 8 e 10 risposta a messaggi di rilevamento minaccia 20 Modalità Desktop, Windows 8 e 10 messaggi di notifica 14 Modalità di accesso standard e impostazioni delle policy 16 effetti dell'impostazione di una password 33 gestione di regole e gruppi firewall 137 Modalità di blocco interfaccia client all'apertura di Endpoint Security Client 19 modalità di interfaccia configurazione delle impostazioni di sicurezza del client 33 modalità interfaccia accesso standard 27 Guida del prodotto Indice modalità interfaccia (segue) Accesso standard 33 Modalità Interfaccia Client, opzioni 16 moduli Accesso Client Endpoint Security basato su policy 16 informazioni su Endpoint Security 9 installati in Client Endpoint Security 17 visualizzazione di informazioni su 22 moduli, Common Impostazioni del server proxy McAfee GTI, configurazione 34 registrazione, configurazione 32 moduli, In comune Autoprotezione, configurazione 31 funzionamento di McAfee GTI 34, 81, 164 impostazioni aggiornamento, configurazione 37 impostazioni di aggiornamento, configurazione 35 sicurezza dell'interfaccia client, configurazione 33 siti di origine per aggiornamenti client 35 siti di origine per aggiornamenti client, configurazione 35 Modulo Common, configurazione impostazioni 30 Impostazioni del server proxy McAfee GTI 34 registrazione 32 modulo In comune, Client Endpoint Security 17 modulo In comune, configurazione Autoprotezione 31 impostazioni di aggiornamento 35, 37 sicurezza dell'interfaccia client 33 siti di origine per aggiornamenti client 35 siti di origine per aggiornamenti client, configurazione 35 modulo In comune, Endpoint Security Client 9 Motore di ricerca Ask e icone di sicurezza 158 Motore di ricerca Bing e icone di sicurezza 158 motori di scansione, panoramica del file di contenuto AMCore 11 Mozilla Firefox, vedere Firefox N non non gestito, vedere autogestito, informazioni notifiche di tipo avviso popup, Windows 8 e 10 20 notifiche toast, Windows 8 e 10 14 O opzione di utilizzo del sistema, panoramica 90 opzioni configurazione delle scansioni all'accesso 81 configurazione delle scansioni su richiesta 86 ricerca di malware 57 opzioni firewall modifica 127 Opzioni, Common configurazione 30 impostazioni del server proxy, configurazione 34 impostazioni di registrazione, configurazione 32 pianificazione delle scansioni su richiesta 57 McAfee Endpoint Security 10.2 Opzioni, Firewall eseguibili affidabili 131 reti definite 129 Opzioni, In comune Autoprotezione, configurazione 31 impostazioni aggiornamento, configurazione 37 impostazioni di aggiornamento, configurazione 35 sicurezza dell'interfaccia client, configurazione 33 siti di origine per aggiornamenti client, configurazione 35 Opzioni, Prevenzione delle minacce impostazioni comuni per le scansioni 80 Opzioni, Threat Prevention programmi indesiderati 78 P pagina Aggiorna 23 pagina di accesso amministratore sbloccare l'interfaccia client 28 Pagina di accesso amministratore all'apertura di Endpoint Security Client 19 Pagina di ripristino AMCore content 29 pagina di scansione, visualizzazione 20, 58 pagina Esegui scansione del sistema 58, 61 pagina impostazioni impostazioni aggiornamento, configurazione 37 pagina Impostazioni Autoprotezione, configurazione 31 impostazioni di aggiornamento, configurazione 35 opzioni modifica firewall 127 sicurezza dell'interfaccia client, configurazione 33 Pagina Impostazioni e Modalità interfaccia client 16 gestione di regole e gruppi firewall 137 impostazioni del server proxy, configurazione 34 impostazioni di scansione all'accesso, configurazione 81 impostazioni di scansione su richiesta, configurazione 86 registrazione, configurazione 32 Pagina informazioni 10 Pagina Informazioni 22 pagina Quarantena 62 pagina Scansione all'accesso 61 pagina Stato della sicurezza McAfee, visualizzazione 12 Pagina Stato, visualizzazione di Riepilogo minacce 16 pagine Aggiorna 23 Esegui scansione del sistema 58, 61 Impostazioni 16, 31–35, 37, 86, 127 Informazioni 10, 22 Quarantena 