Guida per l`amministratore

Transcript

- Patch critica
Guida per l'amministratore
Per medie e grandi aziende
Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa
documentazione e al prodotto in essa descritto senza alcun obbligo di notifica. Prima di
installare e utilizzare il prodotto, leggere con attenzione i file readme, le note sulla
versione e/o l'ultima edizione della documentazione appropriata, disponibili sul sito Web
Trend Micro all'indirizzo:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Trend Micro, il logo Trend Micro della sfera con il disegno di una T, OfficeScan, Control
Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall,
ScanMail, ServerProtect e TrendLabs sono marchi o marchi registrati di Trend Micro
Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o
marchi registrati dei rispettivi proprietari.
Copyright © 2015. Trend Micro Incorporated. Tutti i diritti riservati.
Codice documento: OSIM117085/150730
Data di pubblicazione: Luglio 2015
Protetto da brevetto U.S.: 5,951,698
Questa documentazione illustra le caratteristiche principali del prodotto e/o fornisce le
istruzioni per l'installazione in un ambiente di produzione. Prima installare o utilizzare il
prodotto, leggere attentamente la documentazione.
Informazioni dettagliate sull'utilizzo di caratteristiche specifiche del prodotto sono
disponibili nella guida in linea di Trend Micro e nella Knowledge Base di Trend Micro.
Trend Micro si impegna continuamente a migliorare la propria documentazione. Per
domande, commenti o suggerimenti riguardanti questo o qualsiasi documento Trend
Micro, scrivere all'indirizzo [email protected].
È possibile esprimere un giudizio sulla documentazione al seguente indirizzo:
http://www.trendmicro.com/download/documentation/rating.asp
Sommario
Prefazione
Prefazione ........................................................................................................... xi
Documentazione di OfficeScan ..................................................................... xii
Destinatari ......................................................................................................... xii
Convenzioni utilizzate nella documentazione ............................................. xiii
Terminologia .................................................................................................... xiv
Parte I: Introduzione e informazioni preliminari
Capitolo 1: Introduzione di OfficeScan
Informazioni su OfficeScan .......................................................................... 1-2
Novità della versione ...................................................................................... 1-2
Principali funzioni e vantaggi ..................................................................... 1-13
Il server OfficeScan ...................................................................................... 1-16
L'agente OfficeScan ..................................................................................... 1-17
Integrazione con i prodotti e i servizi Trend Micro ................................ 1-18
Capitolo 2: Informazioni preliminari su OfficeScan
La console Web ............................................................................................... 2-2
Dashboard ....................................................................................................... 2-5
Strumento di migrazione del server ........................................................... 2-32
Active Directory Integration ....................................................................... 2-36
Struttura agente OfficeScan ........................................................................ 2-40
Domini OfficeScan ...................................................................................... 2-53
i
Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1
Capitolo 3: Informazioni preliminari su Protezione dati
Installazione di Protezione dati .................................................................... 3-2
Licenza di Protezione dati ............................................................................. 3-4
Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6
Cartella dati forensi e database DLP ........................................................... 3-9
Disinstallazione di Protezione dati ............................................................. 3-15
Parte II: Protezione degli Agenti OfficeScan
Capitolo 4: Utilizzo di Trend Micro Smart Protection
Informazioni su Trend Micro Smart Protection ........................................ 4-2
Servizi Smart Protection ................................................................................ 4-3
Origini Smart Protection ............................................................................... 4-6
File Smart Protection Pattern ....................................................................... 4-8
Impostazione dei servizi Smart Protection .............................................. 4-13
Utilizzo dei servizi Smart Protection ......................................................... 4-33
Capitolo 5: Installazione dell'agente OfficeScan
Installazioni da zero dell'agent OfficeScan ................................................. 5-2
Considerazioni sull'installazione ................................................................... 5-2
Considerazioni sull'implementazione ........................................................ 5-11
Migrazione all'agente OfficeScan ............................................................... 5-66
Post-installazione .......................................................................................... 5-70
Disinstallazione del Agente OfficeScan .................................................... 5-73
Capitolo 6: Come mantenere la protezione aggiornata
Programmi e componenti di OfficeScan .................................................... 6-2
Panoramica sugli aggiornamenti ................................................................. 6-14
ii
Sommario
Aggiornamenti server OfficeScan .............................................................. 6-17
Aggiornamenti di Integrated Smart Protection Server ........................... 6-30
Aggiornamenti dell'agente OfficeScan ...................................................... 6-30
Update Agent ................................................................................................ 6-58
Riepilogo aggiornamento componenti ..................................................... 6-67
Capitolo 7: Analisi dei rischi per la sicurezza
Informazioni sui rischi per la sicurezza ....................................................... 7-2
Tipi di metodi di scansione ........................................................................... 7-8
Tipi di scansione ........................................................................................... 7-15
Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28
Privilegi scansione e altre impostazioni ..................................................... 7-57
Impostazioni globali di scansione .............................................................. 7-73
Notifiche sui Rischi per la sicurezza .......................................................... 7-85
Registri dei rischi per la sicurezza ............................................................... 7-95
Rischi per la sicurezza ................................................................................ 7-110
Capitolo 8: Uso di Monitoraggio del comportamento
Monitoraggio del comportamento ............................................................... 8-2
Configurazione delle impostazioni del monitoraggio del comportamento
globale ............................................................................................................... 8-9
Privilegi di monitoraggio del comportamento ......................................... 8-11
Notifiche di Monitoraggio del comportamento per gli utenti degli agenti
OfficeScan ..................................................................................................... 8-14
Registri di Monitoraggio del comportamento .......................................... 8-15
Capitolo 9: Utilizzo di Controllo dispositivo
Controllo dispositivo ...................................................................................... 9-2
iii
Autorizzazioni per dispositivi di archiviazione .......................................... 9-4
Autorizzazioni per dispositivi non di archiviazione ................................ 9-11
Modifica delle notifiche di controllo dispositivo ..................................... 9-18
Registri di controllo dispositivo .................................................................. 9-18
Capitolo 10: Utilizzo di Prevenzione perdita di dati
Informazioni su Prevenzione perdita di dati (DLP) ............................... 10-2
Criteri di Prevenzione perdita di dati ......................................................... 10-3
Tipi di identificatore di dati ......................................................................... 10-5
Modelli di Prevenzione perdita di dati .................................................... 10-20
Canali DLP .................................................................................................. 10-25
Azioni di Prevenzione perdita di dati ...................................................... 10-39
Eccezioni di Prevenzione perdita di dati ................................................ 10-42
Configurazione dei criteri Prevenzione perdita di dati ......................... 10-48
Notifiche di Prevenzione perdita di dati ................................................. 10-54
Registri di Prevenzione perdita di dati ..................................................... 10-58
Capitolo 11: Protezione dei computer dalle minacce Web
Minacce Web ................................................................................................. 11-2
Servizi di avvisi contatti Command & Control ........................................ 11-2
Reputazione Web .......................................................................................... 11-4
Criteri di reputazione Web .......................................................................... 11-5
Servizio di connessione sospetta .............................................................. 11-14
Notifiche di minacce Web per utenti agente .......................................... 11-18
Notifiche di callback C&C per gli amministratori ................................. 11-19
Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 11-22
Infezioni dei callback C&C ....................................................................... 11-23
iv
Sommario
Registri delle minacce Web ........................................................................ 11-26
Capitolo 12: Utilizzo del firewall di OfficeScan
Informazioni sul Firewall di OfficeScan ................................................... 12-2
Attivazione o disattivazione del Frewall di OfficeScan .......................... 12-6
Criteri e profili del firewall .......................................................................... 12-8
Privilegi firewall ........................................................................................... 12-24
Impostazioni firewall globali ..................................................................... 12-26
Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan
........................................................................................................................ 12-29
Registri del firewall ..................................................................................... 12-30
Infezioni da violazione del firewall .......................................................... 12-32
Test del firewall OfficeScan ...................................................................... 12-33
Parte III: Gestione degli agenti e del server
OfficeScan
Capitolo 13: Gestione del server OfficeScan
Role-based Administration (RBA) ............................................................. 13-3
Trend Micro Control Manager ................................................................. 13-24
Impostazioni elenco oggetti sospetti ....................................................... 13-31
Server di riferimento .................................................................................. 13-33
Impostazioni notifica amministratore ..................................................... 13-35
Registri eventi di sistema ........................................................................... 13-38
Gestione dei registri ................................................................................... 13-39
Licenze ......................................................................................................... 13-43
OfficeScan Database Backup ................................................................... 13-46
Strumento di migrazione SQL Server ..................................................... 13-47
v
Impostazioni connessione agente/server Web OfficeScan ................. 13-52
Comunicazione agente server ................................................................... 13-53
Password della console Web ..................................................................... 13-59
Impostazioni della console Web .............................................................. 13-59
Gestore della quarantena ........................................................................... 13-60
Server Tuner ................................................................................................ 13-61
Smart Feedback ........................................................................................... 13-64
Capitolo 14: Gestione dell'agente OfficeScan
Posizione dispositivo .................................................................................... 14-2
Gestione del programma agente OfficeScan ........................................... 14-6
Connessione agente server ........................................................................ 14-29
Impostazioni proxy dell'Agente OfficeScan ........................................... 14-53
Visualizzazione delle informazioni sull'agente OfficeScan .................. 14-58
Importazione ed esportazione delle impostazioni degli agenti ........... 14-59
Conformità sicurezza ................................................................................. 14-60
Supporto Trend Micro Virtual Desktop ................................................. 14-78
Impostazioni globali agente ...................................................................... 14-92
Configurazione dei privilegi e di altre impostazioni dell'agente .......... 14-94
Parte IV: Protezione aggiuntiva
Capitolo 15: Uso di Plug-in Manager
Informazioni su Plug-in Manager .............................................................. 15-2
Installazione di Plug-in Manager ................................................................ 15-3
Gestione delle funzioni native di OfficeScan ........................................... 15-4
Gestione dei Programmi plug-in ................................................................ 15-4
Disinstallazione di Plug-in Manager ........................................................ 15-12
vi
Sommario
Risoluzione dei problemi di Plug-in Manager ........................................ 15-12
Capitolo 16: Risorse per la risoluzione dei problemi
Sistema di supporto intelligente ................................................................. 16-2
Case Diagnostic Tool ................................................................................... 16-2
Trend Micro Performance Tuning Tool .................................................... 16-2
Registri del server OfficeScan ..................................................................... 16-3
Registri dell'agente OfficeScan ................................................................. 16-15
Capitolo 17: Assistenza tecnica
Risorse per la risoluzione dei problemi ..................................................... 17-2
Come contattare Trend Micro .................................................................... 17-4
Invio di contenuti sospetti a Trend Micro ................................................ 17-5
Other Resources ........................................................................................... 17-6
Appendici
Appendice A: Supporto dell'IPv6 in OfficeScan
Supporto IPv6 per server OfficeScan e agenti ......................................... A-2
Configurazione indirizzi IPv6 ...................................................................... A-6
Schermate che visualizzano gli indirizzi IP ................................................ A-7
Appendice B: Supporto per Windows Server Core
2008/2012
Supporto per Windows Server Core 2008/2012 ...................................... B-2
Metodi di installazione per Windows Server Core ................................... B-2
Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6
Comandi di Windows Server Core .............................................................. B-7
vii
Appendice C: Supporto per Windows 8/8.1/10 e Windows
Server 2012
Informazioni su Windows 8/8.1/10 e Windows Server 2012 ................ C-2
Supporto della funzione OfficeScan con la modalità interfaccia utente
............................................................................................................................ C-5
Internet Explorer 10/11 e Microsoft Edge ............................................... C-6
Appendice D: Rollback di OfficeScan
Rollback del server OfficeScan e degli agenti OfficeScan ...................... D-2
Appendice E: Glossario
ActiveUpdate .................................................................................................. E-2
File compresso ............................................................................................... E-2
Cookie .............................................................................................................. E-2
Attacco DoS (Denial of Service) ................................................................. E-2
DHCP .............................................................................................................. E-3
DNS ................................................................................................................. E-3
Nome dominio ............................................................................................... E-3
Indirizzo IP dinamico ................................................................................... E-3
ESMTP ............................................................................................................ E-4
Contratto di licenza per l'utente finale ........................................................ E-4
Falso allarme ................................................................................................... E-4
FTP .................................................................................................................. E-4
GeneriClean .................................................................................................... E-4
Hotfix ............................................................................................................... E-5
HTTP ............................................................................................................... E-5
HTTPS ............................................................................................................ E-6
ICMP ............................................................................................................... E-6
viii
Sommario
IntelliScan ........................................................................................................ E-6
IntelliTrap ........................................................................................................ E-7
IP ...................................................................................................................... E-7
File Java ........................................................................................................... E-7
LDAP ............................................................................................................... E-8
Porta di ascolto ............................................................................................... E-8
MCP Agent ..................................................................................................... E-8
Minaccia di tipo misto ................................................................................... E-9
NAT ................................................................................................................. E-9
NetBIOS ......................................................................................................... E-9
Comunicazione unidirezionale ..................................................................... E-9
Patch .............................................................................................................. E-10
Attacco di phishing ...................................................................................... E-10
Ping ................................................................................................................ E-11
POP3 ............................................................................................................. E-11
Server proxy .................................................................................................. E-11
RPC ................................................................................................................ E-11
Patch di protezione ...................................................................................... E-11
Service Pack .................................................................................................. E-12
SMTP ............................................................................................................. E-12
SNMP ............................................................................................................ E-12
Trap SNMP ................................................................................................... E-12
SOCKS 4 ....................................................................................................... E-12
SSL ................................................................................................................. E-13
Certificato SSL ............................................................................................. E-13
TCP ................................................................................................................ E-13
Telnet ............................................................................................................. E-13
ix
Porta dei cavalli di Troia ............................................................................. E-14
Porta affidabile ............................................................................................. E-15
Comunicazione bidirezionale ..................................................................... E-16
UDP ............................................................................................................... E-16
File non disinfettabili ................................................................................... E-16
Indice
Indice ............................................................................................................. IN-1
x
Prefazione
Prefazione
Questo documento contiene le informazioni introduttive e illustra le procedure per
l'installazione dell'agente e di gestione del server OfficeScan e dell'agente.
Di seguito sono riportati gli argomenti trattati:
•
Documentazione di OfficeScan a pagina xii
•
Destinatari a pagina xii
•
Convenzioni utilizzate nella documentazione a pagina xiii
•
Terminologia a pagina xiv
xi
Documentazione di OfficeScan
La documentazione di OfficeScan comprende quanto segue:
Tabella 1. Documentazione di OfficeScan
Documentazio
ne
Descrizione
Guida
all'installazione e
all'aggiornamento
Un documento PDF che illustra i requisiti e le procedure di
installazione del server OfficeScan e l'aggiornamento del server e
degli agenti
Guida per
l'amministratore
Un documento PDF contenente le informazioni introduttive, le
procedure per l'installazione dell'Agente OfficeScan e la gestione del
server OfficeScan e dell'agente
Guida
File HTML compilati in formato WebHelp o CHM che forniscono
procedure, consigli di utilizzo e informazioni specifiche. È possibile
accedere alla Guida dalle console del server OfficeScan e
dell'agente e dall'installazione principale di OfficeScan.
File Readme
Contiene un elenco di problemi noti e la procedura di base per
l'installazione. Contiene inoltre le informazioni più recenti sul
prodotto che non è stato possibile inserire nella documentazione nel
software né in quella stampata.
Knowledge Base
Un database online contenente informazioni utili per la risoluzione
dei problemi. Fornisce le informazioni più recenti sui problemi noti
riscontrati nell'utilizzo dei prodotti. Per accedere alla Knowledge
Base, visitare il seguente sito Web:
http://esupport.trendmicro.com
Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per il
download alla pagina seguente:
Destinatari
La documentazione di OfficeScan è destinata agli utenti seguenti:
xii
Prefazione
•
Amministratori OfficeScan: responsabili della gestione di OfficeScan, comprese le
attività di gestione e installazione del server OfficeScan e dell'Agente OfficeScan. Si
presuppone che questi utenti abbiano conoscenze avanzate di reti e gestione dei
server.
•
Utenti finali: gli utenti con l'Agente OfficeScan installato sui dispositivi. Il livello di
conoscenza del dispositivo di questi utenti varia da principiante a utente esperto.
Convenzioni utilizzate nella documentazione
Nella presente documentazione vengono usate le seguenti convenzioni di
denominazione.
Tabella 2. Convenzioni utilizzate nella documentazione
Convenzione
Descrizione
MAIUSCOLO
Acronimi, abbreviazioni e nomi di alcuni comandi e tasti
della tastiera.
Grassetto
Menu e comandi dei menu, pulsanti dei comandi, schede
e opzioni
Corsivo
Riferimenti ad altri documenti
Carattere a spaziatura
fissa
Righe di comando di esempio, codice del programma,
URL Web, nomi di file e output programmi
Percorso > navigazione
Percorso di navigazione per raggiungere una determinata
schermata.
Ad esempio, l'istruzione File > Salva significa che,
all'interno dell'interfaccia, bisogna fare clic su File e
quindi su Salva.
Nota
Suggerimento
Note alla configurazione
Raccomandazioni o consigli
xiii
Convenzione
Importante
AVVERTENZA!
Descrizione
Informazioni riguardanti le limitazioni del prodotto e le
impostazioni di configurazione predefinite o obbligatorie
Azioni fondamentali e opzioni di configurazione
Terminologia
La tabella riportata di seguito contiene la terminologia ufficiale utilizzata nella
documentazione di OfficeScan:
Tabella 3. Terminologia di OfficeScan
Terminologia
Descrizione
Agente OfficeScan
Il programma agente OfficeScan
Agente dispositivo
Il dispositivo su cui è installato l'Agente OfficeScan
Utente agente (o utente)
La persona che gestisce l'Agente OfficeScan nel
dispositivo dell'agente
Server
Il programma server OfficeScan
Computer server
Il dispositivo su cui è installato il server OfficeScan
Amministratore (o
amministratore OfficeScan)
La persona che gestisce il server OfficeScan
Console
L'interfaccia utente per configurare e gestire le
impostazioni del server OfficeScan e dell'agente
La console per il programma server OfficeScan è
denominata "console Web", mentre la console del
programma Agente OfficeScan è denominata "console
agente".
xiv
Prefazione
Terminologia
Descrizione
Rischio per la sicurezza
Termine collettivo per virus/minacce informatiche,
spyware/grayware e minacce Web
Servizio licenza
Comprende Antivirus, Damage Cleanup Services,
Reputazione Web e Anti-spyware, —tutti attivati durante
l'installazione del server OfficeScan
Servizio OfficeScan
Servizi gestiti tramite Microsoft Management Console
(MMC). Ad esempio, ofcservice.exe, il Servizio principale
OfficeScan.
Programma
Comprende l'Agente OfficeScan e Plug-in Manager
Componenti
Consentono di analizzare, individuare ed eseguire
operazioni contro i rischi per la sicurezza
Cartella di installazione dell'agente
La cartella del dispositivo che contiene i file dell'Agente
OfficeScan. Se durante l'installazione si accettano le
impostazioni predefinite, la cartella di installazione si
trova nei percorsi seguenti:
C:\Programmi\Trend Micro\OfficeScan Client
C:\Programmi (x86)\Trend Micro\OfficeScan Client
Cartella di installazione del server
La cartella del dispositivo che contiene i file del server
OfficeScan. Se durante l'installazione si accettano le
impostazioni predefinite, la cartella di installazione si
trova nei percorsi seguenti:
C:\Programmi\Trend Micro\OfficeScan
C:\Programmi (x86)\Trend Micro\OfficeScan
Ad esempio, se un file specifico si trova in \PCCSRV nella
cartella di installazione del server, il percorso completo
del file è:
C:\Programmi\Trend Micro\OfficeScan\PCCSRV\<nome_file>.
Agente Smart Scan
Qualsiasi Agente OfficeScan configurato per utilizzare
Smart Scan
Scansione convenzionale
dell'agente
Qualsiasi Agente OfficeScan configurato per utilizzare la
scansione convenzionale
xv
Terminologia
Dual-stack
Descrizione
Entità con indirizzi IPv4 e IPv6.
Ad esempio:
xvi
•
Dispositivo con indirizzi IPv4 e IPv6
•
Agenti OfficeScan installati su dispositivi dual-stack
•
Update Agent che distribuiscono gli aggiornamenti
agli agenti
•
Un server proxy dual-stack, come DeleGate, è in
grado di convertire un indirizzo IPv4 in IPv6 e
viceversa
IPv4 puro
Un'entità che ha solo un indirizzo IPv4
IPv6 puro
Un'entità che ha solo un indirizzo IPv6
Soluzioni plug-in
Programmi plug-in e funzioni di OfficeScan disponibili
attraverso Plug-in Manager
Parte I
Introduzione e informazioni
preliminari
Capitolo 1
Introduzione di OfficeScan
In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche di
Trend Micro™ OfficeScan™.
•
Informazioni su OfficeScan a pagina 1-2
•
Novità della versione a pagina 1-2
•
Principali funzioni e vantaggi a pagina 1-13
•
Il server OfficeScan a pagina 1-16
•
L'agente OfficeScan a pagina 1-17
•
Integrazione con i prodotti e i servizi Trend Micro a pagina 1-18
1-1
Informazioni su OfficeScan
Trend Micro™ OfficeScan™ protegge le reti aziendali da malware, virus di rete,
minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una soluzione
integrata che comprende un programma Agente OfficeScan che risiede nel dispositivo e
un programma server che gestisce tutti gli agenti. L'Agente OfficeScan controlla
l'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso la console di
gestione basata sul Web, permette di impostare criteri di sicurezza coordinati e di
implementare gli aggiornamenti in ciascun agente.
OfficeScan utilizza Trend Micro Smart Protection Network™, un'infrastruttura client
cloud di prossima generazione che fornisce soluzioni per la sicurezza migliori rispetto
agli approcci tradizionali. La tecnologia "in-the-cloud" unica e un agente leggero
consentono di ridurre la dipendenza dai download dei pattern convenzionali e di
eliminare i ritardi normalmente associati agli aggiornamenti dei desktop. Le aziende
possono godere dei vantaggi offerti dalla maggiore ampiezza di banda della rete, dalla
riduzione delle risorse necessarie e dei risparmi sui costi associati. Gli utenti sfruttano
l'accesso immediato alla protezione più recente disponibile da qualsiasi località di accesso
alla rete: all'interno della rete aziendale, a casa o in viaggio.
Novità della versione
Trend Micro OfficeScan include le seguenti nuove funzioni e miglioramenti.
Novità della patch critica di OfficeScan 11.0 SP1
Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti.
1-2
Funzione
Piattaforme e
browser compatibili
Descrizione
Agente OfficeScan supporta Windows 10 (edizioni Home, Pro,
Education ed Enterprise).
OfficeScan supporta Microsoft Edge.
Per un elenco dei requisiti di sistema, consultare il documento
Requisiti di sistema di OfficeScan all'indirizzo:
Protezione
dell'avvio dell'antimalware preliminare
OfficeScan supporta la funzione di avvio dell'anti-malware
preliminare (ELAM), inclusa nell'avvio protetto standard, per
proteggere i dispositivi in fase di avvio. Gli amministratori possono
attivare questa funzione per avviare gli agenti OfficeScan prima
degli altri driver del software di terze parti all'avvio dei dispositivi.
Questa funzione consente agli agenti OfficeScan di rilevare il
malware durante il processo di avvio.
Per i dettagli, consultare Attivazione della protezione dell'avvio
dell'anti-malware preliminare sui dispositivi a pagina 7-77.
Processo di
sottoscrizione degli
oggetti sospetti
avanzato
Quando gli amministratori registrano OfficeScan in un server
Control Manager connesso a Deep Discovery, OfficeScan effettua
automaticamente la sottoscrizione a Control Manager per
sincronizzare gli oggetti sospetti e richiamare le azioni contro tali
oggetti.
La sincronizzazione dell'elenco di oggetti sospetti è parte della
strategia di Connected Threat Defense. Per ulteriori informazioni,
consultare il documento Connected Threat Defense Primer
all'indirizzo http://docs.trendmicro.com/all/ent/tmcm/v6.0-sp3/enus/tmcm_6.0_sp3_ctd_primer/ctd_primer.pdf.
Novità di OfficeScan 11.0 SP1
1-3
Funzione
1-4
Descrizione
Protezione
ransomware per i
documenti
Le funzionalità di scansione avanzate possono identificare e
bloccare i programmi ransomware che colpiscono i documenti
eseguiti nel dispositivo per identificare i comportamenti comuni e
bloccare i processi generalmente associati ai programmi
ransomware.
Crittografia
comunicazione
agente server
avanzata
OfficeScan offre la crittografia avanzata della comunicazione tra
server e agenti utilizzando l'Advanced Encryption Standard (AES)
256, in conformità alle normative in materia di sicurezza.
Connected Threat
Defense
Configurare OfficeScan per sottoscrivere gli elenchi di oggetti
sospetti dal server Control Manager. Attraverso la console di
Control Manager, è possibile creare azioni personalizzate per gli
oggetti rilevati dagli elenchi di oggetti sospetti, in grado di fornire
una difesa personalizzata contro le minacce identificate dai
dispositivi protetti dai prodotti Trend Micro specifici per l'ambiente
dell'utente.
Monitoraggio della
scansione
OfficeScan offre maggiore visibilità e controllo sulle funzionalità di
scansione mediante:
•
Ripresa di scansioni pianificate interrotte: configurare
OfficeScan in modo da riprendere automaticamente le
scansioni pianificate interrotte sulla base di una pianificazione
configurata
•
Registri dell'operazione di scansione: consentono di
monitorare il tempo, lo stato e i risultati della scansione
attraverso la console Web
Crittografia di dati
sensibili
Prevenzione perdita di dati viene integrato da Trend Micro™
Endpoint Encryption™ per automatizzare la crittografia di dati
sensibili su dispositivi rimovibili e canali di servizi di
memorizzazione cloud.
Funzionalità di
protezione
automatica
dell'Agente
OfficeScan
avanzate
•
Le funzionalità avanzate di monitoraggio dell'integrità dei file
e di prevenzione dalla manomissione delle DLL garantiscono
la validità e la disponibilità dei file di programma dell'Agente
OfficeScan
•
Protezione contro il blocco dei processi dell'Agente
OfficeScan
Funzione
Descrizione
Assistenza
multilingue per
l'Agente OfficeScan
Gli amministratori possono configurare la lingua del programma
dell'Agente OfficeScan dalla console Web. Selezionare per
visualizzare la console dell'Agente OfficeScan sulla base delle
impostazioni di lingua dell'utente che ha effettuato l'accesso o
delle impostazioni di lingua del server OfficeScan.
Gestione estesa dei
criteri mediante
Control Manager™
•
La gestione dei criteri di Control Manager™ nel server
OfficeScan consente ora agli amministratori di creare criteri
secondari che ereditano le impostazioni globali di Control
Manager. Utilizzando la console di Control Manager, gli
amministratori locali di OfficeScan possono modificare questi
criteri secondari per migliorare la protezione dei server
regionali, di reparto o satelliti che richiedono eventuali
impostazioni più specifiche. Gli amministratori locali di
OfficeScan possono modificare i tempi delle scansioni
pianificate e gli elenchi di eccezioni delle scansioni per
migliorare la protezione degli ambienti locali e, allo stesso
tempo, mantenere quella configurata dall'amministratore di
Control Manager.
•
Gli amministratori di Control Manager™ possono mettere in
quarantena i dispositivi specifici dell'Agente OfficeScan dalla
rete per evitare la diffusione delle minacce alla sicurezza.
Per maggiori dettagli sulla configurazione dei criteri di OfficeScan
mediante Control Manager™, consultare la Guida per
l'amministratore di Trend Micro Control Manager.
Programmi affidabili
Gli amministratori possono configurare OfficeScan per escludere
dalla scansione i file e i processi firmati da aziende affidabili e
applicare gli elenchi di esclusione configurati alla scansione in
tempo reale e al monitoraggio del comportamento oppure creare
elenchi specifici per ciascuna funzionalità.
Per un elenco dei requisiti di sistema, consultare il documento Requisiti di sistema di
OfficeScan all'indirizzo:
Novità di OfficeScan 11.0
1-5
Tabella 1-1. Miglioramenti del server
Funzione
Descrizione
Strumento di
migrazione SQL
Database
Gli amministratori possono scegliere di migrare il database del
server CodeBase® esistente su un database SQL Server.
Miglioramenti di
Smart Protection
Server
Questa versione di OfficeScan supporta la versione Smart
Protection Server 3.0 aggiornata. Nella versione aggiornata di
Smart Protection Server sono stati migliorati i pattern per Servizi
di reputazione file. I file di pattern sono stati riprogettati per fornire
i seguenti vantaggi:
Autenticazione del
server
Per i dettagli, consultare Strumento di migrazione SQL Server a
pagina 13-47.
•
Riduzione del consumo della memoria
•
Aggiornamenti dei pattern incrementali e rilevamento del
pattern Servizi di reputazione file, con una notevole riduzione
del consumo della larghezza di banda
Le chiavi di autenticazione del server migliorate assicurano che
tutte le comunicazioni da e verso il server siano sicure e affidabili.
Per i dettagli, consultare Autenticazione delle comunicazioni
avviate dal server a pagina 13-53.
1-6
Miglioramento di
Role-based
Administration
(RBA)
Il miglioramento di Role-based Administration semplifica il modo
in cui gli amministratori configurano ruoli e account, facilitando
l'integrazione con Trend Micro™ Control Manager™.
Requisiti del server
Web
È possibile integrare questa versione di OfficeScan con il server
Web Apache 2.2.25.
Per i dettagli, consultare Role-based Administration (RBA) a
pagina 13-3.
Funzione
Riprogettazione
dell'interfaccia del
server OfficeScan
Descrizione
L'interfaccia di OfficeScan è stata riprogettata per fornire
un'esperienza più semplice e diretta. Tutte le funzioni disponibili
nel server OfficeScan precedente sono tuttora presenti nella
versione aggiornata.
•
Le voci di menu principali occupano meno spazio nelle
schermate
•
Il menu "Preferiti" facilita l'accesso alle schermate utilizzate
più frequentemente
•
Una visualizzazione con presentazione delle schede
Dashboard consente di visualizzare i dati dei widget senza
dover controllare manualmente la console
Guida online
contestuale basata
sul cloud
La guida online basata sul cloud sensibile al contesto aiuta gli
amministratori ad avere sempre le informazioni più aggiornate
ogni volta che il sistema di guida viene aperto. Se la connessione
a Internet non è disponibile, OfficeScan passa automaticamente
al sistema di guida online locale fornito con il prodotto.
Piattaforme e
browser compatibili
OfficeScan supporta i seguenti sistemi operativi:
•
Windows Server™ 2012 R2 (server e agente)
•
Windows 8.1 (solo agente)
OfficeScan supporta il browser seguente:
•
Internet Explorer™ 11.0
1-7
Tabella 1-2. Miglioramenti dell'agente
Funzione
Descrizione
Ripristino
quarantena centrale
OfficeScan offre agli amministratori la possibilità di ripristinare file
"sospetti" rilevati in precedenza e ne aggiunge altri agli elenchi
"approvati" a livello di dominio, per impedire ulteriori azioni sui file.
Se un file o un programma viene rilevato e messo in quarantena,
gli amministratori possono ripristinare il file sugli agenti in modo
globale o capillare. Gli amministratori possono usare lo strumento
di verifica SHA1 per assicurarsi che i file da ripristinare non siano
stati modificati in alcun modo. Dopo il ripristino, OfficeScan è in
grado di aggiungere automaticamente i file agli elenchi di
esclusione del dominio, escludendoli da ulteriori scansioni.
Per i dettagli, consultare Ripristino dei file in quarantena a pagina
7-45.
Servizio di
protezione avanzata
Il Servizio di protezione avanzata fornisce le seguenti nuove
funzioni di scansione:
•
Prevenzione minaccia browser usa la tecnologia sandbox per
testare il comportamento delle pagine Web in tempo reale e
rilevare programmi o script dannosi prima che l'Agente
OfficeScan sia esposto a minacce.
Per i dettagli, consultare Configurazione dei Criteri di
reputazione Web a pagina 11-5.
•
La scansione della memoria migliorata funziona insieme a
Monitoraggio del comportamento per individuare le varianti
delle minacce informatiche durante le scansioni in tempo
reale e intraprendere azioni di quarantena contro le minacce.
Per i dettagli, consultare Impostazioni di scansione a pagina
7-29.
1-8
Funzione
Miglioramenti della
protezione dati
Descrizione
Protezione dati OfficeScan è stata migliorata per fornire i seguenti
vantaggi:
•
Data Discovery tramite l'integrazione con Control Manager™:
gli amministratori possono configurare i criteri di Prevenzione
perdita di dati su Control Manager per effettuare le scansioni
delle cartelle sugli Agenti OfficeScan per i file sensibili. Dopo
aver rilevato dati sensibili all'interno di un file, Control
Manager è in grado di registrare la posizione del file oppure,
tramite l'integrazione con Trend Micro Endpoint Encryption, di
crittografare automaticamente il file sull'Agente OfficeScan.
•
Supporto giustificazione utente: gli amministratori possono
consentire agli utenti di fornire un motivo che giustifichi il
trasferimento di dati sensibili oppure possono essi stessi
bloccare le trasmissioni. OfficeScan registra tutti i tentativi di
trasferimento e i motivi forniti dall'utente.
Per i dettagli, consultare Azioni di Prevenzione perdita di dati
a pagina 10-39.
•
Supporto smartphone e tablet: Prevenzione perdita di dati e
Controllo dispositivo ora possono monitorare e intraprendere
azioni sui dati sensibili che vengono inviati ai dispositivi mobili
oppure bloccare interamente l'accesso a questi ultimi.
Per i dettagli, consultare Controllo dispositivo a pagina 9-2.
•
Identificatore di dati e librerie dei modelli aggiornati: le librerie
di Prevenzione perdita di dati sono state aggiornate con 2
nuovi elenchi di parole chiave e 93 nuovi modelli.
•
Integrazione dei registri di Controllo dispositivo con Control
Manager™
1-9
Funzione
Miglioramento di
Impostazioni
connessione
sospetta
Descrizione
Servizi di avvisi contatti Command & Control (C&C) è stato
aggiornato per includere quanto segue:
•
Elenchi globali di indirizzi IP bloccati e approvati definiti
dall'utente
Per i dettagli, consultare Configurazione impostazioni degli
elenchi di indirizzii IP globali definiti dall'utente a pagina
11-15.
•
Impronta di rete della minaccia per rilevare i callback C&C
•
Configurazione delle azioni flessibile quando vengono
rilevate connessioni sospette
Per i dettagli, consultare Configurazione delle impostazioni di
connessione sospetta a pagina 11-16.
•
Miglioramenti di
Prevenzione delle
infezioni
I registri del server C&C e dell'agente registrano il processo
responsabile per i callback C&C
Prevenzione delle infezioni è stato migliorato per offrire protezione
dalle seguenti minacce:
•
File compressi eseguibili
Per i dettagli, consultare Divieto di accesso ai file compressi
eseguibili a pagina 7-122.
•
Processi mutex
Per i dettagli, consultare Creazione del trattamento di
esclusione reciproca sui file/processi di minacce informatiche
a pagina 7-121.
1-10
Funzione
Miglioramenti delle
funzioni di
protezione
automatica
Descrizione
Le funzioni di protezione automatica disponibili in questa versione
forniscono soluzioni per la sicurezza leggere e di alto livello, per la
protezione sia del server sia dei programmi dell'Agente
OfficeScan.
•
Soluzione leggera: progettata per piattaforme server per
proteggere il processo dell'Agente OfficeScan e le chiavi di
registro per impostazione predefinita, senza condizionare le
prestazioni del server
•
Soluzione di sicurezza alto livello: migliora la funzione di
protezione automatica dell'agente disponibile nelle versioni
precedenti, grazie a:
•
Autenticazione del comando IPC
•
Verifica e protezione dei file di pattern
•
Protezione dell'aggiornamento dei file di pattern
•
Protezione del processo Monitoraggio del
comportamento
Per i dettagli, consultare Protezione automatica dell'agente
OfficeScan a pagina 14-13.
1-11
Funzione
Miglioramenti per il
rilevamento e le
prestazioni della
scansione
Descrizione
•
La scansione in tempo reale gestisce una cache di scansione
costante che si ricarica ogni volta che l'Agente OfficeScan
viene avviato. L'Agente OfficeScan tiene traccia di tutte le
modifiche ai file o alle cartelle apportate in seguito alla
rimozione dell'Agente OfficeScan, eliminando questi file dalla
cache.
•
Questa versione di OfficeScan include elenchi Approvati
globali per i file di sistema Windows, file con firma digitale da
origini affidabili e file sottoposti a test da Trend Micro. Dopo
aver accertato la sicurezza di un file, OfficeScan non esegue
alcuna azione sul medesimo.
•
I miglioramenti di Damage Cleanup Services forniscono
funzioni di rilevamento migliorate per le minacce rootkit
nonché un numero ridotto di falsi positivi tramite la scansione
GeneriClean aggiornata.
•
Le impostazioni dei file compressi sono divise tra scansioni
su richiesta e scansioni in tempo reale, per un miglioramento
delle prestazioni.
Per i dettagli, consultare Configurare le impostazioni di
scansione per file compressi di grandi dimensioni a pagina
7-77.
•
Riprogettazione
dell'interfaccia
dell'Agente
OfficeScan
I registri su due livelli forniscono una visualizzazione più
dettagliata per i rilevamenti che gli amministratori intendono
esaminare ulteriormente.
L'interfaccia di Agente OfficeScan è stata riprogettata per fornire
un'esperienza più semplice e diretta. Tutte le funzioni disponibili
nel programma client OfficeScan precedente sono tuttora presenti
nella versione aggiornata.
L'interfaccia aggiornata consente inoltre agli amministratori di
"sbloccare" funzioni amministrative direttamente dalla console
dell'Agente OfficeScan, al fine di risolvere rapidamente i problemi
senza l'apertura della console Web.
1-12
Principali funzioni e vantaggi
OfficeScan offre le funzioni e i vantaggi seguenti.
Tabella 1-3. Principali funzioni e vantaggi
Funzione
Plug-In Manager e
soluzioni plug-in
Vantaggi
Plug-in Manager consente l'installazione, l'implementazione e la
gestione delle soluzioni plug-in.
Gli amministratori possono installare due tipi di soluzioni plug-in:
Gestione
centralizzata
•
Programmi plug-in
•
Funzioni OfficeScan native
Una console di gestione basata su Web consente agli
amministratori di accedere in modo trasparente a tutti gli agenti e
server della rete. La console Web coordina l'implementazione
automatica di criteri di sicurezza, file di pattern e aggiornamenti
software su ciascun agente e server. Grazie ai servizi di
prevenzione delle infezioni, arresta i vettori delle infezioni e
implementa rapidamente i criteri di protezione specifici per
l'attacco al fine di prevenire o contenere le infezioni prima che i
file di pattern siano resi disponibili. OfficeScan esegue anche il
monitoraggio in tempo reale, spedisce notifiche degli eventi e
genera relazioni complete. Gli amministratori possono eseguire
l'amministrazione in remoto, impostare criteri personalizzati per
singoli desktop o gruppi e bloccare le impostazioni di sicurezza
dell'agente.
1-13
Funzione
Protezione contro i
rischi per la
sicurezza
Vantaggi
OfficeScan protegge i computer dai rischi per la sicurezza
attraverso la scansione dei file e l'esecuzione di un'operazione
specifica per ciascun rischio per la sicurezza individuato. Un
numero estremamente alto di rischi per la sicurezza individuati in
un periodo di tempo breve indica un'infezione. Per contenere le
infezioni, OfficeScan implementa i criteri di prevenzione delle
infezioni e isola i computer infetti fino a quando sono
completamente privi di rischi.
OfficeScan utilizza Smart Scan per rendere il processo di
scansione più efficiente. Questa tecnologia consente di scaricare
un gran numero di firme precedentemente memorizzate nel
dispositivo locale su Origini Smart Protection. Con questo
approccio viene ridotto l'impatto sul sistema e sulla rete del
volume sempre maggiore di aggiornamenti delle firme per i
sistemi dispositivo.
Per informazioni su Smart Scan e su come implementarlo sugli
agenti, consultare Tipi di metodi di scansione a pagina 7-8.
Damage Cleanup
Services
Damage Cleanup Services™ disinfetta i computer dai virus di
rete, da quelli basati su file e dalle tracce rimanenti di virus e di
worm (cavalli di Troia, voci di registro, file virali) utilizzando un
processo completamente automatizzato. Per affrontare le
minacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup
Services effettua le seguenti operazioni:
•
Rileva e rimuove i cavalli di Troia attivi
•
Blocca i processi innescati dai cavalli di Troia
•
Ripara i file di sistema modificati dai cavalli di Troia
•
Elimina i file e le applicazioni lasciati dai cavalli di Troia
Poiché Damage Cleanup Services viene eseguito in background,
non è necessario configurarlo. Gli utenti non si rendono neanche
conto che il sistema è in funzione. Tuttavia, OfficeScan può a
volte richiedere all'utente di riavviare il dispositivo per completare
il processo di rimozione di un cavallo di Troia.
1-14
Funzione
Reputazione Web
Vantaggi
La tecnologia di reputazione Web protegge in modo proattivo i
computer agente all'interno o all'esterno della rete aziendale da
siti Web dannosi e potenzialmente pericolosi. La reputazione Web
spezza la catena dell'infezione e impedisce il download di codice
dannoso.
Per verificare la credibilità delle pagine e dei siti Web è sufficiente
integrare OfficeScan con Smart Protection Server o con Trend
Micro Smart Protection Network.
Firewall di
OfficeScan
Il firewall di OfficeScan protegge gli agenti e i server della rete
grazie a un sistema di "stateful inspection" e alle scansioni di virus
della rete ad elevate prestazioni.
È possibile creare regole per filtrare le connessioni in base
all'applicazione, all'indirizzo IP, al numero di porta o al protocollo e
poi applicare tali regole a gruppi diversi di utenti.
Prevenzione perdita
di dati
Prevenzione perdita di dati protegge le risorse digitali di
un'organizzazione da perdite accidentali o intenzionali.
Prevenzione perdita di dati consente agli amministratori di:
•
identificare le risorse digitali da proteggere
•
Creare criteri che limitano o impediscono la trasmissione
delle risorse digitali attraverso i comuni canali di
trasmissione, ad esempio messaggi e-mail e dispositivi
esterni
•
implementare la conformità alle norme vigenti sulla privacy
Controllo dispositivo
Controllo dispositivo gestisce l'accesso ai dispositivi di
archiviazione esterni e alle risorse di rete collegate ai computer.
Controllo dispositivo aiuta a prevenire la perdita e la dispersione
di dati e, insieme alla scansione dei file, contribuisce a proteggere
dai rischi per la sicurezza.
Monitoraggio del
comportamento
Il Monitoraggio del comportamento controlla costantemente gli
agenti alla ricerca di modifiche insolite al sistema operativo o al
software installato.
1-15
Il server OfficeScan
Il server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischi
per la sicurezza e gli aggiornamenti dell'agente.
Il server esegue due importanti funzioni:
•
Installa, controlla e gestisce gli Agenti OfficeScan
•
Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScan
scarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agli
agenti.
Nota
Alcuni componenti vengono scaricati dalle origini Smart Protection. Consultare
Origini Smart Protection a pagina 4-6 per ulteriori dettagli.
1-16
Figura 1-1. Funzionamento del server OfficeScan
Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in tempo
reale tra il server e gli Agenti OfficeScan. Gli agenti sono gestiti da una console Web
basata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi punto
della rete. Il server comunica con l'agente (e l'agente con il server) attraverso Hypertext
Transfer Protocol (HTTP).
L'agente OfficeScan
L'installazione dell'Agente OfficeScan su ogni dispositivo con sistema operativo
Windows consente di proteggere i computer dai rischi per la sicurezza.
1-17
L'Agente OfficeScan invia quindi delle notifiche al server principale dal quale è stato
installato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzando
lo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi e
sullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacce
informatiche, l'avvio dell'agente, lo spegnimento dell'agente, l'avvio di una scansione o il
completamento di un aggiornamento.
Integrazione con i prodotti e i servizi Trend
Micro
OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente.
Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguiti
sulle versioni richieste o consigliate.
Tabella 1-4. Integrazione di prodotti e servizi con OfficeScan
Prodotto/
Servizio
1-18
Descrizione
Versione
Server
ActiveUpdate
Fornisce tutti i componenti necessari all'Agente
OfficeScan per proteggere gli agenti dalle
minacce alla sicurezza
Non pertinente
Smart
Protection
Network
Fornisce i Servizi di reputazione file e i Servizi di
reputazione Web agli agenti.
Non pertinente
Smart Protection Network è gestito da Trend
Micro.
Prodotto/
Servizio
Smart
Protection
Server
standalone
Descrizione
Fornisce gli stessi Servizi di reputazione file e
Servizi di reputazione Web offerti da Smart
Protection Network.
Versione
•
3.0
•
6.0 SP3
Smart Protection Server standalone è inteso a
localizzare il servizio per garantire una maggiore
efficienza della rete aziendale.
Nota
Integrated Smart Protection Server viene
installato con il server OfficeScan. Svolge
le stesse funzioni del server standalone,
ma le sue capacità sono più limitate.
Control
Manager
Deep
Discovery
Analyzer
Una soluzione di gestione software che consente
di controllare a livello centrale i programmi
antivirus e di protezione dei contenuti, senza
tenere conto della piattaforma o dell'ubicazione
fisica del programma.
Deep Discovery fornisce un monitoraggio globale
della rete mediante sandboxing personalizzato e
informazioni pertinenti in tempo reale, per
consentire il rilevamento degli attacchi,
implementare un contenimento rapido e offrire
aggiornamenti di sicurezza personalizzati che
migliorino tempestivamente la protezione contro
ulteriori attacchi.
(consigliato)
•
6.0 SP2
•
6.0 SP1
•
6.0
•
5.5 SP1
5.1 e versione
successiva
1-19
Capitolo 2
Informazioni preliminari su
OfficeScan
In questo capitolo vengono descritte le istruzioni preliminari per OfficeScan e le
impostazioni iniziali per la configurazione.
•
La console Web a pagina 2-2
•
Dashboard a pagina 2-5
•
Strumento di migrazione del server a pagina 2-32
•
Active Directory Integration a pagina 2-36
•
Struttura agente OfficeScan a pagina 2-40
•
Domini OfficeScan a pagina 2-53
2-1
La console Web
La console Web è l'elemento centrale per il monitoraggio di OfficeScan in tutta la rete
aziendale. La console ha una serie di impostazioni e valori predefiniti che possono essere
configurati in base ai requisiti e alle specifiche di protezione. La console Web utilizza
tecnologie Internet standard quali JavaScript, CGI, HTML e HTTPS.
Nota
Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni della
console Web a pagina 13-59.
Utilizzare la console Web per eseguire le operazioni riportate di seguito:
•
Gestire gli agenti installati sui computer collegati in rete
•
Raggruppare gli agenti in domini logici per consentire configurazione e gestione
simultanee
•
Impostare le configurazioni di scansione e avviare la scansione manuale su uno o
più computer collegati in rete
•
Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registri
inviati dagli agenti
•
Configurare i criteri e le notifiche per le infezioni
•
Delegare operazioni di amministrazione della console Web ad altri amministratori
OfficeScan mediante la configurazione di ruoli e account utente
•
Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza
Nota
La console Web non è supportata da Windows 8, 8.1, 10 o Windows Server 2012 in
modalità interfaccia utente di Windows.
2-2
Informazioni preliminari su OfficeScan
Requisiti per l'apertura della console Web
Aprire la console Web da un dispositivo della rete che abbia i requisiti riportati di
seguito:
•
Processore Intel ™ Pentium™ da 300 MHz o equivalente
•
128 MB di RAM
•
Almeno 30 MB di spazio disponibile su disco
•
Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore
•
Microsoft Internet Explorer™ 8.0 o versione successiva
Nota
Per la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS.
Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, a
seconda del tipo di installazione prevista per il server OfficeScan:
Tabella 2-1. URL della console Web OfficeScan
Tipo di installazione
URL
Con SSL su un sito predefinito
https://<server OfficeScan FQDN o indirizzo IP>/
OfficeScan
Con SSL su un sito virtuale
https://<server OfficeScan FQDN o indirizzo
IP>:<numero di porta HTTP>/OfficeScan
Nota
Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browser
Web e i file della cache del server proxy potrebbero impedire il corretto caricamento della
console Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunque
server proxy che si trova tra il server OfficeScan e il dispositivo usato per accedere alla
console Web.
2-3
Account di accesso
Durante l'installazione del server OfficeScan il programma crea un account principale
(root) e richiede di digitare la password per tale account. Quando si apre la console Web
per la prima volta, digitare "root" come nome utente e come password dell'account
principale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica per
reimpostarla.
Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti di
accedere alla console Web senza utilizzare l'account principale (root). Quando gli utenti
accedono alla console possono utilizzare gli account utente impostati per loro. Per
ulteriori informazioni, consultare Role-based Administration (RBA) a pagina 13-3.
Il banner della console Web
Nell'area del banner nella console Web sono disponibili le seguenti opzioni:
Figura 2-1. Area banner della console Web
2-4
•
Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possono
inviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro
•
Guida: visualizza la pagina Web della guida in linea.
•
Altro
•
Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delle
minacce, archivio di Trend Micro per le informazioni relative alle minacce
informatiche. Gli esperti Trend Micro sulle minacce pubblicano regolarmente
rilevamenti di minacce informatiche, spam, URL dannosi e vulnerabilità.
L'Enciclopedia delle minacce illustra inoltre gli attacchi Web di alto profilo e
fornisce informazioni correlate.
•
Contatta Trend Micro: visualizza il sito Web Trend Micro Contatti con
informazioni sulle sedi in tutto il mondo.
•
Informazioni su: fornisce una panoramica del prodotto, le istruzioni per
controllare i dettagli della versione dei componenti e un collegamento a
Sistema di supporto intelligente.
Per i dettagli, consultare Sistema di supporto intelligente a pagina 16-2.
•
<nome account>: fare clic sul nome account (ad esempio, root) per modificare i
dettagli dell'account, ad esempio la password.
•
Disconnetti: consente di disconnettersi dalla console Web
Dashboard
Il Dashboard viene visualizzato quando si apre la console Web OfficeScan o si fa clic su
Dashboard nel menu principale.
Ciascun account utente della console Web ha una dashboard completamente
indipendente. Qualunque modifica alla dashboard di un account utente non riguarda le
dashboard di altri account utente.
Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzati
dipendono dalle autorizzazioni del dominio agente per l'account utente. Se, ad esempio,
si assegnano a un account utente autorizzazioni per gestire i domini A e B, le
segnalazioni dell'account utente mostrano solo i dati degli agenti che appartengono ai
domini A e B.
Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a
pagina 13-3.
La schermata Dashboard contiene:
•
Sezione dello stato della licenza del prodotto
•
Widget
•
Schede
2-5
Sezione dello stato della licenza del prodotto
Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato delle
licenze OfficeScan.
Figura 2-2. Sezione dello stato della licenza del prodotto
Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze:
•
•
Se si dispone di una licenza per la versione completa:
•
60 giorni prima della scadenza della licenza
•
Durante il periodo di proroga per il prodotto. La durata del periodo di
proroga varia a seconda dell'area geografica. Verificare il periodo di proroga
con il rappresentante Trend Micro.
•
Alla scadenza della licenza e al termine del periodo di proroga. In questo
periodo non sarà possibile ottenere l'assistenza tecnica o effettuare
l'aggiornamento dei componenti. I motori di scansione continueranno a
effettuare l'analisi dei computer utilizzando componenti obsoleti. Tali
componenti obsoleti potrebbero non proteggere in maniera completa dai più
recenti rischi per la sicurezza.
Se si dispone di una licenza per la versione di prova:
•
14 giorni prima della scadenza della licenza
•
Alla scadenza della licenza. In questo periodo, OfficeScan disattiva
l'aggiornamento dei componenti, la scansione e tutte le funzionalità
dell'agente.
Se si dispone di un codice di attivazione, rinnovare una licenza accedendo a
Amministrazione > Impostazioni > Licenza del prodotto.
2-6
Barre delle informazioni sul prodotto
OfficeScan visualizza una serie di messaggi nella parte superiore della schermata
Dashboard che forniscono informazioni aggiuntive per gli amministratori.
Le informazioni visualizzate includono:
•
Service pack o patch più recenti disponibili per OfficeScan
Nota
Fare clic su Ulteriori informazioni per scaricare la patch dal Centro download Trend
Micro (http://downloadcenter.trendmicro.com/index.php?regs=IT).
•
Nuovi widget disponibili
•
Notifiche per i contratti di manutenzione quando la data di scadenza del contratto
è prossima
•
Notifiche per le modalità di valutazione
•
Notifiche di autenticità
Nota
Se la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio di
informazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso e
interrompe l'esecuzione degli aggiornamenti.
Schede e widget
I widget sono i componenti principali della dashboard. I widget forniscono informazioni
specifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguire
determinate operazioni, quali l'aggiornamento di componenti obsoleti.