62 Registro eventi 24 Ricerca minacce 60 Ripristina AMCore content 29 Scansione all'accesso 20, 61 scansione, visualizzazione 58 Guida del prodotto 199 Indice pagine (segue) Stato della sicurezza McAfee 12 password amministratore 27, 28 configurazione della sicurezza del client 33 controllo dell'accesso al client 33 password cracker, informazioni 64 phishing, rapporti inviati da utenti del sito 159 pianificazioni, scansioni su richiesta, rinvio 88 plug-in, attivazione di Controllo Web nel browser 160 policy accesso Client Endpoint Security 16 definite 10 funzioni client 12 policy, Common configurazione 30 policy, Prevenzione delle minacce impostazioni comuni per le scansioni 80 scansioni su richiesta, rinvio 88 policy, Threat Prevention scansioni all'accesso 85 popup e classificazioni di sicurezza 159 precedenza gruppi firewall 133 Prevenzione delle minacce Client Endpoint Security 17 funzione Protezione dell'accesso 69 informazioni su 9 scansione dei file prima del download 162, 164 scansioni all'accesso, informazioni 82 Prevenzione exploit aggiornamenti file di contenuto 11 configurazione 77 e Host IPS 76 esclusione di processi 66 file di registro 25 informazioni 76 priorità regole firewall 131 priorità, scansioni all'accesso 90 procedure consigliate utilizzo di reti affidabili 130 processi a rischio basso, specifica 81 processi a rischio elevato, specifica 81 processi, Intelligence sulle minacce inclusione ed esclusione in Isolamento dinamico applicazioni 185 processi, Isolamento dinamico applicazioni esclusioni 185 processi, Prevenzione delle minacce esclusione 66 inclusione ed esclusione in Protezione dell'accesso 69 inclusione ed esclusione nella protezione dell'accesso 75 scansione 82 200 McAfee Endpoint Security 10.2 processi, protezione dell'accesso esclusione basata su policy 75 esclusione basata su regole 75 processi, Threat Prevention scansione 81 specifica di rischio basso ed elevato 81 Product Improvement Program 177 programmi di installazione affidabili, scansione 81 programmi di installazione, scansione affidabili 81 programmi potenzialmente indesiderati attivazione rilevamento 79, 81, 86 caratteri jolly nelle esclusioni 67 configurazione del rilevamento 78 esclusione di elementi 66 informazioni 64 rilevamenti durante la scansione 58 rilevamento durante la scansione 60 specifica 78 specificare i programmi da rilevare 80 programmi, abilitare il rilevamento di potenzialmente indesiderati 81, 86 protezione configurazione dell'autoprotezione 31 interazione con 12 mantenimento dell'aggiornamento 10 visualizzazione di informazioni su 22 Protezione dell'accesso esclusione di processi 66 file di registro 25 informazioni 67 processi, inclusione ed esclusione 69, 75 regole definite da McAfee, informazioni 70 regole definite dall'utente, configurazione 73 regole predefinite da McAfee, configurazione 69 regole, informazioni 69 pulsante Avvia scansione 58 pulsante Visualizza rilevamenti 61 pulsante Visualizza scansione 58 pulsanti Avvia scansione 58 Visualizza rilevamenti 61 Visualizza scansione 58 pulsanti, Controllo Web 157 Q Quarantena, Prevenzione delle minacce configurazione del percorso e delle impostazioni di conservazione 80 ripetizione della scansione di elementi in quarantena 65 R ransomware creazione di regole di protezione dell'accesso contro 73 rapporti sul sito, vedere report, Web Control rapporti sulla sicurezza, vedere report, Web Control Guida del prodotto Indice registrazione client, configurazione 32 registri attività, Client Endpoint Security 25 registri degli eventi, client Endpoint Security errori di aggiornamento 23 registri di debug, Client Endpoint Security 25 registri errori, Client Endpoint Security 25 registri eventi, Client Endpoint Security informazioni 25 visualizzazione pagina registro eventi 24 regole definite da McAfee, Isolamento dinamico applicazioni 183 regole definite da McAfee, Protezione dell'accesso 70 regole definite dall'utente, Protezione dell'accesso configurazione 