Le informazioni che i widget visualizzano provengono da:
•
OfficeScan server e agenti
•
Soluzioni plug-in e relativi agenti
2-7
•
Trend Micro Smart Protection Network
Nota
Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulteriori
informazioni su Smart Feedback, vedere Smart Feedback a pagina 13-64.
Le schede forniscono un contenitore per i widget. Il Dashboard supporta fino a 30
schede.
Utilizzo delle schede
Gestire le schede effettuando le seguenti operazioni:
Tabella 2-2. Operazioni schede
Operazione
Aggiungere una
nuova scheda
Passaggi
1.
Fare clic sull'icona di aggiunta sulla parte superiore della
dashboard. Viene visualizzata una nuova schermata.
2.
Inserire le seguenti informazioni.
3.
2-8
•
Titolo: il nome della scheda
•
Layout: scegliere uno dei layout disponibili
•
Adatta automaticamente: attivare Adatta
automaticamente se si seleziona un layout con diverse
") e ciascuna casella conterrà
caselle (ad esempio "
solo un widget. Adatta automaticamente modifica i widget
per adattare le dimensioni a quelle di una casella.
Fare clic su Salva.
Operazione
Modificare le
impostazioni della
scheda
Passaggi
1.
Fare clic su Impostazioni scheda sull'angolo in alto a destra
della scheda. Viene visualizzata una nuova schermata.
2.
Modificare il nome della scheda, il layout e le impostazioni di
adattamento automatico.
3.
Fare clic su Salva.
Spostare una
scheda
Usare la funzionalità di trascinamento per cambiare la posizione
della scheda.
Eliminare una
scheda
Fare clic sull'icona di eliminazione accanto al titolo della scheda.
Eliminare una scheda comporta l'eliminazione di tutti i widget della
scheda.
Utilizzo dei Widget
Gestire i widget effettuando le seguenti operazioni:
Tabella 2-3. Operazioni widget
Operazione
Riproduci
presentazione scheda
Passaggi
Fare clic su Riproduci presentazione scheda per spostarsi
automaticamente tra le visualizzazioni delle schede.
2-9
Operazione
Aggiungere un nuovo
widget
Passaggi
1.
Fare clic sulla scheda.
2.
Fare clic su Aggiungi widget sull'angolo in alto a destra
della scheda. Viene visualizzata una nuova schermata.
3.
Selezionare i widget da aggiungere. Per un elenco dei
widget disponibili, vedere Widget disponibili a pagina
2-12.
•
Fare clic sulle icone di visualizzazione (
)
nella sezione superiore della schermata per passare
da Visualizzazione dettagliata a Visualizzazione di
riepilogo.
4.
•
Le categorie di widget si trovano alla sinistra della
schermata. Selezionare una categoria per restringere
le selezioni.
•
Utilizzare la casella di testo per la ricerca sull parte
superiore della schermata per cercare un widget
specifico.
Fare clic su Aggiungi.
Spostare un widget
Utilizzare la funzionalità di trascinamento per spostare i widget
in diverse posizioni all'interno della scheda.
Ridimensionare un
widget
Ridimensionare i widget su di una scheda multicolonna
puntando il cursore sul bordo del widget e muovendolo verso
destra o sinistra.
Modificare il titolo del
widget
1.
Fare clic sull'icona di modifica (
una nuova schermata.
2.
Immettere il nuovo titolo.
). Viene visualizzata
Nota
Per alcuni widget, quali OfficeScan e Plug-in
Mashup, le voci relative ai widget possono essere
modificate.
3.
2-10
Fare clic su Salva.
Operazione
Passaggi
Aggiornare i dati del
widget
Fare clic sull'icona di aggiornamento (
Eliminare un widget
Fare clic sull'icona di eliminazione (
).
).
Schede e widget predefiniti
Il Dashboard viene fornito con un set di schede e widget predefiniti. È possibile
rinominare o eliminare le schede e i widget.
Tabella 2-4. Schede predefinite nel Dashboard
Scheda
OfficeScan
OfficeScan e
plug-in
Descrizione
Widget
Questa scheda contiene le stesse
informazioni trovate nella schermata
Dashboard nelle precedenti versioni di
OfficeScan. In questa scheda è
possibile visualizzare la protezione dai
rischi per la sicurezza globale della rete
OfficeScan. Inoltre, è possibile
effettuare delle azioni su voci che
richiedono un intervento immediato,
quali le infezioni o i componenti
obsoleti.
•
Widget Connettività
agente antivirus a pagina
2-15
•
Widget Rilevamenti dei
rischi per la sicurezza a
pagina 2-19
•
Widget Infezioni a pagina
2-19
•
Widget Aggiornamenti
agente a pagina 2-22
Questa scheda mostra quali agenti
eseguono l'Agente OfficeScan e le
soluzioni plug-in. Utilizzare questa
scheda per valutare lo stato di
sicurezza complessivo degli agenti.
Widget OfficeScan e Plug-in
Mashup a pagina 2-23
2-11
Scheda
Smart
Protection
Network
Descrizione
Widget
Questa scheda contiene informazioni di
Trend Micro Smart Protection Network,
che fornisce Servizi di reputazione file e
Servizi di reputazione Web agli Agenti
OfficeScan.
•
Widget Origini delle
minacce principali della
reputazione Web a
pagina 2-29
•
Widget Principali utenti
minacciati della
reputazione Web a
pagina 2-30
•
Widget Mappa delle
minacce della
reputazione file a pagina
2-31
Widget disponibili
In questa versione sono disponibili i seguenti widget:
Tabella 2-5. Widget disponibili
Nome widget
Disponibilità
Connettività agente e
server
Disponibilità standard
Connettività agente
antivirus
Rilevamenti dei rischi per
la sicurezza
Infezioni
Per i dettagli, consultare Widget Connettività agente e
server a pagina 2-14.
Per i dettagli, consultare Widget Connettività agente
antivirus a pagina 2-15.
Per i dettagli, consultare Widget Rilevamenti dei rischi
per la sicurezza a pagina 2-19.
Per i dettagli, consultare Widget Infezioni a pagina
2-19.
2-12
Nome widget
Aggiornamenti agente
Disponibilità
Per i dettagli, consultare Widget Aggiornamenti agente a
pagina 2-22.
OfficeScan e Plug-in
Mashup
Disponibilità standard ma solo con visualizzazione dei
dati sugli Agenti OfficeScan
I dati provenienti dalle seguenti soluzioni plug-in sono
disponibili successivamente all'attivazione di ciascuna
soluzione:
•
Firewall di difesa dalle intrusioni
•
Supporto Trend Micro Virtual Desktop
Per i dettagli, consultare Widget OfficeScan e Plug-in
Mashup a pagina 2-23.
Incidenti di Prevenzione
perdita di dati principali
Disponibile dopo l'attivazione di Protezione dati
OfficeScan
Per i dettagli, consultare Widget Incidenti di Prevenzione
perdita di dati principali a pagina 2-24.
Incidenti di Prevenzione
perdita di dati per periodo
di tempo
Disponibile dopo l'attivazione di Protezione dati
OfficeScan
Origini delle minacce
principali della reputazione
Web
Principali utenti minacciati
della reputazione Web
Mappa delle minacce della
reputazione file
Per i dettagli, consultare Widget Incidenti di Prevenzione
perdita di dati per periodo di tempo a pagina 2-26.
Per i dettagli, consultare Widget Origini delle minacce
principali della reputazione Web a pagina 2-29.
Per i dettagli, consultare Widget Principali utenti
minacciati della reputazione Web a pagina 2-30.
Per i dettagli, consultare Widget Mappa delle minacce
della reputazione file a pagina 2-31.
2-13
Nome widget
Eventi di callback C&C
Disponibilità
Per i dettagli, consultare Widget Eventi di callback C&C
a pagina 2-27.
IDF - Stato di avviso
IDF - Stato del computer
Disponibile successivamente all'attivazione di Intrusion
Defense Firewall. Fare riferimento alla documentazione
di IDF per i dettagli relativi a questi widget.
IDF - Cronologia eventi
della rete
IDF - Cronologia eventi del
sistema
Widget Connettività agente e server
Il widget Connettività agente e server visualizza lo stato della connessione di tutti gli
agenti con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a
torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di
visualizzazione (
).
Figura 2-3. Widget Connettività agente e server che visualizza una tabella
2-14
Widget Connettività agente antivirus
Il widget Connettività agente antivirus visualizza lo stato della connessione degli
agenti antivirus con il server OfficeScan. I dati vengono visualizzati in una tabella e in un
grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone
di visualizzazione (
).
Figura 2-4. Widget Connettività agente antivirus che visualizza una tabella
Widget Connettività agente antivirus presentato come una
tabella
La tabella suddivide gli agenti per metodi di scansione.
Se il numero degli agenti per un determinato stato è maggiore o uguale a 1, è possibile
fare clic sul numero per visualizzarli nella struttura agente. È possibile avviare delle
operazioni su tali agenti o modificarne le relative impostazioni.
2-15
Per visualizzare solo gli agenti che utilizzano un particolare metodo di scansione, fare
clic su Tutto, quindi selezionare il metodo di scansione.
Figura 2-5. Stato della connessione degli agenti con scansione convenzionale
Figura 2-6. Stato della connessione degli agenti con Smart Scan
2-16
Se si seleziona Smart Scan:
•
La tabella riporta gli agenti Smart Scan online in base allo stato della connessione
con gli Smart Protection Server.
Nota
Solo gli agenti online possono segnalare lo stato della connessione con Smart
Protection Server.
Se gli agenti non sono connessi a uno Smart Protection Server, ripristinare la
connessione tramite l'esecuzione della procedura descritta in Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a pagina 14-43.
•
Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia la
console del server.
•
Se sono presenti più Smart Protection Server, fare clic su ALTRO. Viene
visualizzata una nuova schermata con tutti gli Smart Protection Server.
Figura 2-7. Elenco Smart Protection Server
In questa schermata, è possibile:
•
Visualizzare tutti gli Smart Protection Server a cui si connettono gli agenti e il
numero di agenti connessi a ciascun server. Se si fa clic sul numero viene aperta la
struttura agente dove è possibile gestire le impostazioni degli agente.
2-17
•
Avviare la console di un server facendo clic sul collegamento del server
Widget Connettività agente antivirus presentato come grafico a
torta
Il grafico a torta visualizza solamente il numero di agenti per ciascuno stato e non li
suddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo si
ricongiunge, alla restante porzione del grafico.
Figura 2-8. Widget Connettività agente antivirus che visualizza un grafico a torta
2-18
Widget Rilevamenti dei rischi per la sicurezza
Il widget Rilevamenti dei rischi per la sicurezza visualizza il numero di rischi per la
sicurezza e di dispositivi infetti.
Figura 2-9. Widget Rilevamenti dei rischi per la sicurezza
Se il numero dei dispositivi è 1 o maggiore, è possibile fare clic sul numero per
visualizzare i dispositivi infetti nella struttura agente. È possibile avviare delle operazioni
su tali Agenti OfficeScan o dispositivi o modificare le relative impostazioni.
Widget Infezioni
Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso di
infezione.
Figura 2-10. Widget Infezioni
2-19
In questo widget è possibile:
•
Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/ora
dell'avviso.
•
Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazioni
sull'avviso di infezione e implementare immediatamente le misure di prevenzione
delle infezioni. Per ulteriori informazioni sull'implementazione delle misure di
prevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina
7-116.
•
Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza per
visualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di
2-20
rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata una nuova
schermata.
Figura 2-11. Schermata Statistiche sui primi 10 rischi per la sicurezza per gli
dispositivo collegati in rete
Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile:
•
Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic su
un nome di un rischio per la sicurezza.
•
Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nome
del dispositivo.
•
Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clic
su Visualizza in corrispondenza del nome del dispositivo.
2-21
•
Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimposta
conteggio.
Widget Aggiornamenti agente
Il widget Aggiornamenti agente visualizza i componenti e i programmi che
proteggono i dispositivi collegati in rete contro i rischi per la sicurezza.
Figura 2-12. Widget Aggiornamenti agente
•
Visualizzare la versione attuale di ciascun componente.
•
Visualizzare il numero di agenti con componenti obsoleti nella colonna Non
aggiornato. Se sono presenti agenti che devono essere aggiornati, fare clic sul
collegamento numerico per avviare l'aggiornamento.
•
Per ciascun programma, visualizzare gli agenti che non sono stati aggiornati
facendo clic sul collegamento numerico corrispondente al programma.
2-22
Widget OfficeScan e Plug-in Mashup
Il widget OfficeScan e Plug-in Mashup combina i dati degli Agenti OfficeScan e dei
programmi di plug-in installati e li visualizza in una struttura agente. Questo widget aiuta
a valutare rapidamente la copertura di protezione sugli agenti e riduce il sovraccarico
richiesto per la gestione dei programmi di plug-in individuali.
Figura 2-13. Widget OfficeScan e Plug-in Mashup
Questo widget visualizza i dati per i seguenti programmi di plug-in:
•
Firewall di difesa dalle intrusioni
•
Supporto Trend Micro Virtual Desktop
Questi programmi di plug-in devono essere attivati affinché il widget mashup possa
visualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamento
dei programmi di plug-in.
•
Scegliere le colonne visualizzate nella struttura agente. Fare clic sull'icona di
) sull'angolo in alto a destra del widget, quindi selezionare le
aggiornamento (
colonne nella schermata visualizzata.
2-23
Tabella 2-6. Colonne di OfficeScan e Plug-in Mashup
Nome colonna
Nome computer
Descrizione
Nome dispositivo
Questa colonna è sempre disponibile e non può essere
rimossa.
Gerarchia dominio
Il dominio del dispositivo nella struttura dell'agente
OfficeScan
Stato della
connessione
La connettività dell'Agente OfficeScan con il relativo server
OfficeScan principale
Virus/minacce
informatiche
Il numero di virus e minacce informatiche rilevati
dall'Agente OfficeScan
Spyware/Grayware
Il numero di spyware e grayware rilevati dall'Agente
OfficeScan
Supporto VDI
Indica se l'dispositivo è una macchina virtuale.
Profilo sicurezza IDF
Fare riferimento alla documentazione di IDF per i dettagli
relativi a queste colonne e ai relativi dati.
Firewall IDF
Stato IDF
DPI IDF
•
Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, viene
visualizzata la struttura dell'agente OfficeScan. Se si fa doppio clic sui dati dei
programmi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verrà
visualizzata la schermata principale dei programmi di plug-in.
•
Utilizzare la funzionalità di ricerca per trovare dispositivo individuali. È possibile
immettere il nome completo o una parte del nome dell'host.
Widget Incidenti di Prevenzione perdita di dati principali
Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.
2-24
Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentemente
dall'azione (blocca o ignora).
Figura 2-14. Widget Incidenti di Prevenzione perdita di dati principali
Per visualizzare i dati:
1.
2.
Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni
illustrate di seguito.
•
Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente
•
1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente
•
2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente
•
1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente
Dopo aver selezionato il periodo di tempo, scegliere tra:
•
Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza
•
Canale: canali usati per trasmettere risorse digitali con maggiore frequenza
•
Modello: modelli di risorse digitali che hanno avviato la maggior parte dei
rilevamenti
•
Computer: computer che hanno trasmesso risorse digitali con maggiore
frequenza
2-25
Nota
Questo widget visualizza al massimo 10 utenti, canali, modelli o computer.
Widget Incidenti di Prevenzione perdita di dati per periodo
di tempo
Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.
Questo widget traccia il numero di trasmissioni di risorse digitali in un determinato
periodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate
(consentite).
Figura 2-15. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo
Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sono
disponibili le opzioni illustrate di seguito.
•
Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente
•
1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente
2-26
•
2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente
•
1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente
Widget Eventi di callback C&C
Il widget Eventi di callback C&C mostra tutte le informazioni sugli eventi di callback
C&C, compresa la destinazione dell'attacco e l'indirizzo di callback dell'origine.
Gli amministratori possono scegliere di visualizzare le informazioni di callback C&C da
un elenco di server C&C specifici. Per selezionare l'origine dell'elenco (Global
Intelligence, Virtual Analyzer), fare clic sull'icona di modifica ( ) e selezionare l'elenco
dal menu a discesa Origine elenco C&C.
Visualizzare i dati di callback C&C selezionando quanto segue:
•
Host compromesso: visualizza le informazioni C&C più recenti per ciascun
dispositivo di destinazione
Figura 2-16. Widget Eventi di callback C&C che mostra le informazioni sulla
destinazione
Tabella 2-7. Informazioni host compromesso
Colonna
Host compromesso
Descrizione
Il nome del dispositivo di destinazione dell'attacco C&C
2-27
Colonna
Descrizione
Indirizzo di callback
Numero di indirizzi di callback che l'dispositivo ha tentato
di contattare
Ultimo indirizzo di
callback
Ultimo indirizzo di callback che l'dispositivo ha tentato di
contattare
Tentativi di callback
Numero di tentativi da parte dell'dispositivo di
destinazione di contattare l'indirizzo di callback
Nota
Fare clic sul collegamento ipertestuale per aprire la
schermata Registri dei callback C&C e per
visualizzare informazioni più dettagliate.
•
Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascun
indirizzo di callback C&C
Figura 2-17. Widget Eventi di callback C&C che mostra le informazioni
sull'indirizzo di callback
2-28
Tabella 2-8. Informazioni sull'indirizzo C&C
Colonna
Descrizione
L'indirizzo di callback C&C originato dalla rete
Livello di rischio C&C
Livello di rischio dell'indirizzo di callback determinato
dall'elenco Global Intelligence o Virtual Analyzer
Host compromessi
Numero di dispositivo di destinazione dell'indirizzo di
callback
Ultimo host
compromesso
Il nome dell'ultimo dispositivo che ha tentato di contattare
l'indirizzo di callback C&C
Tentativi di callback
Numero di tentativi di callback effettuati dalla rete verso
l'indirizzo
Nota
Fare clic sul collegamento ipertestuale per aprire la
schermata Registri dei callback C&C e per
visualizzare informazioni più dettagliate.
Widget Origini delle minacce principali della reputazione
Web
Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza
effettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una
2-29
mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo
widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget.
Figura 2-18. Widget Origini delle minacce principali della reputazione Web
Widget Principali utenti minacciati della reputazione Web
Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi di
reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla
2-30
località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante
Guida ( ) nella parte superiore del widget.
Figura 2-19. Widget Principali utenti minacciati della reputazione Web
Widget Mappa delle minacce della reputazione file
Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza
effettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa
2-31
mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare
clic sul pulsante Guida ( ) nella parte superiore del widget.
Figura 2-20. Widget Mappa delle minacce della reputazione file
Strumento di migrazione del server
OfficeScan fornisce lo Strumento di migrazione del server, che consente agli
amministratori di copiare le impostazioni OfficeScan dalle versioni precedenti di
OfficeScan alla versione corrente. Lo Strumento di migrazione del server esegue la
migrazione delle impostazioni seguenti:
2-32
Funzione
Gestione agente
Impostazioni migrate
•
Impostazioni scansione manuale*
•
Impostazioni scansione pianificata*
•
Impostazioni scansione in tempo reale*
•
Impostazioni funzione Esegui scansione*
•
Impostazioni di reputazione Web*
•
Impostazioni del monitoraggio del comportamento*
•
Impostazioni di controllo dispositivo*
•
Impostazioni di Prevenzione perdita di dati*
•
Privilegi e altre impostazioni*
•
Impostazioni aggiuntive del servizio*
•
Elenco approvati spyware/grayware*
Nota
Raggruppamento agenti
•
Lo Strumento di migrazione del server non
effettua la migrazione delle directory di backup
di Scansione manuale, Scansione pianificata,
Scansione in tempo reale ed Esegui scansione.
•
Le impostazioni mantengono le configurazioni
sia a livello principale sia al livello di dominio.
Tutte le impostazioni
Nota
Le strutture di dominio di Active Directory vengono
visualizzate dopo la prima sincronizzazione con
Active Directory.
Impostazioni globali agente
Posizione dispositivo
•
Impostazioni di Location Awareness
•
Indirizzo IP gateway ed elenchi MAC
2-33
Funzione
Prevenzione perdita di dati
Firewall
•
identificatore di dati
•
Modelli
•
Criteri
•
Profili
Manutenzione registri
Origine aggiornamento
agente
•
Origine aggiornamenti agente
•
Elenco origini di aggiornamento personalizzate
Origini Smart Protection
Elenco origini Smart Protection personalizzate
Notifiche
•
Impostazioni generali di notifica
•
Impostazioni notifica amministratore
•
Impostazioni notifica infezioni
•
Impostazioni notifica agente
Proxy
Agenti inattivi
Gestore della quarantena
Console Web
Impostazioni di ofcscan.ini
•
[INI_CLIENT_INSTALLPATH_SECTION]
WinNT_InstallPath
•
[INI_REESTABLISH_COMMUNICATION_SECTION]:
tutte le impostazioni
Impostazioni di ofcserver.ini
2-34
Impostazioni migrate
[INI_SERVER_DISK_THRESHOLD]: tutte le impostazioni
Nota
•
Lo strumento non effettua il backup degli elenchi dell'Agente OfficeScan nel server
OfficeScan ma solo delle strutture dei domini.
•
L'Agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versione
precedente del server dell'Agente OfficeScan. Per funzioni che non sono disponibili
sulla versione precedente, l'Agente OfficeScan applica le impostazioni predefinite.
Utilizzo dello Strumento di migrazione del server
Nota
Questa versione di OfficeScan supporta le migrazioni da OfficeScan versione 10.0 e
successive.
Le precedenti versioni di OfficeScan potrebbero non contenere tutte le impostazioni
disponibili nell'ultima versione. OfficeScan applica automaticamente le impostazioni
predefinite per ogni funzione non migrata nella versione del server OfficeScan precedente.
Procedura
1.
Nel computer server OfficeScan 11.0 SP1, accedere a <Cartella di installazione del
server>\PCCSRV\Admin\Utility\ServerMigrationTool.
2.
Copiare lo Strumento di migrazione del server sul computer del server OfficeScan
di origine.
Importante
Per garantire la corretta formattazione di tutti i dati per il nuovo server di
destinazione, è necessario utilizzare lo Strumento di migrazione del server di
OfficeScan 11.0 SP1 della versione del server OfficeScan. OfficeScan 11.0 SP1 non è
compatibile con le versioni precedenti dello Strumento di migrazione del server.
3.
Fare doppio clic su ServerMigrationTool.exe per avviare lo Strumento di migrazione
del server.
Lo Strumento di migrazione del server viene aperto.
2-35
4.
Per esportare le impostazioni dal server OfficeScan di origine:
a.
Specificare la cartella di destinazione utilizzando il pulsante Sfoglia.
Nota
Il nome predefinito del pacchetto di esportazione è OsceMigrate.zip.
b.
Fare clic sul pulsante Esporta.
Viene visualizzato un messaggio che richiede la conferma dell'operazione.
c.
5.
Copiare il pacchetto di esportazione nel server OfficeScan di destinazione.
Per importare le impostazioni nel server OfficeScan di destinazione:
a.
Individuare il pacchetto di esportazione utilizzando il pulsante Sfoglia.
b.
Fare clic su Importa.
Viene visualizzato un messaggio di avviso.
c.
Fare clic su Sì per procedere.
6.
Verificare che il server contenga tutte le impostazioni della versione di OfficeScan
precedente.
7.
Spostare gli Agenti OfficeScan nel nuovo server.
Per ulteriori informazioni sullo spostamento degli Agenti OfficeScan, consultare
Spostamento degli agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-62 o
Agent Mover a pagina 14-25.
Active Directory Integration
L'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consente
di gestire gli Agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni per
la console Web tramite gli account Active Directory e di determinare in quali agenti non
2-36
è installato il software di protezione. Tutti gli utenti del dominio della rete possono avere
accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitato
per utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo di
autenticazione e la chiave di crittografia convalidano le credenziali degli utenti.
L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioni
indicate di seguito:
•
Role-based Administration (RBA): consente di concedere agli utenti
responsabilità amministrative specifiche concedendo loro l'accesso alla console del
prodotto mediante i rispettivi account Active Directory. Per i dettagli, consultare
Role-based Administration (RBA) a pagina 13-3.
•
Personalizza gruppi di agenti: consente di utilizzare Active Directory o gli
indirizzi IP per raggruppare gli agenti in modo manuale e associarli ai domini nella
struttura agente OfficeScan. Per i dettagli, consultare Raggruppamento automatico agenti
a pagina 2-55.
•
Dispositivi non gestiti: assicurarsi che i dispositivi della rete che non sono gestiti
dal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per i
dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-73.
Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il server
OfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione dei
dati con i domini di Active Directory a pagina 2-39.
Integrazione di Active Directory con OfficeScan
Procedura
1.
Accedere a Amministrazione > Active Directory > Active Directory
Integration.
2.
In Domini Active Directory specificare il nome del dominio Active Directory.
3.
Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazione
dei dati con il dominio Active Directory specificato. Le credenziali sono
obbligatorie se il server non appartiene al dominio. In caso contrario, le credenziali
sono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server non
sarà in grado di sincronizzare i dati.
2-37
a.
Fare clic su Specificare le credenziali di dominio.
b.
Nella finestra popup visualizzata, immettere il nome utente e la password. Il
nome utente può essere specificato in uno dei seguenti formati:
c.
•
dominio\nome utente
•
nomeutente@dominio
Fare clic su Salva.
4.
Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare le
credenziali per i domini eventualmente aggiunti.
5.
Fare clic sul pulsante (
6.
Specificare le impostazioni di crittografia se sono state specificate le credenziali per
i domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominio
specificate dall'utente prima di salvarle nel database. Quando OfficeScan
sincronizza i dati con uno dei domini specificati, usa una chiave di crittografia per
decodificare le credenziali del dominio.
) per eliminare i domini.
a.
Andare alla sezione Impostazioni di crittografia per le credenziali del
dominio.
b.
Immettere una chiave di crittografia non superiore a 128 caratteri.
c.
Specificare un file in cui salvare la chiave di crittografia. È possibile scegliere
un comune formato di file, come .txt. Includere il nome e il percorso
completo del file, ad esempio C:\AD_Encryption\EncryptionKey.txt.
AVVERTENZA!
se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà in
grado di sincronizzare i dati con i domini specificati.
7.
Fare clic su una delle opzioni riportate di seguito.
•
2-38
Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiede
una notevole quantità di risorse della rete, è possibile scegliere di salvare solo
le impostazioni e di eseguire la sincronizzazione successivamente, ad esempio
durante le ore con minore carico di lavoro.
•
8.
Salva e sincronizza: salva le impostazioni e sincronizza i dati con i domini
Active Directory.
Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione dei
dati con i domini di Active Directory a pagina 2-39.
Sincronizzazione dei dati con i domini di Active Directory
Sincronizzare i dati con i domini Active Directory regolarmente in modo che la struttura
agente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti.
Sincronizzazione manuale dei dati con i domini di Active
Directory
Procedura
1.
Accedere a Amministrazione > Active Directory > Active Directory
Integration.
2.
Verificare che le credenziali dei domini e le impostazioni di crittografia non siano
cambiate.
3.
Fare clic su Salva e sincronizza.
Sincronizzazione automatica dei dati con i domini di Active
Directory
Procedura
1.
Accedere a Amministrazione > Active Directory > Sincronizzazione
pianificata.
2.
Selezionare Attiva sincronizzazione pianificata di Active Directory.
3.
Specificare la pianificazione di sincronizzazione.
2-39
Nota
Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica il
numero di ore che OfficeScan destina alla sincronizzazione di Active Directory con il
server OfficeScan.
4.
Fare clic su Salva.
Struttura agente OfficeScan
La struttura agente OfficeScan visualizza tutti gli agenti visualizza tutti gli agenti
raggruppati in domini attualmente gestiti dal server. Gli Agenti sono raggruppati in
domini per consentire di configurare e gestire contemporaneamente tutti i membri del
dominio, nonché di assegnare loro la stessa configurazione.
Figura 2-21. OfficeScan Struttura agente
2-40
Icone della struttura agente
Le icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano il
tipo di dispositivo e lo stato degli Agenti OfficeScan gestiti da OfficeScan.
Tabella 2-9. OfficeScan Icone della struttura agente
Icona
Descrizione
Dominio
Root
Update agent
Agente scansione convenzionale
Smart Scan disponibile nell'Agente OfficeScan
Smart Scan non disponibile nell'Agente OfficeScan
Smart Scan disponibile in Update Agent
Smart Scan non disponibile in Update Agent
Operazioni generali della struttura Agente
Di seguito è riportato un elenco delle operazioni generali possibili quando viene
visualizzata la struttura agente:
2-41
Procedura
•
•
Per selezionare tutti i domini e tutti gli agenti, fare clic sull'icona del dominio
principale ( ). Quando viene selezionata l'icona del dominio principale e si sceglie
un'operazione al di sopra della struttura agente, viene visualizzata una schermata
per la configurazione delle impostazioni. Nella schermata scegliere le seguenti
opzioni generali:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Per selezionare più domini o agenti adiacenti:
•
Nel pannello situato a destra, selezionare il primo dominio, tenere premuto il
tasto MAIUSC e fare clic sull'ultimo dominio o agente dell'intervallo.
•
Per selezionare un intervallo di domini o agenti non adiacenti, nel pannello situato
a destra, tenere premuto il tasto CTRL e fare clic sui domini o agenti che si desidera
selezionare.
•
È possibile cercare un determinato agente, specificando il nome dell'agente nella
casella di testo Cerca dispositivo.
L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altre
opzioni di ricerca, fare clic su Ricerca avanzata.
Nota
Non è possibile specificare indirizzi IPv6 o IPv4 quando si cercano degli agenti
specifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per i
dettagli, consultare Opzioni di ricerca avanzate a pagina 2-43.
•
2-42
Quando si seleziona un dominio, la tabella della struttura agente si espande e
mostra gli agenti appartenenti al dominio e tutte le colonne contenenti
informazioni pertinenti di ciascun agente. Per vedere solo un gruppo di colonne,
selezionare un elemento all'interno della visualizzazione della struttura agente.
•
Visualizza tutto: mostra tutte le colonne
•
Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi
•
Visualizzazione antivirus: mostra i componenti dell'antivirus
•
Visualizzazione anti-spyware: mostra i componenti dell'anti-spyware
•
Visualizzazione protezione dati: mostra lo stato del modulo Protezione dati
negli agenti
•
Visualizzazione firewall: mostra i componenti del firewall
•
Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagli
agenti (convenzionale o Smart Scan) e i componenti di Smart Protection
•
Visualizzazione Update Agent : mostra le informazioni su tutti gli Update
Agent gestiti dal server OfficeScan
•
Facendo clic sul nome di una colonna, è possibile ordinare gli agenti sulla base delle
informazioni in essa contenute.
•
La struttura agente può essere aggiornata facendo clic sull'icona di aggiornamento
(
•
).
Le statistiche relative agli agente vengono visualizzate al di sotto della struttura
agente e comprendono informazioni quali il numero totale di agenti, il numero di
agenti Smart Scan e il numero di agenti con scansione convenzionale.
Opzioni di ricerca avanzate
Cerca agenti in base ai criteri seguenti:
Procedura
•
Criteri di base: comprende le informazioni di base su dispositivi, come indirizzo
IP, sistema operativo, dominio, indirizzo MAC, metodo di scansione e stato di
reputazione Web
2-43
•
La ricerca in base al segmento IPv4 richiede una porzione di indirizzo IP che
inizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti i
dispositivi con indirizzi IP contenenti la voce specificata. Se, ad esempio, se si
digita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo di
indirizzi IP da 10.5.0.0 a 10.5.255.255.
•
La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso.
•
La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC in
notazione esadecimale, ad esempio 000A1B123C12.
•
Versione componente: selezionare la casella di controllo accanto al nome del
componente, restringere i parametri selezionando Precedente a o Precedente a e
incluso e immettere un numero di versione. Per impostazione predefinita viene
inserito il numero di versione attuale.
•
Stato: comprende le impostazioni dell'agente
•
Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della
struttura agente, viene visualizzato un elenco di nomi dei dispositivi che
corrispondono ai criteri.
Operazioni specifiche della struttura agente
La struttura agente viene visualizzata quando si accede ad alcune schermate della
console Web. Al di sopra della struttura agente sono disponibili voci di menu specifiche
della schermata visualizzata. Queste voci di menu consentono di effettuare operazioni
specifiche, quali configurare le impostazioni o avviare operazioni degli agente. Per
eseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindi
selezionare una voce del menu.
La seguente schermata visualizza la struttura agente:
•
Schermata Gestione agente a pagina 2-45
•
Schermata Prevenzione delle infezioni virali a pagina 2-49
•
Schermata Selezione agente a pagina 2-50
•
Schermata Rollback a pagina 2-50
2-44
•
Schermata Registri dei rischi per la sicurezza a pagina 2-51
Schermata Gestione agente
Per visualizzare questa schermata, accedere a Agenti > Gestione agente.
Gestire le impostazioni generali dell'agente e visualizzare le informazioni sullo stato
relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP e Stato della
connessione) nella schermata Gestione agente.
Figura 2-22. Schermata Gestione agente
La tabella seguente elenca le operazioni che è possibile effettuare:
Tabella 2-10. Operazioni Gestione agente
Pulsante di
menu
Stato
Operazione
Visualizzare le informazioni dettagliate sull'agente. Per i dettagli,
consultare Visualizzazione delle informazioni sull'agente OfficeScan
a pagina 14-58.
2-45
Pulsante di
menu
Operazioni
2-46
Operazione
•
Eseguire l'opzione Esegui scansione nei computer agenti. Per i
dettagli, consultare Avvio di Esegui scansione a pagina 7-26.
•
Disinstallare l'agente. Per i dettagli, consultare Disinstallazione
dell'agente OfficeScan dalla console Web a pagina 5-74.
•
Ripristinare il rilevamento dei file sospetti. Per i dettagli,
consultare Ripristino dei file in quarantena a pagina 7-45.
•
Ripristinare i componenti spyware/grayware. Per i dettagli,
consultare Ripristino spyware/grayware a pagina 7-54.
Pulsante di
menu
Impostazioni
Operazione
•
Configurare le impostazioni di scansione. Per ulteriori dettagli,
leggere i seguenti argomenti:
•
Tipi di metodi di scansione a pagina 7-8
•
Scansione manuale a pagina 7-19
•
Scansione in tempo reale a pagina 7-16
•
Scansione pianificata a pagina 7-21
•
Esegui scansione a pagina 7-24
•
Configurare le impostazioni di reputazione Web. Per i dettagli,
consultare Criteri di reputazione Web a pagina 11-5.
•
Configurare le impostazioni di connessione sospetta. Per i
dettagli, consultare Configurazione delle impostazioni di
•
Configurare le impostazioni di Monitoraggio del comportamento.
Per i dettagli, consultare Monitoraggio del comportamento a
pagina 8-2.
•
Configurare le impostazioni di Controllo dispositivo. Per i
dettagli, consultare Controllo dispositivo a pagina 9-2.
•
Configurare i criteri di Prevenzione perdita di dati. Per i dettagli,
consultare Configurazione dei criteri Prevenzione perdita di dati
a pagina 10-48.
•
Assegnare gli agenti come Update Agent. Per i dettagli,
consultare Configurazione di Update Agent a pagina 6-59.
•
Configurare i privilegi e altre impostazioni dell'agente. Per i
dettagli, consultare Configurazione dei privilegi e di altre
impostazioni dell'agente a pagina 14-94.
•
Attivare o disattivare i servizi dell'Agente OfficeScan. Per i
dettagli, consultare Servizi dell'agente OfficeScan a pagina
14-7.
•
Configurare l'elenco di spyware/grayware approvato. Per i
dettagli, consultare Elenco Approvati spyware/grayware a
pagina 7-52.
•
Configurare l'elenco Programmi affidabili. Per i dettagli,
consultare Configurazione dell'elenco Programmi affidabili a
pagina 7-56.
•
Importare ed esportare le impostazioni dell'agente. Per i
dettagli, consultare Importazione ed esportazione delle
impostazioni degli agenti a pagina 14-59.
2-47
Pulsante di
menu
Registri
Operazione
Visualizzare i registri riportati di seguito:
•
Registri di virus/minacce informatiche (per maggiori dettagli,
vedere Visualizzazione dei registri di virus/minacce informatiche
a pagina 7-96)
•
Registri spyware/grayware (per maggiori dettagli, vedere
Visualizzazione dei registri di spyware/grayware a pagina 7-104)
•
Registri del firewall (per maggiori dettagli, vedere Registri del
firewall a pagina 12-30)
•
Registri di reputazione Web (per maggiori dettagli, consultare
Registri delle minacce Web a pagina 11-26)
•
Registri delle connessioni sospette (per maggiori dettagli,
consultare Visualizzazione dei registri delle connessioni
sospette a pagina 11-29)
•
Registri dei file sospetti (per maggiori dettagli, consultare
Visualizzazione dei file delle connessioni sospette a pagina
7-108)
•
Registri dei callback C&C (per maggiori dettagli, consultare
Visualizzazione dei registri di callback C&C a pagina 11-27.)
•
Registri di Monitoraggio del comportamento (per maggiori
dettagli, vedere Registri di Monitoraggio del comportamento a
pagina 8-15)
•
Registri di Controllo dispositivo (per maggiori dettagli, vedere
Registri di controllo dispositivo a pagina 9-18)
•
Registri DLP (per maggiori dettagli, consultare Registri di
Prevenzione perdita di dati a pagina 10-58)
•
Registri dell'operazione di scansione (per maggiori dettagli,
consultare Visualizzazione dei registri dell'operazione di
scansione a pagina 7-109)
Eliminare i registri. Per i dettagli, consultare Gestione dei registri a
pagina 13-39.
Gestione
struttura agente
2-48
Gestire la struttura agente. Per i dettagli, consultare Operazioni di
raggruppamento agenti a pagina 2-59.
Pulsante di
menu
Esporta
Operazione
Esportare un elenco degli agenti in un file .csv (comma-separated
value).
Schermata Prevenzione delle infezioni virali
Per visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezioni
virali.
Specificare e attivare le impostazioni di prevenzione delle infezioni nella schermata
Prevenzione delle infezioni virali. Per i dettagli, consultare Configurazione della
prevenzione dei rischi per la sicurezza a pagina 7-115.
Figura 2-23. Schermata Prevenzione delle infezioni virali
2-49
Schermata Selezione agente
Per visualizzare questa schermata, accedere a Aggiornamenti > Agenti >
Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi su
Seleziona.
Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli,
consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47.
Figura 2-24. Schermata Selezione agente
Schermata Rollback
Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic su
Sincronizza con il server.
2-50
Eseguire il rollback dei componenti agente nella schermata Rollback. Per i dettagli,
consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56.
Figura 2-25. Schermata Rollback
Schermata Registri dei rischi per la sicurezza
Per visualizzare questa schermata, accedere a Registri > Agenti > Rischi per la
sicurezza.
2-51
Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza.
Figura 2-26. Schermata Registri dei rischi per la sicurezza
Eseguire le operazioni riportate di seguito:
1.
2-52
Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli,
consultare:
•
Visualizzazione dei registri di virus/minacce informatiche a pagina 7-96
•
Visualizzazione dei registri di spyware/grayware a pagina 7-104
•
Visualizzazione dei registri firewall a pagina 12-31
•
Visualizzazione dei registri di reputazione Web a pagina 11-26
•
Visualizzazione dei registri delle connessioni sospette a pagina 11-29
•
Visualizzazione dei file delle connessioni sospette a pagina 7-108
•
Visualizzazione dei registri di callback C&C a pagina 11-27
•
Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-15
2.
•
Visualizzazione dei registri di controllo dispositivo a pagina 9-19
•
Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-58
Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-39.
Domini OfficeScan
Un dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessa
configurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti in
domini consente di configurare e gestire tutti i membri del dominio, nonché di assegnare
loro la stessa configurazione. Per ulteriori informazioni sul raggruppamento agente,
consultare Raggruppamento agenti a pagina 2-53.
Utilizzare Raggruppamento agenti per creare e gestire domini in modo manuale o
automatico nella struttura agente OfficeScan.
Esistono due modi per raggruppare gli agenti nei domini.
Tabella 2-11. Metodi di raggruppamento degli agenti
Metodo
Manuale
Raggruppament
o agenti
•
Dominio
NetBIOS
•
Dominio Active
Directory
•
Dominio DNS
Descrizioni
Il raggruppamento manuale degli agenti definisce il
dominio al quale il nuovo agente installato dovrebbe
appartenere. Quando l'agente viene visualizzato
nella struttura agente, è possibile spostarlo in un
altro dominio o in un altro server OfficeScan.
Il raggruppamento manuale degli agenti consente
inoltre di creare, gestire e rimuovere domini nella
struttura agente.
Per i dettagli, consultare Raggruppamento agenti
manuale a pagina 2-54.
2-53
Metodo
Automatici
Raggruppament
o agenti
Gruppi di agenti
personalizzati
Descrizioni
Il raggruppamento automatico degli agenti utilizza
delle regole per ordinare gli agenti nella struttura
agente. Dopo la definizione delle regole, è possibile
accedere alla struttura agente per ordinare gli agenti
manualmente o per consentire a OfficeScan di
ordinarli automaticamente quando si verificano eventi
specifici o a intervalli programmati.
Per i dettagli, consultare Raggruppamento
automatico agenti a pagina 2-55.
Raggruppamento agenti manuale
OfficeScan utilizza questa impostazione solo per le installazioni agente da zero. Il
programma di installazione controlla il dominio di rete a cui appartiene il dispositivo di
destinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScan
raggruppa l'agente del dispositivo di destinazione sotto quel dominio e applica ad esso le
impostazioni configurate per quel dominio. Se il nome del dominio non è presente,
OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto tale
dominio, quindi applica le impostazioni della directory principale al dominio e all'agente.
Configurazione raggruppamento manuale agenti
Procedura
1.
Accedere a Agenti > Raggruppamento agenti.
2.
Specificare il metodo di raggruppamento agente:
3.
2-54
•
Dominio NetBIOS
•
Dominio Active Directory
•
Dominio DNS
Fare clic su Salva.
Operazioni successive
Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni:
•
Aggiungere un dominio
•
Eliminare un dominio o un agente
•
Rinominare un dominio
•
Trasferire un singolo agente a un altro dominio
Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-59.
Raggruppamento automatico agenti
Il Raggruppamento automatico agenti utilizza le regole definite dagli indirizzi IP o dai
domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo di
indirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IP
corrispondente a un dominio specifico della struttura agente. Analogamente, se una
regola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà
agenti appartenenti a un particolare dominio Active Directory in un dominio specifico
della struttura agente.
Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, in
modo che se un agente soddisfa più di una regola, si applicherà quella con la priorità più
alta.
Configurazione del raggruppamento automatico agenti
Procedura
1.
Accedere a Agenti > Raggruppamento agenti
2.
Accedere alla sezione Raggruppamento agenti e selezionare Personalizza
gruppi di agenti.
3.
Accedere alla sezione Raggruppamento automatico agenti.
4.
Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare Active
Directory oppure Indirizzo IP.
2-55
5.
6.
•
Se è stato selezionato Active Directory, consultare le istruzioni per la
configurazione in Definizione di una regola di raggruppamento degli agenti in base ai
domini Active Directory a pagina 2-57.
•
Se è stato selezionato Indirizzo IP, consultare le istruzioni per la
configurazione in Definizione delle regole di raggruppamento degli agenti in base agli
indirizzi IP a pagina 2-58.
Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi:
a.
Selezionare una regola.
b.
Fare clic su una freccia sotto la colonna Priorità di gruppo per spostare la
regola in alto o in basso nell'elenco. Il numero ID della regola cambia in base
alla nuova posizione assegnata.
Per utilizzare le regole durante il riordino dell'agente:
a.
Selezionare le caselle di controllo delle regole da utilizzare.
b.
Attivare la regola impostando lo Stato su Attivato.
Nota
Se non viene selezionata la casella di controllo per una regola o se la regola viene
disattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella struttura
agente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovo
dominio, l'agente non si sposterà e rimarrà nel dominio attuale.
7.
8.
Specificare una pianificazione di riordino nella sezione Creazione dominio
pianificata.
a.
Selezionare Attiva creazione dominio pianificata.
b.
Specificare la pianificazione in Creazione dominio pianificata.
Scegliere una delle opzioni elencate di seguito.
•
2-56
Salva e crea dominio ora: scegliere questa opzione se sono stati specificati
nuovi domini in Definizione delle regole di raggruppamento degli agenti in base agli
indirizzi IP a pagina 2-58, passaggio 7 o in Definizione di una regola di
raggruppamento degli agenti in base ai domini Active Directory a pagina 2-57,
passaggio 7.
•
Salva: scegliere questa opzione se non sono stati specificati nuovi domini o se
si desidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione.
Nota
Il riordino dell'Agente non inizierà dopo il completamento di questo passaggio.
Definizione di una regola di raggruppamento degli agenti in
base ai domini Active Directory
Accertarsi di aver configurato le impostazioni di integrazione di Active Directory prima
di eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration a
pagina 2-36.
Procedura
1.
2.
Accedere alla sezione Raggruppamento agenti e selezionare Crea gruppi di
agenti personalizzati per gli agenti OfficeScan esistenti.
3.
4.
Fare clic su Aggiungi, quindi selezionare Active Directory.
Viene visualizzata una nuova schermata.
5.
Selezionare Attiva raggruppamento.
6.
Specificare un nome per la regola.
7.
In Origine di Active Directory, selezionare il domini o i sottodomini di Active
Directory.
8.
In Struttura agente, selezionare un dominio OfficeScan esistente al quale sono
associati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste,
attenersi alla procedura riportata di seguito:
a.
Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clic
sull'icona ( ) per l'aggiunta dei domini.
2-57
9.
b.
Immettere il nome del dominio nella casella di testo fornita.
c.
Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio
viene aggiunto ed è selezionato automaticamente.
(Facoltativo) Selezionare Duplica la struttura Active Directory nella struttura
dell'agente OfficeScan. Questa opzione duplica la gerarchia dei domini Active
Directory selezionati nel dominio OfficeScan selezionato.
10. Fare clic su Salva.
Definizione delle regole di raggruppamento degli agenti in
base agli indirizzi IP
Creare gruppi agente personalizzati utilizzando gli indirizzi IP di rete per ordinare gli
agenti nella struttura di OfficeScan agente. La funzione si rivela utile agli amministratori
per organizzare la struttura dell'agente OfficeScan prima della registrazione dell'agente
con il server OfficeScan.
Procedura
1.
2.
Accedere alla sezione Raggruppamento agenti e selezionare Crea gruppi di
agenti personalizzati per gli agenti OfficeScan esistenti.
3.
4.
Fare clic su Aggiungi e selezionare Indirizzo IP.
5.
Selezionare Attiva raggruppamento.
6.
Specificare un nome per il raggruppamento.
7.
Specificare una delle seguenti opzioni:
•
2-58
Un indirizzo IPv4 o IPv6 singolo
•
Un intervallo di indirizzi IPv4
•
Una lunghezza e un prefisso IPv6
Nota
Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi agente
diversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivato
nella macchina host dell'agente, l'agente sarà spostato sotto il gruppo IPv4.
8.
Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP è
associato. Se il dominio non esiste, attenersi alla procedura riportata di seguito:
a.
Posizionare il mouse sopra la struttura agente e fare clic sull'icona per
l'aggiunta dei domini.
Figura 2-27. Icona per l'aggiunta dei domini
9.
b.
Digitare il dominio nella casella di testo disponibile.
c.
Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio
viene aggiunto ed è selezionato automaticamente.
Fare clic su Salva.
Operazioni di raggruppamento agenti
Durante il raggruppamento degli agenti nei domini è possibile effettuare le operazioni
riportate di seguito:
•
Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-60 per
ulteriori dettagli.
2-59
•
Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un
agente a pagina 2-60 per ulteriori dettagli.
•
Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 per
ulteriori dettagli.
•
Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan.
Consultare Spostamento degli agenti OfficeScan in un altro dominio o server OfficeScan a
pagina 2-62 per ulteriori dettagli.
Aggiunta di un dominio
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Fare clic su Gestione struttura agente > Aggiungi dominio.
3.
Digitare un nome per il dominio che si desidera aggiungere.
4.
Il nuovo dominio viene visualizzato nella struttura agente.
5.
Creare sottodomini (Facoltativo).
a.
Selezionare il dominio principale.
b.
Fare clic su Gestione struttura agente > Aggiungi dominio.
c.
Immettere il nome del sottodominio.
Eliminazione di un dominio o di un agente
Procedura
1.
2.
Nella struttura agente, selezionare:
2-60
•
Uno o più domini
•
Uno, alcuni o tutti gli agenti appartenenti a un dominio
3.
Fare clic su Gestione struttura agente > Rimuovi dominio/agente.
4.
Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se nel
dominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il server
OfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto tale
dominio la volta successiva che gli agenti si connettono al server OfficeScan. Prima
di eliminare il dominio, è possibile effettuare le seguenti operazioni:
5.
a.
Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini,
trascinare gli agenti nei domini di destinazione.
b.
Elimina tutti gli agenti.
Per eliminare un singolo agente, fare clic su Rimuovi dominio/agente.
Nota
L'eliminazione dell'agente dalla struttura agente non rimuove l'Agente OfficeScan dal
dispositivo agente. L'Agente OfficeScan è comunque in grado di effettuare delle
operazioni indipendenti dal server quali l'aggiornamento dei componenti. Tuttavia,
sul server non è presente alcuna traccia dell'esistenza dell'agente e, per questo motivo,
non è possibile implementare configurazioni o inviare notifiche all'agente.
Ridenominazione di un dominio
Procedura
1.
2.
Selezionare un dominio nella struttura agente.
3.
Fare clic su Gestione struttura agente > Rinomina dominio.
4.
Inserire un nuovo nome per un dominio.
5.
Fare clic su Rinomina.
2-61
Il nuovo dominio viene visualizzato nella struttura agente.
Spostamento degli agenti OfficeScan in un altro dominio o
server OfficeScan
Procedura
1.
2.
Nella struttura agente, selezionare uno, alcuni o tutti gli agenti.
3.
Fare clic su Gestione struttura agente > Sposta agente.
4.
Per spostare gli agenti a un altro dominio:
•
Selezionare Sposta gli agenti selezionati in un altro dominio.
•
Selezionare il dominio.
•
Applicare le impostazioni del nuovo dominio agli agenti (facoltativo).
Suggerimento
È inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della struttura
agente.
5.
6.
2-62
Per spostare gli agenti a un altro server OfficeScan:
•
Selezionare Sposta gli agenti selezionati in un altro server OfficeScan.
•
Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di porta
HTTP.
Fare clic su Sposta.
Capitolo 3
Informazioni preliminari su
Protezione dati
In questo capitolo vengono descritte le modalità di installazione e di attivazione del
modulo Protezione dati.
•
Installazione di Protezione dati a pagina 3-2
•
Licenza di Protezione dati a pagina 3-4
•
Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6
•
Cartella dati forensi e database DLP a pagina 3-9
•
Disinstallazione di Protezione dati a pagina 3-15
3-1
Installazione di Protezione dati
Il modulo Protezione dati comprende le seguenti funzionalità:
•
Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata di
risorse digitali
•
Controllo dispositivo: Regola l'accesso ai dispositivi esterni
Nota
La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo che
consente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazione
USB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di ampliare
la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere Controllo
dispositivo a pagina 9-2.
Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan ma
richiedono una licenza separata. Dopo aver installato il server OfficeScan, queste
funzionalità sono disponibili, ma non sono operative e non possono essere
implementate negli agenti. L'installazione di Protezione dati prevede il download di un
file dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se è stata
impostata. Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la
licenza di Protezione dati per attivarne le funzionalità complete. L'installazione e
l'attivazione vengono eseguite da Plug-in Manager.
Importante
Non è necessario installare il modulo standalone Protezione dati se il software Prevenzione
della perdita di dati Trend Micro è già installato e in esecuzione sui dispositivi.
Installazione di Protezione dati
Procedura
1.
3-2
Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.
Informazioni preliminari su Protezione dati
2.
Nella schermata Plug-in Manager, andare alla sezione Protezione dati
OfficeScan e fare clic su Download.
Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download.
Plug-In Manager archivia il file scaricato in <Cartella di installazione del server>
\PCCSRV\Download\Product.
Nota
Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente
dopo 24 ore. Per avviare manualmente il download del file da parte di Plug-in
Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management
Console.
3.
Monitorare l'avanzamento del download.
Nel corso del download è possibile effettuare altre operazioni.
Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare i
registri di aggiornamento server sulla console web di OfficeScan. Nel menu
principale, fare clic su Registri > Aggiornamento server.
Una volta completato il download del file di Plug-in Manager, Protezione dati
OfficeScan viene visualizzato in una nuova schermata.
Nota
Se Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioni
in Risoluzione dei problemi di Plug-in Manager a pagina 15-12.
4.
5.
Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa ora
o per installarlo in un secondo momento, fare quanto segue:
a.
Fare clic su Installa in un secondo momento.
b.
Aprire la schermata Plug-in Manager.
c.
Andare alla sezione Protezione dati OfficeScan e fare clic su Installa.
Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.
L'installazione viene avviata.
3-3
6.
Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione viene
visualizzata la versione di Protezione dati OfficeScan.
Licenza di Protezione dati
Visualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager.
Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza.
Attivazione della licenza del Programma plug-in
Procedura
1.
2.
Nella schermata Plug-in Manager, accedere alla sezione dei programmi plug-in e
fare clic su Gestione programma.
Viene visualizzata la schermata Nuovo codice di attivazione della licenza del
prodotto.
3.
Digitare o copiare e incollare il codice di attivazione nei campi del testo.
4.
Fare clic su Salva.
Viene visualizzata la console plug-in.
Informazioni sulla visualizzazione e il rinnovo della
licenza
Procedura
3-4
1.
2.
Nella schermata Plug-in Manager, accedere alla sezione dei programmi plug-in e
fare clic su Gestione programma.
3.
Fare clic su Visualizza informazioni sulla licenza per visualizzare le
informazioni sulla licenza corrente sul sito Web di Trend Micro.
4.
Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.
Opzione
Descrizione
Stato
Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".
Versione
Indica se la versione è "Completa" o se si tratta di una "Versione
di prova"
Nota
L'attivazione viene visualizzata come "Completa" sia per la
versione completa e sia per la versione di prova.
Postazioni
Indica quanti dispositivi il programma plug-in è in grado di
gestire
La licenza
scade il
Se il programma plug-in prevede diverse licenze, verrà
visualizzata l'ultima data di scadenza.
Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,
verrà visualizzata la data 31.12.11.
Codice di
attivazione
visualizza il Codice di attivazione
Promemoria
A seconda della versione della licenza corrente, il plug-in
visualizza i promemoria sulla data di scadenza della licenza
durante il periodo di proroga (solo nelle versioni complete)
oppure quando scade la licenza.
Nota
La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il
periodo di proroga di in programma plug-in con un rappresentante Trend Micro.
5.
Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic
su Aggiorna informazioni.
6.
Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codice
di attivazione della licenza del prodotto.
3-5
Per i dettagli, consultare Attivazione della licenza del Programma plug-in a pagina 3-4.
Implementazione di Protezione dati negli
agenti OfficeScan
Implementare il modulo Protezione dati negli Agenti OfficeScan dopo l'attivazione della
licenza. Dopo l'implementazione, gli Agenti OfficeScan iniziano a utilizzare Prevenzione
perdita di dati e Controllo dispositivo.
Importante
•
Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003,
Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effetto
negativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazioni
del sistema costantemente e adottare le misure necessarie quando si verificano cali di
prestazioni.
Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultare
Servizi dell'agente OfficeScan a pagina 14-7.
3-6
•
Se il software Prevenzione perdita di dati Trend Micro è disponibile nel dispositivo,
OfficeScan non lo sostituisce con il modulo Protezione dati.
•
Il modulo Protezione dati viene installato immediatamente negli agenti online. Negli
agenti offline e in roaming, il modulo viene installato quando questi diventano online.
•
Gli utenti devono riavviare i computer per completare l'installazione dei driver di
Prevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare.
•
Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione dei
problemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug per
il modulo Protezione dati a pagina 10-64.
Implementazione del modulo protezione dati sugli agenti
OfficeScan
Procedura
1.
2.
Nella struttura agente, è possibile:
3.
•
Fare clic sull'icona del dominio principale (root)
modulo su tutti gli agenti esistenti e futuri.
•
Selezionare un dominio specifico per implementare il modulo su tutti gli
agenti esistenti e futuri del dominio.
•
Selezionare un agente specifico per implementare il modulo solo su
quell'agente.
per implementare il
Implementare il modulo in due modi diversi:
•
Fare clic su Impostazioni > Impostazioni DLP.
•
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
Nota
Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e il
modulo Protezione dati è stato implementato correttamente, saranno installati i
driver di Prevenzione perdita di dati. Se i driver sono installati correttamente,
viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare i
dispositivi per terminare l'installazione dei driver.
Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemi
durante l'installazione dei driver. Se il registro di debug è attivato, controllare i
registri di debug per ottenere dettagli sui problemi di installazione dei driver.
4.
Viene visualizzato un messaggio che indica il numero di agenti in cui il modulo non
è installato. Fare clic su Sì per avviare l’implementazione.
3-7
Nota
Se si fa clic su No (o se per qualche motivo il modulo non è stato implementato su
uno o più agenti), lo stesso messaggio viene visualizzato quando si fa clic di nuovo su
Impostazioni > Impostazioni DLP o su Impostazioni > Impostazioni di
controllo dispositivo.
Gli Agenti OfficeScan iniziano il download del modulo dal server.
5.
3-8
Controllare se il modulo è stato implementato sugli agenti.
a.
Selezionare un dominio nella struttura agente.
b.
Nella visualizzazione della struttura agente, selezionare Visualizzazione
protezione dati o Visualizza tutto.
c.
Controllare la colonna Stato Protezione dati. Lo stato dell'implementazione
può essere uno dei valori riportati di seguito:
•
In esecuzione: l'implementazione del modulo è riuscita e le relative
funzioni sono state attivate.
•
Riavvio necessario: i driver di Prevenzione perdita di dati non sono
stati installati perché gli utenti non hanno riavviato i rispettivi computer.
Se i driver non sono installati, Prevenzione perdita di dati non funziona.
•
Operazione interrotta: il servizio del modulo non è stato avviato o il
dispositivo di destinazione è stato arrestato correttamente. Per avviare il
servizio Protezione dati, accedere a Agenti > Gestione agente >
Impostazioni > Impostazioni aggiuntive del servizio e attivare i
servizi di Protezione dati.
•
Impossibile eseguire l'installazione: si è verificato un problema
durante l'implementazione del modulo sull'agente. È necessario
implementare di nuovo il modulo dalla struttura agente.
•
Impossibile eseguire l'installazione (Prevenzione perdita di dati
esiste già): il software Prevenzione perdita di dati Trend Micro esiste già
nel dispositivo. OfficeScan non lo sostituirà con il modulo protezione
dati.
•
Non installato: il modulo non è stato implementato sull'agente. Questo
stato viene visualizzato se si sceglie di non implementare il modulo
sull'agente o se lo stato dell'agente è Offline o Roaming durante
l'implementazione.
Cartella dati forensi e database DLP
Quando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i dati
dell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un file
crittografato contenente una copia dei dati sensibili che hanno causato l'incidente e
genera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili.
OfficeScan crea i file crittografati di dati forensi sulla macchina agente e li carica
successivamente in un percorso specifico sul server.
Importante
•
I file crittografati dei dati forensi contengono dati altamente sensibili e gli
amministratori devono agire con cautela quando consentono l'accesso a tali file.
•
OfficeScan, in combinazione con Control Manager, fornisce agli utenti di Control
Manager con ruolo di Responsabile della revisione degli incidenti DLP o di
Responsabile di conformità DLP la facoltà di accedere ai dati all'interno dei file
crittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensi
in Control Manager, consultare la guida per l'amministratore di Control Manager 6.0 Patch 2
o versioni successive.
Modifica delle impostazioni della cartella e del database
dei dati forensi
Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazione
della cartella dei dati forensi, nonché le dimensioni massime dei file che gli agenti
caricano, modificando i file INI di OfficeScan.
3-9
AVVERTENZA!
La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti di
Prevenzione perdita di dati può causare una disconnessione tra i dati del database e il
percorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmente la
migrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopo
averne modificato il percorso.
La seguente tabella delinea le impostazioni del server disponibili nel file del percorso
<Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel server OfficeScan.
Tabella 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private
\ofcserver.ini
Obiettivo
Attivazione del
percorso della
cartella di dati
forensi definito
dall'utente
3-10
Impostazione INI
[INI_IDLP_SECTION]
EnableUserDefinedUploadFolder
Valori
0: disattiva
(predefinito)
1: attiva
Obiettivo
Configurazion
e del percorso
della cartella di
dati forensi
definito
dall'utente
Impostazione INI
[INI_IDLP_SECTION]
UserDefinedUploadFolder
Nota
•
Gli amministratori devono attivare
l'impostazione
EnableUserDefinedUploadFolder
prima che questa venga applicata da
Prevenzione perdita di dati.
•
Il percorso predefinito della cartella di
dati forensi è:
<Cartella di installazione del server>
\PCCSRV\Private\DLPForensicData
•
Attivazione
della pulizia
dei file di dati
forensi
Valori
Valore predefinito:
<Sostituire questo
valore con il
percorso della
cartella definito dal
cliente. Ad
esempio: C:
\VolumeData
\OfficeScanDlpFor
ensicData>
Valore definito
dall'utente: deve
essere il percorso
fisico di un'unità nel
server
Il percorso della cartella di dati forensi
definito dall'utente deve essere
un'unità fisica (interna o esterna) sul
server. OfficeScan non supporta la
mappatura di un percorso di un'unità
di rete.
[INI_IDLP_SECTION]
0: disattiva
ForensicDataPurgeEnable
1: attiva
(predefinito)
3-11
Obiettivo
Configurazion
e della
frequenza
temporale
della verifica di
pulizia del file
di dati forensi
Impostazione INI
[INI_IDLP_SECTION]
ForensicDataPurgeCheckFrequency
Nota
•
•
Gli amministratori devono attivare
l'impostazione
ForensicDataPurgeEnable prima che
questa venga applicata da OfficeScan.
OfficeScan elimina solamente i file di
dati che hanno superato la data di
scadenza specificata
nell'impostazione
ForensicDataExpiredPeriodInDays.
3-12
Configurazion
e del periodo
di tempo per
archiviare i file
di dati forensi
nel server
[INI_IDLP_SECTION]
Configurazion
e della
frequenza
temporale
della verifica di
spazio su
disco del file di
dati forensi
[INI_SERVER_DISK_THRESHOLD]
ForensicDataExpiredPeriodInDays
Valori
1: con frequenza
mensile, il primo
giorno del mese
alle 00:00
2: con frequenza
settimanale
(predefinito), ogni
domenica alle
00:00
3: con frequenza
giornaliera, ogni
giorno alle 00:00
4: con frequenza
oraria, ogni ora alle
HH:00
Valore predefinito
(in giorni): 180
Valore minimo: 1
Valore massimo:
3650
MonitorFrequencyInSecond
Nota
Se lo spazio su disco disponibile nella
cartella di dati forensi è inferiore al valore
configurato per l'impostazione
InformUploadOnDiskFreeSpaceInGb,
OfficeScan crea un registro eventi sulla
console Web.
Valore predefinito
(in secondi): 5
Obiettivo
Configurazion
e della
frequenza di
caricamento
della verifica di
spazio su
disco del file di
dati forensi
Configurazion
e del valore
dello spazio su
disco minimo
che genera
una notifica di
spazio su
disco limitato
Configurazion
e dello spazio
minimo
disponibile per
caricare i file di
dati forensi
dagli agenti
Impostazione INI
IsapiCheckCountInRequest
Valori
Valore predefinito
(in numero di file):
200
Nota
configurato per l'impostazione
InformUploadOnDiskFreeSpaceInGb,
OfficeScan crea un registro eventi sulla
console Web.
InformUploadOnDiskFreeSpaceInGb
Valore predefinito
(in GB): 10
Nota
configurato, OfficeScan crea un registro
eventi sulla console Web.
RejectUploadOnDiskFreeSpaceInGb
Valore predefinito
(in GB): 1
Nota
configurato, gli agenti OfficeScan non
caricano i file dei dati forensi nel server e
OfficeScan crea un registro di eventi nella
console Web.
La seguente tabella delinea le impostazioni dell'Agente OfficeScan disponibili nel file
<Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan.
3-13
Tabella 3-2. Impostazioni dell'Agente dei file di dati forensi in PCCSRV\ofcscan.ini
Obiettivo
3-14
Impostazione INI
Attivazione del
caricamento
dei file di dati
forensi nel
server
UploadForensicDataEnable
Configurazion
e delle
dimensioni
massime dei
file che
l'Agente
OfficeScan
carica nel
server
UploadForensicDataSizeLimitInMb
Configurazion
e del periodo
di tempo per
archiviare i file
di dati forensi
nell'Agente
OfficeScan
ForensicDataKeepDays
Configurazion
e della
frequenza con
cui l'Agente
OfficeScan
verifica la
connettività del
server
ForensicDataDelayUploadFrequenceInMinute
s
Valori
0: disattiva
1: attiva
(predefinito)
Valore predefinito
(in MB): 10
Nota
Valore minimo: 1
L'Agente OfficeScan invia al server solo file
con dimensioni inferiori a queste.
Valore massimo:
2048
Valore predefinito
(in giorni): 180
Nota
Valore minimo: 1
L'Agente OfficeScan elimina i file di dati
forensi che hanno superato la data di
scadenza specificata ogni giorno alle
11:00.
Valore massimo:
3650
Valore predefinito
(in minuti): 5
Valore minimo: 5
Nota
Gli Agenti OfficeScan che non sono in
grado di caricare i file di dati forensi nel
server cercano automaticamente di
reinviarli in base all'intervallo di tempo
specificato.
Valore massimo:
60
Creazione di un backup di dati forensi
In base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delle
informazioni dei dati forensi può variare enormemente. Al fine di liberare spazio su
disco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella e
del database contenenti i dati forensi.
Procedura
1.
Accedere al percorso della cartella di dati forensi nel server.
•
Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private
\DLPForensicData
•
Per individuare la cartella di dati forensi personalizzata, vedere Configurazione
del percorso della cartella di dati forensi definito dall'utente a pagina 3-11.
2.
Copiare la cartella in un nuovo percorso.
3.
Per effettuare il backup manuale del database di dati forensi, andare a <Cartella di
installazione del server>\PCCSRV\Private.
4.
Copiare il file DLPForensicDataTracker.db in un nuovo percorso.
Disinstallazione di Protezione dati
Se si disinstalla il modulo Protezione dati da Plug-in Manager:
•
Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registri
saranno rimossi dal server OfficeScan.
•
Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dal
modulo Protezione dati vengono rimosse dal server.
•
Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezione
dati completamente, è necessario riavviare i dispositivi agente.
•
I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti.
3-15
•
Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi:
•
Adattatori Bluetooth
•
Porte COM e LPT
•
Interfaccia IEEE 1394
•
Dispositivi per l\'acquisizione di immagini
•
Dispositivi a infrarossi
•
Modem
•
Scheda PCMCIA
•
Tasto Stamp
•
Schede NIC wireless:
Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione,
attivare la licenza con un Codice di attivazione valido.
Disinstallazione di Protezione dati da Plug-in Manager
Procedura
1.
2.
Nella schermata Plug-in Manager, andare alla sezione Protezione dati
OfficeScan e fare clic su Disinstalla.
3.
Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è
possibile effettuare altre operazioni.
4.
Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. La
Protezione dati di OfficeScan è di nuovo disponibile per l'installazione.
3-16
Parte II
Protezione degli Agenti
OfficeScan
Capitolo 4
Utilizzo di Trend Micro Smart
Protection
In questo capitolo vengono descritte le soluzioni Trend Micro Smart Protection e le
modalità di impostazione dell'ambiente richiesto per il relativo utilizzo.
•
Informazioni su Trend Micro Smart Protection a pagina 4-2
•
Servizi Smart Protection a pagina 4-3
•
Origini Smart Protection a pagina 4-6
•
File Smart Protection Pattern a pagina 4-8
•
Impostazione dei servizi Smart Protection a pagina 4-13
•
Utilizzo dei servizi Smart Protection a pagina 4-33
4-1
Informazioni su Trend Micro Smart Protection
Trend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti client
cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la
sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite da host
per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agenti leggeri
che accedono alla combinazione cloud unica di tecnologie di reputazione file, posta
elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene
aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi
e utenti che accedono alla rete, creando in tal modo un servizio di protezione reciproca
in tempo reale per gli utenti.
Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione e
correlazione, le soluzioni Trend Micro Smart Protection riducono al minimo la
dipendenza dai download convenzionali dei file di pattern ed eliminano i ritardi
normalmente associati agli aggiornamenti desktop.
L'esigenza di una nuova soluzione
Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni)
richiesti per proteggere i dispositivi vengono per la maggior parte distribuiti in base a
una pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti.
Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/
minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni dei
pattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/
minaccia informatica, tale pattern deve nuovamente essere parzialmente o
completamente aggiornato e ricaricato sull'agente per garantire protezione continua.
Nel corso del tempo, si è verificato un significativo aumento del volume di minacce
emergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corso
degli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischi
per la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezza
rappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulle
prestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, in
generale, sul tempo globale richiesto per offrire una protezione di qualità o sul tempo
necessario a garantirla.
4-2
Utilizzo di Trend Micro Smart Protection
Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delle
minacce, volto a proteggere i clienti Trend Micro dalle minacce poste dal volume di
virus/minacce informatiche. La tecnologia e l'architettura utilizzate in questo approccio
sfruttano la tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce
informatiche nell'ambiente cloud. Scaricando la memorizzazione di queste firme di
virus/minacce informatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti
una migliore protezione contro rischi per la sicurezza emergenti.
Servizi Smart Protection
Smart Protection include servizi che forniscono firme anti-malware, reputazione Web e
database delle minacce che vengono memorizzati nella rete cloud.
I servizi Smart Protection includono:
•
Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero
di firme contro le minacce informatiche (in precedenza memorizzate nei computer
agente) nelle origini Smart Protection.
Per i dettagli, consultare Servizi di reputazione file a pagina 4-3.
•
Servizi di reputazione Web: Servizi di reputazione Web consente alle origini
Smart Protection locali di ospitare i dati di reputazione degli URL che in
precedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicurano
un consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o la
verifica della validità degli URL.
Per i dettagli, consultare Servizi di reputazione Web a pagina 4-4.
•
Smart Feedback: Trend Micro continua a raccogliere informazioni inviate in
forma anonima dai prodotti Trend Micro in tutto il mondo per essere in grado di
individuare nuove minacce in modo proattivo.
Per i dettagli, consultare Smart Feedback a pagina 4-4.
Servizi di reputazione file
I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un
database "in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono
4-3
memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad
elevate prestazioni in termini di disponibilità del contenuto e i server con cache locale
permettono che la latenza durante il processo di controllo sia minima. L'architettura
cloud-agente offre protezione immediata, elimina la necessità di implementare i pattern e
riduce in modo significativo il carico complessivo dell'agente.
Gli Agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione
file. In questo documento tali agenti sono definiti agenti Smart Scan. Gli Agenti. Gli
agenti che non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e
sono definiti agenti con scansione convenzionale. Gli amministratori di OfficeScan
possono configurare tutti gli agenti, o solo alcuni, in modalità Smart Scan.
Servizi di reputazione Web
Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, la
tecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei domini
Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito
Web, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediante
l'analisi del comportamento delle minacce informatiche. Reputazione Web continua
quindi a effettuare la scansione dei siti e impedisce agli utenti l'accesso a quelli infetti. Le
informazioni di reputazione Web contribuiscono a garantire che le pagine visitate dagli
utenti siano sicure e prive di minacce Web quali minacce informatiche, spyware e frodi di
phishing volte a indurre gli utenti a fornire informazioni personali. Per aumentare
l'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Micro
assegna punteggi di reputazione a pagine e collegamenti individuali dei siti anziché
classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi sono
pericolose e la reputazione può cambiare con il tempo.
Gli Agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi
di reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri di
reputazione Web a tutti gli agenti o solo ad alcuni.
Smart Feedback
Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra i
prodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.
Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ogni
4-4
singolo cliente aggiorna automaticamente il database completo delle minacce di Trend
Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessa
minaccia.
Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso la
vasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezione
automatica in tempo reale contro le minacce più recenti e di fornire una migliore
sicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco della
comunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione della
fonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacy
delle informazioni personali o professionali è sempre protetta.
Esempi di informazioni inviate a Trend Micro:
•
Checksum dei file
•
Siti Web visitati
•
Informazioni sui file, compresi dimensioni e percorsi
•
Nomi dei file eseguibili
È possibile interrompere la partecipazione al programma in qualsiasi momento dalla
console Web.
Suggerimento
Per proteggere i dispositivi non è necessario partecipare al programma Smart Feedback. La
partecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Micro
consiglia di partecipare al programma Smart Feedback per contribuire a migliorare la
protezione complessiva di tutti i clienti Trend Micro.
Per ulteriori informazioni su Smart Protection Network, visitare:
http://www.trendmicro.it/tecnologia-innovazione/la-nostra-tecnologia/smartprotection-network/
4-5
Trend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle origini
OfficeScan e Smart Protection.
Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggior
parte delle definizioni dei pattern di virus e minacce informatiche. Gli Agenti OfficeScan
ospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini Smart
Protection se le relative definizioni dei pattern non sono in grado di determinare il
rischio del file. Le origini Smart Protection determinano il rischio utilizzando le
informazioni di identificazione.
Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati di
reputazione Web precedentemente disponibili solo attraverso i server host di Trend
Micro. L'agente invia query di reputazione Web alle origini Smart Protection per
verificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette in
correlazione la reputazione di un sito Web con il criterio di reputazione Web applicato
sul dispositivo per determinare se l'accesso al sito sarà consentito o bloccato.
L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente.
Gli Agenti possono connettersi a Trend Micro Smart Protection Network o a Smart
Protection Server.
Trend Micro™ Smart Protection Network™
Trend Micro™ Smart Protection Network™ è un'infrastruttura per la sicurezza dei
contenuti client cloud di prossima generazione concepita per proteggere gli utenti
contro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestite
da host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio.
Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione
"in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai
database delle minacce. La protezione dei clienti viene aggiornata e rafforzata
automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono
alla rete, creando in tal modo un servizio di vigilanza continua in tempo reale.
Per ulteriori informazioni su Smart Protection Network, visitare:
4-6
http://www.trendmicro.it/tecnologia-innovazione/la-nostra-tecnologia/smartprotection-network/
Smart Protection Server
Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendali
locali. I server locali limitano i servizi Smart Protection alla rete aziendale per una
maggiore efficienza.
Esistono due tipi di Smart Protection Server:
•
Integrated Smart Protection Server: il programma di installazione di OfficeScan
comprende un Integrated Smart Protection Server che viene installato nello stesso
dispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibile
gestire le impostazioni di questo server dalla console Web OfficeScan. Il server
integrato è destinato a implementazioni di OfficeScan su piccola scala. Per
implementazioni più estese, è necessario Smart Protection Server standalone.
•
Smart Protection Server standalone: Smart Protection Server standalone viene
installato su un server VMware o un server Hyper-V. Il server standalone dispone
di una console di gestione separata e non è gestito dalla console Web OfficeScan.
Confronto delle origini Smart Protection
La seguente tabella sottolinea le differenze tra Smart Protection Network e Smart
Protection Server.
Tabella 4-1. Confronto delle origini Smart Protection
Criteri di
confronto
Disponibilità
Disponibile per gli agenti interni,
ovvero gli agenti che soddisfano
i criteri di posizione specificati
nella console Web OfficeScan.
Trend Micro Smart
Protection Network
Disponibile principalmente per gli
agenti esterni, ovvero gli agenti
che non soddisfano i criteri di
posizione specificati nella
console Web OfficeScan.
4-7
Criteri di
confronto
Trend Micro Smart
Protection Network
Scopo
Progettata e finalizzata
all'identificazione dei servizi
Smart Protection per la rete
aziendale al fine di ottimizzare
l'efficienza.
Un'infrastruttura basata su
Internet su scala globale che
fornisce servizi Smart Protection
agli agenti che non possono
accedere direttamente alla loro
rete aziendale.
Amministrazione
Gli amministratori OfficeScan
installano e gestiscono queste
origini Smart Protection.
Trend Micro gestisce questa
origine.
Origine di
aggiornamento
dei pattern
Server ActiveUpdate di Trend
Micro
Server ActiveUpdate di Trend
Micro
Protocolli di
connessione
Agente
HTTP e HTTPS
HTTPS
File Smart Protection Pattern
I file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e i
Servizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il server
ActiveUpdate di Trend Micro.
Smart Scan Agent Pattern
Smart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricato
dall'origine aggiornamenti degli agenti OfficeScan (il server OfficeScan o un'origine
aggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern per
gli agenti Smart Scan.
4-8
Nota
Gli agenti Smart Scan sono Agenti OfficeScan che gli amministratori hanno configurato
per utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi di
reputazione file sono definiti agenti con scansione convenzionale.
Gli agenti Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono la
scansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischio
del file, viene utilizzato un altro pattern: Smart Scan Pattern.
Smart Scan Pattern
Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini Smart
Protection Gli agenti non scaricano lo Smart Scan Pattern. Gli Agenti verificano
potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart
Protection.
Elenco siti Web bloccati
L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli Agenti
OfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco siti
Web bloccati.
Nota
Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad
alcuni.
Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano la
reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di
reputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati di
reputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Web
applicato sul dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito.
4-9
Processo di aggiornamento di Smart Protection Pattern
Tutti gli aggiornamenti degli Smart Protection Pattern provengono dal server
ActiveUpdate di Trend Micro.
Figura 4-1. Processo di aggiornamento dei pattern
Utilizzo degli Smart Protection Pattern
L'Agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per i
rischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern
4-10
non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco siti
Web bloccati quando un utente tenta di accedere a un sito Web. La tecnologia di filtro
avanzata consente all'agente di inserire nella cache i risultati della query. In questo modo
si elimina la necessità di inviare la stessa query per più di una volta.
Gli Agenti che si trovano attualmente nell'Intranet possono connettersi a Smart
Protection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati.
È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sono
stati impostati più Smart Protection Server, gli amministratori possono determinare la
priorità di connessione.
Suggerimento
Installare diversi Smart Protection Server per garantire la continuità della protezione nel
caso in cui la connessione a uno Smart Protection Server non sia disponibile.
4-11
Gli Agenti attualmente non presenti nella Intranet non possono connettersi a Trend
Micro Smart Protection Network per tale operazione. Per connettersi a Smart Protection
Network, è necessaria una connessione ad Internet.
Figura 4-2. Processo di query
Gli Agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezione
fornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di query
precedenti. La protezione viene ridotta solo quando una nuova query si rende necessaria
e l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungere
un'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verifica
consentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessione
all'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo a
scansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono stati
confermati come minaccia.
La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente.
4-12
Tabella 4-2. Comportamenti di protezione in base alla località
Comportamento dei file dei pattern e delle
query
Posizione
Per accedere alla intranet
Senza accesso alla
Intranet, ma con
connessione a Smart
Protection Network
Senza accesso alla
Intranet e senza
connessione a Smart
Protection Network
•
File di pattern: gli Agenti scaricano il file Smart Scan
Agent Pattern dal server OfficeScan o da un'origine
aggiornamenti personalizzata.
•
File e query di reputazione Web: gli Agenti si
connettono a Smart Protection Server per le query.
•
File di pattern: gli Agenti non scaricano il file Smart
Scan Agent Pattern più recente a meno che non sia
disponibile una connessione al server OfficeScan o a
un'origine aggiornamenti personalizzata.
•
File e query di reputazione Web: gli Agenti si
connettono a Smart Protection Network per le query.
•
File di pattern: gli Agenti non scaricano il file Smart
Scan Agent Pattern più recente a meno che non sia
disponibile una connessione al server OfficeScan o a
un'origine aggiornamenti personalizzata.
•
File e query di reputazione Web: gli Agenti non
ricevono i risultati delle query e devono affidarsi a Smart
Scan Agent Pattern e alla cache che contiene i risultati
delle query precedenti.
Impostazione dei servizi Smart Protection
Prima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazione
Web, è necessario assicurarsi che l'ambiente sia stato impostato correttamente.
Controllare quanto segue:
•
Installazione di Smart Protection Server a pagina 4-14
•
Gestione di Integrated Smart Protection Server a pagina 4-20
•
Elenco delle origini Smart Protection a pagina 4-24
•
Impostazioni del proxy di connessione all'agente a pagina 4-32
4-13
•
Installazioni di Trend Micro Network VirusWall a pagina 4-33
Installazione di Smart Protection Server
Se il numero degli agenti è minore o uguale a 1.000, è possibile installare Smart
Protection Server integrato o standalone. Installare uno Smart Protection Server
standalone se il numero degli agenti è superiore a 1.000.
Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Gli
Agenti che non sono in grado di connettersi a un server particolare tenteranno di
connettersi agli altri server impostati.
Dato che il server integrato e il server OfficeScan vengono eseguiti nello stesso
dispositivo, le prestazioni del dispositivo possono diminuire in modo significativo
durante i periodi di traffico intenso per i due server. Si consideri di utilizzare uno Smart
Protection Server standalone come origine Smart Protection principale per gli agenti e il
server integrato come supporto di backup.
Installazione di Smart Protection Server standalone
Per istruzioni sull'installazione e la gestione di Smart Protection Server standalone,
consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server.
Installazione di Integrated Smart Protection Server
Se durante l'installazione del server OfficeScan è stato installato Integrated Smart
Protection Server:
•
Attivare Integrated Smart Protection Server e configurare le impostazioni per il
server. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina
4-20.
•
Se il server integrato e l'Agente OfficeScan si trovano sullo stesso computer server,
considerare la possibilità di disattivare il firewall di OfficeScan. Il firewall
OfficeScan è destinato a essere utilizzato per il dispositivo agente e può avere
un'influenza negativa sulle prestazioni dei server. Per le istruzioni per disattivare il
firewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6.
4-14
Nota
Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani della
sicurezza.
Suggerimento
Installare Integrated Smart Protection Server dopo aver completato l'installazione
OfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15.
Integrated Smart Protection Server Tool
Trend Micro OfficeScan Integrated Smart Protection Tool consente agli amministratori
di installare o disinstallare Integrated Smart Protection Server al termine
dell'installazione del server OfficeScan. La versione corrente di OfficeScan non consente
agli amministratori di installare/rimuovere Integrated Smart Protection Server una volta
completata l'installazione del server OfficeScan. Questo strumento migliora la flessibilità
delle funzionalità di installazione rispetto alle versioni precedenti di OfficeScan.
Prima di installare Integrated Smart Protection Server, importare i seguenti elementi sul
server OfficeScan 11.0 SP1 aggiornato:
•
Strutture dei domini
•
Il livello principale e le impostazioni del livello dei domini seguenti:
•
Configurazioni di scansione per tutti i tipi di scansione (Manuale, In tempo
reale, Pianificata, Esegui scansione)
•
Impostazioni di reputazione Web
•
Impostazione del monitoraggio del comportamento
•
Impostazioni di controllo dispositivo
•
Impostazioni di Prevenzione perdita di dati
•
Privilegi e altre impostazioni
•
Impostazioni aggiuntive del servizio
•
Elenco approvati spyware/grayware
4-15
•
•
•
Criteri e profili del firewall
•
•
Pianificazione aggiornamento del server
•
Pianificazione e origine dell'aggiornamento agente
•
Notifiche
•
Impostazioni proxy
Procedura
1.
Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione del
server>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trova ISPSInstaller.exe.
2.
Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti:
Tabella 4-3. Opzioni del programma di installazione
Comando
ISPSInstaller.exe /i
Descrizione
Installa Integrated Smart Protection Server
utilizzando le impostazioni della porta predefinita.
Per ulteriori informazioni sulle impostazioni della
porta predefinita, consultare la tabella seguente.
4-16
Comando
ISPSInstaller.exe /i /f:
[numero porta] /s:[numero
porta] /w:[numero porta]
Descrizione
Installa Integrated Smart Protection Server
utilizzando le porte specificate.
Nota
È possibile configurare le porte solo
quando si utilizza un server Web Apache.
Dove:
/f:[numero porta] rappresenta la porta di
•
reputazione del file HTTP
/s:[numero porta] rappresenta la porta di
•
reputazione del file HTTPS
/w:[numero porta] rappresenta la porta di
•
reputazione Web
Nota
Alla porta non specificata viene assegnato
automaticamente un valore predefinito.
ISPSInstaller.exe /u
Disinstalla Integrated Smart Protection Server
Tabella 4-4. Porte dei servizi di reputazione dell'Integrated Smart Protection
Server
Server Web e
impostazioni
Porte per Servizi di
reputazione file
HTTP
HTTPS (SSL)
Porta HTTP
per i Servizi
di
reputazione
Web
Server Apache Web con SSL
attivato
8082
4345 (non
configurabile)
5274 (non
configurabile)
Server Apache Web con SSL
disattivato
8082
4345 (non
configurabile)
5274 (non
configurabile)
4-17
Porte per Servizi di
reputazione file
Server Web e
impostazioni
3.
HTTP
HTTPS (SSL)
Porta HTTP
per i Servizi
di
reputazione
Web
Sito Web predefinito IIS con
SSL attivato
80
443 (non
configurabile)
80 (non
configurabile)
Sito Web predefinito IIS con
SSL disattivato
80
443 (non
configurabile)
80 (non
configurabile)
Sito Web virtuale IIS con SSL
attivato
8080
4343
(configurabile)
8080
(configurabile)
Sito Web virtuale IIS con SSL
disattivato
8080
4343
(configurabile)
8080
(configurabile)
Dopo il completamento dell'installazione, aprire la console Web OfficeScan e
verificare quanto segue:
•
•
Aprire Microsoft Management Console (digitando services.msc nel
menu Avvia) e verificare che Trend Micro Local Web Classification Server e
Trend Micro Smart Scan Server siano elencati con lo stato "Avviato".
Aprire Windows Task Manager. Nella scheda Processi, verificare che
iCRCService.exe e LWCSService.exe siano in esecuzione,
•
Nella console Web OfficeScan, verificare che sia visualizzata la voce di menu
Amministrazione > Smart Protection > Server integrato.
Migliori pratiche per Smart Protection Server
Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioni
•
Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate.
Suddividere le scansioni in gruppi.
•
Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Esegui
scansione simultaneamente.
4-18
•
Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa
512 Kbps, modificando il file ptngrowth.ini.
Personalizzazione di ptngrowth.ini per il server standalone
Procedura
1.
Aprire il file ptngrowth.ini in /var/tmcss/conf/.
2.
Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:
•
[COOLDOWN]
•
ENABLE=1
•
MAX_UPDATE_CONNECTION=1
•
UPDATE_WAIT_SECOND=360
3.
Salvare il file ptngrowth.ini.
4.
Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia della riga di
comando (CLI, Command Line Interface):
•
service lighttpd restart
Personalizzazione di ptngrowth.ini per il server integrato
Procedura
1.
Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV\WSS\.
2.
Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:
•
[COOLDOWN]
•
ENABLE=1
•
MAX_UPDATE_CONNECTION=1
4-19
•
UPDATE_WAIT_SECOND=360
3.
Salvare il file ptngrowth.ini.
4.
Riavviare il servizio Trend Micro Smart Protection Server.
Gestione di Integrated Smart Protection Server
Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni:
•
Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del
server integrato
•
Registrazione degli indirizzi del server integrato
•
Aggiornamento dei componenti del server integrato
•
Configurazione dell'Elenco URL approvati/bloccati del server integrato
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
Attivazione dei Servizi di reputazione Web e dei Servizi di
reputazione file del server integrato
Affinché gli agenti siano in grado di inviare query di reputazione Web o di scansione al
server integrato, è necessario attivare i Servizi di reputazione file e i Servizi di
reputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato di
aggiornare i componenti dal server ActiveUpdate.
Questi servizi vengono attivati automaticamente se si sceglie di installare il server
integrato durante l'installazione del server OfficeScan.
Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Server
standalone ai quali gli agenti possono inviare le query.
pagina 4-23.
4-20
Registrazione degli Indirizzi del server integrato
Gli indirizzi del server integrato sono necessari per configurare l'elenco delle origini
Smart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedere
Elenco delle origini Smart Protection a pagina 4-24.
Quando inviano le query al server integrato, gli agenti identificano il server attraverso
uno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. La
connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentre
quella HTTP richiede un utilizzo di ampiezza di banda inferiore.
Quando gli agenti inviano query di reputazione Web, identificano il server integrato
dall'indirizzo dei relativi Servizi di reputazione Web.
Suggerimento
Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo server
integrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del server
integrato all'elenco delle origini Smart Protection.
pagina 4-23.
Aggiornamento dei componenti del server integrato
Il server integrato aggiorna i seguenti componenti:
•
Smart Scan Pattern: Gli Agenti OfficeScan verificano potenziali minacce rispetto
a Smart Scan Pattern inviando query di scansione al server integrato.
•
Elenco siti Web bloccati: gli Agenti OfficeScan ai quali vengono applicati i criteri
di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti
Web bloccati inviando query di reputazione Web al server integrato.
È possibile aggiornare manualmente tali componenti o configurare una pianificazione di
aggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate.
4-21
Nota
Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal
server ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi al
server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli
indirizzi IP, come ad esempio DeleGate.
pagina 4-23.
Configurazione dell'Elenco URL approvati/bloccati del
server integrato
Gli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurare
l'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultare
Criteri di reputazione Web a pagina 11-5 per ulteriori informazioni). Qualsiasi URL
nell'elenco dell'agente verrà automaticamente consentito o bloccato.
Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non è
presente nell'elenco dell'agente, l'agente invia una query di reputazione Web al server
integrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL si
trova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica
all'agente di consentire o bloccare l'URL.
Nota
L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati.
Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato,
importare un elenco da Smart Protection Server standalone. Non è possibile aggiungere
manualmente gli URL.
pagina 4-23.
4-22
Configurazione delle impostazioni di Integrated Smart
Protection Server
Procedura
1.
Accedere a Amministrazione > Smart Protection > Server integrato.
2.
Selezionare Attiva Servizi di reputazione file.
3.
Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare le
query di scansione al server integrato.
4.
Selezionare Attiva Servizi di reputazione Web.
5.
Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server.
6.
Per aggiornare i componenti del server integrato:
•
Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Web
bloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Il
risultato dell'aggiornamento viene visualizzato nella parte superiore della
schermata.
•
Per aggiornare automaticamente il pattern:
a.
Selezionare Attiva aggiornamenti pianificati.
b.
Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti.
c.
Selezionare un'origine aggiornamenti in Servizi di reputazione file.
Smart Scan Pattern verrà aggiornato da questa origine.
d.
Selezionare un'origine aggiornamenti in Servizi di reputazione Web.
L'Elenco siti Web bloccati verrà aggiornato da questa origine.
4-23
Nota
7.
8.
•
Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che il
server disponga di una connessione a Internet e, se si utilizza un server proxy,
verificare se la connessione a Internet è disponibile utilizzando le impostazioni
proxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-22 per
ulteriori dettagli.
•
Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e
le risorse di aggiornamento appropriate su tale origine di aggiornamento.
Accertarsi, inoltre, che la connessione tra il computer server e l'origine
aggiornamenti funzioni. Per ottenere supporto per la configurazione di
un'origine di aggiornamento, contattare l'assistenza tecnica.
Per configurare l'elenco dei siti approvati/bloccati del server integrato:
a.
Fare clic su Importa per immettere nell'elenco gli URL del file .csv
preformattato. È possibile ottenere il file .csv da uno Smart Protection Server
standalone.
b.
Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco in
un file .csv.
Fare clic su Salva.
Elenco delle origini Smart Protection
Gli Agenti inviano query alle origini Smart Protection quando eseguono la scansione per
i rischi sulla sicurezza e per determinare la reputazione di un sito Web.
Supporto IPv6 per le origini Smart Protection
Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4,
come:
•
4-24
Smart Protection Server 2.0 (integrato o standalone)
Nota
Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5.
•
Analogamente, un agente IPv4 puro non è in grado di inviare query agli Smart
Protection Server IPv6 puri.
Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dualstack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.
Origini Smart Protection e posizione dispositivo
L'origine Smart Protection a cui si connette l'agente dipende dalla posizione del
dispositivo agente.
Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedere
Posizione dispositivo a pagina 14-2.
Tabella 4-5. Origini Smart Protection per località
Posizione
Esterni
Gli agenti esterni inviano query di reputazione Web e di scansione a
Trend Micro Smart Protection Network.
4-25
Posizione
Interni
Gli agenti interni inviano query di reputazione Web e di scansione a
Smart Protection Server o a Trend Micro Smart Protection Network.
Se sono stati installati gli Smart Protection Server, configurare l'elenco
delle origini di Smart Protection nella console Web OfficeScan. Un
agente interno sceglie un server dall'elenco se deve inviare una query.
Se l'agente non è in grado di connettersi al primo server, ne sceglie un
altro dall'elenco.
Suggerimento
Assegnare uno Smart Protection Server standalone come origine
di scansione principale e il server integrato come backup. In tal
modo si riduce il traffico diretto al dispositivo che ospita il server
OfficeScan e il server integrato. Inoltre il server standalone è in
grado di elaborare un maggior numero di query.
È possibile configurare un elenco standard o personalizzato di origini
Smart Protection. L'elenco standard è utilizzato da tutti gli agenti interni.
L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzo
IP di un agente interno è compreso nell'intervallo, l'agente utilizza
l'elenco personalizzato.
Configurazione dell'elenco standard di Origini Smart
Protection
Procedura
1.
Accedere a Amministrazione > Smart Protection > Origini Smart Protection.
2.
Fare clic sulla scheda Agenti interni.
3.
Selezionare Utilizza l'elenco standard (per tutti gli agenti interni).
4.
Fare clic sul collegamento elenco standard.
5.
4-26
6.
Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se
viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.
Nota
Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a
Smart Protection Server.
7.
Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione
utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una
connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza
di banda inferiore.
a.
Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto del
server per le richieste HTTP. Se si desidera che gli agenti utilizzino l'HTTPS,
selezionare SSL e immettere la porta di ascolto del server per le richieste
HTTPS.
b.
Per verificare se è possibile stabilire una connessione con il server, fare clic su
Test di connessione.
Suggerimento
Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere
l'indirizzo del server:
Per il server integrato, aprire la console Web OfficeScan e accedere a
Per il server standalone, aprire la console del server standalone e andare alla
schermata Riepilogo.
8.
Selezionare Servizi di reputazione file. Gli agenti inviano query di reputazione
Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.
a.
Immettere la porta di ascolto del server per le richieste HTTP.
b.
Per verificare se è possibile stabilire una connessione con il server, fare clic su
Test di connessione.
4-27
9.
Fare clic su Salva.
La schermata si chiude.
10. Aggiungere altri server ripetendo i passaggi precedenti.
11. Sulla parte superiore della schermata, selezionare Ordine o Casuale.
•
Ordine: gli agenti scelgono i server nell'ordine con il quale sono visualizzati
nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine
per spostare i server in alto e in basso all'interno dell'elenco.
•
Casuale: gli agenti scelgono i server in modo casuale.
Suggerimento
Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti
nello stesso dispositivo, le sue prestazioni possono diminuire in modo significativo
durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il
computer server OfficeScan, assegnare uno Smart Protection Server standalone come
origine di Smart Protection principale e il server integrato come origine di backup.
12. Eseguire operazioni varie sulla schermata.
•
Se l'elenco è stato esportato da un altro server e occorre importarlo in questa
schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene
importato nella schermata.
•
Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su
Salva.
•
Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.
•
Fare clic sul nome del server per effettuare una delle operazioni riportate di
seguito:
•
4-28
•
Per visualizzare o modificare le informazioni del server.
•
Visualizzare l'indirizzo completo del server per Servizi di reputazione
Web o Servizi di reputazione file.
Per aprire la console di uno Smart Protection Server, fare clic su Avvia
console.
•
•
Per Integrated Smart Protection Server, viene visualizzata la schermata di
configurazione del server.
•
Per Smart Protection Server standalone e Integrated Smart Protection
Server di un altro server OfficeScan viene visualizzata la schermata di
accesso.
Per eliminare una voce, selezionare la casella di controllo del server e fare clic
su Elimina.
La schermata si chiude.
14. Fare clic su Invia una notifica tutti gli agenti.
Configurazione degli elenchi personalizzati di Origini Smart
Protection
Procedura
1.
Accedere a Amministrazione > Smart Protection > Origini Smart Protection.
2.
Fare clic sulla scheda Agenti interni.
3.
Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente.
4.
Facoltativamente, selezionare Utilizza l'elenco standard quando nessun server
degli elenchi personalizzati è disponibile.
5.
6.
Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, o
entrambi.
4-29
Nota
Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a Smart
Protection Server dual-stack. Gli agenti con un indirizzo IPv6 possono connettersi a
un IPv6 o a Smart Protection Server dual-stack. Gli agenti con entrambi gli indirizzi
IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server.
7.
8.
Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agenti
utilizzeranno per connettersi agli Smart Protection Server.
a.
Selezionare Utilizza un server proxy per la comunicazione tra l'agente e
lo Smart Protection Server.
b.
Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server
proxy.
c.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la
password.
Nell'Elenco personalizzato Smart Protection Server, aggiungere gli Smart
Protection Server.
a.
Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server.
Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.
Nota
Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono
a Smart Protection Server.
b.
4-30
Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione
utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una
connessione più sicura mentre il protocollo HTTP richiede un utilizzo di
ampiezza di banda inferiore.
i.
Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di
ascolto del server per le richieste HTTP. Se si desidera che gli agenti
utilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto del
server per le richieste HTTPS.
ii.
Per verificare se è possibile stabilire una connessione con il server, fare
clic su Test di connessione.
Suggerimento
Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere
l'indirizzo del server:
Per il server integrato, aprire la console Web OfficeScan e accedere a
Per il server standalone, aprire la console del server standalone e andare
alla schermata Riepilogo.
c.
Selezionare Servizi di reputazione file. Gli agenti inviano query di
reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.
i.
Immettere la porta di ascolto del server per le richieste HTTP.
ii.
Per verificare se è possibile stabilire una connessione con il server, fare
clic su Test di connessione.
d.
Fare clic su Aggiungi all'elenco.
e.
Aggiungere altri server ripetendo i passaggi precedenti.
f.
Selezionare Ordine o Casuale.
•
Ordine: gli agenti scelgono i server nell'ordine con il quale sono
visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella
colonna Ordine per spostare i server in alto e in basso all'interno
dell'elenco.
•
Casuale: gli agenti scelgono i server in modo casuale.
Suggerimento
Dato che Integrated Smart Protection Server e il server OfficeScan vengono
eseguiti nello stesso computer, le prestazioni possono diminuire in modo
significativo durante i periodi di traffico intenso per i due server. Per ridurre il
traffico verso il computer server OfficeScan, assegnare uno Smart Protection
Server standalone come origine di Smart Protection principale e il server
integrato come origine di backup.
g.
Eseguire operazioni varie nella schermata.
4-31
•
Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.
•
Per aprire la console di uno Smart Protection Server, fare clic su Avvia
console.
•
9.
•
Per Integrated Smart Protection Server, viene visualizzata la
schermata di configurazione del server.
•
Per Smart Protection Server standalone e Integrated Smart
Protection Server di un altro server OfficeScan viene visualizzata la
schermata di accesso.
Per eliminare una voce, fare clic su Elimina (
).
Fare clic su Salva.
La schermata si chiude. L'elenco appena aggiunto viene visualizzato come
collegamento dell'intervallo IP nella tabella Intervallo IP
10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati.
11. Eseguire operazioni varie nella schermata.
•
Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindi
modificare le impostazioni nella schermata visualizzata.
•
Salva.
•
12. Fare clic su Invia una notifica tutti gli agenti.
Impostazioni del proxy di connessione all'agente
Se la connessione a Smart Protection Network richiede l'autenticazione proxy,
specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per gli
agenti OfficeScan a pagina 14-55.
4-32
Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durante
la connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno per
gli agenti OfficeScan a pagina 14-53.
Impostazioni sulla posizione dell'dispositivo
OfficeScan comprende la funzione di Location Awareness in grado di identificare la
posizione del computer agente e determinare se l'agente si connette a Smart Protection
Network o a Smart Protection Server. In tal modo, gli agenti rimangono protetti
indipendentemente dalla loro posizione.
Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 14-2.
Installazioni di Trend Micro Network VirusWall
Se è installato Trend Micro™ Network VirusWall™ Enforcer:
•
Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build
1013 per Network VirusWall Enforcer 1200).
•
Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguire
l'aggiornamento del motore OPSWAT alla versione 2.5.1017.
Utilizzo dei servizi Smart Protection
Dopo che l'ambiente Smart Protection è stato impostato correttamente, gli agenti
possono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche
possibile iniziare a configurare le impostazioni di Smart Feedback.
Nota
Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione dei
servizi Smart Protection a pagina 4-13.
Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agenti
devono usare un metodo di scansione denominato Smart Scan. Per informazioni su
4-33
Smart Scan e su come attivarlo sugli agenti, consultare Tipi di metodi di scansione a pagina
7-8.
Per consentire agli Agenti OfficeScan di usare Servizi di reputazione Web, configurare i
criteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina
11-5.
Nota
Le impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. A
seconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti o
configurare impostazioni diverse per i singoli agenti o per gruppi agente.
Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina
13-64.
4-34
Capitolo 5
Installazione dell'agente OfficeScan
In questo capitolo vengono descritti i requisiti di sistema di OfficeScan e le procedure di
installazione dell'Agente OfficeScan.
Per ulteriori informazioni sull'aggiornamento dell'Agente OfficeScan, consultare la Guida
all'installazione e all'aggiornamento di OfficeScan.
•
Installazioni da zero dell'agent OfficeScan a pagina 5-2
•
Considerazioni sull'installazione a pagina 5-2
•
Considerazioni sull'implementazione a pagina 5-11
•
Migrazione all'agente OfficeScan a pagina 5-66
•
Post-installazione a pagina 5-70
•
Disinstallazione del Agente OfficeScan a pagina 5-73
5-1
Installazioni da zero dell'agent OfficeScan
L'Agente OfficeScan può essere installato su computer con piattaforme Microsoft
Windows. OfficeScan è compatibile anche con vari prodotti di terze parti.
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e dei
prodotti compatibili di terze parti:
Considerazioni sull'installazione
Prima di installare gli agenti, valutare le informazioni riportate di seguito.
Tabella 5-1. Considerazioni sull'installazione dell'agente
Considerazi
one
Supporto della
funzione
Windows
Alcune funzioni dell'Agente OfficeScan non sono disponibili su
determinate piattaforme Windows.
Supporto IPv6
L'Agente OfficeScan può essere installato su agenti dual-stack o IPv6
puri. Tuttavia:
Indirizzi IP del
Agente
OfficeScan
5-2
Descrizione
•
Alcuni sistemi operativi Windows sui quali è possibile installare
l'Agente OfficeScan non supportano l'indirizzamento IPv6.
•
Alcuni metodi di installazione richiedono dei requisiti particolari
per installare correttamente l'Agente OfficeScan.
Per gli agenti con indirizzi IPv4 e IPv6, è possibile scegliere quale
indirizzo IP sarà usato dall'agente per effettuare la registrazione al
server.
Considerazi
one
Elenco
eccezioni
Descrizione
assicurarsi che gli elenchi di eccezioni per le funzioni seguenti siano
configurati correttamente:
•
Monitoraggio del comportamento: aggiungere le applicazioni
importanti del dispositivo all'elenco Programmi approvati per
evitare che tali applicazioni siano bloccate dall'Agente OfficeScan.
Per ulteriori informazioni, consultare Elenco eccezioni
Monitoraggio del comportamento a pagina 8-7.
•
Reputazione Web: aggiungere i siti Web considerati sicuri
all'elenco URL approvati per evitare che l'Agente OfficeScan
blocchi l'accesso ai siti Web. Per ulteriori informazioni, consultare
Criteri di reputazione Web a pagina 11-5.
Funzioni dell'Agente OfficeScan
Le funzioni dell'Agente OfficeScan disponibili nel dispositivo dipendono dal sistema
operativo del dispositivo.
Tabella 5-2. Funzioni dell'Agente OfficeScan su piattaforme server
Sistema operativo Windows
Funzione
Server 2003
Server 2008/
Server Core
2008
Server 2012/
Server Core
2012
Scansione manuale,
scansione in tempo
reale e scansione
pianificata.
Sì
Sì
Sì
Aggiornamento dei
componenti
(aggiornamento
manuale e pianificato)
Sì
Sì
Sì
Update Agent
Sì
Sì
Sì
5-3
Server 2003
Server 2008/
Server Core
2008
Reputazione Web
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma è
supportato solo il
browser Microsoft
Edge
Damage Cleanup
Services
Sì
Sì
Sì
Firewall di OfficeScan
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server e Filtro di
applicazioni non
supportato
Monitoraggio del
comportamento
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Funzione
Protezione automatica
dell'Agente per:
5-4
•
Chiavi di registro
•
Processi
Server 2012/
Server Core
2012
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Funzione
Protezione automatica
dell'Agente per:
Server 2003
Server 2008/
Server Core
2008
Server 2012/
Server Core
2012
Sì
Sì
Sì
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Scansione e-mail
POP3
Sì
Sì
Sì
Agente Plug-in
Manager
Sì
Sì
Sì
Modalità roaming
Sì
Sì (Server)
Sì
•
Servizi
•
Protezione file
(Servizio prevenzione
modifiche non
autorizzate)
Protezione dati
(inclusa protezione dati
per controllo
dispositivo)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (Server Core)
Smart Feedback
Sì
Sì
Sì
5-5
Tabella 5-3. Funzioni dell'Agente OfficeScan su piattaforme server
Funzione
5-6
XP
Vista
Windows
7
Windows
8/8.1
Windows
10
Scansione manuale,
scansione in tempo
reale e scansione
pianificata.