73 regole di isolamento Isolamento dinamico applicazioni 178 regole firewall configurazione 131 consentire e bloccare 131 funzionamento 131 funzionamento di Firewall 125 ordini e priorità 131 uso dei caratteri jolly 138 regole personalizzate, vedere regole definite dall'utente, Protezione dell'accesso regole, firewall, vedere Firewall : Firewall regole, Isolamento dinamico applicazioni configurazione 182 regole, Prevenzione delle minacce configurazione 69 regole, Protezione dell'accesso tipi 69 regole, Threat Prevention modalità di funzionamento della protezione dell'accesso 68 report, Controllo Web sicurezza 155 visualizzazione 161 report, Web Control 158, 159 sicurezza siti web 158 visualizzazione 161 reputazione file risposta a richieste 21 reputazioni attivazione della soglia di attivazione di Isolamento dinamico applicazioni 181 come vengono determinate 174 Isolamento dinamico applicazioni 178 rete privata, aggiungere siti esterni 162 reti affidabili 130 definizione 129 reti affidabili, vedere reti Ricerca pagina minacce 60 ricerca sicura, configurazione di Controllo Web 162 ricerche blocco dei siti rischiosi dai risultati 162 icone di sicurezza 158 McAfee Endpoint Security 10.2 richieste di download, vedere Download di file richieste, Endpoint Security informazioni su 14 risposta a reputazione file 21 risposta a una scansione 21 Windows 8 e 10 20 Riepilogo minacce, informazioni 16 rilevamenti esclusione per nome 80 gestione 58, 61 nomi 64 risposta a 20 segnalazione al server di gestione 10 tipi 58, 60 visualizzazione dei messaggi agli utenti 81, 86 rilevamenti di malware durante la scansione 58 rilevamenti di trojan durante la scansione 58 rilevamenti di virus durante la scansione 58 rinvio scansione, panoramica 88 risposte, configurazione del rilevamento di programmi indesiderati 79 S Safari (Macintosh) pulsanti Controllo Web 157 Scansione completa configurazione 86 esecuzione da client Endpoint Security 58 informazioni 57 pianificazione nel client 91 Scansione di scelta rapida configurazione 86 esecuzione da Windows Explorer 60 informazioni 57 Scansione rapida configurazione 86 esecuzione da client Endpoint Security 58 pianificazione nel client 91 tipi di scansioni 57 scansione, all'accesso ottimizzazione mediante logica di affidabilità 82 scansioni Controllo Web 164 esecuzione da client Endpoint Security 58 esecuzione scansione di scelta rapida 60 impostazioni comuni per le scansioni all'accesso e su richiesta 80 personalizzate, creazione e pianificazione nel client 91 pianificazione con Client Endpoint Security 91 rinvio, sospensione, ripresa e annullamento 21 risposta a richieste 21 tipi 57 Guida del prodotto 201 Indice scansioni (segue) uso dei caratteri jolly nelle esclusioni 67 scansioni a impatto zero 88 scansioni all'accesso configurazione 80, 81 esclusione di elementi 66 file di registro 25 informazioni 57 numero di policy di scansione 85 ottimizzazione mediante logica di affidabilità 82 panoramica 82 programmi potenzialmente indesiderati, attivazione rilevamento 79 rilevamenti delle minacce 20 script di scansione 84 ScriptScan 84 scrittura sul disco confrontata con lettura dal disco 82 scansioni dell'archivio remoto, panoramica 90 scansioni di sistema, tipi 57 scansioni incrementali 88 scansioni manuali esecuzione da client Endpoint Security 58 esecuzione da Endpoint Security Client 60 informazioni sui tipi di scansione 57 scansioni personalizzate, vedere scansioni su richiesta scansioni recuperabili, vedere scansioni incrementali scansioni su richiesta configurazione 80 esclusione di elementi 66 esecuzione di una scansione completa o di una scansione rapida 58 esecuzione scansione di scelta rapida 60 file di registro 25 informazioni 57 panoramica 87 programmi potenzialmente indesiderati, attivazione rilevamento 79 risposta a richieste 21 scansione di file o cartelle 60 scansioni dell'archivio remoto 90 utilizzo del sistema 90 scansioni, all'accesso configurazione 81 esclusione di elementi 66 numero