Sì
Sì
Sì
Sì
Sì
Aggiornamento dei
componenti
(aggiornamento
manuale e
pianificato)
Sì
Sì
Sì
Sì
Sì
Update Agent
Sì
Sì
Sì
Sì
Sì
Reputazione Web
Sì
Sì
Sì
Sì, ma è
supportata
solo la
modalità
interfaccia
utente di
Windows
Sì
Damage Cleanup
Services
Sì
Sì
Sì
Sì
Sì
Firewall di
OfficeScan
Sì
Sì
Sì
Sì, ma non
è
supportato
Filtro di
applicazio
ni
Sì, ma non
è
supportato
Filtro di
applicazio
ni
Funzione
Monitoraggio del
comportamento
XP
Vista
Windows
7
Windows
8/8.1
Windows
10
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Il supporto
di Vista a
64 bit
richiede
SP1 o SP2
Protezione
automatica
dell'Agente per:
•
Chiavi di registro
•
Processi
Protezione
automatica
dell'Agente per:
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Il supporto
di Vista a
64 bit
richiede
SP1 o SP2
Sì
Sì
Sì
Sì
Sì
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
(Servizio
prevenzione
modifiche non
autorizzate)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
•
Servizi
•
Protezione file
Il supporto
di Vista a
64 bit
richiede
SP1 o SP2
5-7
Funzione
XP
Vista
Windows
7
Windows
8/8.1
Windows
10
Protezione dati
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
(inclusa protezione
dati per controllo
dispositivo)
Sì (32 bit)
in modalità
desktop
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
in modalità
desktop
Sì (64 bit)
Scansione e-mail
POP3
Sì
Sì
Sì
Sì
Sì
Agente Plug-in
Manager
Sì
Sì
Sì
Sì
Sì
Modalità roaming
Sì
Sì
Sì
Sì
Sì
Smart Feedback
Sì
Sì
Sì
Sì
Sì
Installazione dell'Agente OfficeScan e supporto IPv6
In questo argomento vengono illustrate le considerazioni relative all'installazione
dell'Agente OfficeScan su agenti dual-stack o IPv6 puri.
Sistema operativo
L'Agente OfficeScan può essere installato solo sui seguenti sistemi operativi che
supportano l'indirizzamento IPv6:
5-8
•
Windows Vista™ (tutte le edizioni)
•
Windows Server 2008 (tutte le edizioni)
•
Windows 7 (tutte le edizioni)
•
Windows Server 2012 (tutte le edizioni)
•
Windows 8/8.1 (tutte le edizioni)
•
Windows 10 (Home, Pro, Education ed Enterprise Edition)
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:
Metodi di installazione
Per installare l'Agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibile
utilizzare tutti i metodi di installazione dell'Agente OfficeScan. Alcuni metodi di
installazione richiedono dei requisiti particolari per installare correttamente l'Agente
OfficeScan.
Non è possibile migrare ServerProtect™ all'Agente OfficeScan con lo strumento di
migrazione del server normale ServerProtect in quanto lo strumento non supporta
l'indirizzamento IPv6.
Tabella 5-4. Metodi di installazione e supporto IPv6
Metodo di
installazione
Pagina di installazione
Web e installazione
basata sul browser
Requisiti e considerazioni
L'URL per la pagina di installazione include il nome host del
server OfficeScan o il relativo indirizzo IP.
Se si sta effettuando l'installazione su un agente IPv6 puro, il
server deve essere dual-stack o IPv6 puro e il relativo nome
host o indirizzo IPv6 deve essere incluso nell'URL.
Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nella
schermata dello stato d'installazione dipende dall'opzione
selezionata nella sezione Indirizzo IP preferito di Agenti >
Impostazioni globali agente.
5-9
Metodo di
installazione
Requisiti e considerazioni
Agent Packager
Quando si esegue lo strumento Packager, è necessario
scegliere se assegnare i privilegi Update Agent all'agente.
Tenere presente che gli Update Agent IPv6 puri possono
distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack.
Conformità sicurezza,
Vulnerability Scanner e
installazione remota
Un server IPv6 puro non può installare l'Agente OfficeScan su
dispositivi IPv4 puri. Analogamente, un server IPv4 puro non
può installare l'Agente OfficeScan su dispositivi IPv6 puri.
Indirizzi IP dell'agente
I server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possono
gestire i seguenti Agenti OfficeScan:
•
I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agenti
IPv6 puri.
•
I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6
assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri.
Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al server
usando un indirizzo IP.
•
Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6.
•
Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4.
•
Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 o
IPv6. È possibile scegliere l'indirizzo IP che verrà utilizzato dagli agenti.
Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stack
per la registrazione al server
Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solo
dagli agenti dual-stack.
5-10
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione Indirizzo IP preferito.
3.
Scegliere una delle opzioni elencate di seguito.
4.
•
Solo IPv4: gli agenti utilizzano il proprio indirizzo IPv4
•
Prima IPv4, poi IPv6: gli agenti utilizzano prima il proprio indirizzo IPv4 Se
l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4,
utilizza l'indirizzo IPv6. Se non è possibile effettuare la registrazione con alcun
indirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per
questa selezione.
•
Prima IPv6, poi IPv4: gli agenti utilizzano prima il proprio indirizzo IPv6 Se
l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6,
utilizza l'indirizzo IPv4. Se non è possibile effettuare la registrazione con alcun
indirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per
questa selezione.
Fare clic su Salva.
Considerazioni sull'implementazione
Questa sezione fornisce un riepilogo dei diversi metodi di installazione dell'Agente
OfficeScan disponibili per l'installazione da zero dell'Agente OfficeScan. Tutti i metodi
di installazione necessitano dei privilegi di amministratore sui computer di destinazione.
Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere le
istruzioni riportate in Installazione dell'Agente OfficeScan e supporto IPv6 a pagina 5-8.
5-11
Tabella 5-5. Considerazioni sull'implementazione per l'installazione
Metodo di
installazione/
Supporto
sistema
operativo
Pagina di
installazione sul
Web
Implem
entazi
one
WAN
Gestion
e
centrali
zzata
Richie
de
interv
ento
utente
Richi
ede
risor
sa IT
Implem
entazi
one di
massa
Ampiezza
di banda
utilizzata
No
No
Sì
No
No
Alto
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
Supportato su tutti i
sistemi operativi a
eccezione di
Windows Server
Core 2008 e
Windows 8/8.1/
Server 2012/Server
Core 2012 in
modalità interfaccia
utente di Windows
Installazioni basate
su browser
Supporto per tutti i
sistemi operativi
Nota
Non
supportato in
Windows 8,
8.1 o
Windows
Server 2012
in modalità
interfaccia
utente di
Windows.
5-12
Metodo di
installazione/
Supporto
sistema
operativo
Installazioni basate
su UNC
Implem
entazi
one
WAN
Gestion
e
centrali
zzata
Richie
de
interv
ento
utente
Richi
ede
risor
sa IT
Implem
entazi
one di
massa
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
No
Sì
No
Sì
No
Alto
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
sistemi operativi
Installazioni remote
Ampiezza
di banda
utilizzata
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
•
Windows 8/8.1
(versioni base)
•
Windows 10
Home Edition
Impostazione script
di accesso
sistemi operativi
5-13
Metodo di
installazione/
Supporto
sistema
operativo
Agent Packager
Implem
entazi
one
WAN
Gestion
e
centrali
zzata
Richie
de
interv
ento
utente
Richi
ede
risor
sa IT
Implem
entazi
one di
massa
No
No
Sì
Sì
No
Basso, se
pianificato
Sì
Sì
Sì/No
Sì
Sì
Basso, se
pianificato
Sì
Sì
Sì/No
Sì
Sì
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
No
No
No
Sì
No
Basso
sistemi operativi
Agent Packager
(pacchetto MSI
implementato
tramite Microsoft
SMS)
Ampiezza
di banda
utilizzata
sistemi operativi
Agent Packager
(pacchetto MSI
implementato
tramite Active
Directory)
sistemi operativi
Immagine disco
dell'agente
sistemi operativi
5-14
Metodo di
installazione/
Supporto
sistema
operativo
Trend Micro
Vulnerability
Scanner (TMVS)
Implem
entazi
one
WAN
Gestion
e
centrali
zzata
Richie
de
interv
ento
utente
Richi
ede
risor
sa IT
Implem
entazi
one di
massa
Ampiezza
di banda
utilizzata
No
Sì
No
Sì
No
Alto
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 8/8.1
(versioni base)
•
Windows 10
Home Edition
5-15
Metodo di
installazione/
Supporto
sistema
operativo
Installazioni di
conformità
sicurezza
Implem
entazi
one
WAN
Gestion
e
centrali
zzata
Richie
de
interv
ento
utente
Richi
ede
risor
sa IT
Implem
entazi
one di
massa
Ampiezza
di banda
utilizzata
No
Sì
No
Sì
No
Alto
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
•
Windows 8/8.1
(versioni base)
•
Windows 10
Home Edition
Installazioni della pagina di installazione sul Web
Affinché gli utenti possano installare il programma Agente OfficeScan dalla pagina di
installazione Web, il server OfficeScan deve essere installato nei dispositivi che utilizzano
una delle piattaforme riportate di seguito:
•
Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x
•
Windows Server 2008 con Internet Information Server (IIS) 7.0
5-16
•
Windows Server 2008 R2 con Internet Information Server (IIS) 7.5
•
Windows Server 2012 con Internet Information Server (IIS) 8.0
Per installare dalla pagina di installazione Web, occorre disporre della configurazione
riportata di seguito:
•
•
Internet Explorer con il livello di sicurezza impostato in modo da consentire i
controlli ActiveX™. Sono richieste le versioni seguenti:
•
versione 6.0 con Windows XP e Windows Server 2003
•
versione 7.0 con Windows Vista e Windows Server 2008
•
versione 8.0 con Windows 7
•
versione 10.0 su Windows 8/8.1 e Windows Server 2012
•
versione 11.0 con Windows 10
Privilegi di amministratore sul dispositivo
Per installare l'Agente OfficeScan dalla pagina di installazione Web, inviare agli utenti le
seguenti istruzioni. Per inviare una notifica di installazione tramite messaggio e-mail,
vedere Avvio di un'installazione basata sul browser a pagina 5-19.
Installazione dalla pagina di installazione Web
Procedura
1.
Accedere al dispositivo utilizzando un account amministratore integrato.
Nota
Per le piattaforme Windows 7, 8, 8.1, 10 occorre aver attivato prima l'account di
amministratore predefinito. Per impostazione predefinita Windows 7, 8, 8.1 e 10
disattivano l'account di amministratore predefinito. Per ulteriori informazioni, fare
riferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/
library/dd744293%28WS.10%29.aspx).
2.
Se si effettua l'installazione su dispositivi con Windows XP, Vista, Server 2008, 7, 8,
8.1, 10 or Server 2012, attenersi alla procedura riportata di seguito:
5-17
3.
a.
Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (ad
esempio https://<nome server OfficeScan>:4343/officescan) all'elenco di siti
affidabili. In Windows XP Home, per accedere a tale elenco fare clic su
Strumenti > Opzioni Internet > Protezione, selezionare l'icona Siti
affidabili e fare clic su Siti.
b.
Modificare le impostazioni di sicurezza di Internet Explorer e attivare
Richiesta di conferma automatica per controlli ActiveX. In Windows XP,
per effettuare la stessa operazione selezionare Strumenti > Opzioni
Internet > Protezione e fare clic su Livello personalizzato.
Aprire una finestra di Internet Explorer e digitare quanto segue:
https://<nome server OfficeScan>:<porta>/officescan
4.
Fare clic sul collegamento del programma di installazione nella pagina di
accesso, per visualizzare le seguenti opzioni di installazione:
•
Installazione agente basata su browser (solo Internet Explorer): seguire le
istruzioni visualizzate sullo schermo in base al sistema operativo.
•
Installazione agente MSI: scaricare il pacchetto a 32 o a 64 bit in base al
sistema operativo e seguire le istruzioni sullo schermo.
Nota
Quando viene richiesto, consentire l'installazione dei controlli ActiveX.
5.
Dopo il completamento dell'installazione, l'icona dell'Agente OfficeScan viene
visualizzata nella barra delle applicazioni di Windows.
Nota
Per ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedere
Icone dell'agente OfficeScan a pagina 14-29.
Installazione basata su browser
Impostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioni
per installare l'Agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clic
5-18
sul collegamento per l'installazione dell'Agente OfficeScan contenuto nel messaggio email.
Prima di installare gli Agenti OfficeScan:
•
Verificare i requisiti di installazione degli Agente OfficeScan.
•
Individuare quali computer della rete non sono attualmente provvisti di protezione
contro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito:
•
Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica la
presenza di applicazioni software antivirus installate sui dispositivi in base a un
intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultare
Utilizzo di Vulnerability Scanner a pagina 5-39.
•
Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezza
per dispositivo non gestiti a pagina 14-73.
Avvio di un'installazione basata sul browser
Procedura
1.
Accedere a Agenti > Installazione agente > Basato su browser.
2.
Se necessario, modificare la riga dell'oggetto del messaggio e-mail.
3.
Fare clic su Crea e-mail.
Si apre il programma di posta predefinito.
4.
Inviare il messaggio ai destinatari designati.
Esecuzione di un'installazione basata su UNC
AutoPcc.exe è un programma standalone che installa l'Agente OfficeScan nei dispositivi
non protetti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc
tramite il percorso UNC (Uniform Naming Convention), i Dispositivo devono
appartenere al dominio.
5-19
Procedura
1.
Accedere a Agenti > Installazione agente > Basato su UNC.
•
Per installare l'Agente OfficeScan su un dispositivo non protetto utilizzando
AutoPcc.exe:
a.
Connettersi al computer server OfficeScan. Accedere al percorso UNC:
\\<nome del computer server>\ofcscan
b.
•
Fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare
Esegui come amministratore.
Per le installazioni desktop in remoto che utilizzano AutoPcc.exe:
a.
b.
Aprire una connessione da desktop remoto (Mstsc.exe) in modalità
console. In questo modo l'installazione di AutoPcc.exe viene forzatamente
eseguita nella sessione 0.
Accedere alla directory \\<nome del computer server>\ofcscan ed eseguire
AutoPcc.exe.
Installazione remota dalla console Web OfficeScan
È possibile installare in remoto l'Agente OfficeScan su uno o più dispositivi collegati in
rete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazione
remota sui dispositivi di destinazione. L'installazione remota non installa l'Agente
OfficeScan su dispositivi sui quali è già in esecuzione il server OfficeScan.
Nota
Questo metodo di installazione non può essere adottato sui dispositivi con Windows XP
Home, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic e
Home Premium Edition (versioni a 32 e a 64 bit) e Windows 8/8.1 (versioni di base a 32 e
a 64 bit), Windows 10 Home Edition. Un server IPv6 puro non può installare l'Agente
OfficeScan su agenti IPv4 puri. Analogamente, un server IPv4 puro non può installare
l'Agente OfficeScan su agenti IPv6 puri.
5-20
Procedura
1.
Eseguire le seguenti operazioni di pre-installazione per la propria versione di
Windows.
•
•
•
Se è installato Windows XP:
a.
Attivare l'account dell'amministratore di dominio integrato e impostare
una password per l'account stesso.
b.
Nel dispositivo, accedere a Risorse del computer > Strumenti >
Opzioni cartella scheda > Visualizza e disattivare Utilizza
condivisione file semplice.
c.
Accedere a Avvia > Programmi > Windows Firewall scheda >
Eccezioni e attivare l'eccezione Condivisione file e stampanti.
d.
Aprire Microsoft Management Console (fare clic su Avvia > Esegui,
digitare services.msc) e avviare i servizi Registro remoto e Remote
Procedure Call. Quando si installa l'Agente OfficeScan, utilizzare
l'account e la password di amministratore integrati.
Se è installato Windows Vista:
a.
b.
Fare clic su Avvia > Pannello di controllo > Sicurezza > Windows
Firewall > Modifica impostazioni.
c.
Fare clic sulla scheda Eccezioni e attivare l'eccezione Condivisione file
e stampanti.
d.
Se è in esecuzione Windows 7, Windows 8 (Pro, Enterprise), Windows 8.1,
Windows 10 (Pro, Education, Enterprise) o Windows Server 2012:
a.
5-21
b.
Accedere a Avvia > Programmi > Strumenti amministrativi >
Windows Firewall con protezione avanzata.
c.
Attivare le regole Condivisione file e stampanti per “Dominio”,
“Privato” e/o “Pubblico” in base all'ambiente di rete.
d.
2.
Nella console Web, accedere a Agenti > Installazione agente > Remota.
3.
Selezionare i dispositivi di destinazione.
•
L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete.
Per visualizzare i dispositivi in un dominio specifico, fare doppio clic sul nome
del dominio. Selezionare un dispositivo, quindi fare clic su Aggiungi.
•
Se si conosce già il nome del dispositivo specifico di destinazione, immetterlo
nel campo Cerca dispositivo nella parte superiore della pagina e premere
INVIO.
OfficeScan richiede il nome utente e la password del computer di destinazione. Per
proseguire utilizzare un nome utente e una password con privilegi di
amministratore.
4.
Immettere il nome utente e la password e fare clic su Accedi.
Nella tabella Dispositivi selezionati viene visualizzato il dispositivo di
destinazione.
5.
Per aggiungere altri computer, ripetere i passaggi 4 e 3.
6.
Quando si è pronti a installare l'Agente OfficeScan sui dispositivi di destinazione,
fare clic su Installa.
Viene visualizzata una finestra di dialogo di conferma.
7.
Fare clic su Sì per confermare l'installazione dell'Agente OfficeScan sui dispositivi
di destinazione.
Mentre i file di programma vengono copiati su ciascun dispositivo di destinazione,
viene visualizzata una schermata di avanzamento.
5-22
Quando OfficeScan ha completato l'installazione in un dispositivo di destinazione, il
nome del dispositivo non viene più visualizzato nell'elenco Dispositivi selezionati e
viene visualizzato nell'elenco Dispositivi e domini con un segno di spunta rosso.
Quando tutti i dispositivi di destinazione sono visualizzati nell'elenco Dispositivi e
domini con un segno di spunta rosso, il processo di installazione remota è concluso.
Nota
Nell'installazione su diversi dispositivi, OfficeScan riporta nei registri tutte le installazioni
non completate (per i dettagli, consultare Registri installazioni da zero a pagina 16-16); questo,
tuttavia, non rinvia le altre installazioni. Dopo aver fatto clic su Installa, pertanto, non è
più necessario supervisionare la procedura di installazione. Per vedere i risultati
dell'installazione, controllare i registri al termine dell'operazione.
Installazione con Impostazione script di accesso
L'Impostazione script di accesso automatizza l'installazione dell'Agente OfficeScan su
dispositivi non protetti quando questi accedono alla rete. L'Impostazione script di
accesso aggiunge allo script di accesso del server un programma denominato
AutoPcc.exe.
AutoPcc.exe installa l'Agente OfficeScan su dispositivi non gestiti e aggiorna i
componenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script di
accesso, i dispositivi devono appartenere al dominio.
Installazione dei programmi plug-in
AutoPcc.exe installa automaticamente l'Agente OfficeScan su un dispositivo Windows
Server 2003 non protetto quando il dispositivo effettua l'accesso al server sul quale sono
stati modificati gli script di accesso. AutoPcc.exe, tuttavia, non effettua installazioni
automatiche dell'Agente OfficeScan sui computer con Windows Vista, 7, 8, 8.1, 10,
Server 2008 e Server 2012. Gli utenti devono collegarsi al computer server, accedere a \
\<nome computer server>\ofcscan, fare clic con il pulsante destro del mouse su
AutoPcc.exe e selezionare Esegui come amministratore.
Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe:
5-23
•
Il dispositivo deve essere eseguito in modalità Mstsc.exe /console. In questo modo
l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0.
•
Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da tale posizione.
Aggiornamenti dei componenti e del programma
AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e
di Damage Cleanup Services.
Script di Windows Server 2003, 2008 e 2012
Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge un
comando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file batch
denominato officescan.bat che contiene il comando per eseguire AutoPcc.exe.
L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di
seguito.
\\<Server_name>\ofcscan\autopcc
Dove:
•
<Nome_server> è il nome del dispositivo o l'indirizzo IP del dispositivo server
OfficeScan
•
"ofcscan" è il nome della cartella condivisa di OfficeScan sul server.
•
"autopcc" è il collegamento al file eseguibile autopcc che installa l'Agente
OfficeScan.
Posizione dello script di accesso (tramite una directory condivisa mediante accesso di
rete):
•
Windows Server 2003: \\server Windows 2003\unità di sistema\windir\sysvol\domain
\scripts\ofcscan.bat
•
5-24
•
Aggiunta di Autopcc.exe allo script di accesso con l'utilizzo
di Impostazione script di accesso
Procedura
1.
Nel dispositivo da cui si esegue l'installazione del server, dal menu Start di
Windows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nome
server> > Impostazioni script di accesso.
Viene caricata l'utilità Impostazione script di accesso. La console visualizza una
struttura ad albero con tutti i domini della rete.
2.
Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo e
fare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario
e di disporre dei privilegi di amministratore del server.
L'Impostazione script di accesso richiede un nome utente e una password.
3.
Immettere il nome utente e la password. Fare clic su OK per continuare.
Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene i
profili degli utenti che si collegano al server. L'elenco Utenti selezionati contiene
invece i profili degli utenti di cui si desidera modificare lo script di accesso.
4.
Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elenco
Utenti e fare clic su Aggiungi.
5.
Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.
6.
Per escludere il profilo di un utente precedentemente selezionato, selezionarne il
nome nell'elenco Utenti selezionati e fare clic su Elimina.
7.
Per reimpostare le selezioni effettuate, fare clic su Elimina tutto.
8.
Quando tutti i profili utenti di destinazione si trovano nell'elenco Utenti
selezionati, fare clic su Applica.
5-25
Viene visualizzato un messaggio in cui viene confermata la corretta modifica degli
script di accesso al server.
9.
Fare clic su OK.
Si ritorna alla schermata iniziale dell'Impostazione script di accesso.
10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4.
11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.
Installazione con Agent Packager
Agent Packager crea un pacchetto di installazione che può essere inviato agli utenti con
supporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sul proprio
dispositivo agente per installare o aggiornare la versione dell'Agente OfficeScan e
aggiornare i componenti.
Agent Packager risulta particolarmente utile quando si esegue l'implementazione
dell'Agente OfficeScan o dei componenti sugli agenti nelle sedi remote con ampiezza di
banda ridotta. Gli Agenti OfficeScan installati mediante Agent Packager si collegano al
server in cui è stato creato il pacchetto.
Requisiti di Agent Packager:
•
350 MB di spazio libero su disco
•
Windows Installer 2.0 (per eseguire un pacchetto MSI)
Linee guida per l'implementazione del pacchetto
1.
Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto Agente
OfficeScan sui loro dispositivi facendo doppio clic sul file EXE o MSI.
Nota
Inviare il pacchetto solo agli utenti con Agente OfficeScan che riporta al server la
posizione nella quale è stato creato.
5-26
2.
Informare gli utenti che installano il pacchetto EXE su dispositivi con Windows
Vista, Server 2008, 7, 8, 8.1, 10 o Server 2012 che è necessario fare clic con il
pulsante destro del mouse sul file EXE e selezionare Esegui come
amministratore.
3.
Se è stato creato un file MSI, per implementare il pacchetto effettuare le operazioni
•
4.
Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di un
pacchetto MSI utilizzando Active Directory a pagina 5-31 o Implementazione di un
pacchetto MSI utilizzando Microsoft SMS a pagina 5-33.
Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'Agente
OfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Vista,
Server 2008, 7, 8, 8.1, 10 o Server 2012.
Linee guida del metodo di scansione per i pacchetti agente
Selezionare il metodo di scansione del pacchetto. Consultare Tipi di metodi di scansione a
I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Per
ulteriori informazioni sui componenti disponibili per ciascun metodo di scansione,
vedere Aggiornamenti dell'agente OfficeScan a pagina 6-30.
Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo di
scansione leggere le linee guida riportate di seguito.
•
Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione di
OfficeScan, verificare il metodo di scansione del livello del dominio nella console
Web. Nella console, accedere a Agenti > Gestione agente, selezionare il dominio
della struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni >
Impostazioni di scansione > Metodi di scansione. Il metodo di scansione del
livello del dominio deve essere coerente con il metodo di scansione del pacchetto.
•
Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'Agente
OfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella console
Web, accedere a Agenti > Raggruppamento agenti.
•
Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory o
dominio DNS, verificare il dominio di appartenenza del dispositivo di destinazione.
5-27
Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Se
il dominio non esiste, verificare il metodo di scansione del livello root (selezionare
l'icona del dominio root ( ) nella struttura agente e fare clic su Impostazioni >
Impostazioni di scansione > Metodi di scansione). Il metodo di scansione del
livello del dominio o del livello principale deve essere coerente con il metodo di
scansione del pacchetto.
•
Se il raggruppamento dell'agente avviene in base ai gruppi agente personalizzati,
verificare Priorità di raggruppamento e Origine.
Figura 5-1. Riquadro di anteprima Raggruppamento automatico Agente
Se il dispositivo di destinazione appartiene a un'origine particolare, verificare la
Destinazione corrispondente. La destinazione è il nome del dominio visualizzato
nella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansione
per quel dominio.
•
5-28
Se il pacchetto verrà utilizzato per aggiornare i componenti nell'agente con questa
versione di OfficeScan, verificare il metodo di scansione configurato per il dominio
della struttura agente a cui appartiene l'agente. Il metodo di scansione del livello del
dominio deve essere coerente con il metodo di scansione del pacchetto.
Creazione di un pacchetto di installazione con l'utilizzo di
Agent Packager
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\ClientPackager.
2.
Per eseguire lo strumento, fare doppio clic su ClnPack.exe.
Viene aperta la console di Agent Packager.
3.
Selezionare il tipo di pacchetto che si desidera creare.
Tabella 5-6. Tipi di pacchetti agente
Tipo pacchetto
Descrizione
Installazione
Selezionare Installazione per creare il pacchetto come file
eseguibile. Il pacchetto installa il programma Agente
OfficeScan con i componenti attualmente disponibili nel
server. Se nel dispositivo di destinazione è installata una
versione precedente dell'agente, il file eseguibile consente
di aggiornare l'agente.
Aggiornamento
Selezionare Aggiorna per creare un pacchetto contenente
i componenti attualmente disponibili nel server. Il pacchetto
viene creato come file eseguibile. Utilizzare questo
pacchetto se si verificano problemi con l'aggiornamento dei
componenti in un dispositivo agente.
MSI
Selezionare MSI per creare un pacchetto conforme al
formato Microsoft Installer Package. Il pacchetto installa
inoltre il programma Agente OfficeScan con i componenti
attualmente disponibili nel server. Se nel dispositivo di
destinazione è installata una versione precedente
dell'agente, il file MSI consente di aggiornare l'agente.
4.
Selezionare il sistema operativo per cui si desidera creare il pacchetto.
Implementare il pacchetto solo sui dispositivi con questo tipo di sistema operativo.
Creare un altro pacchetto da implementare su un altro tipo di sistema operativo.
5.
Selezionare il metodo di scansione implementato dal pacchetto agente.
5-29
Per le linee guida su come selezionare un metodo di scansione, vedere Linee guida del
metodo di scansione per i pacchetti agente a pagina 5-27.
6.
7.
Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito:
•
Consenti all'agente di segnalare i propri domini automaticamente: dopo
aver installato l'Agente OfficeScan, l'agente invia query al database del server
OfficeScan e segnala le impostazioni dei propri domini al server.
•
Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il server
OfficeScan ed elenca i domini attualmente utilizzati nella struttura agente.
Nella sezione Opzioni, selezionare tra quelle illustrate di seguito:
Opzione
Descrizione
Modalità
invisibile
Questa opzione crea un pacchetto che viene installato in
background nel dispositivo agente, in modo impercettibile per
l'agente e senza che visualizzare la finestra sullo stato
dell'installazione. Attivare questa opzione se si intende
implementare il pacchetto in remoto sul dispositivo di
destinazione.
Sovrascrittura
forzata con
ultima versione
Questa opzione sovrascrive le versioni dei componenti
dell'agente con le versioni attualmente disponibili nel server.
Attivare questa opzione per fare in modo che i componenti del
server e dell'agente siano sincronizzati.
Disattiva
Scansione
preliminare (solo
installazioni da
zero)
Se nel dispositivo di destinazione non è installato l'Agente
OfficeScan, il pacchetto esegue la scansione del dispositivo
per rilevare eventuali rischi per la sicurezza prima di installare
l'Agente OfficeScan. Se si è certi che il dispositivo di
destinazione non contenga rischi per la sicurezza, è possibile
disattivare la scansione preliminare.
Se la scansione preliminare è attivata, il programma di
installazione esegue la scansione per rilevare virus/minacce
informatiche nelle aree del dispositivo più vulnerabili,
comprese quelle riportate di seguito:
5-30
•
Area boot e la directory boot (per i virus del settore boot)
•
Cartella Windows
•
Cartella Programmi
8.
In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in grado
di implementare.
9.
In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto.
•
Per ulteriori informazioni sui componenti, vedere Programmi e componenti di
•
Il modulo Protezione dati è disponibile solo se si installa e si attiva la
Protezione dati. Per ulteriori informazioni su Protezione dati, vedere
Informazioni preliminari su Protezione dati a pagina 3-1.
10. Successivamente a File di origine, assicurarsi che il percorso del file ofcscan.ini sia
per cercare il file ofcscan.ini.
corretto. Per modificare il percorso, fare clic su
Per impostazione predefinita, questo file si trova nella cartella <Cartella di
installazione del server>\PCCSRV del server OfficeScan.
11. In File di destinazione, fare clic su
e specificare in quale percorso e con quale
nome si desidera creare il pacchetto dell'Agente OfficeScan, (ad esempio
AgentSetup.exe).
12. Fare clic su Crea.
Quando Agent Packager ha completato la creazione del pacchetto, viene
visualizzato il messaggio “Creazione pacchetto completata”. Individuare il package
nella directory specificata nel passaggio precedente.
13. Implementare il pacchetto.
Implementazione di un pacchetto MSI utilizzando Active
Directory
È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchetto
MSI contemporaneamente su diversi dispositivi agente.
Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina
5-26.
5-31
Procedura
1.
Eseguire le operazioni riportate di seguito:
•
•
•
2.
5-32
Per Windows Server 2003 e versioni precedenti:
a.
Aprire la console di Active Directory
b.
Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desidera
implementare il pacchetto MSI e fare clic su Proprietà.
c.
Nella scheda Criterio di gruppo, fare clic su Nuovo.
Per Windows Server 2008 e Windows Server 2008 R2:
a.
Aprire la console Gestione Criteri di gruppo. Fare clic su Start >
Pannello di controllo > Strumenti di amministrazione > Gestione
Criteri di gruppo.
b.
Nell'albero della console espandere Oggetti Criteri di gruppo
nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di
gruppo da modificare.
c.
Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da
modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor
oggetti Criteri di gruppo.
Per Windows Server 2012:
a.
Aprire la console Gestione Criteri di gruppo. Fare clic su Gestione
server > Strumenti > Gestione Criteri di gruppo.
b.
Nell'albero della console espandere Oggetti Criteri di gruppo
nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di
gruppo da modificare.
c.
Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da
modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor
oggetti Criteri di gruppo.
Scegliere tra Configurazione computer e Configurazione utente e aprire le
relative Impostazioni software.
Suggerimento
Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamente
indipendentemente da quale utente accede al dispositivo, Trend Micro consiglia di
utilizzare la Configurazione computer anziché la Configurazione utente.
3.
Sotto a Impostazioni software, fare clic con il pulsante destro del mouse su
Installazione software, quindi selezionare Nuovo e Pacchetto.
4.
Individuare e selezionare il pacchetto MSI.
5.
Selezionare un metodo di implementazione e fare clic su OK.
•
Assegnato: il pacchetto MSI viene automaticamente implementato al
successivo accesso dell'utente al dispositivo (se è stata selezionata la
Configurazione utente) o al successivo riavvio del dispositivo (se è stata
selezionata la Configurazione computer). Questo metodo non richiede alcun
intervento da parte dell'utente.
•
Pubblicato: per eseguire il pacchetto MSI, comunicare all'utente di aprire il
Pannello di controllo e la schermata Installazione applicazioni, nonché di
selezionare l'opzione per l'aggiunta o l'installazione di programmi nella rete.
All'avvio del pacchetto MSI dell'Agente OfficeScan, gli utenti possono
procedere con l'installazione dell'Agente OfficeScan.
Implementazione di un pacchetto MSI utilizzando Microsoft
SMS
Se Microsoft BackOffice SMS è installato nel server, è possibile implementare il
pacchetto MSI utilizzando Microsoft System Management Server (SMS).
Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina
5-26.
Prima di implementare il pacchetto sui dispositivi di destinazione, il server SMS deve
ottenere il file MSI dal server OfficeScan.
•
Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo.
•
Remoto: il server SMS e il server OfficeScan si trovano su dispositivi diversi.
5-33
Problemi noti relativi all'installazione con Microsoft SMS:
•
Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato:
“Sconosciuto”.
•
Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor del
programma SMS potrebbe comunque indicare che l'installazione è stata completata.
Per istruzioni su come controllare se l'installazione è stata completata
correttamente, vedere Post-installazione a pagina 5-70.
Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito.
Ottenimento del pacchetto localmente
Procedura
1.
Aprire la console dell'amministratore SMS.
2.
Nella scheda Struttura ad albero, fare clic su Pacchetti.
3.
Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.
Viene visualizzata la schermata iniziale della procedura guidata per la creazione
del pacchetto.
4.
Fare clic su Avanti.
Viene visualizzata la schermata Package Definition.
5.
Fare clic su Sfoglia.
Viene visualizzata la schermata Open.
6.
Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindi
fare clic su Apri.
Il nome del pacchetto MSI viene visualizzato sulla schermata Definizione
pacchetto. Il pacchetto visualizza "Agente OfficeScan" e la versione del
programma.
7.
5-34
Viene visualizzata la schermata Source Files.
8.
Fare clic su Ricevere sempre i file da una directory di origine, quindi su
Avanti.
Viene visualizzata la schermata Directory di origine con il nome del pacchetto
che viene creato e la directory di origine stessa.
9.
Fare clic su Unità locale sul server del sito.
10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI.
11. Fare clic su Avanti.
Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene
visualizzato sulla console dell'amministratore SMS.
Ottenimento del pacchetto in remoto
Procedura
1.
Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto di
installazione con estensione EXE (non è possibile creare un pacchetto MSI.
Consultare Installazione con Agent Packager a pagina 5-26 per ulteriori dettagli.
2.
Sul dispositivo sul quale si desidera archiviare il file di origine, creare una cartella
condivisa.
3.
Aprire la console dell'amministratore SMS.
4.
Nella scheda Struttura ad albero, fare clic su Pacchetti.
5.
Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.
Viene visualizzata la schermata iniziale della procedura guidata per la creazione
del pacchetto.
6.
Viene visualizzata la schermata Package Definition.
5-35
7.
Viene visualizzata la schermata Open.
8.
Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata.
9.
Viene visualizzata la schermata Source Files.
10. Fare clic su Ricevere sempre i file da una directory di origine, quindi su
Avanti.
Viene visualizzata la schermata Directory di origine.
11. Fare clic su Percorso di rete (nome UNC).
12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (la
cartella condivisa creata in precedenza).
Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene
visualizzato sulla console dell'amministratore SMS.
Distribuzione del pacchetto agli dispositivo di destinazione
Procedura
1.
Nella scheda Struttura ad albero, fare clic su Annunci.
2.
Dal menu Azione, fare clic su All Tasks > Distribute Software.
Viene visualizzata la schermata Benvenuto della procedura guidata per la
distribuzione del software.
3.
Viene visualizzata la schermata Package.
4.
5-36
Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto di
installazione creato.
5.
Viene visualizzata la schermata Distribution Points.
6.
Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic su
Avanti.
Viene visualizzata la schermata Advertise a Program.
7.
Fare clic su Sì per annunciare il pacchetto di installazione dell'Agente OfficeScan,
quindi su Avanti.
Viene visualizzata la schermata Advertisement Target.
8.
Fare clic su Sfoglia per selezionare i dispositivi di destinazione.
Viene visualizzata la schermata Browse Collection.
9.
Fare clic su Tutti i sistemi Windows NT.
10. Fare clic su OK.
Viene nuovamente visualizzata la schermata Advertisement Target.
Viene visualizzata la schermata Advertisement Name.
12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clic
su Avanti.
Viene visualizzata la schermata Advertise to Subcollections.
13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere di
annunciare il programma solo ai membri della raccolta specificata oppure anche ai
membri delle sottoraccolte.
Viene visualizzata la schermata Advertisement Schedule.
15. Specificare il momento in cui annunciare il pacchetto di installazione dell'Agente
OfficeScan digitando o selezionando la data e l'ora.
5-37
Nota
Se si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una data
specifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data e
l'ora nelle caselle di riepilogo Data e ora di scadenza.
Viene visualizzata la schermata Assign Program.
17. Fare clic su Sì, assegna il programma, quindi su Avanti.
Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratore
SMS.
18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero il
programma Agente OfficeScan) ai dispositivi di destinazione, su ciascun dispositivo
di destinazione, viene visualizzata una schermata. Chiedere agli utenti di fare clic su
Sì e seguire le istruzioni fornite dalla procedura guidata per installare l'Agente
OfficeScan sui loro dispositivi.
Installazioni mediante le immagini disco dell'agente
La tecnologia delle immagini disco consente di creare un'immagine dell'Agente
OfficeScan e di clonarlo su altri computer della rete utilizzando un software per
immagini disco.
Affinché il server possa identificare i singoli agenti, ogni installazione dell'Agente
OfficeScan ha bisogno di un Identificatore univoco globale (GUID). Per creare GUID
diversi per ognuno dei cloni, utilizzare il programma OfficeScan denominato
ImgSetup.exe.
Creazione di un'immagine disco di un agente OfficeScan
Procedura
1.
5-38
Installare l'Agente OfficeScan nel dispositivo.
2.
Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin\Utility
\ImgSetup in questo dispositivo.
3.
Eseguire ImgSetup.exe su questo dispositivo.
Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE.
4.
Creare un'immagine disco dell'Agente OfficeScan utilizzando il software per
l'immagine disco.
5.
Riavviare il clone.
ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'Agente
OfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per il
nuovo Agente OfficeScan.
AVVERTENZA!
Per evitare di avere nel database di OfficeScan due computer con lo stesso nome,
modificare manualmente il nome del dispositivo o del dominio relativo all'Agente
OfficeScan clonato.
Utilizzo di Vulnerability Scanner
Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate,
di cercare i computer non protetti presenti nella rete e di installare gli Agenti OfficeScan
nei computer.
Considerazioni sull'utilizzo di Vulnerability Scanner
Le considerazioni riportate di seguito possono aiutare a decidere se utilizzare
Vulnerability Scanner:
•
Amministrazione della rete a pagina 5-40
•
Topologia e architettura della rete a pagina 5-40
•
Specifiche software/hardware a pagina 5-41
5-39
•
Struttura del dominio a pagina 5-41
•
Traffico di rete a pagina 5-42
•
Dimensioni della rete a pagina 5-42
Amministrazione della rete
Tabella 5-7. Amministrazione della rete
Installazione
Efficacia di Vulnerability Scanner
Amministrazione con criteri di
protezione rigidi
Estremamente efficace. Vulnerability Scanner
segnala se in tutti i computer è installato o meno il
software antivirus.
Le responsabilità amministrative
sono distribuite nei vari siti
Mediamente efficace
Amministrazione centralizzata
Mediamente efficace
Servizio esterno
Mediamente efficace
Gli utenti amministrano i propri
computer
Non efficace. Poiché Vulnerability Scanner esegue la
scansione della rete per rilevare le installazioni del
software antivirus, non è possibile fare in modo che
gli utenti eseguano la scansione dei propri computer.
Topologia e architettura della rete
Tabella 5-8. Topologia e architettura della rete
Installazione
5-40
Sede unica
Estremamente efficace. Vulnerability Scanner
consente di eseguire la scansione di un intero
segmento IP e di installare l'Agente OfficeScan nella
LAN con facilità.
Sedi diverse con connessione ad
alta velocità
Mediamente efficace
Installazione
Sedi diverse con connessione a
bassa velocità
Non efficace. È necessario eseguire Vulnerability
Scanner in ciascuna posizione e dirigere
l'installazione dell'Agente OfficeScan verso un server
OfficeScan locale.
Computer remoti e isolati
Mediamente efficace
Specifiche software/hardware
Tabella 5-9. Specifiche software/hardware
Installazione
Sistemi operativi basati su
Windows NT
Estremamente efficace. Vulnerability Scanner è in
grado di installare facilmente l'Agente OfficeScan in
remoto nei computer con sistema operativo basato
su Windows NT.
Sistemi operativi misti
Mediamente efficace. Vulnerability Scanner è in
grado di eseguire l'installazione solo nei computer
con sistemi operativi basati su Windows NT.
Software di gestione dei desktop
Non efficace. Vulnerability Scanner non può essere
utilizzato con software di gestione dei desktop.
Tuttavia, può essere utile per tenere traccia
dell'installazione dell'Agente OfficeScan.
Struttura del dominio
Tabella 5-10. Struttura del dominio
Installazione
Microsoft Active Directory
Estremamente efficace. Per consentire l'installazione
remota dell'Agente OfficeScan, specificare l'account
dell'amministratore del dominio in Vulnerability
Scanner.
5-41
Installazione
Workgroup
Non efficace. Vulnerability Scanner potrebbe
incontrare difficoltà nell'installazione in computer che
utilizzano password e account amministrativi diversi.
Servizio di directory Novell™
Non efficace. Vulnerability Scanner richiede un
account di dominio Windows per installare l'Agente
OfficeScan.
Peer-to-peer
Non efficace. Vulnerability Scanner potrebbe
incontrare difficoltà nell'installazione in computer che
utilizzano password e account amministrativi diversi.
Traffico di rete
Tabella 5-11. Traffico di rete
Installazione
Connessione LAN
Estremamente efficace.
512 Kbps
Mediamente efficace
Connessione T1 e superiore
Mediamente efficace
Accesso remoto
Non efficace. Il completamento dell'installazione
dell'Agente OfficeScan può richiedere molto tempo.
Dimensioni della rete
Tabella 5-12. Dimensioni della rete
Installazione
Rete aziendale molto grande
5-42
Estremamente efficace. Vulnerability Scanner si
rivela molto utile con reti di grandi dimensioni per le
quali è indispensabile controllare le installazioni
dell'Agente OfficeScan.
Installazione
Piccole e medie imprese
Mediamente efficace. Vulnerability Scanner è utile
per installare l'Agente OfficeScan nelle reti di piccole
dimensioni. Tuttavia, altri metodi di installazione
dell'Agente OfficeScan potrebbero rivelarsi più
semplici da implementare.
Linee guida per l'installazione dell'Agente OfficeScan con
Vulnerability Scanner
Vulnerability Scanner non installa l'Agente OfficeScan nei casi indicati di seguito:
•
Il server OfficeScan o un altro software di sicurezza è installato sulla macchina host
di destinazione.
•
Nel dispositivo remoto è presente Windows XP Home, Windows Vista Home
Basic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 Home
Premium, Windows 8 (versioni base), Windows 8.1 (versioni base) o Windows 10
Home.
Nota
È possibile installare l'Agente OfficeScan sulla macchina host di destinazione utilizzando
altri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-11.
Prima di usare Vulnerability Scanner per installare l'Agente OfficeScan, attenersi alla
procedura riportata di seguito:
•
Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7
(Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise),
Windows 8.1 (Pro, Enterprise), Windows 10 (Pro, Education, Enterprise), o
Windows Server 2012 (Standard):
1.
Attivare l'account dell'amministratore integrato e impostare una password per
l'account stesso.
2.
Fare clic su Start > Programmi > Strumenti amministrativi > Windows
Firewall con protezione avanzata.
5-43
3.
4.
Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo
stato del firewall su "Disattivato".
Aprire Microsoft Management Console (fare clic su Start > Esegui e digitare
services.msc) e avviare il servizio Remote Registry. Quando si installa
l'Agente OfficeScan, utilizzare l'account e la password di amministratore
integrati.
•
Per Windows XP Professional (versione a 32 bit o a 64 bit):
1.
Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella.
2.
Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione file
semplice (scelta consigliata).
Metodi di scansione di vulnerabilità
La scansione di vulnerabilità verifica se nelle macchine host è presente un software di
sicurezza e può installare l'Agente OfficeScan nelle macchine non protette.
Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità.
Tabella 5-13. Metodi di scansione di vulnerabilità
Metodo
Dettagli
Scansione di
vulnerabilità manuale
Ora gli amministratori possono eseguire scansioni di vulnerabilità
su richiesta.
Scansione DHCP
Gli amministratori possono eseguire scansioni di vulnerabilità su
macchine host che richiedono gli indirizzi IP da un server DHCP.
Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di
ascolto del server DHCP per le richieste DHCP). Se rileva una
richiesta DHCP proveniente da una macchina host, la scansione
di vulnerabilità viene eseguita sulla macchina.
Nota
Vulnerability Scanner non rileva le richieste DHCP se
partono da Windows Server 2008, Windows 7, Windows 8,
Windows 8.1, Windows 10 o Windows Server 2012.
5-44
Metodo
Scansione di
vulnerabilità
pianificata
Dettagli
Le scansioni pianificate vengono eseguite in base alla
pianificazione configurata dagli amministratori.
Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'Agente OfficeScan sulle
macchine host di destinazione. Lo stato può essere:
•
Normale: l'Agente OfficeScan è in esecuzione e sta funzionando correttamente
•
Anomalo: i servizi dell'Agente OfficeScan non sono in esecuzione oppure l'agente
non dispone della protezione in tempo reale
•
Non installato: manca il servizio TMListen oppure l'Agente OfficeScan non è
stato installato
•
Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire la
connessione con la macchina host e di determinare lo stato dell'Agente OfficeScan
Esecuzione di una scansione di vulnerabilità manuale
Procedura
1.
Per eseguire una scansione di vulnerabilità sul computer server OfficeScan,
accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e
fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro
Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro
dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1, 10 o Server
2012:
a.
\PCCSRV\Admin\Utility.
b.
Copiare la cartella TMVS nell'altro dispositivo.
c.
Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.
Viene visualizzata la console Trend Micro Vulnerability Scanner.
5-45
Nota
Non è possibile avviare lo strumento da Terminal Server.
2.
Andare alla sezione Scansione manuale.
3.
immettere l'intervallo di indirizzi IP dei computer da controllare.
a.
Immettere un intervallo di indirizzi IPv4.
Nota
Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo
se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability
Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da
168.212.1.1 a 168.212.254.254.
b.
Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso
IPv6.
Nota
se è eseguito su una macchina host IPv6 pura o dual-stack.
4.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
5.
Configurare le impostazioni riportate di seguito:
Opzione
Impostazioni
ping
Descrizione
la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi
IP specificati nel passaggio precedente per verificare se sono
attualmente in uso. Se una macchina host di destinazione usa
un indirizzo IP, Vulnerability Scanner può determinare il sistema
operativo della macchina host.
Per i dettagli, consultare Impostazioni ping a pagina 5-61.
5-46
Opzione
Descrizione
Metodo per
recuperare le
descrizioni
computer
per le macchine host che rispondono al comando "ping",
Vulnerability Scanner è in grado di reperire ulteriori informazioni
sulle macchine host.
Query prodotto
Vulnerability Scanner è in grado di verificare la presenza di
software di sicurezza nelle macchine host di destinazione.
Per i dettagli, consultare Metodo per recuperare le descrizioni
dei dispositivi a pagina 5-58.
Per i dettagli, consultare Query prodotto a pagina 5-55.
Impostazioni
server
OfficeScan
Configurare queste impostazioni se si desidera che Vulnerability
Scanner installi automaticamente l'Agente OfficeScan sulle
macchine host non protette. Queste impostazioni consentono di
identificare il server principale e le credenziali amministrative
usate dall'Agente OfficeScan per l'accesso alle macchine host.
Per i dettagli, consultare Impostazioni server OfficeScan a
pagina 5-62.
Nota
Alcune condizioni possono impedire l'installazione dell'Agente
OfficeScan nelle macchine host di destinazione.
Per i dettagli, consultare Linee guida per l'installazione
dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43.
Notifiche
Vulnerability Scanner è in grado di inviare i risultati della
scansione di vulnerabilità agli amministratori OfficeScan. Inoltre,
è in grado di visualizzare le notifiche sulle macchine host non
protette.
Per i dettagli, consultare Notifiche a pagina 5-59.
Salva risultati
oltre ad inviare i risultati della scansione di vulnerabilità agli
amministratori, Scansione di vulnerabilità è anche in grado di
salvare i risultati in un file .csv.
Per i dettagli, consultare Risultati scansione vulnerabilità a
pagina 5-60.
6.
Fare clic su OK.
5-47
7.
Fare clic su Avvio.
I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati
all'interno della scheda Scansione manuale.
Nota
Le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati
se nel dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012.
8.
Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su
Salva.
Esecuzione di una scansione DHCP
Procedura
1.
Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartella: <Cartella
di installazione del server>\PCCSRV\Admin\Utility\TMVS.
Tabella 5-14. Impostazioni DHCP nel file TMVS.ini
Impostazione
Descrizione
DhcpThreadNum=x
Specificare il numero di thread per la modalità DHCP. Il
valore minimo è 3 e il valore massimo è 100. Il valore
predefinito è 8.
DhcpDelayScan=x
La durata del ritardo in secondi prima che venga eseguito il
controllo del software antivirus nel dispositivo che effettua
la richiesta.
Il valore minimo è 0 (senza attesa) e il valore massimo è
600. Il valore predefinito è 30.
LogReport=x
Il valore 0 disattiva la registrazione, il valore 1 la attiva.
Vulnerability Scanner invia i risultati della scansione al
server OfficeScan. I registri vengono visualizzati nella
schermata Registri eventi di sistema nella console Web.
5-48
Impostazione
2.
Descrizione
OsceServer=x
L'indirizzo IP o il nome DNS del server OfficeScan.
OsceServerPort=x
La porta del server Web nel server OfficeScan.
2012:
a.
b.
c.
Nota
3.
Nella sezione Scansione manuale, fare clic su Impostazioni.
4.
Opzione
Query
prodotto
Descrizione
Vulnerability Scanner è in grado di verificare la presenza di
software di sicurezza nelle macchine host di destinazione.
Impostazioni
server
OfficeScan
Configurare queste impostazioni se si desidera che Vulnerability
Scanner installi automaticamente l'Agente OfficeScan sulle
macchine host non protette. Queste impostazioni consentono di
5-49
Opzione
Descrizione
identificare il server principale e le credenziali amministrative
usate dall'Agente OfficeScan per l'accesso alle macchine host.
pagina 5-62.
Nota
Alcune condizioni possono impedire l'installazione dell'Agente
OfficeScan nelle macchine host di destinazione.
Per i dettagli, consultare Linee guida per l'installazione
dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43.
Notifiche
scansione di vulnerabilità agli amministratori OfficeScan. Inoltre,
è in grado di visualizzare le notifiche sulle macchine host non
protette.
Salva risultati
oltre ad inviare i risultati della scansione di vulnerabilità agli
amministratori, Scansione di vulnerabilità è anche in grado di
salvare i risultati in un file .csv.
Per i dettagli, consultare Risultati scansione vulnerabilità a
pagina 5-60.
5.
Fare clic su OK.
6.
Nella tabella Risultati fare clic sulla scheda Scansione DHCP.
Nota
La scheda Scansione DHCP non è disponibile nei computer che eseguono
Windows Server 2008,Windows 7, Windows 8, Windows 8.1, Windows 10 e
Windows Server 2012.
7.
Fare clic su Avvio.
Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli
di vulnerabilità sui computer mano a mano che questi si connettono alla rete.
5-50
8.
Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
Salva.
Configurazione di una scansione di vulnerabilità pianificata
Procedura
1.
2012:
a.
b.
c.
Nota
2.
Andare alla sezione Scansione pianificata.
3.
Fare clic su Aggiungi/Modifica.
Viene visualizzata la schermata Scansione pianificata.
4.
digitare un nome per la scansione di vulnerabilità pianificata.
5.
immettere l'intervallo di indirizzi IP dei computer da controllare.
a.
Immettere un intervallo di indirizzi IPv4.
5-51
Nota
se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability
Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da
168.212.1.1 a 168.212.254.254.
b.
Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso
IPv6.
Nota
se è eseguito su una macchina host IPv6 pura o dual-stack.
6.
Specificare l'ora di inizio della Pianificazione utilizzando il formato 24 ore, quindi
selezionare con quale frequenza si desidera eseguire la scansione. Selezionare una
frequenza giornaliera, settimanale o mensile.
7.
selezionare le impostazioni di scansione vulnerabilità da usare.
a.
Se sono state configurate le impostazioni di scansione vulnerabilità manuale e
si desidera usarle, selezionare Usa impostazioni correnti.
Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità
manuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina 5-45.
b.
Se non sono state specificate le impostazioni di scansione vulnerabilità
manuale o si desidera usare altre impostazioni, selezionare Modifica
impostazioni e fare clic su Impostazioni.
c.
5-52
Impostazioni
ping
la Scansione di vulnerabilità può eseguire il "ping" degli
indirizzi IP specificati nel passaggio precedente per
verificare se sono attualmente in uso. Se una macchina
host di destinazione usa un indirizzo IP, Vulnerability
Scanner può determinare il sistema operativo della
macchina host.
Per i dettagli, consultare Impostazioni ping a pagina
5-61.
Metodo per
recuperare le
descrizioni
computer
per le macchine host che rispondono al comando "ping",
Vulnerability Scanner è in grado di reperire ulteriori
informazioni sulle macchine host.
Query prodotto
Vulnerability Scanner è in grado di verificare la presenza
di software di sicurezza nelle macchine host di
destinazione.
Per i dettagli, consultare Metodo per recuperare le
descrizioni dei dispositivi a pagina 5-58.
Impostazioni
server
OfficeScan
Configurare queste impostazioni se si desidera che
Vulnerability Scanner installi automaticamente l'Agente
OfficeScan sulle macchine host non protette. Queste
impostazioni consentono di identificare il server principale
e le credenziali amministrative usate dall'Agente
OfficeScan per l'accesso alle macchine host.
pagina 5-62.
Nota
Alcune condizioni possono impedire l'installazione
dell'Agente OfficeScan nelle macchine host di
destinazione.
Per i dettagli, consultare Linee guida per
l'installazione dell'Agente OfficeScan con
Vulnerability Scanner a pagina 5-43.
5-53
Notifiche
scansione di vulnerabilità agli amministratori OfficeScan.
Inoltre, è in grado di visualizzare le notifiche sulle
macchine host non protette.
Salva risultati
oltre ad inviare i risultati della scansione di vulnerabilità
agli amministratori, Scansione di vulnerabilità è anche in
grado di salvare i risultati in un file .csv.
Per i dettagli, consultare Risultati scansione vulnerabilità
a pagina 5-60.
8.
Fare clic su OK.
La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilità
pianificata creata viene visualizzata nella sezione Scansione pianificata. Se sono
state attivate le notifiche, Vulnerability Scanner invia i risultati della scansione di
vulnerabilità pianificata.
9.
Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic su
Esegui ora.
I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati
all'interno della scheda Scansione pianificata.
Nota
Le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati
se nel dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012.
10. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
Salva.
Impostazioni Scansione vulnerabilità
Le impostazioni di Scansione vulnerabilità sono configurate da Trend Micro
Vulnerability Scanner (TMVS.exe) o dal file TMVS.ini.
5-54
Nota
Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug per
Vulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 16-3.
Query prodotto
Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negli
agenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti di
protezione da parte di Vulnerability Scanner:
Tabella 5-15. Prodotti di protezione controllati da Vulnerability Scanner
Prodotto
Descrizione
ServerProtect per
Windows
Per controllare se SPNTSVC.exe è in esecuzione, Vulnerability
Scanner utilizza dispositivo RPC. In tal modo ottiene
informazioni quali il sistema operativo e le versioni del motore
di scansione virus, del pattern dei virus e dei prodotti.
Vulnerability Scanner non è in grado di rilevare il server
informazioni di ServerProtect o la console di gestione di
ServerProtect.
ServerProtect per Linux
Se il dispositivo di destinazione non è presente Windows,
Vulnerability Scanner tenta di connettersi alla porta 14942
per verificare che ServerProtect per Linux sia installato.
Agente OfficeScan
Per verificare se l'Agente OfficeScan è installato, Vulnerability
Scanner utilizza la porta dell'Agente OfficeScan. Controlla
inoltre se il processo TmListen.exe è in esecuzione. Se viene
eseguito dalla posizione predefinita, ottiene il numero di porta
in modo automatico.
Se Vulnerability Scanner viene avviato in un dispositivo
diverso dal server OfficeScan, controllare la porta di
comunicazione dell'altro dispositivo prima di utilizzarla.
PortalProtect™
Per controllare l'installazione del prodotto, Vulnerability
Scanner carica la pagina Web http://localhost:port/PortalProtect/
index.html.
5-55
Prodotto
Descrizione
ScanMail™ per
Microsoft Exchange™
Per controllare l'installazione di ScanMail, Vulnerability
Scanner carica la pagina Web http://ipaddress:port/scanmail.html.
Per impostazione predefinita, ScanMail utilizza la porta
16372. Se ScanMail utilizza un numero di porta differente,
specificare tale numero. In caso contrario, Vulnerability
Scanner non è in grado di rilevare ScanMail.
Serie InterScan™
Per controllare l'installazione dei prodotti, Vulnerability
Scanner carica la pagina Web di ciascun prodotto.
•
InterScan Messaging Security Suite 5.x: http://
localhost:port/eManager/cgi-bin/eManager.htm
•
InterScan eManager 3.x: http://localhost:port/eManager/cgibin/eManager.htm
•
InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgibin/interscan.dll
Trend Micro Internet
Security™ (PC-cillin)
Per controllare se Trend Micro Internet Security è installato,
Vulnerability Scanner utilizza la porta 40116.
McAfee VirusScan
ePolicy Orchestrator
Vulnerability Scanner invia un token speciale alla porta TCP
8081, la porta predefinita di ePolicy Orchestrator per la
connessione tra server e agente. Il dispositivo con questo
prodotto antivirus risponde utilizzando un tipo di token
speciale. Vulnerability Scanner non è in grado di rilevare
McAfee VirusScan standalone.
Norton Antivirus™
Corporate Edition
Vulnerability Scanner invia un token speciale alla porta UDP
2967, la porta predefinita di Norton Antivirus Corporate
Edition RTVScan. Il dispositivo con questo prodotto antivirus
risponde utilizzando un tipo di token speciale. Poiché Norton
Antivirus Corporate Edition comunica tramite UDP, il livello di
accuratezza non è garantito. Inoltre il traffico di rete potrebbe
influenzare il tempo di attesa UDP.
Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati di
seguito:
•
RPC: rileva ServerProtect per NT
•
UDP: rileva i client Norton AntiVirus Corporate Edition
5-56
•
TCP: rileva McAfee VirusScan ePolicy Orchestrator
•
ICMP: rileva i computer tramite l'invio di pacchetti ICMP
•
HTTP: rileva gli Agenti OfficeScan
•
DHCP: se rileva una richiesta DHCP, Vulnerability Scanner controlla se sul
dispositivo che invia la richiesta sia già installato un software antivirus.
Configurazione delle impostazioni della query del prodotto
Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni di
scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di
vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner
(TMVS.exe):
a.
Avviare TMVS.exe.
b.
c.
Andare alla sezione Query prodotto.
d.
Selezionare i prodotti da esaminare.
e.
Fare clic su Impostazioni accanto al nome del prodotto e specificare il
numero di porta che verrà controllato da Vulnerability Scanner.
f.
Fare clic su OK.
La schermata Impostazioni si chiude.
2.
Consente di impostare il numero di computer che verranno contemporaneamente
controllati da Vulnerability Scanner per verificare la presenza di software di
sicurezza.
a.
Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS
e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note.
5-57
b.
Per impostare il numero di computer che verranno sottoposti alla scansione di
vulnerabilità manuale, modificare il valore per ThreadNumManual.
Specificare un valore compreso tra 8 e 64.
Ad esempio, digitare ThreadNumManual=60 se si desidera che Vulnerability
Scanner esegua il controllo su 60 computer alla volta.
c.
Per impostare il numero di computer che verranno sottoposti alla scansione di
vulnerabilità pianificata, modificare il valore per ThreadNumSchedule.
Specificare un valore compreso tra 8 e 64.
Ad esempio, digitare ThreadNumSchedule=50 se si desidera che
Vulnerability Scanner esegua il controllo su 50 computer alla volta.
d.
Salvare il file TMVS.ini.
Metodo per recuperare le descrizioni dei dispositivi
Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, può
reperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi di
recupero delle informazioni:
•
Recupero rapido: recupera solo il nome del dispositivo.
•
Recupero normale: recupera le informazioni sia del dominio che del dispositivo
Configurazione delle impostazioni di recupero
Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansione
vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,
vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
5-58
3.
Andare alla sezione Metodo per recuperare le descrizioni computer.
4.
Selezionare Normale o Rapido.
5.
Se è stata seleziona l'opzione Normale, selezionare Recupera descrizioni
computer quando disponibili.
6.
Fare clic su OK.
Notifiche
Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli
amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine
host non protette.
Configurazione delle impostazioni di notifica
Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansione
vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,
vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
3.
Andare alla sezione Notifica.
4.
Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi o
ad altri amministratori nell'organizzazione:
a.
Selezionare Risultati e-mail all'amministratore di sistema.
b.
Fare clic su Configura per specificare le impostazioni e-mail.
c.
Nel campo A immettere l'indirizzo e-mail del destinatario.
5-59
d.
Nel campo Da, immettere l'indirizzo e-mail del mittente.
e.
Nel campo Server SMTP digitare l'indirizzo del server SMTP.
ad esempio smtp.azienda.com. Le informazioni sul server SMTP sono
obbligatorie.
5.
6.
f.
Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppure
accettare quello predefinito.
g.
Fare clic su OK.
Per comunicare agli utenti che sui computer non è installato il software di sicurezza:
a.
Selezionare Visualizza una notifica sui computer non protetti.
b.
Fare clic su Personalizza per configurare il messaggio di notifica.
c.
Nella schermata Messaggio di notifica, digitare un nuovo messaggio o
accettare il messaggio predefinito.
d.
Fare clic su OK.
Fare clic su OK.
Risultati scansione vulnerabilità
È possibile configurare Vulnerability Scanner in modo da salvare i risultati della
scansione in un file CSV.
Configurazione risultati di scansione
Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delle
impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di
scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
5-60
Avviare TMVS.exe.
2.
3.
Andare alla sezione Salva risultati.
4.
Selezionare Salva automaticamente i risultati in un file CSV.
5.
Per cambiare la cartella predefinita in cui salvare il file CSV:
6.
a.
b.
Selezionare una cartella di destinazione nel dispositivo o nella rete.
c.
Fare clic su OK.
Fare clic su OK.
Impostazioni ping
Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina di
destinazione e verificare il sistema operativo usato. Se queste impostazioni sono
disattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallo
specificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi il
tentativo di eseguire la scansione impiegherà più tempo di quanto previsto.
Configurazione delle impostazioni ping
Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità.
Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi
di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe):
a.
Avviare TMVS.exe.
b.
5-61
c.
Andare alla sezione delle impostazioni Ping.
d.
Selezionare Consenti a Vulnerability Scanner di eseguire il ping dei
computer della rete per verificarne lo stato.
e.
Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi
Dimensioni pacchetto e Timeout.
f.
Selezionare Rilevare il tipo di sistema operativo usando l'impronta del
sistema operativo ICMP.
Se si seleziona questa opzione, Vulnerability Scanner determina se una
macchina host esegue Windows o un altro sistema operativo. Per le macchine
host con Windows, Vulnerability Scanner è in grado di identificare la versione
di Windows.
g.
Fare clic su OK.
2.
Per impostare il numero di computer che verranno sottoposti
contemporaneamente a ping da parte di Vulnerability Scanner:
a.
Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS
e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note.
b.
Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64.
Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner
effettui il ping su 60 computer alla volta.
c.
Salvare il file TMVS.ini.
Impostazioni server OfficeScan
Le impostazioni del server OfficeScan sono usate quando:
•
5-62
Vulnerability Scanner è in grado di installare l'Agente OfficeScan su macchine di
destinazione non protette. Le impostazioni del server consentono a Vulnerability
Scanner di identificare il server principale dell'Agente OfficeScan e le credenziali
amministrative da usare per il collegamento alle macchine di destinazione.
Nota
Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nelle
macchine host di destinazione.
Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan con
Vulnerability Scanner a pagina 5-43.
•
Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan.
Configurazione impostazioni server OfficeScan
Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni di
scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di
vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
3.
Andare alla sezione Impostazioni server OfficeScan.
4.
Immettere il nome e il numero della porta del server OfficeScan.
5.
Selezionare Installa automaticamente l'agente OfficeScan sui computer non
protetti.
6.
Per configurare le credenziali amministrative:
a.
Fare clic su Installa nell'account.
b.
Nella schermata Informazioni account, digitare un nome utente e una
password.
c.
Fare clic su OK.
5-63
7.
Selezionare Invia registri al server OfficeScan.
8.
Fare clic su OK.
Installazione con Conformità sicurezza
Installare gli Agenti OfficeScan nei computer dei domini della rete oppure installare
l'Agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP.
Prima di installare l'Agente OfficeScan, tenere presente quando segue:
Procedura
1.
Prendere nota delle credenziali di accesso di ciascun dispositivo. Durante
l'installazione, OfficeScan richiede di specificare le credenziali di accesso.
2.
L'Agente OfficeScan non viene installato in un dispositivo nei casi seguenti:
3.
5-64
•
Il server OfficeScan è installato nel dispositivo.
•
Nel dispositivo è in esecuzione Windows XP Home, Windows Vista Home
Basic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7
Home Basic, Windows 7 Home Premium, Windows 8 (versioni di base),
Windows 8.1 (versioni di base) e Windows 10 Home. Per i computer con tali
piattaforme è necessario scegliere un altro metodo di installazione. Consultare
Considerazioni sull'implementazione a pagina 5-11 per ulteriori dettagli.
Se nel dispositivo di destinazione viene eseguito Windows Vista (Business,
Enterprise o Ultimate Edition) Windows 7 (Professional, Enterprise o Ultimate
Edition), Windows 8 (Pro, Enterprise), Windows 8.1 (Pro, Enterprise), Windows
10 (Pro, Education, Enterprise) o Windows Server 2012 (Standard), eseguire nel
dispositivo la procedura riportata di seguito:
a.
Attivare l'account dell'amministratore integrato e impostare una password per
l'account stesso.
b.
Disattivare il firewall di Windows.
c.
Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows
Firewall con protezione avanzata.
d.
Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo
stato del firewall su "Disattivato".
e.
Aprire Microsoft Management Console (da Start > Esegui, digitare
services.msc) e avviare il servizio Registro remoto. Quando si installa
l'Agente OfficeScan, utilizzare l'account e la password di amministratore
integrati.
4.
Se nel dispositivo sono installati programmi di protezione del dispositivo di Trend
Micro o di terzi, verificare se OfficeScan è in grado di disinstallare
automaticamente il software e sostituirlo con l'Agente OfficeScan. Per ottenere un
elenco del software di protezione del agente che OfficeScan è in grado di
disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del
server>\PCCSRV\Admin. Per aprire tali file utilizzare un editor di testo, ad esempio
Blocco note.
•
tmuninst.ptn
•
tmuninst_as.ptn
Se il software nel dispositivo di destinazione non è compreso nell'elenco,
disinstallarlo in modo manuale. In base al processo di disinstallazione del software,
potrebbe essere necessario riavviare il dispositivo.
Procedura
1.
Accedere a Valutazione > Dispositivi non gestiti.
2.
Fare clic su Installa in cima alla struttura agente.
•
Se nel dispositivo è già installata una versione precedente dell'Agente
OfficeScan e si fa clic su Installa, l'installazione non viene eseguita e l'agente
non viene aggiornato a questa versione. Per aggiornare l'agente, è necessario
disattivare un'impostazione.
5-65
a.
b.
Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni >
Altre impostazioni.
c.
Disattivare l'opzione Gli agenti OfficeScan possono aggiornare i
componenti, ma non possono aggiornare il programma agente né
implementare gli hotfix.
3.
Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic su
Accesso. OfficeScan avvia l'installazione dell'agente nel dispositivo di destinazione.
4.
Visualizzare lo stato dell'installazione.
Migrazione all'agente OfficeScan
Sostituire il software di protezione dell'agente installato su un dispositivo di destinazione
con l'Agente OfficeScan.
Migrazione da altro software di protezione dispositivo
Quando si installa l'Agente OfficeScan, il programma di installazione esegue il controllo
del software di protezione del dispositivo di Trend Micro o di terzi installato nel
dispositivo di destinazione. Il programma di installazione è in grado di disinstallare
automaticamente il software e di sostituirlo con l'Agente OfficeScan.
Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in grado
di disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server>
\PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note.
•
tmuninst.ptn
•
tmuninst_as.ptn
Se il software nel dispositivo di destinazione non è compreso nell'elenco, disinstallarlo in
modo manuale. In base al processo di disinstallazione del software, potrebbe essere
necessario riavviare il dispositivo.
5-66
Problemi di migrazione dell'agente OfficeScan
•
Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente ha
riscontrato dei problemi nell'uso dell'Agente OfficeScan subito dopo l'installazione,
riavviare il dispositivo.
•
Se il programma di installazione OfficeScan ha eseguito l'installazione dell'Agente
OfficeScan senza disinstallare l'altro software di protezione, si verificheranno dei
conflitti tra i due software. Disinstallare entrambi i software, quindi installare
l'Agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazioni
sull'implementazione a pagina 5-11.
Migrazione dai normali server ServerProtect
Lo strumento di migrazione del server normale ServerProtect™ consente di effettuare
la migrazione di computer con server normali Trend Micro ServerProtect all'Agente
OfficeScan.
Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifiche
hardware e software del server OfficeScan. Eseguire lo strumento su computer con
Windows Server 2003 e Windows Server 2008.
Se la disinstallazione del server normale ServerProtect viene completata, lo strumento
installa l'Agente OfficeScan. Consente inoltre di migrare le impostazioni dell'elenco di
esclusione dalla scansione (per tutti i tipi di scansione) all'Agente OfficeScan.
Durante l'installazione dell'Agente OfficeScan, potrebbe verificarsi il timeout del
programma di installazione dell'agente dello strumento di migrazione ed essere
visualizzata una notifica per avvisare che l'installazione non è riuscita. Tuttavia, non è
detto che l'Agente OfficeScan non sia stato installato correttamente. Verificare
l'installazione sul dispositivo agente dalla console Web OfficeScan.
La migrazione non riesce nelle seguenti situazioni:
•
L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione non
supporta l'indirizzamento IPv6.
•
L'agente remoto non è in grado di utilizzare il protocollo NetBIOS.
•
Le porte 455, 337 e 339 sono bloccate.
5-67
•
L'agente remoto non è in grado di utilizzare il protocollo RPC.
•
Il servizio Registro remoto s'interrompe.
Nota
Lo strumento di migrazione del server normale ServerProtect non effettua la
disinstallazione dell'agente Control Manager™ di ServerProtect. Per istruzioni su come
disinstallare l'agente, fare riferimento alla documentazione di ServerProtect e/o di Control
Manager.
Utilizzo dello strumento di migrazione di server normali
ServerProtect
Procedura
1.
Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV
\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in Cartella di
installazione del server>\PCCSRV\Admin.
2.
Fare doppio clic su SPNSXfr.exe per aprire lo strumento.
Viene visualizzata la console dello strumento di migrazione del server normale
ServerProtect.
3.
Selezionare il server OfficeScan. Il percorso del server OfficeScan viene
visualizzato nel percorso server di OfficeScan. Se il percorso non è quello corretto,
fare clic su Sfoglia e selezionare la cartella PCCSRV nella directory di installazione
di OfficeScan. Per attivare lo strumento in modo che al successivo utilizzo trovi
automaticamente il server OfficeScan, selezionare la casella di controllo
Individuazione automatica percorso server (selezionata per impostazione
predefinita).
4.
Per selezionare i computer sui quali è in esecuzione il server normale ServerProtect
per i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nella
sezione Dispositivo di destinazione:
•
5-68
Struttura di rete Windows: visualizza una struttura ad albero dei domini
presenti nella rete. Per selezionare i computer che utilizzano questo metodo,
fare clic sui domini sui quali effettuare la ricerca dei computer agente.
•
Nome server informazioni: effettua la ricerca in base al nome server
informazioni. Per selezionare i computer con questo metodo, immettere il
nome di un server informazioni presente sulla propria rete. Per effettuare la
ricerca di diversi server informazioni, inserire un punto e virgola ";" tra i nomi
dei server.
•
Nome server normale certo: effettua la ricerca in base al nome server
normale. Per selezionare i computer con questo metodo, immettere il nome di
un server normale presente sulla propria rete. Per effettuare la ricerca su
diversi server normali, inserire un punto e virgola ";" tra i nomi dei server.
•
Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Per
selezionare i computer con questo metodo, immettere un intervallo di indirizzi
IP di classe B nella casella Intervallo IP.
Nota
Se un server DNS presente in rete non risponde in fase di ricerca degli agenti, anche
l'operazione di ricerca non risponde. Attendere il timeout della ricerca.
5.
Selezionare Riavvio dopo l'installazione per riavviare automaticamente i
computer di destinazione dopo la migrazione.
Per completare la migrazione correttamente, è necessario riavviare il computer. Se
non si seleziona questa opzione, riavviare il computer manualmente dopo la
migrazione.
6.
Fare clic su Cerca.
I risultati della ricerca vengono visualizzati nella sezione Server normali
ServerProtect.
7.
8.
Fare clic sui computer per i quali effettuare la migrazione.
a.
Per selezionare tutti i computer, fare clic su Seleziona tutto.
b.
Per deselezionare tutti i computer, fare clic su Deseleziona tutto.
c.
Per esportare l'elenco in un file CSV (comma-separated value), fare clic su
Esporta in CSV.
Se per accedere ai computer di destinazione sono necessari nome utente e
password, effettuare le seguenti operazioni:
5-69
a.
Selezionare la casella di controllo Usa account/password gruppo.
b.
Fare clic su Imposta account di accesso.
Viene visualizzata la finestra Inserisci informazioni di amministrazione.
c.
Immettere il nome utente e la password.
Nota
Per accedere al dispositivo di destinazione, utilizzare l'account di amministratore
locale o di dominio. Se si effettua l'accesso senza i necessari privilegi (ad
esempio, come "Guest" o "Utente normale"), non sarà possibile effettuare
l'installazione.
9.
d.
Fare clic su OK.
e.
Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri di
poter inserire il nome utente e la password nel corso del processo di
migrazione nel caso in cui l'accesso risulti impossibile.
Fare clic su Migra.
10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare i
computer di destinazione dopo la migrazione.
Post-installazione
Al termine dell'installazione, verificare i seguenti elementi:
•
Collegamento all'agente OfficeScan a pagina 5-71
•
Elenco programmi a pagina 5-71
•
Servizi dell'agente OfficeScan a pagina 5-71
•
Registri di installazione dell'agente OfficeScan a pagina 5-72
5-70
Collegamento all'agente OfficeScan
I collegamenti all'Agente OfficeScan vengono visualizzati nel menu Start di Windows
nel dispositivo agente.
Figura 5-2. Collegamento all'Agente OfficeScan
Elenco programmi
Security Agent è incluso nell'elenco Installazione applicazioni del Pannello di
controllo del dispositivo agente.
Servizi dell'agente OfficeScan
I seguenti servizi dell'Agente OfficeScan sono visualizzati in Microsoft Management
Console:
•
OfficeScan NT Listener (TmListen.exe)
•
Scansione in tempo reale OfficeScanNT (NTRtScan.exe)
•
OfficeScan NT Proxy Service (TmProxy.exe)
Nota
OfficeScan NT Proxy Service non è presente su piattaforme Windows 7/8/8.1/10 o
Windows Server 2008 R2/2012.
•
OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durante
l'installazione
•
Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)
5-71
•
Framework soluzione client comune Trend Micro (TmCCSF.exe)
Registri di installazione dell'agente OfficeScan
Il registro di installazione dell'Agente OfficeScan, OFCNT.LOG, si trova nei percorsi
riportati di seguito:
•
%windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazione
del pacchetto MSI
•
%temp% per il metodo di installazione con il pacchetto MSI
Attività post-installazione consigliate
Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni.
Aggiornamento dei componenti
Per essere sicuri che tutti gli agenti siano dotati della protezione più recente contro i
rischi per la sicurezza, aggiornare i componenti degli agenti OfficeScan. È possibile
eseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agli
utenti di eseguire "Aggiorna ora" dai propri computer.
Scansione di prova mediante lo script di prova EICAR
L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per la
ricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consente
di controllare in modo sicuro la corretta installazione e configurazione del software
antivirus. Per ulteriori informazioni, visitare il sito Web EICAR:
http://www.eicar.org
Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo file
non è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei
software antivirus reagiscono a tale file come se si trattasse di un virus. È possibile
utilizzare il file per simulare un'infezione virale e verificare così il corretto
funzionamento delle notifiche e-mail e dei registri dei virus.
5-72
AVVERTENZA!
Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus.
Esecuzione di una scansione di prova
Procedura
1.
Attivare la scansione in tempo reale sull'agente.
2.
Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testo
semplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*
3.
Salvare il file denominandolo EICAR.com in una directory temporanea. OfficeScan
rileva immediatamente il file.
4.
Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato in
un messaggio e-mail e inviarlo ad uno dei computer.
Suggerimento
Trend Micro consiglia di comprimere il file EICAR utilizzando un software di
compressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova.
Disinstallazione del Agente OfficeScan
Per disinstallare l'Agente OfficeScan dai computer, è possibile procedere in due modi:
•
Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-74
•
Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-76
Se non è possibile disinstallare l'Agente OfficeScan con i metodi illustrati, rimuovere
manualmente l'Agente OfficeScan. Per i dettagli, consultare Disinstallazione manuale
dell'agente OfficeScan a pagina 5-76.
5-73
Disinstallazione dell'agente OfficeScan dalla console Web
Disinstallare il programma Agente OfficeScan dalla console Web. Per mantenere il
dispositivo protetto dai rischi per la sicurezza, eseguire la disinstallazione solo in caso di
problemi con il programma, quindi reinstallarlo immediatamente.
Procedura
1.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) (
includere tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Operazioni > Disinstallazione di Agent.
4.
Nella schermata Disinstallazione Agent, fare clic su Avvia disinstallazione. Il
server invia una notifica agli agenti.
5.
Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la
notifica.
) per
a.
Fare clic su Seleziona dispositivi non notificati, quindi su Avvia
disinstallazione per inviare nuovamente la notifica agli agenti che non
l'hanno ricevuta.
b.
Fare clic su Interrompi disinstallazione se si desidera che OfficeScan
interrompa l'invio della notifica agli agenti. Gli Agenti che hanno già ricevuto
la notifica hanno già avviato il processo di disinstallazione e pertanto ignorano
questo comando.
Programma di disinstallazione dell'agente OfficeScan
Assegnare agli utenti i privilegi per disinstallare il programma Agente OfficeScan e
richiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer.
In base alla configurazione, la disinstallazione può richiedere o meno una password. Se è
richiesta una password, assicurarsi di condividere la password solo con gli utenti che
5-74
devono eseguire il programma di disinstallazione e cambiarla immediatamente se viene
divulgata ad altri utenti.
Assegnazione dei privilegi di disinstallazione dell'agente
OfficeScan
Procedura
1.
2.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Disinstallazione.
5.
Per consentire agli utenti di eseguire la disinstallazione senza password, selezionare
Consenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta una
password, selezionare Richiedi una password per disinstallare l'agente
OfficeScan, digitare la password e confermarla.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
) per
•
impostazioni.
•
5-75
Esecuzione del Programma di disinstallazione dell'agente
OfficeScan
Procedura
1.
Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScan
Agent > Disinstalla l'agente OfficeScan.
È inoltre possibile eseguire la procedura riportata di seguito:
2.
a.
Fare clic su Pannello di controllo > Installazione applicazioni.
b.
Individuare Trend Micro OfficeScan Agent e fare clic su Cambia.
c.
Seguire le istruzioni visualizzate.
Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza una
finestra che informa l'utente sul progresso e il completamento della disinstallazione.
Per completare la disinstallazione, non è necessario riavviare il dispositivo agente.
Disinstallazione manuale dell'agente OfficeScan
Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione
dell'Agente OfficeScan dalla console Web o dopo aver eseguito il programma di
disinstallazione.
Procedura
1.
Accedere al dispositivo agente mediante un account con privilegi di amministratore.
2.
Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan
presente nella barra delle applicazioni e selezionare Scarica OfficeScan. Se viene
richiesta una password, specificare la password per la rimozione, quindi fare clic su
OK.
5-76
Nota
3.
•
In Windows 8, 8.1, 10 e Windows Server 2012, passare alla modalità desktop per
rimuovere l'Agente OfficeScan.
•
Disattivare la password nei computer in cui l'Agente OfficeScan verrà rimosso.
Per i dettagli, consultare Configurazione dei privilegi e di altre impostazioni dell'agente a
pagina 14-94.
Se la password per la rimozione non è stata specificata, utilizzare Microsoft
Management Console per interrompere i servizi riportati di seguito:
•
OfficeScan NT Listener
•
OfficeScan NT Firewall
•
Scansione in tempo reale di OfficeScan NT
•
OfficeScan NT Proxy Service
Nota
OfficeScan NT Proxy Service non è presente sulle piattaforme Windows 7, 8,
8.1, 10 o Windows Server 2008R2 e 2012.
4.
•
Servizio prevenzione modifiche non autorizzate di Trend Micro
•
Framework soluzione client comune Trend Micro
Rimuovere il collegamento all'Agente OfficeScan dal menu Start.
•
In Windows 8, 8.1, 10 e Windows Server 2012:
a.
passare alla modalità desktop.
b.
Spostare il puntatore del mouse sull'angolo in basso a destra dello
schermo e scegliere Start dal menu visualizzato.
Viene visualizzata la schermata Home.
c.
Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan.
d.
Fare clic su Rimuovi da Start.
5-77
•
In tutte le altre piattaforme Windows:
Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse su
Trend Micro OfficeScan Agent, quindi fare clic su Elimina.
5.
Aprire l'editor del Registro di sistema (regedit.exe).
AVVERTENZA!
La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se si
apportano modifiche errate al registro di sistema, possono verificarsi seri problemi
nel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre una
copia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor del
registro.
6.
Eliminare le chiavi di registro riportate di seguito:
•
Se nel dispositivo non sono installati altri prodotti Trend Micro:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
Per computer a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro
•
Se nel dispositivo sono installati altri prodotti Trend Micro, eliminare solo le
chiavi riportate di seguito:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
\OfcWatchDog
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp
\PC-cillinNTCorp
5-78
7.
Eliminare i valori o le chiavi di registro riportati di seguito:
•
•
8.
Per sistemi a 32 bit:
•
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\OfficeScanNT
•
OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Per sistemi a 64 bit:
•
HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft
\Windows\CurrentVersion\Uninstall\OfficeScanNT
•
OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE
\SOFTWARE\ Wow6432Node\Microsoft\Windows
\CurrentVersion\Run
Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati di
seguito:
•
•
Percorsi:
•
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
•
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
•
•
Chiavi:
•
NTRtScan
•
tmcfw
•
tmcomm
•
TmFilter
•
TmListen
5-79
•
tmpfw
•
TmPreFilter
•
TmProxy
Nota
TmProxy non è presente sulle piattaforme Windows 7/8/8.1/10 o
Windows Server 2008 R2/2012.
•
tmtdi
Nota
tmtdi non è presente sulle piattaforme Windows 8/8.1/10 o Windows
Server 2012.
5-80
•
VSApiNt
•
tmlwf (per computer Windows Vista/Server 2008/7/8/8.1/10/Server
2012)
•
tmwfp (per computer Windows Vista/Server 2008/7/8/8.1/10/Server
2012)
•
tmactmon
•
TMBMServer
•
TMebc
•
tmevtmgr
•
tmeevw (per computer Windows 7/8/8.1/10/Server 2008 R2/Server
2012)
•
tmusa (per computer Windows 7/8/8.1/10/Server 2008 R2/Server
2012)
•
tmnciesc
•
tmeext (per Windows XP/2003)
9.
Chiudere l'editor del Registro di sistema.
10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic su
Sistema.
Nota
Saltare questo passaggio nei sistemi Windows 8/8.1/10 e Windows Server 2012.
11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi.
Nota
12. Fare clic su Visualizza > Mostra dispositivi nascosti.
Nota
13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati di
seguito (Windows XP/Vista/7/Server 2003/Server 2008):
•
tmcomm
•
tmactmon
•
tmevtmgr
•
Trend Micro Filter
•
Trend Micro PreFilter
•
Trend Micro TDI Driver
•
Trend Micro VSAPI NT
•
Servizio prevenzione modifiche non autorizzate di Trend Micro
•
Trend Micro WFP Callout Driver (per computer con Windows Vista/Server
2008/7)
5-81
14. Per eliminare manualmente i driver di Trend Micro con un editor della riga di
comando (solo Windows 8/8.1/10/Server 2012), eseguire i comandi seguenti:
•
sc delete tmcomm
•
sc delete tmactmon
•
sc delete tmevtmgr
•
sc delete tmfilter
•
sc delete tmprefilter
•
sc delete tmwfp
•
sc delete vsapint
•
sc delete tmeevw
•
sc delete tmusa
•
sc delete tmebc
Nota
Per essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor da
riga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tasto
destro del mouse sul file cmd.exe e scegliere Esegui come amministratore).
15. Disinstallare il Driver comune Firewall.
5-82
a.
Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic su
Proprietà.
b.
Fare clic con il tasto destro del mouse su Connessione alla rete locale
(LAN) e fare clic su Proprietà.
c.
Nella scheda Generale selezionare Driver comune Firewall di Trend Micro
e fare clic su Disinstalla.
Nota
I seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server
2008/7/8/8.1/10/Server 2012. Per gli agenti che utilizzano tutti gli altri sistemi
operativi, passare al punto 15.
d.
Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà.
e.
Fare clic su Gestisci connessioni di rete.
f.
Fare clic con il tasto destro del mouse su Connessione alla rete locale
(LAN) e fare clic su Proprietà.
g.
Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fare
clic su Disinstalla.
16. Riavviare il dispositivo agente.
17. Se nel dispositivo non sono installati altri prodotti Trend Micro, eliminare la cartella
di installazione di Trend Micro (in genere C:\Programmi\Trend Micro). Nei computer
a 64 bit la cartella di installazione è in C:\Programmi (x86)\Trend Micro.
18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelle
•
<Cartella di installazione dell'agente>
•
La cartella BM nella cartella di installazione Trend Micro (solitamente C:
\Programmi\Trend Micro\BM per i sistemi a 32 bit e C:\Programmi(x86)\Trend
Micro\BM per i sistemi a 64 bit)
5-83
Capitolo 6
Come mantenere la protezione
aggiornata
In questo capitolo vengono descritti i componenti e le procedure di aggiornamento di
OfficeScan.
•
Programmi e componenti di OfficeScan a pagina 6-2
•
Panoramica sugli aggiornamenti a pagina 6-14
•
Aggiornamenti server OfficeScan a pagina 6-17
•
Aggiornamenti di Integrated Smart Protection Server a pagina 6-30
•
Aggiornamenti dell'agente OfficeScan a pagina 6-30
•
Update Agent a pagina 6-58
•
Riepilogo aggiornamento componenti a pagina 6-67
6-1
Programmi e componenti di OfficeScan
OfficeScan utilizza i componenti e i programmi per mantenere i computer agente
protetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti e
programmi aggiornati, eseguire gli aggiornamenti manuali o pianificati.
Oltre ai componenti, gli agenti OfficeScan ricevono anche i file di configurazione
aggiornati dal server OfficeScan. Gli agenti necessitano di tali file di configurazione per
poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di
OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.
I componenti sono raggruppati come segue:
•
Componenti antivirus a pagina 6-2
•
Componenti di Damage Cleanup Services a pagina 6-7
•
Componenti anti-spyware a pagina 6-7
•
Componenti firewall a pagina 6-8
•
Componente di Reputazione Web a pagina 6-9
•
Componenti monitoraggio del comportamento a pagina 6-9
•
Programmi a pagina 6-11
•
Componenti Connessioni sospette a pagina 6-13
•
Soluzione minaccia browser a pagina 6-13
Componenti antivirus
I componenti antivirus sono composti dai pattern, driver e motori seguenti:
6-2
•
Pattern antivirus a pagina 6-3
•
Motore di scansione virus a pagina 6-4
•
Driver scansione dei virus a pagina 6-5
•
Pattern IntelliTrap a pagina 6-6
Come mantenere la protezione aggiornata
•
Pattern eccezioni IntelliTrap a pagina 6-6
•
Pattern ispezione memoria a pagina 6-6
Pattern antivirus
Il pattern antivirus disponibile nel agente dispositivo dipende dal metodo di scansione
utilizzato dall'agente.
Per informazioni sui metodi di scansione, vedere Tipi di metodi di scansione a pagina 7-8.
Tabella 6-1. Pattern antivirus
Metodo di
scansione
Scansione
convenzionale
Pattern in uso
Il Pattern antivirus contiene informazioni che consentono a OfficeScan
di identificare i virus, i malware e le minacce informatiche di tipo misto
più recenti. Trend Micro crea e distribuisce nuove versioni del Pattern
antivirus più volte a settimana e ogniqualvolta viene scoperto un virus o
malware particolarmente dannoso.
Trend Micro consiglia di pianificare gli aggiornamenti automatici in
modo che vengano effettuati almeno ogni ora; questa è l'impostazione
predefinita per tutti i prodotti.
6-3
Metodo di
scansione
Smart Scan
Pattern in uso
Nella modalità Smart Scan gli Agenti OfficeScan utilizzano due pattern
leggeri che vengono integrati per fornire lo stesso livello di protezione
dei pattern anti-malware e anti-spyware convenzionali.
Un'origine Smart Protection ospita lo Smart Scan Pattern. Questo
pattern viene aggiornato ogni ora e contiene la maggior parte delle
definizioni dei pattern. Questo pattern non viene scaricato dagli agenti
Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern
inviando query di scansione all'origine Smart Protection.
L'origine aggiornamenti dell'agente (il server OfficeScan oppure
un'origine aggiornamenti personalizzata) ospita il Pattern agente
Smart Scan. Questo pattern viene aggiornato quotidianamente e
contiene tutte le altre definizioni dei pattern non disponibili in Smart
Scan Pattern. Gli agenti scaricano questo pattern dall'origine
aggiornamenti utilizzando gli stessi metodi di download degli altri
componenti OfficeScan.
Per ulteriori informazioni su Smart Scan Pattern e Smart Scan Agent
Pattern, vedere File Smart Protection Pattern a pagina 4-8.
Motore di scansione virus
Il motore di scansione rappresenta il fulcro di tutti i prodotti Trend Micro e
originariamente è stato sviluppato in risposta ai primi virus dei dispositivi basati su file. Il
motore di scansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di
diversi di Virus e minacce informatiche a pagina 7-2. Il motore di scansione inoltre rileva i
virus controllati sviluppati e utilizzati per la ricerca.
Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei pattern
collaborano per identificare gli elementi riportati di seguito:
•
Caratteristiche riconoscibili del codice del virus
•
La posizione precisa del virus all'interno del file
OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristina
l'integrità del file.
6-4
Aggiornamento del motore di scansione
Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su virus
o minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre al
minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la
protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove
versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti
circostanze:
•
Implementazione di nuove tecnologie di scansione e rilevamento all'interno del
software.
•
Scoperta di un nuovo virus potenzialmente molto dannoso che il motore di
scansione non è in grado di gestire
•
Miglioramento delle prestazioni di scansione
•
Aggiunta di formati di file, linguaggi per script, codifica e/o formati di
compressione
Driver scansione dei virus
Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Le
operazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di
un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sono
TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazione in tempo
reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delle operazioni
degli utenti.
Nota
Questo componente non viene visualizzato nella console. Per verificare la versione in uso,
accedere a vCartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsante
destro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione.
6-5
Pattern IntelliTrap
Pattern IntelliTrap ( Per maggiori dettagli, consultare IntelliTrap a pagina E-7 ). Il
pattern rileva i file compressi in tempo reale impacchettati come file eseguibili.
Pattern eccezioni IntelliTrap
Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati".
Pattern ispezione memoria
La scansione in tempo reale utilizza il Pattern ispezione memoria per valutare i file
compressi eseguibili identificati dal monitoraggio del comportamento. La scansione in
tempo reale effettua nei file compressi eseguibili le seguenti azioni:
1.
Crea un file di mappatura nella memoria dopo aver verificato il percorso di
immagine del processo.
Nota
L'elenco di esclusione scansione sovrascrive la scansione del file.
2.
6-6
Invia l'ID di processo al Servizio di protezione avanzata che quindi:
a.
Usa il Motore di scansione virus per effettuare la scansione della memoria.
b.
Filtra il processo tramite gli elenchi Approvati globali per i file di sistema
Windows, i file con firma digitale da origini affidabili e i file sottoposti a test
da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non
esegue alcuna azione sul medesimo.
3.
Dopo aver elaborato la scansione della memoria, il Servizio di protezione avanzata
invia i risultati alla Scansione in tempo reale.
4.
La Scansione in tempo reale quindi mette in quarantena eventuali minacce
informatiche rilevate e interrompe il processo.
Componenti di Damage Cleanup Services
I componenti di Damage Cleanup Services sono composti dal motore e dal modello
seguenti.
•
Motore di disinfezione virus a pagina 6-7
•
Modello disinfezione virus a pagina 6-7
•
Driver preliminare cleanup a pagina 6-7
Motore di disinfezione virus
Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativi
processi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit.
Modello disinfezione virus
Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus per
individuare i file dei cavalli di Troia e i relativi processi per consentire al motore di
eliminarli.
Driver preliminare cleanup
Il driver preliminare cleanup di Trend Micro viene caricato prima dei driver del sistema
operativo, consentendo il rilevamento e il blocco dei rootkit di tipo boot. Dopo il
caricamento dell'Agente OfficeScan, il driver preliminare cleanup di Trend Micro
richiama Damage Cleanup Services per disinfettare il rootkit.
Componenti anti-spyware
I componenti anti-spyware sono formati dal motore e dai pattern seguenti:
•
Pattern spyware a pagina 6-8
•
Motore di scansione spyware a pagina 6-8
6-7
•
Pattern di monitoraggio attivo spyware a pagina 6-8
Pattern spyware
Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli di
memoria, nel registro di Windows e nei collegamenti URL.
Motore di scansione spyware
Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata su
spyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit.
Pattern di monitoraggio attivo spyware
Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo reale
di spyware/grayware. Solo gli agenti con scansione convenzionale utilizzano questo
pattern.
Gli agenti Smart Scan utilizzano Pattern agente Smart Scan per la scansione in tempo
reale di spyware/grayware. Se non è possibile determinare il rischio della destinazione
della scansione, gli Agenti inviano query di scansione a un'origine Smart Protection.
Componenti firewall
I componenti Firewall sono composti dal pattern e dal driver seguenti:
•
Driver comune Firewall a pagina 6-8
•
Pattern comune firewall a pagina 6-9
Driver comune Firewall
Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire la
scansione dei computer agente per rilevare virus di rete. Questo driver supporta
piattaforme a 32 bit e a 64 bit.
6-8
Pattern comune firewall
Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuare
le impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus di
rete.
Componente di Reputazione Web
Il componente di reputazione Web è il Motore Filtro URL.
Motore Filtro URL
Il motore di filtro URL consente la comunicazione tra OfficeScan e il servizio di filtro
URL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL e
trasmette a OfficeScan le informazioni sulla valutazione.
Componenti monitoraggio del comportamento
I componenti del monitoraggio del comportamento sono composti dai pattern, driver e
servizi seguenti:
•
Pattern rilevamento monitoraggio del comportamento a pagina 6-9
•
Driver monitoraggio del comportamento a pagina 6-10
•
Servizio principale monitoraggio del comportamento a pagina 6-10
•
Pattern di configurazione monitoraggio del comportamento a pagina 6-10
•
Digital Signature Pattern a pagina 6-10
•
Pattern implementazione dei criteri a pagina 6-10
Pattern rilevamento monitoraggio del comportamento
Questo pattern contiene le regole per rilevare il comportamento relativo a minacce
sospette.
6-9
Driver monitoraggio del comportamento
Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principale
monitoraggio del comportamento per implementare i criteri.
Servizio principale monitoraggio del comportamento
Questo servizio in modalità utente ha le seguenti funzioni:
•
Rileva rootkit
•
Regola l'accesso ai dispositivi esterni
•
Protegge file, chiavi di registro e servizi
Pattern di configurazione monitoraggio del comportamento
Driver monitoraggio del comportamento utilizza questo pattern per individuare gli
eventi di sistema normali ed escluderli dall'implementazione dei criteri.
Digital Signature Pattern
Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principale
monitoraggio del comportamento per determinare se un programma responsabile di un
evento di sistema è sicuro.
Pattern implementazione dei criteri
Servizio principale monitoraggio del comportamento controlla gli eventi di sistema
rispetto ai criteri contenuti in questo pattern.
Pattern avvio scansione memoria
Monitoraggio del comportamento utilizza il Pattern avvio scansione memoria per
identificare possibili minacce dopo il rilevamento delle seguenti operazioni:
•
6-10
Azione di scrittura del file
•
Azione di scrittura del registro
•
Creazione di un nuovo processo
Dopo aver identificato una di queste operazioni, Monitoraggio del comportamento
richiama il Pattern ispezione memoria della Scansione in tempo reale per verificare i
rischi per la sicurezza.
Per ulteriori informazioni sulle operazioni di scansione in tempo reale, consultare Pattern
ispezione memoria a pagina 6-6.
Programmi
OfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti:
•
Programma Agente OfficeScan a pagina 6-11
•
Hotfix, patch e service pack a pagina 6-11
Programma Agente OfficeScan
Il programma Agente OfficeScan fornisce una protezione reale contro i rischi per la
sicurezza.
Hotfix, patch e service pack
Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa gli elementi
seguenti per risolvere problemi, migliorare le prestazioni del prodotto oppure aggiungere
nuove funzionalità:
•
Hotfix a pagina E-5
•
Patch a pagina E-10
•
Patch di protezione a pagina E-11
•
Service Pack a pagina E-12
6-11
Quando questi elementi vengono resi disponibili, l'utente viene informato dal
rivenditore o dal fornitore dell'assistenza. Per informazioni sulla pubblicazione di nuovi
hotfix, patch e service pack, consultare il sito Web di Trend Micro:
http://www.trendmicro.com/download/emea/?lng=it
Tutte le pubblicazioni includono un file readme che contiene informazioni su
installazione, implementazione e configurazione. Prima di eseguire l'installazione, leggere
attentamente il file readme.
Cronologia hot fix e patch
Quando il server OfficeScan implementa file di hot fix o patch negli Agenti OfficeScan,
il programma Agente OfficeScan registra le informazioni su hot fix e patch nell'editor
del Registro di sistema. È possibile inviare una query su queste informazioni a più agenti
utilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™.
Nota
Questa funzione non registra hot fix e patch implementate solo nel server.
Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1.
•
Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1
con patch 3.1 o versioni successive registrano le hot fix e le patch installate per la
versione 8.0 e le versioni successive.
•
Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti alla
versione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installate
per la versione 10.0 e successive.
Le informazioni sono memorizzate nelle chiavi riportate di seguito:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\
CurrentVersion\HotfixHistory\<Product version>
•
Per computer con piattaforme di tipo x64:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PCcillinNTCorp\CurrentVersion\HotfixHistory\<Product version>
6-12
Controllare le chiavi riportate di seguito:
•
Chiave: HotFix_installed
Tipo: REG_SZ
Valore: <Nome di hot fix o patch>
•
Chiave: HotfixInstalledNum
Tipo: DWORD
Valore: <Numero di hot fix o patch>
Componenti Connessioni sospette
I componenti di Connessioni sospette sono composti dal modello e dall'elenco seguenti:
•
Elenco IP C&C globale a pagina 6-13
•
Pattern regola di pertinenza a pagina 6-13
Elenco IP C&C globale
L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network
Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C noti.
Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete.
OfficeScan registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C
globale per la valutazione.
Pattern regola di pertinenza
Il servizio Connessioni sospette usa il Pattern regola di pertinenza per individuare per
rilevare firme di famiglie di minacce uniche nelle intestazioni nei pacchetti di rete.
Soluzione minaccia browser
La Soluzione minaccia browser è composta da due modelli:
6-13
•
Pattern prevenzione minaccia browser a pagina 6-14
•
Pattern Script Analyzer a pagina 6-14
Pattern prevenzione minaccia browser
Il pattern identifica le vulnerabilità più recenti del browser Web e impedisce l'uso di tali
vulnerabilità per compromettere il browser Web.
Pattern Script Analyzer
Il pattern analizza gli script delle pagine Web e identifica gli script dannosi.
Panoramica sugli aggiornamenti
Tutti gli aggiornamenti dei componenti provengono dal server Trend Micro
ActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le
origini Smart Protection (Smart Protection Server o Smart Protection Network)
scaricano i componenti aggiornati. I download delle origini Smart Protection e del server
OfficeScan non si sovrappongono in quanto ciascun server scarica un insieme di
componenti specifico.
Nota
È possibile configurare sia il server OfficeScan che Smart Protection Server in modo che
eseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. A
tale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per la
configurazione di questa origine di aggiornamento, contattare l'assistenza tecnica.
Aggiornamento del server OfficeScan e dell'agente
OfficeScan
Il server OfficeScan scarica la maggior parte dei componenti necessari agli agenti.
L'unico componente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini
Smart Protection.
6-14
Se il server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamento
potrebbe utilizzare una grande quantità di risorse del computer server e influire sulla
stabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScan dispone
della funzione Update Agent che consente ad alcuni agenti di condividere l'attività di
distribuzione degli aggiornamenti agli altri agenti.
La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento dei
componenti per il server OfficeScan e gli agenti, con consigli per l'utilizzo:
Tabella 6-2. Opzioni di aggiornamento Server-Agente
Opzione di
aggiornament
o
Descrizione
Raccomandazione
Server
ActiveUpdate >
Server > Agente
Il server OfficeScan riceve i
componenti aggiornati dal
server ActiveUpdate di Trend
Micro (o da un'altra origine
aggiornamenti) e avvia
l'aggiornamento dei
componenti sugli agenti.
Utilizzare questo metodo se non ci
sono sezioni di larghezza di banda
ridotta tra il server OfficeScan e gli
agenti.
Server
ActiveUpdate >
Server > Update
Agent > Agente
Il server OfficeScan riceve i
componenti aggiornati dal
server ActiveUpdate (o da
un'altra origine
aggiornamenti) e avvia
l'aggiornamento dei
componenti sugli agenti. Gli
agenti OfficeScan designati
come Update Agent
segnalano agli altri agenti di
Se ci sono sezioni a larghezza di
banda ridotta tra il server
OfficeScan e gli agenti, utilizzare
questo metodo per bilanciare il
carico del traffico nella rete.
6-15
Opzione di
aggiornament
o
Server
ActiveUpdate >
Update Agent >
Agente
Server
ActiveUpdate >
Agente
Descrizione
Raccomandazione
Gli Update Agent ricevono i
componenti aggiornati
direttamente dal server
ActiveUpdate (o da un'altra
origine aggiornamenti) e
segnalano agli agenti di
Utilizzare questo metodo solo se si
verificano problemi con
l'aggiornamento di Update Agent
dal server OfficeScan o da un altro
Update Agent.
OfficeScan Gli agenti
ricevono i componenti
aggiornati direttamente dal
server ActiveUpdate (o da
un'altra origine
aggiornamenti).
Utilizzare questo metodo solo se si
verificano problemi con
l'aggiornamento degli agenti dal
server OfficeScan o da altri Update
Agent.
Nella maggior parte dei casi, gli
Update Agent ricevono gli
aggiornamenti più velocemente dal
server OfficeScan o da altri Update
Agent, piuttosto che da un'origine di
aggiornamenti esterna.
Nella maggior parte dei casi, gli
agenti ricevono gli aggiornamenti
più velocemente dal server
OfficeScan o dagli Update Agent,
rispetto a un'origine aggiornamenti
esterna.
Aggiornamento dell'origine Smart Protection
Un'origine Smart Protection (Smart Protection Server o Smart Protection Network)
scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti Smart
Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di
scansione all'origine Smart Protection.
Nota
Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini Smart
Protection.
6-16
Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle origini
Smart Protection.
Tabella 6-3. Processo di aggiornamento delle origini Smart Protection
Processo di
aggiornamento
Descrizione
Server ActiveUpdate
> Smart Protection
Network
Trend Micro Smart Protection Network riceve gli aggiornamenti
dal server ActiveUpdate di Trend Micro. Gli agenti Smart Scan
che non sono connessi alla rete aziendale inviano query a
Trend Micro Smart Protection Network.
Server ActiveUpdate
> Smart Protection
Server
Smart Protection Server (integrato o standalone) riceve gli
aggiornamenti dal server ActiveUpdate di Trend Micro. Gli
agenti Smart Protection connessi alla rete aziendale inviano
query a Smart Protection Server.
Smart Protection
Network > Smart
Protection Server
Smart Protection Server (integrato o standalone) riceve gli
aggiornamenti da Trend Micro Smart Protection Network. Gli
agenti Smart Protection connessi alla rete aziendale inviano
query a Smart Protection Server.