di policy 85 panoramica 82 rilevamenti delle minacce, risposta a 20 rilevamento minacce nelle app di Windows Store 82 ScriptScan 84 scansioni, personalizzate, vedere scansioni, su richiesta scansioni, su richiesta configurazione 86 esclusione di elementi 66 pianificazione nel client 91 rilevamento minacce nelle app di Windows Store 87 scansioni dell'archivio remoto 90 202 McAfee Endpoint Security 10.2 scansioni, su richiesta (segue) utilizzo del sistema 90 script, scansione 84 ScriptScan attivazione 81 esclusione di URL 66 informazioni 84 server bridging server TIE gestito da McAfee ePO 174 informazioni sui server TIE 174 server proxy configurazione per McAfee GTI 34 funzionamento di McAfee GTI 34, 81, 164 impostazioni nell'elenco degli archivi 37 Server Threat Intelligence Exchange, vedere Server TIE server TIE bridging 174 informazioni 174 server, proxy, vedere server proxy settori di avvio, scansione 81, 86 sicurezza configurazione della sicurezza dell'interfaccia client 33 sistemi del server, e funzione di scansione quando il sistema è inattivo 88 siti classificazioni di sicurezza 159 comportamento blocchi e avvisi 156 protezione della navigazione 157 protezione durante le ricerche 158 visualizzazione rapporti sul sito Controllo Web 161 siti Web classificazioni di sicurezza 159 protezione della navigazione 157 protezione durante le ricerche 158 visualizzazione rapporti sul sito Controllo Web 161 siti Web, avviso basato sulle classificazioni 165 basato sulle classificazioni di sicurezza 166 siti Web, blocco basato sulle categorie Web 165, 166 basato sulle classificazioni 165 basato sulle classificazioni di sicurezza 166 non classificato o sconosciuto 162 siti rischiosi nei risultati di ricerca 162 siti Web, controllo dell'accesso con categorie Web 165 con classificazioni di sicurezza 166 con le categorie Web 166 siti, avviso basato sulle classificazioni 165 basato sulle classificazioni di sicurezza 166 siti, blocco basato sulle categorie Web 165, 166 basato sulle classificazioni 165 basato sulle classificazioni di sicurezza 166 Guida del prodotto Indice siti, controllo dell'accesso con categorie Web 165, 166 con classificazioni di sicurezza 166 software client, definito 10 soglie attivazione della soglia di attivazione di Isolamento dinamico applicazioni 181 sottoregole, protezione dell'accesso inclusione ed esclusione 75 sottoregole, Protezione dell'accesso valutazione con destinazioni 74 traffico DNS, blocco 128 trojan informazioni 64 rilevamento durante la scansione 60 spyware, informazioni 64 stato, Endpoint Security, visualizzazione dell'icona della barra delle applicazioni McAfee 12 stealth, informazioni 64 strumenti di amministrazione remota, informazioni 64 V T tempo CPU, scansioni su richiesta 90 thread, priorità 90 Threat Intelligence Endpoint Security 173 esempi di flusso di lavoro 176 Threat Prevention Funzionalità di prevenzione exploit 77 gestione 65 Opzioni, programmi indesiderati 78 programmi potenzialmente indesiderati, rilevamento 78 scansioni all'accesso, configurazione 81 scansioni su richiesta, configurazione 86 scansioni su richiesta, informazioni 87 tipi di gestione informazioni su 22 visualizzazione 22 tipi di gestione McAfee ePO Cloud 22 traffico autorizzazione in uscita fino all'avvio dei servizi firewall 127 esaminati da Firewall 125 McAfee Endpoint Security 10.2 U unità di rete, specifica delle opzioni di scansione 81 URL esclusione dalla scansione script 66, 81 virus firme 11 informazioni 64 rilevamento durante la scansione 60 risposta ai rilevamenti 20 vulnerabilità, vedere minacce W Web Control aree commenti e icone 161 gestione 162 icone, descrizione 158 motori di ricerca e icone di sicurezza 158 rapporti sul sito 158 Windows 8 e 10 apertura di Endpoint Security Client 19 informazioni su messaggi di notifica 14 risposta a messaggi di rilevamento minaccia 20 Y Yahoo icone di sicurezza 158 motore di ricerca predefinito 162 motore di ricerca supportato 158 Guida del prodotto 203 0-04