Aggiornamenti server OfficeScan
Il server OfficeScan scarica i componenti riportati di seguito e li implementa negli
agenti:
Tabella 6-4. Componenti scaricati dal server OfficeScan
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Antivirus
No
Sì
Pattern dei virus
Sì
No
6-17
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Pattern IntelliTrap
Sì
Sì
Sì
Sì
Sì
Sì
Motore di scansione virus (32 bit)
Sì
Sì
Sì
Sì
Pattern spyware
Sì
Sì
Pattern di monitoraggio attivo
spyware
Sì
No
Motore di scansione spyware (32 bit)
Sì
Sì
Motore di scansione spyware (64 bit)
Sì
Sì
Sì
Sì
Motore di disinfezione virus (32-bit)
Sì
Sì
Motore di disinfezione virus (64-bit)
Sì
Sì
Driver preliminare cleanup (32 bit)
Sì
Sì
Sì
Sì
Sì
Sì
Anti-spyware
Damage Cleanup Services
Firewall
6-18
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Pattern rilevamento monitoraggio del
comportamento (32 bit)
Sì
Sì
Driver monitoraggio del
comportamento a 32 bit
Sì
Sì
Servizio principale monitoraggio del
Sì
Sì
Sì
Sì
comportamento a 64 bit
Sì
Sì
Sì
Sì
Pattern di configurazione
monitoraggio del comportamento
Sì
Sì
Sì
Sì
Sì
Sì
Pattern avvio scansione memoria (32
bit)
Sì
Sì
bit)
Sì
Sì
Sì
Sì
Sì
Sì
Servizio di avvisi contatti C&C
Soluzione minaccia browser
6-19
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Pattern prevenzione minaccia
browser
Sì
Sì
Sì
Sì
Suggerimenti e promemoria per gli aggiornamenti:
•
Per consentire al server di implementare i componenti aggiornati sugli agenti,
attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti
automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è
disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti.
•
Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamenti
direttamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puro
non è in grado di distribuire gli aggiornamenti direttamente agli agenti agenti IPv6
puri. Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti,
è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come
ad esempio DeleGate.
•
Trend Micro rilascia regolarmente i file di pattern, in modo da mantenere
aggiornata la protezione dell'agente. Poiché i file di pattern sono disponibili
regolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione dei
componenti che consente un download più rapido dei file di pattern. Consultare
Duplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori informazioni.
•
Se per il collegamento a Internet si utilizza un server proxy, utilizzare le
impostazioni proxy corrette per il download degli aggiornamenti.
•
Nella Dashboard, della console Web, aggiungere il widget Aggiornamenti agente
per visualizzare le versioni correnti dei componenti e determinare il numero di
agenti con componenti aggiornati e obsoleti.
6-20
Origini aggiornamenti del server OfficeScan
Configurare il server OfficeScan per scaricare i componenti dal server ActiveUpdate di
Trend Micro o da un'altra origine. È possibile specificare un'altra origine se il server
OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per uno
scenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-26.
Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamente
notificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delle
impostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico.
Se l'aggiornamento di un componente è particolarmente importante, fare in modo che il
server invii la notifica agli agenti immediatamente accedendo a Aggiornamenti >
Agenti > Aggiornamento manuale.
Nota
Se non vengono specificate impostazioni di aggiornamento attivate da eventi né una
pianificazione delle impostazioni all'interno di Aggiornamenti > Agenti >
Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà la
notifica agli agenti affinché effettuino l'aggiornamento.
Supporto IPv6 per gli aggiornamenti del server OfficeScan
Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamento
direttamente da origini IPv4 pure, come:
•
Server ActiveUpdate di Trend Micro
•
Qualsiasi origine aggiornamenti personalizzata IPv4 pura
Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguire
l'aggiornamento direttamente da origini personalizzate IPv6 pure.
Per consentire a un server di connettersi alle origini aggiornamenti, è necessario un
server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio
DeleGate.
6-21
Proxy per gli aggiornamenti del server OfficeScan
Configurare i programmi server ospitati nel computer server per utilizzare le
impostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di
Trend Micro. I programmi server comprendono il server OfficeScan e Integrated Smart
Protection Server.
Configurazione delle impostazioni proxy
Procedura
1.
Accedere a Amministrazione > Impostazioni > Proxy.
2.
Fare clic sulla scheda Proxy esterno.
3.
Accedere alla sezione Aggiornamenti server OfficeScan.
4.
Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motore
e licenza.
5.
Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero di
porta.
6.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la password.
7.
Fare clic su Salva.
Configurazione della fonte di aggiornamento server
Procedura
1.
Accedere a Aggiornamenti > Server > Origine aggiornamenti.
2.
Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti.
Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessione
a Internet e, se si utilizza un server proxy, provare se la connessione a Internet è
disponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gli
aggiornamenti del server OfficeScan a pagina 6-22.
6-22
Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le
risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi,
inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni.
Per ottenere supporto per la configurazione di un'origine di aggiornamento,
contattare l'assistenza tecnica.
Nota
Il server OfficeScan utilizza la duplicazione dei componenti per scaricare i
componenti dall'origine di aggiornamento. Consultare Duplicazione dei componenti server
OfficeScan a pagina 6-23 per ulteriori dettagli.
3.
Fare clic su Salva.
Duplicazione dei componenti server OfficeScan
Quando la versione più recente di un file di pattern completo è disponibile per il
download dal server Trend Micro ActiveUpdate, sono disponibili anche 14 pattern
incrementali. I pattern incrementali sono versioni ridotte del file di pattern completo che
colmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti.
Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175
contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (la
versione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto i
numeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175
contiene i dati presenti nella versione 175 e non presenti nella versione 171.
Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScan
esegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti in
cui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Per
informazioni sul modo in cui gli Update Agent eseguono la duplicazione dei
componenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-64.
La duplicazione dei componenti si applica ai seguenti componenti:
•
Pattern dei virus
•
6-23
•
•
•
Pattern spyware
•
Scenario di duplicazione dei componenti
Per comprendere la duplicazione dei componenti per il server, considerare il seguente
scenario:
Tabella 6-5. Scenario di duplicazione dei componenti del server
Pattern
completi sul
server
OfficeScan
Versione corrente: 171
169
167
165
161
159
Versione più
recente sul
server
ActiveUpdate
173.175
171.175
169.175
167.175
165.175
163.175
161.175
159.175
157.175
155.175
153.175
151.175
149.175
147.175
1.
Altre versioni disponibili:
Il server OfficeScan confronta la versione attuale del pattern completo con la
versione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è al
massimo 14, il server scarica solo il pattern incrementale per colmare la differenza
tra le due versioni.
Nota
Se la differenza è superiore a 14, il server scarica automaticamente la versione
completa del file di pattern e 14 pattern incrementali.
Esempio:
•
6-24
La differenza tra le versioni 171 e 175 è 2. Questo significa che il server non
dispone delle versioni 173 e 175.
•
2.
Il server scarica il pattern incrementale 171.175. Questo pattern incrementale
colma la differenza tra le versioni 171 e 175.
Il server integra il pattern incrementale con il pattern completo corrente per
generare il pattern completo più recente.
Esempio:
3.
•
Sul server, OfficeScan integra la versione 171 con il pattern incrementale
171.175 per generare la versione 175.
•
Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente
(versione 175).
Il server genera pattern incrementali sulla base degli altri pattern completi
disponibili sul server. Se il server non genera questi pattern incrementali, gli agenti
che non hanno scaricato i pattern incrementali precedenti scaricano
automaticamente il file di pattern completo, che genererà poi ulteriore traffico di
rete.
Esempio:
•
Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, può
generare i seguenti pattern incrementali:
169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
Il server non deve utilizzare la versione 171 perché dispone già del pattern
incrementale 171.175.
•
Ora il server dispone di 7 pattern incrementali:
171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
4.
Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169,
167, 165, 163, 161). Le versioni precedenti vengono rimosse (159).
Il server confronta i pattern incrementali correnti con i pattern incrementali
disponibili sul server ActiveUpdate. Il server scarica i pattern incrementali non
presenti.
Esempio:
6-25
•
Il server ActiveUpdate ha 14 pattern incrementali:
173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,
157.175, 155.175, 153.175, 151.175, 149.175, 147.175
•
Il server OfficeScan ha 7 pattern incrementali:
171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
Il server OfficeScan scarica altri 7 pattern incrementali:
173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175
•
5.
Ora il server dispone di tutti i pattern incrementali disponibili sul server
ActiveUpdate.
Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili per
gli agenti.
Aggiornamenti server OfficeScan isolato
Se il server OfficeScan appartiene a una rete completamente isolata da tutte le origini
esterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguire
l'aggiornamento da un'origine interna che contiene i componenti più recenti.
In questo argomento vengono descritte le operazioni necessarie per eseguire
l'aggiornamento di un server OfficeScan isolato.
Aggiornamento di un server OfficeScan isolato
Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte le
operazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggi
dettagliati di ciascuna operazione.
Procedura
1.
6-26
Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager o
un'altra macchina host. L'origine aggiornamenti deve disporre di:
•
Una connessione Internet in modo da poter per scaricare i componenti più
recenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet,
il solo modo per ottenere i componenti aggiornati necessari le origini
aggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelle
origini aggiornamenti.
•
Una connessione funzionante con il server OfficeScan. Se tra il server
OfficeScan e le origini aggiornamenti esiste un server proxy, configurare le
impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server
•
Spazio su disco sufficiente per i componenti scaricati
2.
Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli,
consultare Origini aggiornamenti del server OfficeScan a pagina 6-21.
3.
Identificare i componenti che il server implementa per gli agenti. Per un elenco dei
componenti implementabili, vedere Aggiornamenti dell'agente OfficeScan a pagina 6-30.
Suggerimento
Per provare a determinare se un componente viene implementato sugli agenti
accedere alla schermata Riepilogo aggiornamento nella console Web
(Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamento
per un componente che viene implementato è sempre maggiore dello 0%.
4.
Determinare la frequenza di scaricamento dei componenti. I file di pattern
vengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia di
aggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenza
tecnica di notificare gli aggiornamenti importanti.
5.
Su un'origine aggiornamenti:
a.
Effettuare la connessione al server ActiveUpdate. L'URL del server varia in
base alla versione OfficeScan.
b.
Scaricare i seguenti elementi:
•
Il file server.ini. Questo file contiene informazioni sui componenti più
recenti.
6-27
•
c.
I componenti identificati nel passaggio 3.
Salvare gli elementi scaricati in una directory dell'origine aggiornamenti.
6.
Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultare
Aggiornamento manuale del server OfficeScan a pagina 6-28.
7.
Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare i
componenti.
Metodi di aggiornamento del server OfficeScan
I componenti del server OfficeScan possono essere aggiornati manualmente oppure
configurando una pianificazione di aggiornamento.
Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare
l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici
dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il
server scarica gli aggiornamenti ma non li implementa negli agenti.
I metodi aggiornamento includono:
•
Aggiornamento server manuale: quando un aggiornamento è importante,
eseguire l'aggiornamento manuale in modo che il server possa ottenere gli
aggiornamenti immediatamente. Consultare Aggiornamento manuale del server
•
Aggiornamento server pianificato: il server OfficeScan si connette all'origine
aggiornamenti nella data e ora pianificati per ottenere i componenti più recenti.
Consultare Pianificazione aggiornamenti per il server OfficeScan a pagina 6-29 per ulteriori
dettagli.
Aggiornamento manuale del server OfficeScan
Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato o
aggiornato il server e quando si verifica un'infezione.
6-28
Procedura
1.
Accedere a Aggiornamenti > Server > Aggiornamento manuale.
2.
Selezionare i componenti da aggiornare.
3.
Fare clic su Aggiorna.
Il server scarica i componenti aggiornati.
Pianificazione aggiornamenti per il server OfficeScan
Configurare il server OfficeScan affinché controlli con regolarità l'origine di
aggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di
norma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è un
modo semplice ed efficace per assicurare una protezione continua contro i rischi per la
sicurezza.
Procedura
1.
Accedere a Aggiornamenti > Server > Aggiornamento pianificato.
2.
Selezionare Attiva aggiornamento pianificato del server OfficeScan.
3.
Selezionare i componenti da aggiornare.
4.
Specificare la pianificazione dell'aggiornamento.
Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica il
numero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti di
OfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallo
temporale.
5.
Fare clic su Salva.
6-29
Registri di aggiornamento del server OfficeScan
Verificare i registri di aggiornamento del server per determinare se esistono dei problemi
di aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti dei
componenti del server OfficeScan.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-39.
Visualizzazione dei registri di aggiornamento
Procedura
1.
Accedere a Registri > Aggiornamento server.
2.
Controllare la colonna Risultato per verificare se alcuni componenti non sono stati
aggiornati.
3.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Aggiornamenti di Integrated Smart Protection
Server
Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern e
l'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e come
aggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-20.
Aggiornamenti dell'agente OfficeScan
Per garantire la continua protezione degli agenti contro i più recenti rischi per la
sicurezza, è necessario aggiornare regolarmente i componenti dell'agente.
6-30
Prima di aggiornare gli agenti, verificare che la loro origine aggiornamenti (server
OfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti più
recenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamenti
server OfficeScan a pagina 6-17.
La seguente tabella comprende un elenco di tutti i componenti implementati dalle origini
aggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo di
scansione.
Tabella 6-6. OfficeScan Componenti implementati sugli Agenti
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Antivirus
No
Sì
Pattern dei virus
Sì
No
Pattern IntelliTrap
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Pattern spyware/grayware
Sì
Sì
spyware
Sì
No
Motore di scansione spyware/
grayware (32 bit)
Sì
Sì
Motore di scansione spyware/
grayware (64 bit)
Sì
Sì
Anti-spyware
6-31
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Modello Damage Cleanup
Sì
Sì
Motore Damage Cleanup (32 bit)
Sì
Sì
Motore Damage Cleanup (64 bit)
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Pattern di firewall
Sì
Sì
Driver per firewall (32 bit)
Sì
Sì
Driver per firewall (64 bit)
Sì
Sì
Servizi di reputazione Web
Motore Filtro URL
Firewall
6-32
Sì
Sì
Driver principale monitoraggio del
Sì
Sì
Sì
Sì
Sì
Sì
Driver principale monitoraggio del
Sì
Sì
Distribuzione
Agenti con
scansione
convenzionale
Componente
Agenti Smart Scan
Sì
Sì
Pattern di configurazione
monitoraggio del comportamento
Sì
Sì
Sì
Sì
Sì
Sì
bit)
Sì
Sì
bit)
Sì
Sì
Sì
Sì
Sì
Sì
Pattern prevenzione minaccia
browser
Sì
Sì
Sì
Sì
Connessioni sospette
Vulnerabilità browser
Origini aggiornamenti dell'agente OfficeScan
Gli agenti possono ottenere gli aggiornamenti dall'origine aggiornamenti standard
(server OfficeScan) o da componenti specifici delle origini aggiornamenti personalizzate,
come il server ActiveUpdate di Trend Micro. Per i dettagli, consultare Origine
aggiornamenti standard per gli agenti OfficeScan a pagina 6-34 e Origini aggiornamenti
personalizzate per gli agenti OfficeScan a pagina 6-36.
6-33
Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalle
origini aggiornamenti IPv4 pure, come:
•
Un server OfficeScan IPv4 puro
•
Un Update Agent IPv4 puro
•
•
Analogamente, un agente IPv4 puro non è in grado di eseguire direttamente
l'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6
puro o un Update Agent.
Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un server
proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.
Origine aggiornamenti standard per gli agenti OfficeScan
Il server OfficeScan è l'origine aggiornamenti standard per gli agenti.
Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup e
quindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado di
raggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usare
questo strumento per creare un pacchetto con i componenti più recenti disponibili sul
server, quindi eseguire il pacchetto sugli agenti.
Nota
L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione al
server OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti
dell'agente, consultare Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-34.
6-34
Configurazione dell'origine degli aggiornamenti standard per gli
agenti OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.
2.
Selezionare Origini di aggiornamento standard (aggiorna dal server
OfficeScan).
3.
Fare clic su Invia una notifica tutti gli agenti.
Processo di aggiornamento dell'agente OfficeScan
Nota
In questo argomento viene illustrato il processo di aggiornamento per gli Agenti
OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origine
aggiornamenti standard per gli agenti OfficeScan a pagina 6-34.
Se gli Agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamente
dal server OfficeScan, il processo di aggiornamento è il seguente:
1.
L'Agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan.
2.
Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'Agente
OfficeScan tenta di connettersi direttamente al server ActiveUpdate di Trend Micro
se l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server
ActiveUpdate di Trend Micro è attivata in Agenti > Gestione agente,
Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda)
> Impostazioni di aggiornamento.
6-35
Nota
È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile
scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server
OfficeScan o dagli Update Agent. Per rendere più rapido il processo di
aggiornamento, configurare gli Agenti OfficeScan in modo che dal server
ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni,
consultare Server ActiveUpdate come origine degli aggiornamenti dell'agente OfficeScan a pagina
6-40.
Origini aggiornamenti personalizzate per gli agenti
OfficeScan
Oltre che dal server OfficeScan, gli Agenti OfficeScan possono eseguire l'aggiornamento
dalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzate
contribuiscono a ridurre il traffico degli aggiornamenti dell'Agente OfficeScan diretto al
server OfficeScan e consentono agli Agenti OfficeScan che non riescono a connettersi al
server OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le origini
di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate,
che può contenere fino a 1024 origini di aggiornamento.
Suggerimento
Trend Micro consiglia di assegnare alcuni Agenti OfficeScan come Update Agent e poi
aggiungerli all'elenco.
Configurazione delle origini aggiornamenti personalizzate degli
agenti OfficeScan
Procedura
1.
2.
Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi.
3.
Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile
immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.
6-36
4.
Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent se
è stato assegnato oppure digitare l'URL di un'origine specifica.
Nota
Accertarsi che gli Agenti OfficeScan siano in grado di connettersi all'origine
aggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato
un intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4.
Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamenti
deve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gli
aggiornamenti dell'agente, consultare Origini aggiornamenti dell'agente OfficeScan a pagina
6-33.
5.
Fare clic su Salva.
6.
Eseguire operazioni varie nella schermata.
a.
Selezionare una delle impostazioni riportate di seguito. Per ulteriori
informazioni sul funzionamento di queste impostazioni, vedere Processo di
aggiornamento dell'agente OfficeScan a pagina 6-35.
•
Gli Update Agent aggiornano componenti, impostazioni di
dominio, programmi agente e hot fix solo dal server OfficeScan
•
Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan
se tutte le origini personalizzate non sono disponibili o non sono state
trovate:
•
Componenti
•
Impostazioni dominio
•
Programmi agenti OfficeScan e hot fix
b.
Se come origine è stato specificato almeno un Update Agent, fare clic su
Segnalazione analitica di Update Agent per generare una segnalazione che
evidenzi lo stato di aggiornamento degli agenti. Per ulteriori informazioni sulla
segnalazione, vedere Segnalazione analitica di Update Agent a pagina 6-66.
c.
Modificare un'origine aggiornamenti facendo clic sul collegamento
dell'intervallo di indirizzi IP. Modificare le impostazioni nella schermata
visualizzata e fare clic su Salva.
6-37
7.
d.
Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella di
controllo e facendo clic su Elimina.
e.
Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. È
possibile spostare solo un'origine per volta.
Processo di aggiornamento dell'agente OfficeScan
Nota
In questo argomento viene illustrato il processo di aggiornamento per gli Agenti
OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origini
aggiornamenti personalizzate per gli Update Agent a pagina 6-62.
Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, il
processo di aggiornamento prosegue come riportato di seguito:
1.
L'Agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco.
2.
Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'Agente
OfficeScan utilizza la seconda voce e così via.
3.
Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'Agente
OfficeScan controlla le impostazioni seguenti nella schermata Origine
aggiornamenti:
Tabella 6-7. Altre impostazioni per le origini aggiornamenti personalizzate
Impostazione
Gli Update Agent
aggiornano componenti,
impostazioni di dominio,
programmi agente e hot
fix solo dal server
OfficeScan
6-38
Descrizione
Se tale impostazione è attivata, gli Update Agent
eseguono l'aggiornamento direttamente dal server
OfficeScan e ignorano Elenco origini di aggiornamento
personalizzate.
Se disattivata, gli Update Agent applicano le
impostazioni di origine aggiornamenti personalizzata
configurate per gli agenti normali.
Impostazione
Descrizione
Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le
origini personalizzate non sono disponibili o non sono state trovate:
Componenti
Se questa opzione è attivata, l'agente esegue
l'aggiornamento dei componenti dal server OfficeScan.
Se l'opzione è disattivata, l'agente tenta di connettersi
direttamente al server ActiveUpdate di Trend Micro se si
verifica una delle seguenti condizioni:
•
In Agenti > Gestione agente, fare clic su
Impostazioni > Privilegi e altre impostazioni >
Altre impostazioni (scheda) > Aggiorna
impostazioni, l'opzione Gli agenti OfficeScan
scaricano gli aggiornamenti dal server
ActiveUpdate di Trend Micro è attivata.
•
Il server ActiveUpdate non è incluso nell'Elenco
origini aggiornamento personalizzate.
Nota
È possibile aggiornare solo i componenti dal
server ActiveUpdate. È possibile scaricare i
programmi, le hot fix e le impostazioni del dominio
solo dal server OfficeScan o dagli Update Agent.
Per rendere più rapido il processo di
aggiornamento, configurare gli agenti in modo che
dal server ActiveUpdate vengano scaricati solo i
file di pattern. Per ulteriori informazioni, consultare
Server ActiveUpdate come origine degli
aggiornamenti dell'agente OfficeScan a pagina
6-40.
Se questa opzione è attivata, l'agente esegue
l'aggiornamento delle impostazioni a livello di dominio
dal server OfficeScan.
Programmi agenti
OfficeScan e hot fix
Se questa impostazione è attivata, l'agente aggiorna i
programmi e le hot fix dal server OfficeScan.
6-39
4.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agente
interrompe il processo di aggiornamento.
Server ActiveUpdate come origine degli aggiornamenti
dell'agente OfficeScan
Quando gli Agenti OfficeScan sono configurati per scaricare gli aggiornamenti
direttamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di
pattern per ridurre l'ampiezza di banda utilizzata durante gli aggiornamenti e velocizzare
il processo di aggiornamento.
I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenza
dei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern.
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server
ActiveUpdate di Trend Micro. Per consentire agli Agenti OfficeScan di connettersi al
server ActiveUpdate, è necessario un server proxy dual-stack che possa convertire gli
Limitazione dei download dal server ActiveUpdate
Procedura
1.
2.
Andare alla sezione Aggiornamenti.
3.
Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gli
aggiornamenti.
Metodi di aggiornamento dell'agente OfficeScan
Gli Agenti OfficeScan che eseguono l'aggiornamento dei componenti dal server
OfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno dei
metodi di aggiornamento riportati di seguito:
6-40
•
Aggiornamenti automatici: l'aggiornamento dell'Agente viene eseguito
automaticamente quando si verificano alcuni eventi o in base a una pianificazione.
Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41.
•
Aggiornamenti manuali: quando un aggiornamento è importante, utilizzare
l'aggiornamento manuale per notificare immediatamente agli agenti di eseguire
l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manuali
•
Aggiornamenti basati su privilegi: gli utenti con privilegi di aggiornamento
hanno maggiore controllo sulla modalità di aggiornamento dell'Agente OfficeScan
nei propri computer. Per i dettagli, consultare Configurazione dei privilegi di
aggiornamento e altre impostazioni a pagina 6-49.
Aggiornamenti automatici dell'agente OfficeScan
La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agli
agenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti.
Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevono anche i
file di configurazione aggiornati. Gli Agenti necessitano di tali file di configurazione per
poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di
OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.
Per specificare la frequenza in base alla quale i file di configurazione vengono applicati
agli agenti, vedere il punto 3 Configurazione degli aggiornamenti automatici dell'agente OfficeScan
a pagina 6-43.
Nota
È possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corso
dell'aggiornamento automatico. Consultare Proxy per gli aggiornamenti dei componenti dell'agente
Esistono due tipi di aggiornamenti automatici:
•
Aggiornamenti provocati da un evento a pagina 6-42
•
Aggiornamenti pianificati a pagina 6-43
6-41
Aggiornamenti provocati da un evento
Il server può notificare agli agenti online di aggiornare i componenti dopo aver
effettuato il download di quelli più recenti e agli agenti offline di effettuare
l'aggiornamento quando saranno stati riavviati e avranno ristabilito la connessione con il
server. Facoltativamente, al termine dell'aggiornamento, sui computer dell'Agente
OfficeScan è possibile avviare Esegui scansione (scansione manuale).
Tabella 6-8. Opzioni di aggiornamento provocate da un evento
Opzione
Avvia l'aggiornamento
dei componenti degli
agenti subito dopo che
il server OfficeScan ha
scaricato un nuovo
componente
Descrizione
Non appena completato un aggiornamento, il server notifica
agli agenti di eseguirlo. Gli agenti aggiornati di frequente
devono solo scaricare pattern incrementali, riducendo in tal
modo il tempo necessario per completare l'aggiornamento
(per maggiori dettagli sui pattern incrementali, consultare
Duplicazione dei componenti server OfficeScan a pagina
6-23). Tuttavia, gli aggiornamenti frequenti potrebbero incidere
negativamente sulle prestazioni del server, soprattutto se molti
agenti eseguono l'aggiornamento contemporaneamente.
Per includere nell'aggiornamento gli agenti in modalità
roaming, selezionare Includi agente in roaming e offline. Per
maggiori dettagli sulla modalità roaming, vedere Privilegio di
roaming dell'agente OfficeScan a pagina 14-21.
6-42
Consente agli agenti di
avviare l'aggiornamento
dei componenti dopo il
riavvio e la connessione
al server OfficeScan
(escludendo gli agenti
in roaming)
Se un agente non ha eseguito un aggiornamento, i
componenti vengono scaricati non appena questo stabilisce la
connessione al server. L'agente potrebbe non eseguire un
aggiornamento se è offline o se l'dispositivo dove è installato
non è in esecuzione.
Effettua Esegui
scansione dopo
l'aggiornamento
(escludendo gli agenti
in roaming)
Il server invia una notifica agli agenti per l'esecuzione della
scansione dopo un'aggiornamento provocato da un evento.
Attivare questa opzione se un aggiornamento specifico
risponde a un rischio per la sicurezza già diffuso nella rete.
Nota
Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti al
termine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15
minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5
volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server non
invierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti
quando gli agenti vengono riavviati e ristabiliscono la connessione al server,
l'aggiornamento dei componenti avverrà in ogni caso.
Aggiornamenti pianificati
L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare
gli Agenti OfficeScan che dispongono di tale privilegio e tali Agenti OfficeScan
potranno eseguire gli aggiornamenti in base alla pianificazione.
Nota
Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultare
Configurazione degli aggiornamenti pianificati dell'agente OfficeScan con NAT a pagina 6-45.
Configurazione degli aggiornamenti automatici dell'agente
OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.
2.
Selezionare gli eventi per un Aggiornamento provocato da un evento:
•
Avvia l'aggiornamento dei componenti degli agenti subito dopo che il
server OfficeScan ha scaricato un nuovo componente
•
•
Includi agenti in roaming e offline
Consente agli agenti di avviare l'aggiornamento dei componenti dopo il
riavvio e la connessione al server OfficeScan (escludendo gli agenti in
roaming)
6-43
•
Effettua Esegui scansione dopo l'aggiornamento (escludendo gli
agenti in roaming)
Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati da
un evento a pagina 6-42.
3.
Configurare la pianificazione per l'Aggiornamento pianificato.
•
Minuto/i o Ora/e
L'opzione Aggiorna le configurazioni degli agenti solo una volta al
giorno è disponibile quando viene pianificata una frequenza di
aggiornamento oraria o basata sui minuti. Il file di configurazione contiene
tutte le impostazioni degli agenti OfficeScan configurati utilizzando la console
Web
Suggerimento
Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che le
impostazioni di configurazione di OfficeScan cambino con minore frequenza.
L'aggiornamento dei file di configurazione effettuato insieme a quello dei
componenti, richiede una maggiore ampiezza di banda e aumenta il tempo
necessario affinché OfficeScan completi l'aggiornamento. Per questo motivo,
Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScan
solo una volta al giorno.
•
Frequenza giornaliera o Frequenza settimanale
Specificare l'ora dell'aggiornamento e il periodo di tempo in cui il server
OfficeScan notifica agli agenti di aggiornare i componenti.
Suggerimento
Questa impostazione consente di evitare che tutti gli agenti online si connettano
contemporaneamente al server nell'ora di inizio indicata e di ridurre la quantità
di traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e il
periodo di tempo è di 2 ore, OfficeScan invia la notifica di aggiornamento dei
componenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00.
6-44
Nota
Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazione
sugli agenti selezionati. Per informazioni sull'attivazione degli aggiornamenti
pianificati, vedere il passaggio 4 di Configurazione dei privilegi di aggiornamento e altre
impostazioni a pagina 6-49.
4.
Fare clic su Salva.
OfficeScan non può inviare immediatamente la notifica agli agenti offline.
Selezionare Consente agli agenti di avviare l'aggiornamento dei componenti
dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti
in roaming) per aggiornare gli agenti offline che passano online dopo la scadenza
del periodo di tempo. Gli agenti offline che non hanno questa impostazione
attivata aggiornano i componenti alla pianificazione successiva o durante un
aggiornamento manuale.
Configurazione degli aggiornamenti pianificati dell'agente
OfficeScan con NAT
Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito:
•
Gli Agenti OfficeScan vengono visualizzati offline nella console Web.
•
Il server OfficeScan non è in grado di notificare agli agenti le modifiche degli
aggiornamenti e della configurazione.
Per risolvere questi problemi, implementare i componenti aggiornati e i file di
configurazione dal server all'Agente OfficeScan con un aggiornamento pianificato così
come descritto di seguito.
Procedura
•
Prima di installare l'Agente OfficeScan sui computer agente:
a.
Configurare la pianificazione dell'aggiornamento dell'agente nella sezione
Aggiornamento pianificato di Aggiornamenti > Agenti >
Aggiornamento automatico.
6-45
b.
•
Concedere agli agenti il privilegio di attivare l'aggiornamento pianificato nella
Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > scheda Privilegi > Aggiornamenti dei componenti.
Se gli Agenti OfficeScan sono già presenti sui computer agente:
a.
Concedere agli agenti il privilegio di eseguire la funzione "Aggiorna ora" nella
Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > scheda Privilegi > Aggiornamenti dei componenti.
b.
Chiedere agli utenti di aggiornare manualmente i componenti sul dispositivo
agente (fare clic con il pulsante destro del mouse sull'icona dell'Agente
OfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") per
ottenere le impostazioni di configurazione aggiornate.
Quando gli Agenti OfficeScan eseguono un aggiornamento, ricevono sia i componenti
aggiornati che i file di configurazione.
Utilizzo dello Strumento di aggiornamento pianificazione dei
domini
L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sono
applicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti,
è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questa
operazione, è necessario configurare una pianificazione in base ai domini della struttura
agente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio.
Nota
Non è possibile impostare una pianificazione di aggiornamento per un agente o un
sottodominio specifico. La configurazione configurata per il dominio principale si applica a
tutti i sottodomini.
Procedura
1.
6-46
Registrare i nomi dei domini della struttura agente e le pianificazioni di
aggiornamento.
2.
Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility
\DomainScheduledUpdate.
3.
Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV:
•
DomainSetting.ini
•
dsu_convert.exe
4.
Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note.
5.
Specificare il dominio della struttura agente e configurare la pianificazione di
aggiornamento per il dominio. Ripetere questo passaggio per aggiungere altri
domini.
Nota
Nel file .ini sono fornite istruzioni dettagliate per la configurazione.
6.
Salvare DomainSetting.ini.
7.
Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV.
8.
Immettere il seguente comando e premere Invio.
dsuconvert.exe DomainSetting.ini
9.
Nella console Web, accedere a Agenti > Impostazioni globali agente.
Aggiornamenti manuali dell'agente OfficeScan
Aggiornare manualmente i componenti dell'Agente OfficeScan quando i componenti
dell'Agente OfficeScan sono estremamente obsoleti e ogni volta che viene rilevata
un'infezione. I componenti dell'Agente OfficeScan diventano estremamente obsoleti
quando l'Agente OfficeScan non è in grado di aggiornare i componenti dall'origine
aggiornamenti per un periodo di tempo prolungato.
Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevono
automaticamente anche i file di configurazione aggiornati. Gli Agenti OfficeScan
6-47
necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni
volta che si modificano le impostazioni di OfficeScan attraverso la console Web,
vengono modificati anche i file di configurazione.
Nota
Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degli
aggiornamenti manuali (ovvero Aggiorna ora sui dispositivi Agente OfficeScan). Per i
dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49.
Aggiornamento manuale degli agenti OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento manuale.
2.
Nella parte superiore della schermata vengono visualizzati i componenti
attualmente disponibili nel server OfficeScan e la data in cui tali componenti sono
stati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che i
componenti siano aggiornati.
Nota
Aggiornare manualmente i componenti obsoleti nel server. Consultare Aggiornamenti
manuali dell'agente OfficeScan a pagina 6-47 per ulteriori dettagli.
3.
Per aggiornare solo gli agenti con componenti non aggiornati:
a.
Fare clic su Selezionare agenti con componenti non aggiornati.
b.
Facoltativamente, selezionare Includi agenti in roaming e offline
c.
6-48
•
Per aggiornare gli agenti in roaming con connessione attiva sul server.
•
Per aggiornare gli agenti offline quando passano online.
Fare clic su Avvia aggiornamento.
Nota
Il server cerca gli agenti con componenti di versioni precedenti alle versioni del server
e invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato delle
notifiche, accedere alla schermata Aggiornamenti > Riepilogo.
4.
Per aggiornare gli agenti selezionati:
a.
Selezionare Seleziona agenti manualmente.
b.
Fare clic su Seleziona.
c.
Nella struttura dell'agente, fare clic sull'icona del dominio principale (root)
( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici.
d.
Fare clic su Avvia aggiornamento componenti.
Nota
Il server inizia a inviare a ogni agente la notifica del download dei componenti
aggiornati. Per controllare lo stato delle notifiche, accedere alla schermata
Aggiornamenti > Riepilogo.
Configurazione dei privilegi di aggiornamento e altre
impostazioni
Configurare le impostazioni di aggiornamento e concedere agli utenti agente alcuni
privilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamento
pianificato.
Procedura
1.
2.
3.
) per
6-49
4.
Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nella
sezione Aggiorna impostazioni:
Opzione
Descrizione
Gli agenti
OfficeScan
scaricano gli
aggiornamen
ti dal server
ActiveUpdate
di Trend
Micro
Quando gli aggiornamenti vengono avviati, gli Agenti OfficeScan
OfficeScan tentano prima di ottenere gli aggiornamenti dall'origine
aggiornamenti specificata nella schermata Aggiornamenti >
Agenti > Origine aggiornamenti.
Se l'aggiornamento non riesce, gli agenti tentano di eseguirlo dal
server OfficeScan. Se si seleziona questa opzione, si consente
agli agenti di provare a eseguire l'aggiornamento dal server
ActiveUpdate di Trend Micro qualora l'aggiornamento dal server
OfficeScan non riesca.
Nota
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento
direttamente dal server ActiveUpdate di Trend Micro. Per
consentire agli agenti di connettersi al server ActiveUpdate, è
necessario un server proxy dual-stack che possa convertire gli
Attiva
aggiornamen
ti pianificati
sugli agenti
OfficeScan
La selezione di questa opzione configura tutti gli Agenti
OfficeScan per attivare gli aggiornamenti pianificati come
impostazione predefinita. Gli utenti con il privilegio Attiva/
Disattiva aggiornamenti pianificati possono sovrascrivere tale
impostazione.
Per maggiori dettagli sulla configurazione della pianificazione degli
aggiornamenti, vedere Configurazione degli aggiornamenti
automatici dell'agente OfficeScan a pagina 6-43.
Gli agenti
OfficeScan
possono
aggiornare i
componenti,
ma non
possono
aggiornare il
programma
agente né
6-50
Questa opzione consente agli aggiornamenti dei componenti di
proseguire, ma impedisce l'implementazione delle hot fix e
l'aggiornamento dell'Agente OfficeScan.
Nota
La disattivazione di questa opzione potrebbe influire
negativamente sulle prestazioni del server, poiché tutti gli agenti si
connettono simultaneamente al server per aggiornare o installare
una hot fix.
Opzione
Descrizione
implementare
gli hot fix.
5.
Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezione
Aggiornamento dei componenti:
Opzione
Esecuzione
di "Aggiorna
ora"
Descrizione
Gli utenti con questo privilegio possono aggiornare i componenti
su richiesta facendo clic con il pulsante destro del mouse
sull'icona dell'Agente OfficeScan nella barra delle applicazioni e
selezionando Aggiorna ora.
Nota
Gli utenti dell'Agente OfficeScan possono utilizzare le impostazioni
proxy durante l'operazione "Aggiorna ora".
Consultare Privilegi di configurazione del proxy per gli agenti a
Attiva/
Disattiva
aggiornamen
ti pianificati
La selezione di questa opzione consente agli utenti dell'Agente
OfficeScan di attivare e disattivare gli aggiornamenti pianificati
utilizzando il menu di scelta rapida dell'Agente OfficeScan, che è
in grado di sovrascrivere l'impostazione Attiva aggiornamenti
pianificati.
Nota
Gli amministratori devono selezionare innanzitutto l'impostazione
Attiva aggiornamenti pianificati sugli agenti OfficeScan nella
scheda Altre impostazioni prima che la voce di menu venga
visualizzata nel menu dell'Agente OfficeScan.
6.
•
impostazioni.
6-51
•
Configurazione dello spazio su disco riservato per gli
aggiornamenti degli agenti OfficeScan
OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco
dell'agente per hot fix, file di pattern, motori di scansione e aggiornamenti dei
programmi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco.
Procedura
1.
2.
Andare alla sezione Spazio su disco riservato.
3.
Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti.
4.
Selezionare lo quantità di spazio su disco.
5.
Fare clic su Salva.
Proxy per gli aggiornamenti dei componenti dell'agente
OfficeScan
Gli Agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamento
automatico oppure se dispongono del privilegio di eseguire "Aggiorna ora".
6-52
Tabella 6-9. Impostazioni proxy utilizzate durante gli aggiornamenti dei
componenti dell'agente OfficeScan
Metodo di
aggiornamen
to
Aggiornamento
automatico
Impostazioni proxy
utilizzate
•
•
Aggiorna ora
•
•
Impostazioni proxy
automatiche. Per i
dettagli, consultare
Impostazioni proxy
automatiche per
l'agente OfficeScan a
pagina 14-57.
Impostazioni proxy
interne. Per i dettagli,
consultare Proxy
interno per gli agenti
OfficeScan a pagina
14-53.
Impostazioni proxy
automatiche. Per i
dettagli, consultare
Impostazioni proxy
automatiche per
l'agente OfficeScan a
pagina 14-57.
Impostazioni proxy
configurate dall'utente.
È possibile concedere
agli utenti agente il
privilegio di configurare
le impostazioni proxy.
Per i dettagli,
consultare Privilegi di
configurazione del
proxy per gli agenti a
pagina 14-56.
Utilizzo
1.
Per aggiornare i componenti, gli
Agenti OfficeScan utilizzeranno per
prima cosa le impostazioni proxy
automatiche.
2.
Qualora le impostazioni proxy
automatiche non fossero attive,
verranno utilizzate le impostazioni
proxy interne.
3.
Se entrambe sono disattivate, gli
agenti non utilizzeranno alcuna
impostazione proxy.
1.
Per aggiornare i componenti, gli
Agenti OfficeScan utilizzeranno per
prima cosa le impostazioni proxy
automatiche.
2.
Qualora le impostazioni proxy
automatiche non fossero attive,
verranno utilizzate le impostazioni
proxy configurare dall'utente.
3.
Se entrambe le impostazioni sono
disattivate o se le impostazioni
proxy automatiche sono disattivare
e gli utenti agente non dispongono
degli appositi privilegi, gli agenti
non utilizzeranno nessun proxy per
l'aggiornamento dei componenti.
6-53
Configurazione delle notifiche di aggiornamento
OfficeScan notifica agli utenti dell'agente quando si verificano i seguenti eventi relativi
all'aggiornamento.
Procedura
1.
2.
Andare alla sezione Impostazioni avvisi.
3.
Selezionare le seguenti opzioni:
•
Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il
file di pattern dei virus non è aggiornato da __ giorno/i: viene
visualizzata un'icona di avviso sulla barra delle applicazioni di Windows per
ricordare agli utenti di aggiornare un pattern dei virus che non è stato
aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usare
uno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agente
Questa impostazione viene applicata a tutti gli agenti gestiti dal server.
•
Visualizza un messaggio di notifica se è necessario un riavvio
dell'dispositivo per caricare un driver in modalità kernel: dopo
l'installazione di una hot fix o di un pacchetto di aggiornamento che contiene
una nuova versione di un driver in modalità kernel, la precedente versione del
driver potrebbe essere ancora presente sul dispositivo. L'unico modo per
rimuovere la versione precedente e caricare quella nuova è riavviare il
dispositivo. Dopo aver riavviato il dispositivo, la nuova versione viene
automaticamente installata e non sono necessari altri riavvii.
Subito dopo l'installazione della hot fix o del pacchetto di aggiornamento, sul
dispositivo agente viene visualizzato un messaggio di notifica.
4.
6-54
Fare clic su Salva.
Visualizzazione dei registri di aggiornamenti dell'agente
OfficeScan
Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi di
aggiornamento del pattern antivirus negli agenti.
Nota
In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern dei
virus possono essere inviate dalla console Web.
13-39.
Procedura
1.
Accedere a Registri > Agenti > Aggiornamento componente agente.
2.
Per visualizzare il numero di aggiornamenti dell'agente, fare clic su Visualizza nella
colonna Avanzamento. Nella schermata Avanzamento aggiornamento
componenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minuti
e il numero totale di agenti aggiornati.
3.
Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic su
Visualizza nella colonna Dettagli.
4.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Implementazione degli aggiornamenti dell'agente
OfficeScan
Utilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componenti
più recenti. Conformità sicurezza consente di determinare le incoerenze dei componenti
tra gli agenti e il server OfficeScan. In genere le incoerenze si verificano quando gli
6-55
agenti non riescono a connettersi al server per aggiornare i componenti. Se l'agente
ottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate), è
possibile che un componente dell'agente sia più recente rispetto a uno del server.
Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-61.
Rollback dei componenti per gli agenti OfficeScan
Il termine rollback si riferisce all'azione di ripristino della versione precedente del Pattern
dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questi
componenti non funzionano correttamente, ripristinare le versioni precedenti.
OfficeScan conserva la versione attuale e quella precedente del Motore di scansione
virus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern.
Nota
Il rollback è consentito solo per i componenti riportati sopra.
OfficeScan utilizza diversi motori di scansione per gli agenti con piattaforme a 32 e 64
bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura di
ripristino per tutti i tipi di motore di scansione è identica.
Procedura
1.
Accedere a Aggiornamenti > Rollback
2.
Nella sezione appropriata, fare clic su Sincronizza con il server.
6-56
a.
b.
Fare clic su Rollback
c.
Fare clic su Visualizza registri di aggiornamento per verificare i risultati o
su Indietro per tornare alla schermata Rollback.
3.
Se sul server è presente una versione precedente del file di pattern, fare clic su
Rollback versioni di server e agenti per effettuare il rollback del file di pattern
sia per l'Agente OfficeScan che per il server.
Esecuzione di Touch Tool per le hot fix dell'agente
OfficeScan
Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file con
l'indicatore di data e e ora di un altro file o con l'orario di sistema del dispositivo. Se non
si riesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare
Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a
OfficeScan di interpretare il file hot fix come nuovo elemento per cui il server tenta
nuovamente di implementarlo automaticamente.
Procedura
1.
Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV
\Admin\Utility\Touch.
2.
Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Per
sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare
entrambi i file nella stessa posizione di Touch Tool.
3.
Aprire un prompt dei comandi ed accedere al percorso di Touch Tool.
4.
Digitare i comandi seguenti:
TmTouch.exe <nome file di destinazione> <nome file di
origine>
Dove:
•
<nome file destinazione> è il nome dell'hot fix di cui si desidera
modificare l'indicatore di data e ora
•
<nome file origine> è il nome del file di cui si desidera replicare
l'indicatore di data e ora
6-57
Nota
Se non viene specificato un nome del file di origine, lo strumento imposta l'indicatore
data e ora del file di destinazione in base all'orario di sistema del dispositivo.
Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quello
del file di origine.
5.
Per verificare se la modifica dell'indicatore data e ora è stata applicata, immettere
dir nel prompt dei comandi oppure verificare le proprietà del file in Esplora
risorse.
Update Agent
Per distribuire l'attività di implementazione dei componenti, delle impostazioni di
dominio o dei programmi agente e delle hot fix negli Agenti OfficeScan, è necessario
impostare alcuni Agenti OfficeScan come Update Agent o come origini aggiornamenti
per altri agenti. In questo modo si ha la certezza che gli agenti ricevano tempestivamente
gli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al server
OfficeScan.
Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti è
caratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent a
ciascuna località.
Nota
Gli Agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agent
ricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli Agenti
OfficeScan segnalano il proprio stato al server OfficeScan.
Requisiti di sistema per gli Update Agent
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:
6-58
Configurazione di Update Agent
Il processo di configurazione di Update Agent prevede due operazioni:
1.
Assegnare l'Agente OfficeScan come Update Agent per componenti specifici.
2.
Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent.
Nota
Il numero di connessioni agente che un singolo Update Agent può gestire dipende
dalle specifiche hardware del dispositivo.
Assegnazione degli agenti OfficeScan come Update Agent.
Procedura
1.
2.
Nella struttura agente, selezionare gli agenti da designare come Update Agent.
Nota
Non è possibile selezionare l'icona del dominio root, in quanto tale operazione
designerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non è
in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri.
Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gli
aggiornamenti direttamente agli agenti IPv6 puri. Per consentire a un Update Agent
di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in
grado di convertire gli indirizzi IP, come ad esempio DeleGate.
3.
Fare clic su Impostazioni > Impostazioni Update Agent.
4.
Selezionare gli elementi che Update Agent possono condividere.
•
Aggiornamento dei componenti
•
•
Programmi agenti OfficeScan e hot fix
6-59
5.
Fare clic su Salva.
Specifica degli agenti OfficeScan che eseguono
l'aggiornamento da un Update Agent
Procedura
1.
2.
In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.
3.
Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile
immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.
4.
Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti.
Nota
Accertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando i
rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4,
l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e
un prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6.
5.
Fare clic su Salva.
Origini aggiornamenti per gli Update Agent
Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il server
OfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origine
aggiornamenti dalla schermata Origine aggiornamenti della console Web.
Supporto IPv6 per gli Update Agent
Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento da
origini IPv4 pure, come:
6-60
•
Un server OfficeScan IPv4 puro
•
•
Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamente
l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro:
Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessario
un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio
DeleGate.
Origine aggiornamenti standard per gli Update Agent
Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gli
agenti vengono configurati per eseguire l'aggiornamento direttamente dal server
OfficeScan, il processo di aggiornamento avviene come riportato di seguito:
1.
L'Update Agent ottiene gli aggiornamenti dal server OfficeScan.
2.
Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersi
direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle
seguenti condizioni:
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione
Gli agenti OfficeScan scaricano gli aggiornamenti dal server
•
Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento
personalizzate.
Suggerimento
Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di
aggiornamento dal server OfficeScan. Quando gli Update Agent eseguono
l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di
banda tra la rete e Internet è considerevole.
6-61
3.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update
Agent interrompe il processo di aggiornamento.
Origini aggiornamenti personalizzate per gli Update Agent
Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento da
origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate
contribuiscono a ridurre il traffico degli aggiornamenti degli agenti verso il server
OfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di
aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento.
Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-36 per la
procedura per configurare l'elenco.
Nota
Assicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni di
dominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nella
schermata Origine aggiornamenti per gli agenti (Aggiornamenti > Agenti > Origine
aggiornamenti) per consentire agli Update Agent di connettersi alle origini di
aggiornamento personalizzate.
Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue come
riportato di seguito:
1.
Update Agent esegue l'aggiornamento dalla prima voce dell'elenco.
2.
Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza la
seconda voce e così via.
3.
Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica le
seguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguenti
voci dal server OfficeScan se tutte le origini personalizzate non sono
disponibili o non sono state trovate:
•
Componenti: se attivata l'agente esegue l'aggiornamento dal server
OfficeScan.
Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server
ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti
condizioni:
6-62
Nota
È possibile eseguire l'aggiornamento dei componenti solo dal server Active
Update. È possibile scaricare i programmi, le hot fix e le impostazioni del
dominio dal server o dagli Update Agent.
4.
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e
altre impostazioni > Altre impostazioni > Aggiorna impostazioni,
l'opzione Gli agenti scaricano gli aggiornamenti dal server
•
Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento
personalizzate.
•
Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal server
OfficeScan.
•
Programmi agenti OfficeScan e hot fix: se attivata l'agente esegue
l'aggiornamento dal server OfficeScan.
Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamento
standard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notifica
all'agente di aggiornare i componenti. Il processo è il seguente:
1.
Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignora
l'elenco delle origini di aggiornamento.
2.
Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamente
al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti
condizioni:
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione
Gli agenti OfficeScan scaricano gli aggiornamenti dal server
•
Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento
personalizzate.
6-63
Suggerimento
Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di
aggiornamento dal server OfficeScan. Quando gli Agenti OfficeScan eseguono
l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di
banda tra la rete e Internet è considerevole.
3.
Configurazione dell'origine aggiornamenti per Update Agent
Procedura
1.
2.
Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gli
Update Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gli
Update Agent.
3.
Duplicazione dei componenti di Update Agent
Come il server OfficeScan, anche gli Update Agent utilizzano il metodo della
duplicazione per scaricare i componenti. Per informazioni sul modo in cui il server
esegue la duplicazione dei componenti, consultare Duplicazione dei componenti server
Il processo di duplicazione dei componenti per gli Update Agent è il seguente:
1.
6-64
Update Agent confronta la versione corrente del pattern completo con la versione
più recente sull'origine aggiornamenti. Se la differenza tra le due versioni è al
massimo 14, Update Agent scarica il pattern incrementale per colmare la differenza
tra le due versioni.
Nota
Se la differenza è superiore a 14, Update Agent scarica automaticamente la versione
completa del file di pattern.
2.
Update Agent integra il pattern incrementale scaricato con il pattern completo
corrente per generare il pattern completo più recente.
3.
Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti.
4.
Il pattern completo più recente e tutti i pattern incrementali sono resi disponibili
per gli agenti.
Metodi di aggiornamento per Update Agent
Gli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agenti
normali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.
È possibile utilizzare lo strumento di configurazione aggiornamento pianificato per
attivare e configurare gli aggiornamenti pianificati di un Update Agent installato
mediante Agent Packager.
Nota
Questo strumento non è disponibile se l'Update Agent è stato installato mediante altri
metodi di installazione. Consultare Considerazioni sull'implementazione a pagina 5-11 per
ulteriori informazioni.
Uso dello strumento di configurazione aggiornamento
pianificato
Procedura
1.
Nel dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>.
2.
Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la console dello
Strumento di configurazione aggiornamento pianificato.
6-65
3.
Selezionare Attiva aggiornamento pianificato.
4.
Specificare la frequenza e l'orario dell'aggiornamento.
5.
Fare clic su Applica.
Segnalazione analitica di Update Agent
La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura di
aggiornamento e determinare quali agenti scaricano aggiornamenti parziali dagli Update
Agent e da altre origini aggiornamenti.
Nota
Questa segnalazione comprende tutti gli Agenti OfficeScan configurati per ricevere
aggiornamenti parziali dagli Update Agent. Se l'attività di gestione di uno o più domini è
stata delegata ad altri amministratori, essi vedranno anche tutti gli Agenti OfficeScan
configurati per ricevere aggiornamenti parziali dagli Update Agent appartenenti ai domini
non gestiti da loro.
OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (commaseparated value).
In questa segnalazione sono contenute le seguenti informazioni:
•
Agente OfficeScan dispositivo
•
Indirizzo IP
•
Percorso della struttura agente
•
Origine aggiornamenti
•
Se gli agenti scaricano i seguenti elementi dagli Update Agent:
6-66
•
Componenti
•
•
Programmi Agente OfficeScan e hot fix
Importante
La segnalazione analitica di Update Agent elenca solamente gli Agenti OfficeScan
configurati per ricevere aggiornamenti parziali da un Update Agent. Gli Agenti OfficeScan
configurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti,
impostazioni di dominio, hot fix e programmi dell'Agente OfficeScan) non vengono
visualizzati nella segnalazione.
Per ulteriori informazioni sulla generazione della segnalazione, vedere Origini
aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-36.
Riepilogo aggiornamento componenti
La console Web fornisce la schermata Riepilogo aggiornamento (accedere a
Aggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivo
dell'aggiornamento dei componenti e che consente di aggiornare quelli obsoleti. Se è
stato attivato l'aggiornamento server pianificato, la schermata informa anche sulla data
prevista per il prossimo aggiornamento.
Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare la
schermata periodicamente.
Nota
Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server,
accedere a Amministrazione > Smart Protection > Server integrato.
Stato dell'aggiornamento per gli agenti OfficeScan
Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare in
questa sezione le seguenti informazioni:
•
Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento dei
componenti.
6-67
•
Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presenti
nella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic su
Annulla notifica.
Componenti
Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascun
componente scaricato e distribuito dal server OfficeScan.
Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimo
aggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti con
componenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti.
6-68
Capitolo 7
Analisi dei rischi per la sicurezza
Questo capitolo descrive come proteggere i dispositivi dai rischi per la sicurezza
utilizzando l'analisi basata su file.
•
Informazioni sui rischi per la sicurezza a pagina 7-2
•
Tipi di metodi di scansione a pagina 7-8
•
Tipi di scansione a pagina 7-15
•
Impostazioni comuni a tutti i tipi di scansione a pagina 7-28
•
Privilegi scansione e altre impostazioni a pagina 7-57
•
Impostazioni globali di scansione a pagina 7-73
•
Notifiche sui Rischi per la sicurezza a pagina 7-85
•
Registri dei rischi per la sicurezza a pagina 7-95
•
Rischi per la sicurezza a pagina 7-110
7-1
Informazioni sui rischi per la sicurezza
Rischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche,
spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraverso
la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la
sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati
in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere le
infezioni, implementando i criteri di prevenzione delle infezioni e isolando i computer
infetti fino a quando sono completamente privi di rischi. Le notifiche e i registri
contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fosse
necessaria un'azione tempestiva.
Virus e minacce informatiche
Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengono
creati di nuovi. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i virus
dei dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità, possono
causare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.
Tabella 7-1. Tipi di virus/minaccia informatica
Tipo di
virus/
minaccia
informatica
7-2
Descrizione
Programma
Joke
I programmi Joke sono programmi simili ai virus che spesso
manipolano l'aspetto degli oggetti sul monitor di un dispositivo.
Altri
La categoria “Altri” include i virus/malware non classificati come alcun
tipo di virus/malware.
Packer
I packer sono programmi eseguibili di Windows o Linux™ compressi
e/o crittografati. Spesso si tratta di cavalli di Troia. La compressione
degli eseguibili rende più difficile il rilevamento dei packer da parte dei
prodotti antivirus.
Tipo di
virus/
minaccia
informatica
Descrizione
Rootkit
I rootkit sono programmi o raccolte di programmi che installano ed
eseguono un codice su un sistema senza il consenso o la
consapevolezza dell'utente finale. Utilizzano un virus stealth per
mantenere una presenza costante e non rilevabile sul computer. I
rootkit non infettano i computer ma cercano piuttosto di fornire un
ambiente non rilevabile per consentire l'esecuzione di un codice
dannoso. I rootkit vengono installati sui sistemi tramite social
engineering, con l'esecuzione di minacce informatiche o
semplicemente accedendo ad un sito Web dannoso. Una volta
installato, l'aggressore può virtualmente eseguire qualunque funzione
sul sistema, incluso l'accesso remoto, le intercettazioni, operazioni che
nascondono i processi, i file, le chiavi di registro e i canali di
comunicazione.
Virus di prova
I virus di prova sono file inerti che agiscono come virus reali e possono
essere rilevati dal software di scansione antivirus. I virus di prova,
come gli script di prova EICAR, possono essere utilizzati per verificare
che l'antivirus installato funzioni correttamente.
Cavallo di
Troia
I programmi cavallo di Troia utilizzano le porte per avere accesso ai
computer o ai programmi eseguibili. I cavalli di Troia non sono in grado
di riprodursi, ma risiedono nei sistemi per compiere operazioni
dannose, ad esempio l'apertura delle porte, per consentire l'ingresso
degli hacker. Le soluzioni antivirus tradizionali sono in grado di rilevare
e rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già in
esecuzione nel sistema.
7-3
Tipo di
virus/
minaccia
informatica
Virus
Virus di rete
7-4
Descrizione
I virus sono programmi che si replicano. Per farlo, un virus deve
attaccarsi ad altri file di programma che gli consentono di attivarsi
quando il programma che lo ospita viene eseguito, inclusi:
•
Codice dannoso ActiveX: Codice presente nelle pagine Web che
eseguono controlli ActiveX™.
•
Virus del settore boot: Virus che infetta il settore di boot di una
partizione o un disco.
•
File COM ed EXE infettante: Programma eseguibile con
estensione .com o .exe.
•
Codice dannoso Java: Codice virus indipendente dal sistema
operativo scritto o incluso in un codice Java™.
•
Virus da macro: Virus codificato come una macro di applicazione
e spesso incluso in un documento.
•
Virus VBScript, JavaScript o HTML: Virus presente in una pagina
Web e scaricato tramite un browser.
•
Worm: programma (o gruppo di programmi) autonomo in grado di
diffondere copie funzionanti di se stesso o di suoi segmenti ad altri
dispositivo, spesso tramite e-mail.
Un virus che si diffonde su una rete non è necessariamente un virus di
rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm,
possono essere considerati virus di rete. In particolare, per
moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP,
UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i file
di sistema né modificano i settori boot dei dischi rigidi. Tuttavia,
infettano la memoria degli agenti agente dei dispositivi, obbligandoli a
invadere la rete di traffico e causando rallentamenti o persino errori
nell'intera rete. Poiché i virus di rete rimangono in memoria, spesso non
sono rilevabili mediante i tradizionali metodi di scansione I/O dei file.
Tipo di
virus/
minaccia
informatica
Probabile
virus/minaccia
informatica
Descrizione
I virus e le minacce informatiche probabili sono file sospetti con alcune
caratteristiche di virus o minacce informatiche.
Per maggiori dettagli, consultare l'Enciclopedia delle minacce di Trend
Micro:
http://about-threats.trendmicro.com/it/threatencyclopedia#malware
Nota
La disinfezione azione non può essere eseguita su un probabile
virus/minaccia informatica, ma l'azione di scansione è
configurabile.
Spyware e grayware
Ci sono altre minacce che potrebbero mettere a repentaglio i Dispositivo, oltre ai virus e
alle minacce informatiche. Per spyware e grayware si intendono applicazioni o file non
classificati come virus o cavalli di Troia ma che possono avere un'influenza negativa sulle
prestazioni dei dispositivi della rete e introdurre notevoli rischi per la sicurezza, la
riservatezza e causare problemi legali alle organizzazioni. Spesso spyware e grayware
attivano una varietà di azioni indesiderate e pericolose come la visualizzazione di irritanti
finestre pop-up, la registrazione delle sequenze di tasti premute dall'utente o
l'esposizione delle vulnerabilità del dispositivo agli attacchi.
Se si trova un'applicazione o un file che OfficeScan non può rilevare come grayware ma
si pensa che sia un tipo di grayware, inviarlo a Trend Micro per un'analisi:
http://esupport.trendmicro.com/solution/en-us/1059565.aspx
Tipo
Spyware
Descrizione
Raccoglie dati, quali nomi utente e password e li trasmette a terzi.
7-5
Tipo
Descrizione
Adware
Visualizza delle pubblicità e raccoglie dati, quali le preferenze di
navigazione Web in modo da indirizzare pubblicità mirata attraverso
un browser Web.
Dialer
Modifica le impostazioni Internet del dispositivo e può forzare il
dispositivo a chiamare numeri telefonici predeterminati attraverso un
modem. Si tratta in genere di numeri a pagamento o internazionali che
rappresentano un notevole costo per l'organizzazione.
Programma
Joke
Causa un comportamento anomalo del dispositivo come l'apertura e la
chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre di
dialogo.
Strumento per
hacker
Consente agli hacker di penetrare nel computer.
Strumento di
accesso remoto
Consente agli hacker di accedere al computer in remoto e controllarlo.
Applicazione di
decifratura
delle password
Consente agli hacker di decifrare i nomi utente e le password.
Altri
Altri tipi di programmi potenzialmente dannosi.
In che modo spyware e grayware penetrano nelle reti
Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utenti
scaricano un software legittimo contenente applicazioni grayware all'interno del
pacchetto di installazione. La maggior parte dei programmi contiene un contratto di
licenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spesso
nel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di dati
personali, tuttavia molto frequentemente, gli utenti non leggono attentamente il
contratto o non comprendono il linguaggio legale.
Rischi e minacce potenziali
L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguenti
problemi:
7-6
Tabella 7-2. Rischi e minacce potenziali
Rischio o
minaccia
Descrizione
Riduzione delle
prestazioni del
dispositivo
per svolgere la loro azione, le applicazioni spyware e grayware
utilizzano spesso una quantità considerevole di risorse di
memoria del sistema e della CPU.
Aumento dei
malfunzionamenti
del browser Web
alcuni tipi di grayware, come ad esempio l'adware, visualizzano
informazioni in riquadri o finestre del browser. In base al modo in
cui il codice di queste applicazioni interagisce con i processi di
sistema, il grayware può bloccare o interrompere il funzionamento
del browser o richiedere un riavvio del dispositivo.
Riduzione
dell'efficienza
dell'utente
costretto a chiudere frequentemente le finestre pop-up
pubblicitarie e affrontare gli effetti negativi dei programmi Joke,
l'utente viene spesso distratto dalla propria attività principale.
Riduzione della
larghezza di banda
della rete
le applicazioni spyware e grayware spesso trasmettono
regolarmente i dati raccolti ad altre applicazioni in esecuzione
sulla rete o al di fuori della rete.
Perdita di
informazioni
personali e
aziendali
non tutti i dati che le applicazioni spyware/grayware raccolgono
sono innocui come può esserlo un elenco di pagine Web visitate
dall'utente. Spyware e grayware inoltre sono in grado di ottenere
le credenziali dell'utente quali quelle di accesso ai conti bancari
online e alle reti aziendali.
Rischio elevato di
responsabilità legali
Se le risorse del dispositivo dispositivo nella rete vengono
manomesse, gli hacker sono in grado di utilizzare i computer
agente per lanciare attacchi o installare spyware e grayware su
computer al di fuori della rete. La partecipazione delle risorse di
rete a questo tipo di attività potrebbe rendere un'azienda
legalmente responsabile di danni causati a terzi.
Protezione da spyware/grayware e altre minacce
Possono essere prese molte contromisure per evitare l'installazione di spyware e
grayware sul dispositivo. Trend Micro consiglia quanto segue:
•
Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale,
Scansione pianificata e Esegui scansione) per individuare e rimuovere file e
7-7
applicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 per
•
Istruire gli utenti del agente sulle procedure riportate di seguito:
•
Leggere il contratto di licenza per l'utente finale (EULA) e la documentazione,
forniti con le applicazioni scaricate e installate sui computer.
•
Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione per
scaricare e installare software, a meno che gli utenti agente non siano certi
dell'affidabilità sia del creatore del software sia del sito Web.
•
Ignorare messaggi e-mail di natura commerciale non richiesti (spam),
soprattutto se viene richiesto di fare clic su un pulsante o un collegamento.
•
Configurare le impostazioni del browser Web per assicurare un livello restrittivo di
sicurezza. Trend Microconsiglia di fare in modo che il browser Web richieda agli
utenti l'autorizzazione prima dell'installazione dei controlli ActiveX.
•
Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo
che Outlook non scarichi automaticamente elementi HTML, come immagini
inviate in messaggi spam.
•
Proibire l'uso di servizi di condivisione di file peer-to-peer. Lo spyware e altre
applicazioni grayware potrebbero essere mascherati come altri tipi di file che gli
utenti potrebbero scaricare, come file musicali MP3.
•
Esaminare periodicamente il software installato sui computer dell'agent e cercare
applicazioni che possano essere spyware o altro grayware.
•
Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con le
patch più recenti di Microsoft. Per ulteriori dettagli, vedere il sito Web Microsoft.
Tipi di metodi di scansione
Gli Agenti OfficeScan possono utilizzare uno dei due metodi di scansione quando
eseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: Smart
Scan e Scansione convenzionale.
7-8
•
Smart Scan
In questo documento, gli agenti che utilizzano Smart Scan vengono definiti agenti
Smart Scan. Gli agenti Smart Scan utilizzano le scansioni locali e le query in-thecloud fornite da Servizi di reputazione file.
•
Scansione convenzionale
Gli agenti che non utilizzano Smart Scan sono definiti agenti con scansione
convenzionale. Un agente con scansione convenzionale archivia tutti i
componenti OfficeScan nel dispositivo agente ed esegue la scansione locale di tutti
i file.
Metodo di scansione predefinito
In questa versione di OfficeScan, il metodo di scansione predefinito per una nuova
installazione è Smart Scan. Questo significa che se si esegue un'installazione del server
OfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gli
agenti gestiti dal server utilizzeranno il metodo Smart Scan.
Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attiva
l'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzeranno
ancora il metodo di scansione configurato prima dell'aggiornamento della versione. Ad
esempio, se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan e
Scansione convenzionale, tutti gli agenti aggiornati che utilizzano Smart Scan
continueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano
Scansione convenzionale continueranno ad utilizzare quest'ultima.
Metodi di scansione a confronto
La tabella riportata di seguito consente di confrontare i due metodi di scansione:
7-9
Tabella 7-3. Confronto tra Scansione convenzionale e Smart Scan
Criteri di
confronto
Scansione
convenzionale
Smart Scan
Disponibilità
Disponibile in questa
versione di OfficeScan e
nelle versioni precedenti di
OfficeScan
Disponibile a partire da OfficeScan
10
Comportamento
della scansione
L'agente con scansione
convenzionale esegue la
scansione nel dispositivo.
•
L'agente Smart Scan esegue la
scansione nel dispositivo locale.
•
Se l'agente non è in grado di
determinare il rischio del file
durante la scansione, l'agente
verifica il rischio inviando una
query di scansione a un'origine
Smart Protection.
•
L'agente memorizza il risultato
della query di scansione per
migliorare le prestazioni della
scansione.
Componenti in uso
e aggiornati
Tutti i componenti
disponibili nell'origine di
aggiornamento, ad
eccezione di Smart Scan
Agent Pattern
Tutti i componenti disponibili
nell'origine di aggiornamento, ad
eccezione di Pattern dei virus e
spyware
Origine di
aggiornamento
tipica
Server OfficeScan
Server OfficeScan
Modifica del metodo di scansione
Procedura
1.
2.
7-10
) per
3.
Fare clic su Impostazioni > Impostazioni di scansione > Metodi di
scansione.
4.
Selezionare Scansione convenzionale oppure Smart Scan.
5.
•
impostazioni.
•
Passaggio da Smart Scan a Scansione convenzionale
Quando gli agenti passano alla scansione convenzionale, tenere presente quanto segue:
1.
Numero di agenti che effettuano il passaggio
Se il numero di agenti che passa contemporaneamente alla scansione convenzionale
è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del
server OfficeScan e di Smart Protection Server. Questi server sono in grado di
eseguire altre operazioni importanti durante il passaggio degli agenti da un metodo
di scansione all'altro.
2.
Tempistica
Quando si passa di nuovo alla scansione convenzionale, è probabile che gli agenti
scarichino la versione completa di Pattern antivirus e Pattern di monitoraggio attivo
spyware dal server OfficeScan. Questi file di pattern vengono utilizzati solo dagli
agenti con scansione convenzionale.
Per fare in modo che il processo di download termini in tempi brevi, è opportuno
effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di
effettuare l'operazione quando per nessun agente sono pianificati aggiornamenti dal
7-11
server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare
la funzione una volta effettuato il passaggio degli agenti a Smart Scan.
3.
Impostazioni della struttura agente
Il metodo di scansione è un'impostazione estremamente flessibile che può essere
impostata a livello principale (root), di dominio o di singolo agente. Quando si
passa alla scansione convenzionale è possibile:
•
Creare un nuovo dominio della struttura agente e assegnargli la scansione
convenzionale come metodo di scansione. Gli agenti trasferiti su questo
dominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente,
attivare l'impostazione Applica le impostazioni del nuovo dominio agli
agenti selezionati.
•
Selezionare un dominio e configurarlo in modo che utilizzi la scansione
convenzionale. Gli agenti Smart Scan che appartengono al dominio
passeranno alla scansione convenzionale.
•
Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare il
passaggio alla scansione convenzionale.
Nota
I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di
scansione configurato per i singoli agenti.
Passaggio da Scansione convenzionale a Smart Scan
Se si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan,
assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultare
Impostazione dei servizi Smart Protection a pagina 4-13.
La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan:
7-12
Tabella 7-4. Considerazioni sul passaggio a Smart Scan
Considerazione
Licenza del prodotto
Server OfficeScan
Dettagli
Per utilizzare Smart Scan accertarsi di aver attivato le licenze
dei servizi riportati di seguito e che le licenze non siano
scadute:
•
Antivirus
•
Reputazione Web e anti-spyware
Accertarsi che gli agenti siano in grado di connettersi al server
OfficeScan. Solo gli agenti online ricevono la notifica del
passaggio a Smart Scan. Gli agenti offline ricevono la notifica
quando sono online. Gli agenti roaming ricevono la notifica
quando sono online oppure, se l'agente possiede privilegi di
aggiornamento pianificato, quando viene eseguito un
aggiornamento pianificato.
Verificare inoltre che il server OfficeScan disponga dei
componenti più recenti perché gli agenti Smart Scan devono
scaricare Smart Scan Agent Pattern dal server. Per
aggiornare i componenti, vedere Aggiornamenti server
Numero di agenti che
effettuano il passaggio
Se il numero di agenti che passa contemporaneamente alla
Scansione convenzionale è relativamente esiguo, è possibile
utilizzare in maniera efficiente le risorse del server OfficeScan.
Il server OfficeScan è in grado di eseguire altre operazioni
importanti durante il passaggio degli agenti da un metodo di
scansione all'altro.
Tempistica
Quando passano a Smart Scan per la prima volta, gli agenti
devono scaricare la versione completa di Smart Scan Agent
Pattern dal server OfficeScan. Smart Scan Pattern viene
utilizzato solo dagli agenti Smart Scan.
Per fare in modo che il processo di download termini in tempi
brevi, è opportuno effettuare il passaggio durante l'orario a
traffico ridotto. Si consiglia inoltre di effettuare l'operazione
quando per nessun agente sono pianificati aggiornamenti dal
server. Disattivare temporaneamente anche "Aggiorna ora"
negli agenti e riattivare la funzione una volta effettuato il
passaggio degli agenti a Smart Scan.
7-13
Considerazione
Impostazioni della
struttura agente
Dettagli
Il metodo di scansione è un'impostazione estremamente
flessibile che può essere impostata a livello principale (root),
di dominio o di singolo agente. Quando si passa a Smart Scan
è possibile:
•
Creare un nuovo dominio della struttura agente e
assegnargli Smart Scan come metodo di scansione. Gli
agente trasferiti su questo dominio utilizzano Smart Scan.
Quando si trasferisce l'agente, attivare l'impostazione
Applica le impostazioni del nuovo dominio agli agenti
selezionati.
•
Selezionare un dominio e configurarlo in modo che utilizzi
Smart Scan. Gli agenti con la scansione convenzionale
che appartengono al dominio passeranno a Smart Scan.
•
Selezionare uno o più agenti con scansione
convenzionale da un dominio e poi effettuare il passaggio
a Smart Scan.
Nota
I cambiamenti al metodo di scansione del dominio
sovrascrivono il metodo di scansione configurato per i
singoli agenti.
7-14
Considerazione
Supporto IPv6
Dettagli
Gli agenti Smart Scan inviano query di scansione alle origini
Smart Protection.
Un agente Smart Scan IPv6 puro non è in grado di inviare
query direttamente alle origini IPv4 pure, come:
•
Smart Protection Server 2.0 (integrato o standalone)
Nota
Il supporto IPv6 per Smart Protection Server è
stato introdotto nella versione 2.5.
•
Analogamente, un agente Smart Scan IPv4 puro non è in
grado di inviare query agli Smart Protection Server IPv6 puri.
Per consentire agli agenti Smart Scan di connettersi alle
origini, è necessario un server proxy dual-stack in grado di
convertire gli indirizzi IP, come ad esempio DeleGate.
Tipi di scansione
OfficeScan fornisce i seguenti tipi di scansione per proteggere i computer Agente
OfficeScan dai rischi per la sicurezza:
Tabella 7-5. Tipi di scansione
Tipo di
scansione
Scansione in
tempo reale
Descrizione
Esegue la scansione automatica di un file sul dispositivo quando
viene ricevuto, aperto, scaricato, copiato o modificato.
Consultare Scansione in tempo reale a pagina 7-16 per ulteriori
dettagli.
7-15
Tipo di
scansione
Scansione
manuale
Descrizione
Una scansione avviata dall'utente che analizza un file o un insieme
di file per iniziativa dell'utente.
Consultare Scansione manuale a pagina 7-19 per ulteriori dettagli.
Scansione
pianificata
Esegue la scansione automatica di file sul dispositivo in base alla
pianificazione configurata dall'utente finale o dall'amministratore.
Consultare Scansione pianificata a pagina 7-21 per ulteriori
dettagli.
Esegui scansione
Una scansione avviata dall'amministratore per analizzare i file in uno
o più computer di destinazione.
Consultare Esegui scansione a pagina 7-24 per ulteriori dettagli.
Scansione in tempo reale
La scansione in tempo reale è una scansione continua e costante. Ogni volta che un file
viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale
analizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rileva
rischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. Se
OfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informatica
probabili, visualizza un messaggio di notifica che indica il nome del file infetto e il
rischio per la sicurezza specifico.
La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni
volta che l'Agente OfficeScan viene avviato. L'Agente OfficeScan tiene traccia di tutte le
modifiche ai file o alle cartelle apportate in seguito alla rimozione dell'Agente
OfficeScan, eliminando questi file dalla cache.
Nota
Per modificare il messaggio di notifica, aprire la console Web e accedere a
Amministrazione > Notifiche > Agente.
7-16
Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più agenti e
domini oppure a tutti gli agenti gestiti dal server.
Configurare le impostazioni della scansione in tempo reale
Procedura
1.
2.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
scansione in tempo reale.
4.
•
Attiva scansione di virus/minacce informatiche
•
Attiva scansione spyware/grayware
) per
Nota
Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la
scansione per rilevare spyware/grayware verrà disattivata. Durante un'infezione
virale, per impedire al virus di modificare o eliminare i file e le cartelle nei
computer agente, non è possibile disattivare Scansione in tempo reale (se
originariamente disattivata, viene attivata automaticamente).
5.
6.
Nella scheda Destinazione, configurare le opzioni riportate di seguito:
•
Attività utente sui file a pagina 7-28
•
File da sottoporre a scansione a pagina 7-28
•
Impostazioni di scansione a pagina 7-29
Fare clic sulla scheda Azione e configurare le seguenti opzioni:
7-17
Tabella 7-6. Azioni di scansione
Azione
Azione di Virus e
minacce informatiche
Riferimento
Azione primaria (effettuare una selezione):
•
Usa ActiveAction a pagina 7-39
•
Stessa operazione per tutti i tipi virus o minaccia
informatica a pagina 7-41
•
Azione specifica per ogni tipo di virus o minaccia a
pagina 7-41
Nota
Per ulteriori informazioni sulle varie azioni, vedere
Azioni di scansione di virus/minacce informatiche a
pagina 7-37.
Ulteriori azioni di virus e minacce informatiche:
Azione di spyware/
grayware
•
Directory di quarantena a pagina 7-41
•
Crea copia di backup prima di disinfettare a pagina
7-43
•
Damage Cleanup Services a pagina 7-43
•
Mostra notifica al rilevamento di spyware/grayware a
pagina 7-45
•
Mostra notifica al rilevamento di probabile spyware/
grayware a pagina 7-45
Azione primaria:
•
Azioni di scansione spyware/grayware a pagina
7-50
Ulteriori azioni di spyware/grayware:
•
7.
7-18
pagina 7-51
Nella scheda Esclusione scansione, configurare le directory, i file e le estensioni
da escludere dalla scansione.
Per i dettagli, consultare Esclusioni scansione a pagina 7-32.
8.
•
impostazioni.
•
Scansione manuale
Scansione manuale è un metodo di scansione su richiesta che viene avviato
immediatamente dopo l'esecuzione della scansione nella console dell'Agente OfficeScan
da parte di un utente. Il tempo necessario per completare la scansione dipende dal
numero di file da analizzare e dalle risorse hardware del dispositivo Agente OfficeScan.
Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti e
Configurazione delle impostazioni della scansione manuale
Procedura
1.
2.
3.
scansione manuale.
4.
) per
7-19
5.
•
•
•
Uso della CPU a pagina 7-31
Azione
Azione di Virus e
Riferimento
•
•
•
pagina 7-41
Nota
pagina 7-37.
Azione di spyware/
grayware
6.
•
•
7-43
•
Azione primaria:
•
7-50
7-20
7.
•
impostazioni.
•
Scansione pianificata
Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate.
Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, per
una più efficiente gestione delle scansioni.
Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti e
Configurazione delle impostazioni della scansione
pianificata
Procedura
1.
2.
3.
scansione pianificata.
4.
) per
7-21
•
•
Nota
scansione per rilevare spyware/grayware verrà disattivata.
5.
6.
7-22
•
Pianificazione a pagina 7-32
•
Attività utente sui file a pagina 7-28
•
•
Azione
Azione di Virus e
Riferimento
•
•
•
pagina 7-41
Nota
pagina 7-37.
Azione di spyware/
grayware
•
•
7-43
•
•
pagina 7-45
•
grayware a pagina 7-45
Azione primaria:
•
7-50
Ulteriori azioni di spyware/grayware:
•
7.
pagina 7-51
7-23
8.
•
impostazioni.
•
Esegui scansione
Esegui scansione viene avviata in remoto dall'amministratore di OfficeScan mediante la
console Web e può essere mirata a uno o più computer agente.
Configurare e applicare le impostazioni di Esegui scansione a uno o più agenti e domini
oppure a tutti gli agenti gestiti dal server.
Configurazione delle impostazioni della scansione
Procedura
1.
2.
3.
funzione Esegui scansione.
4.
•
7-24
) per
•
Nota
scansione per rilevare spyware/grayware verrà disattivata.
5.
6.
•
•
•
Uso della CPU a pagina 7-31
Azione
Azione di Virus e
Riferimento
•
•
•
pagina 7-41
Nota
pagina 7-37.
•
•
7-43
•
7-25
Azione
Azione di spyware/
grayware
7.
Riferimento
Azione primaria:
•
7-50
8.
•
impostazioni.
•
Avvio di Esegui scansione
Avviare Esegui scansione nei computer che si sospetta siano infetti.
Procedura
1.
2.
3.
Fare clic su Operazioni > Esegui scansione.
4.
Per modificare le impostazioni Esegui scansione pre-configurate prima di avviare
la scansione, fare clic su Impostazioni.
7-26
) per
Viene aperta la schermata Impostazioni funzione Esegui scansione. Consultare
Esegui scansione a pagina 7-24 per ulteriori dettagli.
5.
Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clic
su Avvia Esegui scansione.
Il server invia una notifica agli agenti.
6.
Controllare lo stato della notifica e verificare che tutti gli agenti l'abbiano ricevuta.
7.
Fare clic su Seleziona dispositivi non notificati, quindi su Avvia Esegui
scansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta.
Ad esempio: numero totale di agenti: 50
Tabella 7-10. Scenari di Agente non notificati
Agenti notificati
(dopo aver fatto clic
su "Avvia Esegui
scansione")
Agenti non notificati
Nessuno (tutti i 50 agenti
selezionati
automaticamente)
35 su 50 agenti
15 agenti
Selezione manuale (45 su
50 agenti selezionati)
40 su 45 agenti
5 5 agenti + altri 5 agenti
non inclusi nella selezione
manuale
Selezione della
struttura agente
8.
Fare clic su Interrompi notifica per chiedere a OfficeScan di interrompere l'invio
della notifica agli agenti. Gli agenti che hanno già ricevuto la notifica e che hanno
già avviato il processo di scansione ignoreranno questo comando.
9.
Per gli agenti che stanno già eseguendo la scansione, fare clic su Interrompi
Esegui scansione per richiedere l'interruzione della scansione.
7-27
Impostazioni comuni a tutti i tipi di scansione
Per ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri di
scansione, esclusioni di scansione e operazioni di scansione. Implementare queste
impostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server.
Parametri di scansione
Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributi
dei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano la
scansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di file
dopo averlo scaricato nel dispositivo.
Attività utente sui file
Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delle
opzioni seguenti:
•
Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdotti
nel dispositivo (ad esempio dopo il download di un file) o dei file modificati
•
Scansione dei file recuperati: esegue la scansione dei file alla loro apertura
•
Scansione dei file creati/modificati e recuperati
Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nel dispositivo
viene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimane
nella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente lo
apre e, se l'utente lo modifica, prima che le modifiche vengano salvate.
File da sottoporre a scansione
Selezionare una delle opzioni seguenti:
•
7-28
Tutti i file validi per la scansione: esegue la scansione di tutti i file
•
Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possono
potenzialmente nascondere codici dannosi, compresi quelli mascherati da nomi di
estensione innocui.
Consultare IntelliScan a pagina E-6 per ulteriori dettagli.
•
File con le seguenti estensioni: esegue solo la scansione dei file con estensione
compresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuovere
quelle esistenti.
Impostazioni di scansione
Selezionare una o più opzioni tra quelle elencate di seguito:
•
Scansione del disco floppy allo spegnimento del sistema: Scansione in tempo
reale esegue la scansione del disco floppy per rilevare virus da boot prima dello
spegnimento del dispositivo. Ciò impedisce l'esecuzione di virus/minacce
informatiche quando un utente riavvia il dispositivo dal disco.
•
Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascoste
del dispositivo durante Scansione manuale.
•
Esegui scansione unità di rete: esegue la scansione delle cartelle o delle unità di
rete mappate nel dispositivo Agente OfficeScan durante Scansione manuale o
Scansione in tempo reale.
•
Esegui la scansione del settore boot del dispositivo di archiviazione USB
dopo il collegamento: esegue la scansione automatica del settore boot di un
dispositivo di archiviazione USB quando viene collegato con Scansione in tempo
reale.
•
Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibili
dopo il collegamento: esegue la scansione automatica di tutti i file di un
dispositivo di archiviazione USB quando viene collegato con Scansione in tempo
reale.
•
Varianti di malware in quarantena rilevate nella memoria: Monitoraggio del
comportamento effettua la scansione della memoria di sistema per processi sospetti
mentre Scansione in tempo reale mappa il processo e ne esegue la scansione per le
minacce informatiche. Se è presente una minaccia informatica, Scansione in tempo
reale sottopone a quarantena il processo e/o il file.
7-29
Nota
Per utilizzare questa funzione gli amministratori devono attivare il Servizio
prevenzione modifiche non autorizzate e il Servizio di protezione avanzata.
•
Esegui scansione file compressi: consente a OfficeScan di analizzare il numero
specificato di livelli di compressione e ignora tutti i livelli in eccesso. OfficeScan
disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio, se il massimo
fissato è due livelli e un file compresso da analizzare ha sei livelli, OfficeScan
analizza due livelli e ignora i restanti quattro. Se un file compresso contiene
minacce per la sicurezza, OfficeScan disinfetta ed elimina il file.
Nota
OfficeScan considera i file Microsoft Office 2007 in formato Office Open XML
come file compressi. Office Open XML, il formato file per le applicazioni Office
2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati con
queste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, è
necessario attivare la scansione dei file compressi.
•
Esegui scansione oggetti OLE: quando un file contiene più livelli OLE (Object
Linking and Embedding), OfficeScan esegue la scansione del numero di livelli
specificato e ignora i livelli rimanenti.
Tutti gli Agenti OfficeScan gestiti dal server controllano questa impostazione
durante le funzioni Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione. La scansione per rilevare virus/minacce
informatiche e spyware/grayware viene eseguita su ciascun livello.
Ad esempio:
Si supponga che il numero di livelli specificati sia 2 e che un file abbia un
documento Microsoft Word incorporato (primo livello) all'interno del quale è
presente un foglio di calcolo Microsoft Excel (secondo livello) che contiene un
file .exe (terzo livello). OfficeScan esegue la scansione del documento Word e del
foglio di calcolo Excel, ma ignora il file .exe.
•
7-30
Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consente
di identificare in modo euristico eventuali minacce informatiche controllando
che i file Microsoft Office non contengano codice di minaccia.
Nota
Il numero di livelli specificato è applicabile a entrambe le opzioni Analizza
oggetti OLE e Rileva codice maligno.
•
Attiva IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibili
compressi. Questa opzione è disponibile soltanto per Scansione in tempo reale.
Consultare IntelliTrap a pagina E-7 per ulteriori dettagli.
•
Esegui scansione settore boot: esegue la scansione del settore boot del disco
rigido del dispositivo agente per rilevare virus/minacce informatiche durante
Scansione manuale, Scansione pianificata ed Esegui scansione.
Uso della CPU
È possibile impostare in OfficeScan una pausa tra una scansione di un file e quella
successiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansione
pianificata ed Esegui scansione.
•
Alto: nessuna pausa tra le scansioni
•
Medio: effettua una pausa tra una scansione dei file e quella successiva se il
consumo di risorse della CPU è superiore al 50%; in caso contrario, la pausa non
viene effettuata.
•
Basso: effettua una pausa tra una scansione dei file e quella successiva se il
consumo di risorse della CPU è superiore al 20%; in caso contrario, la pausa non
viene effettuata.
Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU è
inferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa, riducendo in
tal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo, ma
le prestazioni del dispositivo non ne risentono in modo sensibile poiché il consumo di
CPU è ottimale. Quando il consumo di CPU comincia ad eccedere il valore di soglia,
OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando il
consumo torna al di sotto del valore di soglia.
7-31
Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue la
scansione dei file senza pause.
Pianificazione
Configurare la frequenza (giornaliera, settimanale o mensile) e l'orario di esecuzione della
Scansione pianificata.
Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno del
mese o della settimana e l'ordine di ricorrenza.
•
•
Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Se
si seleziona il 29, 30 o 31 di un mese che non ha tale giorno, OfficeScan esegue la
Scansione pianificata l'ultimo giorno del mese. Quindi:
•
Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (ad
eccezione degli anni bisestili) e il 29 di tutti gli altri mesi.
•
Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraio
e il 30 di tutti gli altri mesi.
•
Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio,
il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi.
Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimana
ricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattro
lunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Ad
esempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ogni
mese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste la
quinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza.
Esclusioni scansione
La configurazione delle esclusioni di scansione consente di migliorare le prestazioni della
scansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si
esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione della
scansione per determinare i file del dispositivo che devono essere esclusi dalla scansione
per il rilevamento di virus/minacce informatiche e spyware/grayware.
7-32
Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di un
file negli scenari riportati di seguito:
•
Il file si trova in una directory specifica (o in una delle sottodirectory).
•
Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione.
•
L'estensione del file corrisponde a un'estensione contenuta nell'elenco di
esclusione.
Suggerimento
Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in tempo
reale, accedere a:
http://esupport.trendmicro.com/solution/en-US/1059770.aspx
Eccezioni con caratteri jolly
Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratteri
jolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione di
diversi caratteri.
Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del carattere
jolly potrebbero comportare l'esclusione dalla scansione delle directory e dei file
sbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file)
escluderebbe l'intera unità C:\.
Tabella 7-11. Esclusioni dalla scansione con caratteri jolly
Valore
c:\director*\fil
\*.txt
Esclusi
Non esclusi
c:\directory\fil\doc.txt
c:\directory\file\
c:\directories\fil\files\document.txt
c:\directories\files\
c:\directory\file\doc.txt
c:\directories\files\document.txt
c:\director?
\file\*.txt
c:\directories\file\document.txt
7-33
Valore
c:\director?
\file\?.txt
Esclusi
c:\directory\file\1.txt
Non esclusi
c:\directories\file\document.txt
\
Tutti gli altri tipi di file nella
directory C:\
[]
Non supportato
Non supportato
*.*
Non supportato
Non supportato
c:\*.txt
Tutti i file .txt nella directory C:
Elenco di esclusione scansione (directory)
OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica del
computer. È possibile specificare al massimo 256 directory.
Nota
Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte le
relative sottodirectory dalle scansioni.
Inoltre è possibile selezionare l'opzione Escludi directory di installazione dei
programmi Trend Micro. Se si seleziona questa opzione OfficeScan esclude
automaticamente dalla scansione le directory dei seguenti prodotti Trend Micro:
•
<Cartella di installazione del server>
•
IM Security
•
InterScan eManager 3.5x
•
InterScan Web Security Suite
•
InterScan Web Protect
•
InterScan FTP VirusWall
•
InterScan Web VirusWall
•
InterScan NSAPI Plug-in
7-34
•
InterScan E-mail VirusWall
•
ScanMail eManager™ 3.11, 5.1, 5.11, 5.12
•
ScanMail for Lotus Notes™ eManager NT
•
ScanMail™ per Microsoft Exchange
Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungere
manualmente la directory del prodotto all'elenco di esclusione dalla scansione.
Configurare inoltre OfficeScan per escludere le directory di Microsoft Exchange
2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti >
Impostazioni globali agente. Se si utilizza Microsoft Exchange 2007 o versioni
successive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione.
Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di
seguito:
http://technet.microsoft.com/en-us/library/bb332342.aspx
Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:
•
Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per
impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.
Per salvare e implementare le modifiche effettuate all'elenco di esclusione,
selezionare una delle altre opzioni.
•
Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione
sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli
agenti, OfficeScan visualizza un messaggio di conferma.
•
Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di
esclusione dell'agente, l'agente lo ignorerà.
•
Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente
dall'elenco di esclusione esistente dell'agente, se presenti.
Elenco di esclusione scansione (file)
OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno dei
nomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in un
7-35
determinato percorso del dispositivo, includere il percorso, ad esempio C:\Temp
\esempio.jpg.
È possibile specificare al massimo 256 file.
Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:
•
Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per
impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.
Per salvare e implementare le modifiche effettuate all'elenco di esclusione,
selezionare una delle altre opzioni.
•
Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione
sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli
agenti, OfficeScan visualizza un messaggio di conferma.
•
Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di
esclusione dell'agente, l'agente lo ignorerà.
•
Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente
dall'elenco di esclusione esistente dell'agente, se presenti.
Elenco di esclusione scansione (estensione file)
OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a una
delle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo
256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione.
Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando si
specificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti i
file le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile
digitare D*.
Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un punto
interrogativo (?) o un asterisco (*) come carattere jolly.
7-36
Applica impostazioni di esclusione scansione a tutti i tipi di
scansione
OfficeScan consente di configurare le impostazioni di esclusione per un tipo di
scansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione.
Ad esempio:
Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computer
agente e si rende conto che questi file non rappresentano una minaccia alla sicurezza.
Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applica
questa impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale,
Esegui scansione e Scansione pianificata sono impostate in modo da ignorare i file .jpg.
Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione in
tempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Ora
i file JPG vengono sottoposti a scansione solo con Scansione in tempo reale.
Azioni di scansione
Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva un
rischio per la sicurezza. OfficeScan presenta gruppi di azioni di scansione differenti per
virus/minacce informatiche e spyware/grayware.
Azioni di scansione di virus/minacce informatiche
L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minaccia
informatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Ad
esempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minaccia
informatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione
(operazione) del file infetto.
Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacce
informatiche a pagina 7-2.
Di seguito sono riportate le operazioni di OfficeScan contro virus/minacce
informatiche.
7-37
Tabella 7-12. Azioni di scansione di virus/minacce informatiche
Azione
Descrizione
Elimina
OfficeScan elimina il file infetto.
Metti in
quarantena
OfficeScan Rinomina e sposta il file infetto in una directory di quarantena
temporanea sul dispositivo agente situato in <Cartella di installazione
dell'agente>\Suspect.
L'Agente OfficeScan invia i file in quarantena alla directory di quarantena
designata.
Consultare Directory di quarantena a pagina 7-41 per ulteriori dettagli.
La directory di quarantena predefinita si trova sul server OfficeScan, in
<Cartella di installazione del server>\PCCSRV\Virus. OfficeScan crittografa
i file in quarantena inviati a questa directory.
Se occorre ripristinare i file in quarantena, utilizzare Ripristino Files in
Quarantena.
Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45.
Disinfetta
Prima di consentire l'accesso completo al file, OfficeScan disinfetta il file
infetto.
Se il file non può essere disinfettato, OfficeScan esegue una seconda
operazione tra le seguenti: Metti in quarantena, Elimina, Rinomina e
Ignora.
Per configurare la seconda azione, accedere a Agenti > Gestione
agente. Fare clic su Impostazioni > Impostazioni di scansione > {tipo
di scansione} scheda > Azione.
Questa operazione può essere eseguita su tutti i tipi di minacce
informatiche ad eccezione di virus/minacce informatiche probabili.
Rinomina
OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti non
possono aprire il file rinominato immediatamente ma solo se lo associano
a una determinata applicazione.
All'apertura del file infetto rinominato, il virus o la minaccia informatica in
esso contenuti potrebbero entrare in azione.
7-38
Azione
Descrizione
Ignora
OfficeScan può utilizzare questa operazione di scansione solo se rileva
un tipo di virus durante Scansione manuale, Scansione pianificata ed
Esegui scansione. OfficeScan non può utilizzare questa operazione di
scansione durante la Scansione in tempo reale perché la mancata
esecuzione di un'operazione quando si rileva un tentativo di aprire o
eseguire un file infetto consente l'esecuzione del virus o della minaccia.
Tutte le altre azioni di scansione possono essere utilizzate.
Impedisci
l'accesso
Questa operazione di scansione può essere eseguita solo durante la
scansione in tempo reale. Quando OfficeScan rileva un tentativo di aprire
o eseguire un file infetto, blocca immediatamente l'operazione.
Gli utenti possono eliminare manualmente il file infetto.
Usa ActiveAction
Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. La
personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce
informatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveAction
per contrastare questi problemi.
ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacce
informatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione o
se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/
minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.
L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito.
•
ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è
necessario dedicare tempo alla configurazione delle operazioni.
•
Gli sviluppatori di virus/minacce informatiche modificano costantemente il modo
in cui i virus attaccano i computer. Le impostazioni di ActiveAction vengono
aggiornate per fornire protezione dalle minacce più recenti e dalle modalità di
attacco di virus/minacce informatiche più recenti.
Nota
ActiveAction non è disponibile per la scansione spyware/grayware.
7-39
La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus e
minacce informatiche:
Tabella 7-13. Operazioni di scansione consigliate da Trend Micro contro virus e
Tipo di virus/
minaccia
informatica
Prima
operazione
Seconda
operazione
Scansione manuale/
Scansione pianificata/
Esegui scansione
Prima
operazione
Seconda
operazione
Programma Joke
Metti in
quarantena
N.D.
Metti in
quarantena
N.D.
Programma
cavallo di Troia
Metti in
quarantena
N.D.
Metti in
quarantena
N.D.
Virus
Disinfetta
Metti in
quarantena
Disinfetta
Metti in
quarantena
virus di prova
Impedisci
l'accesso
N.D.
Ignora
N.D.
Packer
Metti in
quarantena
N.D.
Metti in
quarantena
N.D.
Altro
Disinfetta
Metti in
quarantena
Disinfetta
Metti in
quarantena
Probabile virus/
minaccia
informatica
Impedisci
l'accesso o
azione
configurata
dall'utente
N.D.
Ignora o
azione
configurata
dall'utente
N.D.
Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso"
durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansione
pianificata ed Esegui scansione. Se non si desidera impostare queste azioni come
preferite, è possibile modificarle in Quarantena, Elimina o Rinomina.
7-40
informatica
Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/
minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se come
prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che
OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è
"Disinfetta", non è possibile configurare una seconda operazione.
Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azione
quando rileva probabili virus/minacce informatiche.
Azione specifica per ogni tipo di virus o minaccia
Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus o
minaccia informatica.
Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informatiche
probabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si è
scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se
la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile
configurare una seconda operazione.
Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione,
ad eccezione di "Disinfetta".
Directory di quarantena
Se l'azione di un file infetto è "Quarantena", l'Agente OfficeScan crittografa il file e lo
trasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente>
\SUSPECT e poi invia il file alla directory di quarantena designata.
Nota
Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, è
possibile ripristinarli.
Per i dettagli, consultare Ripristino dei file crittografati a pagina 7-46.
7-41
Accettare la directory di quarantena predefinita, che si trova nel computer server
OfficeScan. La directory è in formato URL e contiene il nome host del server o
l'indirizzo IP.
•
Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gli
agenti possano inviare file in quarantena al server.
•
Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),
solo gli agenti IPv4 puri e dual-stack possono inviare file in quarantena al server.
•
Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),
solo gli agenti IPv6 puri e dual-stack possono inviare file in quarantena al server.
È anche possibile specificare una directory di quarantena alternativa immettendo il
percorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devono
essere in grado di connettersi a questa directory alternativa. Ad esempio, la directory
alternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da agenti dual-stack
e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa,
identificando la directory con il corrispondente nome host e specificando la directory
con un percorso UNC.
Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,
percorso UNC o percorso di file assoluto:
Tabella 7-14. Directory di quarantena
Directory di
quarantena
Una directory sul
computer server
OfficeScan
Format
o
accetta
to
Esempio
Note
URL
http:// <server osce>
Questa è la directory predefinita.
Percorso
UNC
\\<server osce>\
ofcscan\Virus
Configurare le impostazioni di
questa directory, quali le
dimensioni della cartella di
quarantena.
Per i dettagli, consultare Gestore
della quarantena a pagina 13-60.
7-42
Directory di
quarantena
Format
o
accetta
to
Esempio
Note
Accertarsi che gli agenti siano in
grado di connettersi a questa
directory. Se si specifica una
directory non valida, l'Agente
OfficeScan conserva i file di
quarantena nella cartella
SUSPECT fino a quando non
viene specificata una directory di
quarantena valida. Nei registri di
virus e minacce informatiche sul
server, il risultato della scansione
è "Impossibile inviare il file da
mettere in quarantena alla cartella
in quarantena specificata".
Una directory su
un altro computer
server
OfficeScan (se
sono presenti
altri server
OfficeScan nella
rete)
URL
http:// <server2 osce>
Percorso
UNC
\\<server2 osce>\
ofcscan\Virus
Un altro
dispositivo della
rete
Percorso
UNC
\\<nome_ computer>
\temp
Una diversa
directory
sull'Agente
OfficeScan
Percorso
assoluto
C:\temp
Se si utilizza il percorso UNC,
assicurarsi che la directory di
quarantena sia condivisa per il
gruppo "Tutti" e che tutti i membri
del gruppo abbiano i permessi di
lettura e scrittura.
Crea copia di backup prima di disinfettare
Se OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire il
backup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro.
OfficeScan crittografa il file di backup per impedirne l'apertura e lo archivia nella cartella
<Cartella di installazione dell'agente>\Backup.
Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina
7-46.
Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file e
dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali).
7-43
L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacce
informatiche, in base al tipo di scansione.
•
Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui
scansione, l'Agente OfficeScan avvia prima Damage Cleanup Services, quindi
continua con la scansione di virus/minacce informatiche. Durante la scansione di
virus/minacce informatiche, l'agente può avviare di nuovo Damage Cleanup
Services, se necessario.
•
Durante Scansione in tempo reale, l'Agente OfficeScan esegue prima la scansione
di virus/minacce informatiche, quindi avvia Damage Cleanup Services, se
necessario.
È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services:
•
•
Disinfezione standard: durante la disinfezione standard, l'Agente OfficeScan
esegue una delle seguenti azioni:
•
Rileva e rimuove i cavalli di Troia attivi
•
Blocca i processi innescati dai cavalli di Troia
•
Ripara i file di sistema modificati dai cavalli di Troia
•
Elimina i file e le applicazioni lasciati dai cavalli di Troia
Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'Agente
OfficeScan arresta le attività dei software di sicurezza non legittimi, noti anche
come falsi antivirus, nonché di alcune varianti rootkit. L'Agente OfficeScan utilizza
anche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo le
applicazioni che manifestano un comportamento rootkit e da falso antivirus.
Nota
Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altro
numero di falsi allarmi.
Damage Cleanup Services non esegue la scansione di virus/minacce informatiche
probabili a meno che non si selezioni l'opzione Esegui disinfezione quando viene
rilevato probabile virus/minaccia informatica. Selezionare questa opzione solo se
l'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso.
7-44
Ad esempio, se l'Agente OfficeScan rileva probabili virus/minacce informatiche durante
Scansione in tempo reale e l'azione è Metti in quarantena, l'Agente OfficeScan prima
mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo di
disinfezione (standard o avanzata) dipende dalle opzioni selezionate.
Mostra notifica al rilevamento di spyware/grayware
Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo reale
e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di
notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal
menu a discesa Tipo in Amministrazione > Notifiche > Agente.
grayware
Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione in
tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un
messaggio di notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal
menu a discesa Tipo in Amministrazione > Notifiche > Agente.
Ripristino dei file in quarantena
È possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene che il
rilevamento non sia stato accurato. La funzione Ripristino quarantena centrale consente
di cercare i file nella directory di quarantena ed eseguire una verifica SHA1 per verificare
che i file che si desidera ripristinare non siano stati modificati in alcun modo.
Procedura
1.
2.
Nella struttura agente, selezionare un dominio o un agente.
7-45
3.
Fare clic su Operazioni > Ripristino quarantena centrale.
Viene visualizzata la schermata Ripristino quarantena centrale.
4.
Digitare il nome dei dati che si desidera ripristinare nel campo File/oggetto
infetto.
5.
Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per la
sicurezza e il percorso del file di dati.
6.
Fare clic su Cerca.
Viene visualizzata la schermata Ripristino quarantena centrale, con i risultati
della ricerca.
7.
Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio per
assicurare che tutti gli Agenti OfficeScan nei domini dove i file sono stati
ripristinati aggiungano il file all'elenco di esclusione scansione.
Questa operazione assicura che OfficeScan non rilevi il file come minaccia durante
le future scansioni.
8.
Facoltativamente, digitare il valore SHA1 del file a scopo di verifica.
9.
Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina.
Suggerimento
Per visualizzare i singoli Agenti OfficeScan che ripristinano il file, fare clic sul
collegamento nella colonna Dispositivo.
10. Fare clic su Chiudi nella finestra di dialogo di conferma.
Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena,
vedere Visualizzazione dei registri di ripristino quarantena centrale a pagina 7-103.
Ripristino dei file crittografati
Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportati
di seguito:
7-46
•
Prima di mettere un file in quarantena
•
Quando si esegue un backup di un file prima di disinfettarlo
OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sia
necessario recuperare le informazioni in esso contenute. OfficeScan può decodificare e
ripristinare i file seguenti:
Tabella 7-15. File soggetti a decodifica e ripristino in OfficeScan
File
Descrizione
File in quarantena nel
dispositivo agente
Questi file si trovano nella cartella <Cartella di installazione
dell'agente>\SUSPECT\Backup e vengono automaticamente
cancellati dopo 7 giorni. Questi file inoltre vengono caricati
nella directory di quarantena nel server OfficeScan.
File in quarantena
nella directory di
quarantena designata
Per impostazione predefinita questa directory si trova nel
computer server OfficeScan.
File crittografati di
backup
I file di backup dei file infetti disinfettati da OfficeScan. Questi
file si trovano nella cartella <Cartella di installazione dell'agente>
\Backup. Per ripristinare questi file, gli utenti devono trasferirli
nella cartella <Cartella di installazione dell'agente>\SUSPECT\Backup.
Per i dettagli, consultare Directory di quarantena a pagina 7-41.
OfficeScan esegue il backup e la crittografia dei file prima di
disinfettarli solo se si seleziona Esegui backup dei file prima
della disinfezione accedendo a Agenti > Gestione agente e
facendo clic su Impostazioni > Impostazioni di scansione
scheda > {Tipo di scansione} > Azione.
AVVERTENZA!
Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche ad
altri file e computer. Prima di ripristinare il file, isolare il dispositivo trasferire i file
importanti del dispositivo in un percorso di backup.
7-47
Decodifica e ripristino dei file
Procedura
•
Se il file si trova nel dispositivo Agente OfficeScan:
a.
Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>.
b.
Eseguire VSEncode.exe facendo doppio clic sul file o digitando quanto segue
nel prompt dei comandi:
VSEncode.exe /u
Questo parametro apre una schermata contenente un elenco dei file presenti
in <Cartella di installazione dell'agente>\SUSPECT\Backup.
c.
Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in
grado di ripristinare un solo file alla volta.
d.
Nella schermata visualizzata specificare la cartella nella quale deve essere
ripristinato il file.
e.
Fare clic su OK. Il file viene ripristinato nella cartella specificata.
Nota
Se OfficeScan esegue di nuovo la scansione del file subito dopo che è stato
ripristinato, è possibile che venga considerato infetto. Per impedire la scansione
del file, aggiungerlo all'elenco di esclusione della scansione. Consultare Esclusioni
scansione a pagina 7-32 per ulteriori dettagli.
f.
•
Se il file si trova nel server OfficeScan o in una directory di quarantena
personalizzata:
a.
7-48
Terminato il ripristino dei file, fare clic su Chiudi.
Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandi
e accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility
\VSEncrypt.
Se il file si trova in una directory di quarantena personalizzata, accedere a
<Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella
VSEncrypt nel dispositivo contenente la directory di quarantena personalizzata.
b.
Creare un file di testo e digitare l'intero percorso dei file da codificare o
decodificare.
Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare nel file di testo
C:\Documenti\Reports\*.*.
I file in quarantena nel computer server OfficeScan si trovano in <Cartella di
installazione del server>\PCCSRV\Virus.
c.
Salvare il file di testo con estensione INI o TXT. Ad esempio, salvarlo con il
nome ForEncryption.ini nell'unità C:.
d.
Aprire un prompt dei comandi e andare alla directory in cui si trova la cartella
VSEncrypt.
e.
Digitare il comando riportato di seguito per eseguire VSEncode.exe:
VSEncode.exe /d /i <percorso del file INI o TXT>
Dove:
<percorso del file INI o TXT> è il percorso del file INI o TXT creato (ad
esempio C:\ForEncryption.ini).
f.
Utilizzare gli altri parametri per ottenere comandi diversi.
Tabella 7-16. Parametri di ripristino
Parametro
Descrizione
Nessuno (nessun
parametro)
Codifica i file
/d
Decodifica i file
/debug
Creare un registro di debug e salvarlo nel
dispositivo. Nel dispositivo Agente OfficeScan, il
registro di debug VSEncrypt.log viene creato in <Cartella
di installazione dell'agente>.
7-49
Parametro
Descrizione
/o
Sovrascrive il file crittografato o decrittografato già
esistente
/f <nome file>.
Codifica o decodifica un solo file
/nr
Non ripristina il nome del file originale
/v
Visualizza le informazioni sullo strumento
/u
Avvia l'interfaccia utente dello strumento
/r <Cartella di
destinazione>
Cartella contenente il file ripristinato
/s <Nome del file
originale>
Il nome del file crittografato originale
Ad esempio, è possibile digitare VSEncode [/d] [/debug] per decodificare i file
nella cartella Suspect e creare un registro di debug. Quando si decodifica o si
codifica un file, OfficeScan crea il file decodificato o codificato nella stessa
cartella. Prima di decodificare o codificare un file, accertarsi che il file non sia
bloccato.
Azioni di scansione spyware/grayware
L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che ha
rilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche per
ciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida
per tutti i tipi di spyware/grayware. Ad esempio, quando OfficeScan rileva qualsiasi tipo
di spyware/grayware durante una scansione manuale (tipo di scansione), esegue la
disinfezione (operazione) delle relative risorse di sistema.
Per informazioni sui diversi tipi di virus/minacce informatiche, consultare Spyware e
grayware a pagina 7-5.
Nota
Le azioni di spyware/grayware sono configurabili solo tramite la console Web. La console
dell'Agente OfficeScan non consente di accedere a queste impostazioni.
7-50
Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware.
Tabella 7-17. Azioni di scansione spyware/grayware
Azione
Disinfetta
Descrizione
OfficeScan interrompe i processi o elimina registri, file, cookie e
collegamenti.
Dopo aver effettuato la disinfezione di spyware e grayware, gli Agenti
OfficeScan effettuano un backup dei dati relativi a spyware e grayware
così da consentirne il ripristino nel caso in cui l'utente li consideri sicuri.
Consultare Ripristino spyware/grayware a pagina 7-54 per ulteriori
dettagli.
Ignora
OfficeScan non esegue alcuna operazione sui componenti spyware/
grayware rilevati, ma registra il rilevamento di spyware/grayware. Questa
azione può essere utilizzata solo durante Scansione manuale, Scansione
pianificata ed Esegui scansione. Durante Scansione in tempo reale,
l'azione è "Impedisci l'accesso".
OfficeScan non esegue azioni se lo spyware/grayware rilevato non è
incluso nell'elenco approvato.
Consultare Elenco Approvati spyware/grayware a pagina 7-52 per
ulteriori dettagli.
Impedisci
l'accesso
OfficeScan nega all'utente l'accesso (per copia e apertura) ai componenti
grayware e spyware rilevati. Questa azione può essere eseguita solo
durante Scansione in tempo reale. Durante Scansione manuale,
Scansione pianificata ed Esegui scansione, l'azione è "Ignora".
Mostra notifica al rilevamento di spyware/grayware
Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale e
Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di
notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu a
discesa Tipo in Amministrazione > Notifiche > Agente.
7-51
Elenco Approvati spyware/grayware
OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file e
le applicazioni che non devono essere considerati spyware o grayware. Quando uno
spyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco
approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non esegue
alcuna azione.
Applicare l'elenco approvati a uno o più agenti e domini oppure a tutti gli agenti gestiti
dal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso
elenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale,
Scansione pianificata ed Esegui scansione.
Aggiunta di spyware/grayware già rilevato all'elenco
approvati Approvati
Procedura
1.
Accedere a una delle seguenti sezioni:
•
Agenti > Gestione agente
•
Registri > Agenti > Rischi per la sicurezza
2.
3.
Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >
Registri di spyware/grayware.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Selezionare i registri e fare clic su Aggiungi all'elenco Approvati.
6.
Applicare gli spyware/grayware approvati solo ai computer agente selezionati o a
determinati domini.
7.
Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il server
OfficeScan aggiunge gli spyware/grayware all'elenco approvati che si trova in
7-52
) per
Agenti > Gestione agente > Impostazioni > Elenco Approvati spyware/
grayware.
Nota
OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elenco
approvati.
Gestione dell'elenco approvati spyware/grayware
Procedura
1.
2.
3.
Fare clic su Impostazioni > Elenco Approvati spyware/grayware.
4.
Nella tabella Nome spyware/grayware selezionare il nome dello spyware/
grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante la
selezione.
•
5.
) per
Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca.
OfficeScan aggiorna la tabella con i nomi che corrispondono alla parola
chiave.
Il nome viene aggiunto alla tabella Elenco approvati.
6.
Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic su
Rimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante la
selezione.
7.
7-53
•
impostazioni.
•
Ripristino spyware/grayware
Dopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScan
eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup,
se sono considerati innocui. Scegliere i dati spyware/grayware da ripristinare basandosi
sull'orario di backup.
Nota
Gli utenti Agente OfficeScan non possono avviare il ripristino di spyware/grayware e non
ricevono la notifica sui dati di backup che l'agente ha ripristinato.
Procedura
1.
2.
Nella struttura agente, aprire un dominio e selezionare un agente.
Nota
Gli spyware/grayware possono essere ripristinati solo da un agente alla volta.
3.
Fare clic su Operazioni > Ripristino spyware/grayware.
4.
Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic su
Visualizza.
Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fare
clic su Indietro.
7-54
5.
Selezionare i segmenti di dati che si desidera ripristinare.
6.
Fare clic sul pulsante Ripristina.
OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo,
consultare i registri di ripristino spyware/grayware. Consultare Visualizzazione dei
registri di ripristino spyware/grayware a pagina 7-108 per ulteriori dettagli.
Gestione dell'esclusione di processi
È possibile configurare OfficeScan in modo da non eseguire la scansione dei processi
affidabili durante le scansioni in tempo reale e del monitoraggio del comportamento.
Dopo aver aggiunto un programma all'elenco Programmi affidabili, OfficeScan non
sottopone il programma o i processi avviati dal programma alla scansione in tempo
reale. Per migliorare le prestazioni di scansione dei dispositivi, aggiungere i programmi
affidabili all'elenco Programmi affidabili.
Nota
È possibile aggiungere file all'elenco Programmi affidabili se vengono soddisfatti i seguenti
requisiti:
•
Il file non si trova nella directory di sistema di Windows.
•
Il file contiene una firma digitale valida.
Dopo aver aggiunto un programma all'elenco Programmi affidabili, OfficeScan esclude
automaticamente il programma dalle scansioni seguenti:
•
Verifica dei file della scansione in tempo reale
•
Monitoraggio del comportamento
•
Scansione dei processi in tempo reale
7-55
Configurazione dell'elenco Programmi affidabili
L'elenco Programmi affidabili esclude i programmi e tutti i processi secondari richiesti
dal programma durante i processi di scansione Scansione in tempo reale e Monitoraggio
del comportamento.
Procedura
1.
2.
3.
Fare clic su Impostazioni > Elenco Programmi affidabili.
4.
Digitare il percorso completo del programma da escludere dall'elenco.
5.
Fare clic su Aggiungi all'elenco Programmi affidabili.
6.
Per rimuovere un programma dall'elenco, fare clic sull'icona Elimina.
7.
Per esportare l'elenco Programmi affidabili, fare clic su Esporta e selezionare una
posizione per il file.
) per
Nota
OfficeScan salva l'elenco in formato CSV.
8.
9.
Per importare l'elenco Programmi affidabili, fare clic su Importa e selezionare una
posizione per il file.
a.
Fare clic su Sfoglia... e selezionare la posizione del file CSV.
b.
Fare clic su Importa.
•
7-56
impostazioni.
•
Privilegi scansione e altre impostazioni
Gli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file nei
propri computer. I privilegi di scansione consentono agli utenti o all'Agente OfficeScan
di effettuare le attività seguenti:
•
Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione in
tempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansione
a pagina 7-57.
•
Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per i
dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-60.
•
Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevare
virus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altre
•
L'Agente OfficeScan può usare le impostazioni delle cache per migliorare le proprie
prestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni a
pagina 7-68.
•
Gli utenti possono personalizzare l'elenco Programmi affidabili. Per i dettagli,
consultare Privilegio per l'elenco Programmi affidabili a pagina 7-72.
Privilegi tipo di scansione
Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione in
tempo reale e Scansione pianificata.
7-57
Concessione dei privilegi tipo di scansione
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, accedere alla sezione Scansioni.
5.
Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare.
6.
) per
•
impostazioni.
•
Configurazione delle impostazioni di scansione per l'agente
OfficeScan
Procedura
1.
Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella
barra delle applicazioni e selezionare Apri console agente OfficeScan.
2.
Fare clic su Impostazioni > {Tipo di scansione}.
7-58
Figura 7-1. Impostazioni di scansione nella console dell'Agente OfficeScan
3.
•
Impostazioni scansione in tempo reale: attività dell'utente su file, file da
sottoporre a scansione, impostazioni di scansione, esclusioni dalla scansione,
azioni di scansione
•
Impostazioni scansione manuale: file da sottoporre a scansione, impostazioni
di scansione, uso della CPU, esclusioni dalla scansione, azioni di scansione
•
Impostazioni scansione pianificata: pianificazione, file da sottoporre a
scansione, impostazioni di scansione, uso della CPU, esclusioni dalla
scansione, azioni di scansione
7-59
4.
Fare clic su OK.
Privilegi scansione pianificata e altre impostazioni
Se Scansione pianificata è impostata per l'esecuzione sull'agente, gli utenti possono
rimandare, ignorare o interrompere la Scansione pianificata.
Rimanda scansione pianificata
Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono
eseguire le seguenti operazioni:
•
Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la
durata del ritardo. La scansione pianificata può essere postposta una sola volta.
•
Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la
scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve
intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in
precedenza vengono di nuovo sottoposti a scansione. È possibile interrompere e
riavviare la scansione pianificata una sola volta.
Nota
Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15
minuti. Il periodo massimo è 12 ore e 45 minuti.
Per modificare la durata del rinvio, accedere a Agenti > Impostazioni globali agente.
Nella sezione Impostazioni scansione pianificata, modificare l'impostazione Rimanda
scansione pianificata fino a __ ore e __ minuti.
Salta e interrompi scansione pianificata
Questo privilegio consente agli utenti di eseguire le operazioni seguenti:
•
Salta scansione pianificata prima che venga eseguita
•
Interrompi scansione pianificata mentre è in corso
7-60
Nota
Gli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anche
dopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivo
orario di pianificazione.
Notifica di privilegio Scansione pianificata
Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibile
ricordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notifica
prima dell'esecuzione di Scansione pianificata.
Concessione privilegi scansione pianificata e
visualizzazione notifica dei privilegi
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, passare alla sezione Scansioni pianificate.
5.
•
Rimanda scansione pianificata
•
Salta e interrompi scansione pianificata
) per
6.
Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni
7.
Selezionare Visualizza una notifica prima dell'esecuzione della scansione
pianificata.
Quando questa opzione è attivata, nel dispositivo agente viene visualizzato un
messaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata.
7-61
Gli utenti vengono informati della pianificazione della scansione (data e ora) e dei
loro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare o
interrompere la scansione pianificata.
Nota
È possibile configurare il numero di minuti. Per configurare il numero di minuti,
accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioni
scansione pianificata, modificare l'impostazione Ricorda agli utenti la scansione
pianificata __ minuti prima dell'esecuzione.
8.
•
impostazioni.
•
Rinviare, ignorare e arrestare la scansione pianificata
sull'agente
Procedura
•
Se la scansione pianificata non è stata avviata:
a.
7-62
nella barra delle applicazioni e selezionare Impostazioni scansione
pianificata avanzata.
Figura 7-2. Opzione Impostazioni avanzate della scansione
Nota
Se il messaggio di notifica è attivato ed è impostato in modo da essere
visualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non è
necessario che gli utenti eseguano questo passaggio. Per ulteriori informazioni
sul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina
7-61.
b.
Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni
seguenti:
•
Postponi scansione di __ ore e __ minuti.
•
Salta questa scansione pianificata. La prossima Scansione
pianificata verrà eseguita il <data> alle <ora>..
7-63
Figura 7-3. Privilegi di Scansione pianificata nel dispositivo Agente
OfficeScan
•
7-64
Se la scansione pianificata è in corso:
a.
nella barra delle applicazioni e selezionare Impostazioni avanzate della
b.
Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni
seguenti:
•
Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti.
•
Interrompi scansione. La prossima Scansione pianificata verrà
eseguita il <data> alle <ora>..
Figura 7-4. Privilegi di Scansione pianificata nel dispositivo Agente
OfficeScan
7-65
Privilegi scansione e-mail e altre impostazioni
Quando gli agenti dispongono dei privilegi di scansione e-mail, l'opzione Scansione email viene visualizzata nella console dell'Agente OfficeScan. L'opzione Scansione email visualizza Scansione e-mail POP3.
Figura 7-5. Impostazioni di scansione e-mail nella console dell'Agente OfficeScan
La seguente tabella indica il programma di scansione e-mail POP3.
7-66
Tabella 7-18. Programmi di scansione e-mail.
Dettagli
Descrizione
Scopo
Esegue la scansione dei messaggi e-mail POP3 per rilevare
virus o minacce informatiche.
Prerequisiti
•
Prima che gli utenti possano utilizzarlo, gli amministratori
devono attivarlo dalla console Web.
Nota
Per abilitare la scansione e-mail POP3, vedere
Concessione dei privilegi scansione e-mail e
attivazione di POP3 Mail Scan a pagina 7-67.
•
È possibile configurare azioni per contrastare virus/
minacce informatiche dalla console dell'Agente
OfficeScan, ma non dalla console Web.
Tipi di scansione
supportati
Risultati scansione
•
Informazioni sui rischi per sicurezza rilevati disponibili
dopo il completamento della scansione.
•
Risultati di scansione non registrati nella schermata
Registri della console dell'Agente OfficeScan
•
Risultati di scansione non inviati al server.
Altri dettagli
La scansione viene eseguita quando i messaggi e-mail
vengono scaricati dal server di posta POP3.
Condivide OfficeScan NT Proxy Service (TMProxy.exe) con la
funzione di reputazione Web.
Concessione dei privilegi scansione e-mail e attivazione di
POP3 Mail Scan
Procedura
1.
7-67
2.
) per
3.
4.
Nella scheda Privilegi, accedere alla sezione Scansione e-mail.
5.
Selezionare Visualizza le impostazioni Scansione e-mail nella console agente
OfficeScan.
6.
Scansione e-mail POP3..
7.
Selezionare Analizza i messaggi e-mail POP3.
8.
•
impostazioni.
•
Impostazioni cache per le scansioni
Per migliorare le proprie prestazioni di scansione, l'Agente OfficeScan è in grado di
creare la firma digitale e i file di cache per la scansione su richiesta. Quando viene
eseguita una scansione su richiesta, l'Agente OfficeScan verifica innanzitutto il file di
cache della firma digitale e successivamente il file di cache per la scansione su richiesta
per individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti se
dalla scansione viene escluso un elevato numero di file.
7-68
Cache della firma digitale
Il file di cache della firma digitale viene utilizzato durante le funzioni Scansione manuale,
Scansione pianificata ed Esegui scansione. Gli agenti non eseguono la scansione dei file
la cui firma è stata aggiunta al file di cache della firma digitale.
L'Agente OfficeScan utilizza lo stesso Digital Signature Pattern utilizzato dal
Monitoraggio del comportamento per creare il file di cache della firma digitale. Il Digital
Signature Pattern contiene un elenco di file che Trend Micro considera affidabili e che
pertanto è possibile escludere dalle scansioni.
Nota
Monitoraggio del comportamento viene disattivato automaticamente sulle piattaforme
server Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vista senza
SP1 non è disponibile). Se la cache della firma digitale è attivata, gli Agenti OfficeScan
presenti su queste piattaforme scaricano Digital Signature Pattern per utilizzarlo nella
cache, senza scaricare gli altri componenti del monitoraggio del comportamento.
Gli agenti creano il file di cache della firma digitale in base a una pianificazione,
configurabile dalla console Web. Gli agenti eseguono questa operazione per:
•
Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il file
di cache è stato creato
•
Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema
Durante il processo di creazione della cache, gli agenti eseguono un controllo sulle
seguenti cartelle per individuare i file affidabili, quindi aggiungono le firme di questi file
al file di cache delle firme digitali:
•
%PROGRAMFILES%
•
%WINDIR%
Il processo di creazione della cache non influisce sulle prestazioni del dispositivo perché
gli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sono
anche in grado di riprendere l'attività di creazione della cache che per qualche motivo era
stata interrotta, ad esempio quando un computer host viene spento oppure quando un
adattatore del dispositivo wireless viene scollegato dall'alimentazione.
7-69
Impostazione cache scansione su richiesta
Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale,
Scansione pianificata ed Esegui scansione. Gli Agenti OfficeScan non effettuano la
scansione dei file le cui cache sono state aggiunte al file di cache della scansione su
richiesta.
Ogniqualvolta si esegue una scansione, l'Agente OfficeScan verifica le proprietà dei file
privi di minacce. Se un file privo di minacce non è stato modificato per un certo periodo
di tempo, (è possibile configurare il periodo di tempo), l'Agente OfficeScan aggiunge la
cache del file al file di cache della scansione su richiesta. Quando viene eseguita la
scansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta.
La cache di un file privo di minacce scade entro un determinato numero di giorni (è
possibile configurare anche il periodo di tempo). Quando si esegue una scansione
durante o dopo la scadenza della cache, l'Agente OfficeScan rimuove la cache scaduta ed
esegue la scansione del file per verificare la presenza di minacce. Se il file è privo di
minacce e non viene modificato, la cache del file viene aggiunta nuovamente al file di
cache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato di
recente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione la
volta successiva.
La cache per il file privo di minacce scade per impedire di escludere dalla scansione i file
infetti, così come illustrato nei seguenti esempi:
•
È possibile che un file di pattern estremamente obsoleto possa aver considerato un
file infetto non modificato come file privo di minacce. Se la cache non è scaduta, il
file infetto resta nel sistema fino a quando non viene modificato e rilevato da
•
Se un file memorizzato nella cache è stato modificato e Scansione in tempo reale
non è operativa durante la modifica del file, la cache deve scadere in modo che il
file modificato possa essere sottoposto alla scansione per le minacce.
Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipo
di scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minore
se l'Agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti nel
dispositivo durante Scansione manuale.
Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache della
scansione su richiesta riduce significativamente il tempo di scansione. In un'operazione
7-70
di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12
minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deve
rimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni.
Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, al
file di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza più
estesa, ciò significa che dalla scansione vengono esclusi più file.
Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare la
cache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguita
la scansione successiva.
Configurazione impostazioni cache per le scansioni
Procedura
1.
2.
3.
4.
cache per le scansioni.
5.
Configurare le impostazioni per la cache della firma digitale.
6.
) per
a.
Selezionare Attiva cache firma digitale.
b.
In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agente
dovrà creare la cache.
Configurare le impostazioni per la cache della scansione su richiesta.
a.
Selezionare Attiva cache scansione su richiesta.
b.
In Aggiungi la cache per i file sicuri non modificati per __ giorni,
specificare il numero di giorni per i quali un file deve restare inalterato prima
di essere memorizzato nella cache.
7-71
c.
In La cache per ogni file sicuro scade tra __ giorni, specificare il numero
massimo di giorni in cui una cache deve restare nel file di cache.
Nota
Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lo
stesso giorno, le cache scadono in modo casuale nell'arco del numero massimo
di giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono state
aggiunte 500 cache ed il numero massimo di giorni specificato è 10, una parte
delle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Il
decimo giorno, tutte le cache rimaste scadranno.
7.
•
impostazioni.
•
Privilegio per l'elenco Programmi affidabili
È possibile concedere agli utenti finali il privilegio di configurare OfficeScan in modo da
non eseguire la scansione dei processi affidabili durante le scansioni in tempo reale e del
monitoraggio del comportamento. Dopo aver aggiunto un programma all'elenco
Programmi affidabili, OfficeScan non sottopone il programma o i processi avviati dal
programma alla scansione in tempo reale. Per migliorare le prestazioni di scansione dei
dispositivi, aggiungere i programmi affidabili all'elenco Programmi affidabili.
7-72
Concessione delle impostazioni relative all'elenco
Programmi affidabili
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, andare alla sezione Elenco Programmi affidabili.
5.
Selezionare Visualizza l'elenco Programmi affidabili nella console dell'agente
OfficeScan.
6.
) per
•
impostazioni.
•
Impostazioni globali di scansione
Le impostazioni globali di scansione possono essere applicate agli agenti in diversi modi.
•
Un'impostazione di scansione particolare può essere applicata a tutti gli agenti
gestiti dal server o solo agli agenti con determinati privilegi di scansione. Ad
esempio, se è stato configurato di rinviare la durata di Scansione pianificata, solo gli
agenti con tale privilegio utilizzeranno questa impostazione.
7-73
•
Un'impostazione di scansione particolare può essere applicata a tutti i tipi di
scansione o a uno in particolare. Ad esempio, negli dispositivi in cui sono installati
sia il server OfficeScan che l'Agente OfficeScan, è possibile escludere il database
del server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solo
durante Scansione in tempo reale.
•
Un'impostazione di scansione particolare può essere applicata alla scansione per
rilevare virus/minacce informatiche o a quella per rilevare spyware/grayware
oppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durante
la scansione per rilevare spyware/grayware.
Configurazione delle impostazioni di scansione globali
Procedura
1.
2.
Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili.
3.
•
Sezione impostazioni di scansione a pagina 7-74
•
Sezione Impostazioni scansione pianificata a pagina 7-81
•
Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche a
pagina 7-84
Fare clic su Salva.
Sezione impostazioni di scansione
La sezione Impostazioni di scansione delle Impostazioni globali agente consente
agli amministratori di configurare quanto segue:
•
Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan a
pagina 7-75
•
Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina
7-76
7-74
•
Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-76
•
Attiva Scansione differita in operazioni su file a pagina 7-76
•
Attivazione della protezione dell'avvio dell'anti-malware preliminare sui dispositivi a pagina
7-77
•
Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-77
•
Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-78
•
Attiva modalità di valutazione a pagina 7-80
•
Esegui scansione cookie a pagina 7-81
Aggiungere Scansione manuale al menu dei collegamenti di
Windows negli agenti OfficeScan
Quando questa impostazione è attivata, nel menu di scelta rapida di Esplora risorse di
tutti gli Agenti OfficeScan gestiti dal server viene aggiunta l'opzione Esegui scansione
con OfficeScan. Quando gli utenti fanno clic con il pulsante destro del mouse su un file
o una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione,
Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacce
informatiche e spyware/grayware.
Figura 7-6. Opzione Esegui scansione con OfficeScan
7-75
Escludi la cartella del database del server OfficeScan dalla
scansione in tempo reale
Se l'Agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, con
Scansione in tempo reale l'Agente OfficeScan non eseguirà la scansione del database del
server per rilevare virus/minacce informatiche e spyware/grayware.
Suggerimento
Attivare questa impostazione per impedire il verificarsi di eventuali danni al database
durante la scansione.
Escludi cartelle e file del server Microsoft Exchange dalla
scansione
Se l'Agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nello
stesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenti
cartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/
grayware:
•
Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp e BadMail
•
.\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb, pub1.stm e pub1.edb
•
.\Exchsrvr\Gruppo di archiviazione
Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunte
all'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulle
esclusioni dalla scansione, visitare il sito Web riportato di seguito:
http://technet.microsoft.com/en-us/library/bb332342.aspx
Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione,
vedere Esclusioni scansione a pagina 7-32.
Attiva Scansione differita in operazioni su file
Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file.
OfficeScan consente all'utente di copiare i file, effettuando la scansione dopo il
7-76
completamento del processo di copia. Tale scansione differita migliora le prestazioni dei
processi di copia e scansione.
Nota
La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713
o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedere
Aggiornamento manuale del server OfficeScan a pagina 6-28.
Attivazione della protezione dell'avvio dell'anti-malware
preliminare sui dispositivi
OfficeScan supporta la funzione di avvio dell'anti-malware preliminare (ELAM), inclusa
nell'avvio protetto standard, per proteggere i dispositivi in fase di avvio. Gli
amministratori possono attivare questa funzione per avviare gli agenti OfficeScan prima
degli altri driver del software di terze parti all'avvio dei dispositivi. Questa funzione
consente agli agenti OfficeScan di rilevare il malware durante il processo di avvio.
Dopo la scansione dei driver del software di terze parti, l'agente OfficeScan indica le
informazioni di classificazione dei driver al kernel di sistema. Gli amministratori
possono definire le azioni in base alle classificazioni dei driver in Criteri di gruppo di
Windows e possono visualizzare i risultati delle scansioni utilizzando Visualizzatore
eventi sui dispositivi.
Nota
La funzione antimalware a esecuzione anticipata è supportata solo in Windows 8, Windows
Server 2012 o versioni successive.
Configurare le impostazioni di scansione per file compressi
di grandi dimensioni
Durante la scansione dei file compressi per rilevare virus/minacce informatiche e
spyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione, tutti gli Agenti OfficeScan gestiti dal server controllano
le impostazioni seguenti:
7-77
•
Configura le impostazioni di scansione per file compressi di grandi
dimensioni: selezionare questa opzione per attivare la gestione dei file compressi.
•
Configurare le impostazioni seguenti separatamente per Scansione in tempo reale e
per gli altri tipi di scansione (Scansione manuale, Scansione pianificata ed Esegui
scansione):
•
Non esaminare i file presenti in file compressi se la dimensione supera
i __ MB: OfficeScan non esegue la scansione dei file che superano questo
limite.
•
Nei file compressi, esamina solo i primi __ file: dopo aver decompresso
un file compresso, OfficeScan esegue la scansione del numero di file
specificato e ignora gli altri file.
Disinfetta/Elimina file infetti all'interno dei file compressi
Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'interno
dei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i file
infetti vengono disinfettati o eliminati dagli agenti.
•
"Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Per
verificare l'azione che OfficeScan esegue sui file infetti, accedere a Agenti >
Gestione agente > Impostazioni > Impostazioni di scansione > {Tipo di
scansione} scheda > Azione.
•
Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo delle
risorse del dispositivo durante la scansione potrebbe aumentare e la scansione
potrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan deve
decomprimere il file compresso, disinfettare/eliminare i file infetti all'interno del
file compresso e infine comprimere di nuovo il file.
•
Il formato di file compresso è supportato. OfficeScan supporta solo alcuni formati
di file compressi, tra cui ZIP e Office Open XML, che utilizzano tecnologie di
compressione ZIP. Office Open XML è il formato predefinito per le applicazioni
Microsoft Office 2007 come Excel, PowerPoint e Word.
7-78
Nota
Per un elenco completo dei formati file compressi supportati, contattare l'assistenza
tecnica.
Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus.
Quando Scansione in tempo reale decomprime un file compresso denominato abc.zip e
rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc e
comprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essere
aperto.
La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta.
Tabella 7-19. Scenari e risultati dei file compressi
Stato di
"Disinfetta/
Elimina file
infetti
all'interno
dei file
compressi"
Attivato
Disattivata
Operazione
che
OfficeScan
deve
eseguire
Disinfetta o
elimina
Disinfetta o
elimina
Formato file
compresso
Non supportato
Ad esempio: def.rar
contiene un file
infetto 123.doc.
Supportato/Non
supportato
Ad esempio: abc.zip
contiene un file
infetto 123.doc.
Risultato
OfficeScan codifica def.rar ma non
disinfetta, elimina o esegue altre
operazioni su 123.doc.
OfficeScan non disinfetta, elimina
o esegue altre operazioni su
abc.zip e 123.doc.
7-79
Stato di
"Disinfetta/
Elimina file
infetti
all'interno
dei file
compressi"
Attivato/
Disattivato
Operazione
che
OfficeScan
deve
eseguire
Non
disinfettare o
eliminare (in
altre parole,
una delle
seguenti:
Rinomina,
Metti in
quarantena,
Impedisci
l'accesso o
Ignora)
Formato file
compresso
Supportato/Non
supportato
Ad esempio: abc.zip
contiene un file
infetto 123.doc.
Risultato
OfficeScan esegue l'operazione
configurata (Rinomina, Metti in
quarantena, Impedisci l'accesso o
Ignora) su abc.zip, non su 123.doc.
Se l'operazione è:
Rinomina: OfficeScan rinomina
abc.zip in abc.vir, ma non rinomina
123.doc.
Metti in quarantena: OfficeScan
mette in quarantena abc.zip (123.doc
e tutti i file non infetti vengono
messi in quarantena).
Ignora: OfficeScan non esegue
alcuna operazione su abc.zip e
123.doc, ma registra il rilevamento
del virus.
Impedisci l'accesso: OfficeScan
impedisce l'accesso a abc.zip
quando è aperto (123.doc e tutti i
file non infetti non possono
essere aperti).
Attiva modalità di valutazione
Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spyware
e grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata,
Scansione in tempo reale ed Esegui scansione, ma i componenti spyware e grayware non
verranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookie
e collegamenti.
7-80
La modalità di valutazione di Trend Micro consente di valutare gli elementi che Trend
Micro considera spyware/grayware e di prendere provvedimenti in base alla valutazione.
Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per la
sicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati.
In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione:
•
Ignora: durante l'utilizzo di Scansione manuale, Scansione pianificata ed Esegui
scansione
•
Impedisci l'accesso: durante l'utilizzo di Scansione in tempo reale
Nota
La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configurate
dall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansione
durante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è in
modalità di valutazione.
Esegui scansione cookie
Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per la
sicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno la
scansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansione
pianificata, Scansione in tempo reale ed Esegui scansione.
Sezione Impostazioni scansione pianificata
Le impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agenti
impostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado di
rilevare virus/minacce informatiche e spyware/grayware.
La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansione
consente agli amministratori di configurare quanto segue:
•
Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-82
•
Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-82
7-81
•
Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __
minuti a pagina 7-83
•
Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è
inferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-83
•
Riprendi una scansione pianificata non effettuata a pagina 7-83
Ricorda agli utenti la scansione pianificata __ minuti prima
dell'esecuzione
OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansione
pianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e per
ricordargli i privilegi della scansione pianificata concessi.
Il messaggio di notifica può essere attivato o disattivato da Agenti > Gestione agente
> Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda) >
Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria non
viene visualizzato.
Rimanda scansione pianificata fino a __ ore e __ minuti
Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono
eseguire le operazioni riportate di seguito:
•
Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la
durata del ritardo.
•
Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la
scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve
intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in
precedenza vengono di nuovo sottoposti a scansione.
La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di
12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negli
appositi campi.
7-82
Interrompi automaticamente la scansione pianificata
quando l'operazione dura più di __ ore e __ minuti
Quando viene superato il periodo di tempo massimo specificato e la scansione non è
ancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agli
utenti i rischi per la sicurezza rilevati durante la scansione.
Saltare la scansione pianificata quando la durata residua
della batteria dell'dispositivo wireless è inferiore a __ % e
l'adattatore è scollegato dall'alimentazione
All'avvio di Scansione pianificata, OfficeScan ignora immediatamente la scansione se
rileva che la durata residua della batteria del dispositivo wireless si sta esaurendo e
l'adattatore non è collegato all'alimentazione. Se la durata residua della batteria è limitata
ma l'adattatore è collegato all'alimentazione, la scansione prosegue.
Riprendi una scansione pianificata non effettuata
Quando una scansione pianificata non viene avviata perché OfficeScan non era in
esecuzione alla data e all'ora pianificate o se l'utente l'ha interrotta (ad esempio,
spegnendo il dispositivo dopo l'inizio della scansione), è possibile specificare quando
OfficeScan deve riprendere la scansione.
Specificare la scansione pianificata da riavviare:
•
Riprendi una scansione pianificata interrotta: riprende le scansioni pianificate
che l'utente ha interrotto spegnendo il dispositivo
•
Riprendi una scansione pianificata non effettuata: riprende le scansioni
pianificate non effettuate perché il dispositivo non era in esecuzione
Specificare quando riprendere la scansione:
•
Stessa ora giorno successivo: se OfficeScan è in esecuzione esattamente alla
stessa ora il giorno successivo, la scansione viene ripresa.
•
__ minuti dopo l'avvio del dispositivo: OfficeScan riprende la scansione un
determinato numero di minuti dopo che l'utente ha acceso il dispositivo. Il numero
di minuti è compreso tra 10 e 120.
7-83
Nota
Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongono
dei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altre
Sezione impostazioni della larghezza di banda del registro
virus/minacce informatiche
La sezione delle Impostazioni di banda del registro virus/minacce informatiche delle
Impostazioni globali di scansione consente agli amministratori di configurare:
Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i
rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 7-84
Consentire agli agenti OfficeScan di creare una sola voce
sul registro di virus/minacce informatiche per i rilevamenti
ricorrenti dello stesso virus/minaccia informatica in un'ora
OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioni
derivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo di
tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica più
volte, compilando rapidamente il registro relativo a virus/minacce informatiche e
consumando l'ampiezza di banda quando l'Agente OfficeScan invia le informazioni del
registro al server. L'attivazione di questa funzione consente di ridurre il numero di voci
di registro relative a virus/minacce informatiche e la quantità di ampiezza di banda
utilizzata dagli Agenti OfficeScan quando segnalano le informazioni del registro dei
virus al server.
Sezione Servizio certificato Safe Software
La sezione Servizio Certified Safe Software di Impostazioni globali di scansione
consente agli amministratori di configurare:
Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le
scansioni antivirus a pagina 7-85
7-84
Attivazione del servizio certificato Safe Software per il
monitoraggio del comportamento, il firewall e le scansioni
antivirus
Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la
sicurezza di un programma rilevato da Blocco del comportamento malware,
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified
Safe Software per ridurre la possibilità di falsi allarmi.
Nota
Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per maggiori
dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53) prima di attivare il
Servizio Certified Safe Software. Impostazioni proxy scorrette, insieme a una connessione
Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend
Micro. Di conseguenza, i programmi controllati non rispondono.
Inoltre, gli Agenti OfficeScan IPv6 puri non possono inviare query direttamente ai
datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi IP,
ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di collegarsi ai
datacenter Trend Micro.
Notifiche sui Rischi per la sicurezza
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente,
altri amministratori OfficeScan e gli utenti Agente OfficeScan sui rischi per la sicurezza
rilevati.
Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche dei
rischi per la sicurezza per gli amministratori a pagina 7-85.
Per ulteriori informazioni sulle notifiche inviate agli utenti dell'Agente OfficeScan,
consultare Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-92.
Notifiche dei rischi per la sicurezza per gli amministratori
Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori di
OfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quando
7-85
l'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto,
l'intervento dell'utente.
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile
modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle
proprie esigenze.
Tabella 7-20. Tipi di notifiche sui rischi per la sicurezza
Tipo
Riferimento
Virus/minacce
informatiche
Configurazione delle notifiche dei rischi per la sicurezza per gli
amministratori a pagina 7-86
Spyware/Grayware
Configurazione delle notifiche dei rischi per la sicurezza per gli
Trasmissioni di risorse
digitali
Configurazione delle notifiche di Prevenzione perdita di dati
per gli amministratori a pagina 10-54
Callback C&C
Configurazione delle notifiche di callback C&C per gli
Nota
OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di
Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica
attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-35.
Configurazione delle notifiche dei rischi per la sicurezza per
gli amministratori
Procedura
1.
Accedere a Amministrazione > Notifiche > Amministratore.
2.
Nella scheda Criteri:
a.
7-86
Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware.
b.
3.
Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/
minacce informatiche e spyware/grayware o solo quando l'azione eseguita
contro i rischi per la sicurezza non è riuscita.
Nella scheda E-mail:
a.
Andare alle sezioni Virus e minacce informatiche e Rilevamenti di
spyware/grayware.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Selezionare Invia notifiche agli utenti con autorizzazioni per i domini
È possibile utilizzare il Role-based Administration (RBA) per concedere agli
utenti autorizzazioni per il dominio della struttura agente. Se un rilevamento si
verifica in un Agente OfficeScan appartenente a un dominio specifico, il
messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con
autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi:
Tabella 7-21. Autorizzazioni e domini della struttura agente
Ruoli con
autorizzazioni
per il dominio
Dominio A
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Dominio B
Account
utente con il
ruolo
Indirizzo email
dell'account
utente
Dominio della
struttura
agente
Se un Agente OfficeScan appartenente al Dominio A rileva un virus, il
messaggio e-mail viene inviato a [email protected], [email protected] e
[email protected].
7-87
Se un Agente OfficeScan appartenente al Dominio B rileva uno spyware, il
messaggio e-mail viene inviato a [email protected] e [email protected].
Nota
Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio
devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica
non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi email sono configurati da Amministrazione > Gestione account > Account
utente.
d.
Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli
indirizzi e-mail.
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È
possibile utilizzare solo variabili token per rappresentare i dati nel campo
Oggetto e Messaggio.
Tabella 7-22. Variabili token per notifiche dei rischi per la sicurezza
Variabile
Descrizione
Rilevamenti di virus/minacce informatiche
7-88
%v
Nome virus/minaccia informatica
%s
Dispositivo con virus/minacce informatiche
%i
Indirizzo IP del dispositivo
%c
Indirizzo MAC del dispositivo
%m
Dominio del dispositivo
%p
Posizione di virus/minaccia informatica
%y
Data e ora del rilevamento virus/minaccia informatica
%e
Versione motore di scansione virus
%r
Versione del pattern dei virus
%a
Azione eseguita per contrastare il rischio per la sicurezza
Variabile
%n
Descrizione
Nome dell'utente che ha effettuato l'accesso nel dispositivo
infetto
Rilevamenti di spyware/grayware
4.
%s
Dispositivo con spyware/grayware
%i
%m
%y
Data e ora del rilevamento di spyware/grayware
%n
Nome dell'utente che ha effettuato l'accesso al dispositivo
infetto al momento del rilevamento
%T
Risultato della scansione e presenza di spyware e grayware
Fare clic sulla scheda Trap SNMP:
a.
spyware/grayware.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo le
variabili token presenti nella seguente tabella per rappresentare i dati nel
campo Messaggio.
Variabile
Descrizione
%v
%s
%i
%c
7-89
Variabile
Descrizione
%m
%p
%y
%e
%r
%a
%n
infetto
5.
7-90
%s
%i
%m
%y
%n
%T
%v
Nome spyware/grayware
%a
Nella scheda Registro eventi NT:
a.
spyware/grayware.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo le
variabili token presenti nella seguente tabella per rappresentare i dati nel
campo Messaggio.
Variabile
Descrizione
%v
%s
%i
%c
%m
%p
%y
%e
%r
%a
%n
infetto
%s
%i
%m
%y
%n
%T
%v
%a
7-91
6.
Fare clic su Salva.
Notifiche dei rischi per la sicurezza per gli utenti
OfficeScan è in grado di visualizzare i messaggi di notifica sul dispositivo Agente
OfficeScan:
•
Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/
minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se lo
si desidera, modificarne il contenuto.
•
Se il riavvio di un dispositivo agente è necessario per completare la disinfezione dei
file infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo la
scansione di un rischio per la sicurezza specifico. Con Scansione manuale,
Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una volta
e solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni della
scansione.
Tabella 7-25. Tipi di notifiche dell'agente sui rischi per la sicurezza
Tipo
7-92
Riferimento
Virus/minacce
informatiche
Configurazione delle notifiche di virus/minacce informatiche a
pagina 7-94
Spyware/Grayware
Configurazione delle notifiche di spyware/grayware a pagina
7-94
Violazioni del firewall
Modifica del contenuto del messaggio di notifica del firewall a
pagina 12-30
Violazioni della
reputazione Web
Modifica delle notifiche di minacce Web a pagina 11-19
Violazioni del controllo
dispositivo
Modifica delle notifiche di controllo dispositivo a pagina 9-18
Violazione ai criteri di
monitoraggio del
comportamento
Modifica del contenuto del messaggio di notifica a pagina
8-15
Tipo
Riferimento
digitali
per gli agenti a pagina 10-57
Callback C&C
Modifica delle notifiche di minacce Web a pagina 11-19
Notifica agli utenti del rilevamento di spyware/grayware e
virus/minacce informatiche
Procedura
1.
2.
3.
scansione in tempo reale o su Impostazioni > Impostazioni di scansione >
Impostazioni scansione pianificata.
4.
Fare clic sulla scheda Operazione.
5.
6.
•
Visualizza un messaggio di notifica sull'dispositivo agente al
rilevamento di virus/minacce informatiche
•
Visualizza un messaggio di notifica sull'dispositivo agente al
rilevamento di probabili virus/minacce informatiche
) per
•
impostazioni.
7-93
•
Configurazione delle notifiche di virus/minacce informatiche
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Virus/minacce informatiche
3.
Configurare le impostazioni di rilevamento.
a.
b.
4.
Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacce
informatiche o separare le notifiche in base ai seguenti livelli di gravità:
•
Alto: l'Agente OfficeScan non è stato in grado di gestire una minaccia
informatica grave
•
Medio: l'Agente OfficeScan non è stato in grado di gestire una minaccia
informatica
•
Basso: l'Agente OfficeScan ha risolto tutte le minacce
Accettare o modificare i messaggi predefiniti.
Fare clic su Salva.
Configurazione delle notifiche di spyware/grayware
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Spyware/grayware.
3.
Accettare o modificare il messaggio predefinito.
7-94
4.
Fare clic su Salva.
Notifica del riavvio agli agenti per completare la
disinfezione dei file infetti
Procedura
1.
2.
3.
4.
Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica.
5.
Selezionare Visualizza un messaggio di notifica se è necessario un riavvio
dell'dispositivo per completare la disinfezione dei file infetti.
6.
) per
•
impostazioni.
•
Registri dei rischi per la sicurezza
OfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/grayware
e quando ripristina spyware/grayware.
7-95
13-39.
Visualizzazione dei registri di virus/minacce informatiche
Quando rileva virus e minacce informatiche, l'Agente OfficeScan genera i registri e li
invia al server.
Procedura
1.
•
•
2.
3.
Fare clic su Registri > Registri virus/minacce o su Visualizza registri >
Registri virus/minacce.
4.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
7-96
•
•
Dispositivo
•
Minacce alla sicurezza
•
Origine dell'infezione
•
File o oggetto infetto
•
Tipo di scansione che ha rilevato il virus o la minaccia informatica
•
Risultati scansione
) per
Nota
Per ulteriori informazioni sui risultati della scansione, vedere Risultati della
scansione antivirus/minacce informatiche a pagina 7-97.
6.
•
Indirizzo IP
•
Indirizzo MAC
•
Dettagli registro (per vedere i dettagli, fare clic su Visualizza)
Il file CSV contiene le seguenti informazioni:
•
Tutte le informazioni dei registri
•
Il nome dell'utente collegato al dispositivo al momento del rilevamento
Risultati della scansione antivirus/minacce informatiche
I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacce
informatiche:
Tabella 7-26. Risultati scansione
Risultato
Eliminati
In quarantena
Disinfettati
Descrizione
•
La prima azione è “Elimina” e il file infetto è stato eliminato.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Elimina” e il file infetto è stato
eliminato.
•
La prima azione è “Metti in quarantena” e il file infetto è stato
messo in quarantena.
•
riuscita. La seconda azione è “Metti in quarantena” e il file
infetto è stato messo in quarantena.
È stato disinfettato un file infetto.
7-97
Risultato
Rinominati
Accesso negato
Ignorati
Ignorato un
potenziale rischio
per la sicurezza
7-98
Descrizione
•
La prima azione è “Rinomina” e il file infetto è stato
rinominato.
•
riuscita. La seconda azione è “Rinomina” e il file infetto è
stato rinominato.
•
La prima azione è “Impedisci l'accesso” e l'accesso al file
infetto è stato impedito quando l'utente ha tentato di aprire il
file.
•
riuscita. La seconda azione è “Impedisci l'accesso” e
l'accesso al file infetto è stato impedito quando l'utente ha
tentato di aprire il file.
•
Probabile virus/minaccia informatica individuato durante
•
La scansione in tempo reale impedisce l'accesso ai file che
sono stati infettati da virus boot anche nel caso in cui l'azione
di scansione sia impostata su “Disinfetta” (prima azione) e
“Metti in quarantena” (seconda azione). Ciò è dovuto al fatto
che il tentativo di disinfettare il virus potrebbe danneggiare il
Master Boot Record (MBR) del dispositivo infetto. eseguire la
scansione manuale per permettere a OfficeScan di
disinfettare o mettere in quarantena il file.
•
La prima azione è “Ignora”. OfficeScan non ha eseguito
alcuna azione sul file infetto.
•
riuscita. La seconda azione è “Ignora”, quindi OfficeScan non
ha eseguito alcuna azione sul file infetto.
Questo risultato di scansione viene visualizzato quando
OfficeScan individua un "probabile virus/minaccia informatica"
durante Scansione manuale, Scansione pianificata ed Esegui
scansione. Per informazioni su probabili virus/minacce
informatiche e su come inviare file sospetti a Trend Micro per
l'analisi, fare riferimento all'Enciclopedia dei virus online di Trend
Micro disponibile alla pagina seguente.
Risultato
Descrizione
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?
VName=POSSIBLE_VIRUS&VSect=Sn
Impossibile
disinfettare o
mettere in
quarantena il file
“Disinfetta” è la prima azione. “Metti in quarantena” è la seconda
azione e non è stato possibile effettuare nessuna delle due azioni.
Impossibile
disinfettare o
eliminare il file
“Disinfetta” è la prima azione. “Elimina” è la seconda azione e non
è stato possibile effettuare nessuna delle due azioni.
Impossibile
disinfettare o
rinominare il file
“Disinfetta” è la prima azione. “Rinomina” è la seconda azione e
non è stato possibile effettuare nessuna delle due azioni.
Impossibile
mettere in
quarantena il file/
Impossibile
rinominare il file
Spiegazione 1.
Soluzione: consultare Impossibile mettere in quarantena il file/
Impossibile rinominare il file a pagina 7-99.
Soluzione: consultare Impossibile eliminare il file a pagina 7-99.
Soluzione: consultare Impossibile mettere in quarantena il file/
Impossibile rinominare il file a pagina 7-99.
Il file infetto potrebbe essere bloccato da un'altra applicazione,
potrebbe essere in esecuzione oppure essere contenuto in un
CD. Non appena l'applicazione avrà rilasciato il file o non appena
questo non sarà più in esecuzione, OfficeScan potrà metterlo in
quarantena o rinominarlo.
Soluzione
Per i file infetti contenuti in un CD, si consiglia di non utilizzare più
il CD in questione in quanto il virus potrebbe infettare altri
computer della rete.
Spiegazione 2.
Il file infetto si trova nella cartella dei file Internet temporanei del
dispositivo agente. Poiché il dispositivo scarica i file durante
l'accesso ai siti Web, è possibile che il browser abbia bloccato il
file infetto. Non appena il browser Web avrà rilasciato il file,
OfficeScan potrà metterlo in quarantena o rinominarlo.
Soluzione: nessuna
Impossibile
eliminare il file
Spiegazione 1.
7-99
Risultato
Descrizione
Il file infetto potrebbe trovarsi all'interno di un file compresso e
l'impostazione Disinfetta/Elimina file infetti all'interno dei file
compressi in Agenti > Impostazioni globali agente è
disattivata.
Soluzione
Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei
file compressi. Quando questa opzione è attivata, OfficeScan
decomprime un file compresso, disinfetta/elimina i file infetti nel
file compresso e lo comprime di nuovo.
Nota
Se si attiva questa impostazione, l'utilizzo delle risorse del
dispositivo durante la scansione potrebbe aumentare e la
scansione potrebbe richiedere più tempo.
Spiegazione 2.
Il file infetto potrebbe essere bloccato da un'altra applicazione,
potrebbe essere in esecuzione oppure essere contenuto in un
CD. Non appena l'applicazione avrà rilasciato il file o non appena
questo non sarà più in esecuzione, OfficeScan lo eliminerà.
Soluzione
Per i file infetti contenuti in un CD, si consiglia di non utilizzare più
il CD in questione in quanto il virus potrebbe infettare altri
computer della rete.
Spiegazione 3.
dispositivo Agente OfficeScan. Poiché il dispositivo scarica i file
durante l'accesso ai siti Web, è possibile che il browser abbia
bloccato il file infetto. Non appena il browser Web avrà rilasciato il
file, OfficeScan potrà eliminarlo.
Soluzione: nessuna
Impossibile inviare
il file da mettere in
quarantena alla
cartella di
7-100
Anche se OfficeScan ha messo correttamente in quarantena un
file nella cartella \Suspect del dispositivo Agente OfficeScan, non
può inviare il file alla directory di quarantena designata.
Risultato
quarantena
specificata
Descrizione
Soluzione
Determinare quale tipo di scansione (Scansione manuale,
Scansione in tempo reale, Scansione pianificata o Esegui
scansione) ha rilevato i virus/minacce informatiche, quindi
controllare la directory di quarantena specificata nella scheda
Agenti > Gestione agente > Impostazioni > {Tipo di
scansione} > Azione.
Se la directory di quarantena di trova nel computer server
OfficeScan o in un altro computer server OfficeScan:
1.
Verificare che l'agente sia in grado di collegarsi al server.
2.
Se per indicare la directory di quarantena si utilizza il formato
URL:
a.
Assicurarsi che il nome del dispositivo specificato dopo
http:// sia corretto.
3.
b.
Controllare la dimensione del file infetto. Se questa
supera la dimensione massima per i file specificata in
Amministrazione > Impostazioni > Gestore della
quarantena, modificare l'impostazione adattandola al
file. È anche possibile decidere di compiere altri azioni
come eliminare il file.
c.
Verificare la dimensione della directory di quarantena e
determinare se ha superato la capacità di cartella
specificata in Amministrazione > Impostazioni >
Gestore della quarantena. Modificare la capacità della
cartella o eliminare manualmente dei file nella directory
di quarantena.
Se si utilizza il percorso UNC, assicurarsi che la directory di
quarantena sia condivisa per il gruppo “Tutti” e che tutti i
membri del gruppo abbiano i permessi di lettura e scrittura.
Verificare inoltre che la directory di quarantena esista e che il
percorso UNC sia corretto.
Se la directory di quarantena si trova su un altro dispositivo della
rete (per questo scenario è consentito solo il percorso UNC):
1.
Verificare che l'Agente OfficeScan sia in grado di collegarsi al
dispositivo.
7-101
Risultato
Descrizione
2.
Assicurarsi che la directory di quarantena sia condivisa per
tutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano i
permessi di lettura e scrittura.
3.
Verificare che la directory di quarantena esista.
4.
Verificare che il percorso UNC sia corretto.
Se la directory di quarantena si trova in una directory diversa del
dispositivo Agente OfficeScan (per questo scenario è consentito
solo il percorso assoluto), verificare che la cartella della directory
di quarantena esista.
Impossibile
disinfettare il file
Spiegazione 1.
Il file infetto potrebbe trovarsi all'interno di un file compresso e
l'impostazione “Disinfetta/Elimina file infetti all'interno dei file
compressi” in Agenti > Impostazioni globali agente è
disattivata.
Soluzione
Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei
file compressi. Quando questa opzione è attivata, OfficeScan
decomprime un file compresso, disinfetta/elimina i file infetti nel
file compresso e lo comprime di nuovo.
Nota
Se si attiva questa impostazione, l'utilizzo delle risorse del
dispositivo durante la scansione potrebbe aumentare e la
scansione potrebbe richiedere più tempo.
Spiegazione 2.
dispositivo Agente OfficeScan. Poiché il dispositivo scarica i file
durante l'accesso ai siti Web, è possibile che il browser abbia
bloccato il file infetto. Non appena il browser Web avrà rilasciato il
file, OfficeScan potrà disinfettarlo.
Soluzione: nessuna
Spiegazione 3.
7-102
Risultato
Descrizione
Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni,
vedere File non disinfettabili a pagina E-16.
Operazione
richiesta
OfficeScan non riesce a completare l'operazione configurata nel
file infetto senza l'intervento dell'utente. Passare il puntatore del
mouse sulla colonna Operazione richiesta per visualizzare le
seguenti informazioni.
•
“Operazione richiesta: contattare il supporto per maggiori
dettagli sulla rimozione di questa minaccia con lo strumento
"Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilità di
OfficeScan”
•
“Operazione richiesta: contattare l'assistenza per maggiori
"Disco di ripristino" di Anti-Threat Tool Kit in Strumenti di
utilità di OfficeScan”
•
“Operazione richiesta: contattare l'assistenza per maggiori
"Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità di
OfficeScan”
•
“Operazione richiesta: OfficeScan rileva una minaccia in un
agente infetto. Riavviare l'dispositivo per completare la
disinfezione delle minacce alla sicurezza”
•
“Operazione richiesta: eseguire una scansione completa del
sistema”
Visualizzazione dei registri di ripristino quarantena centrale
Dopo la disinfezione delle minacce informatiche, gli Agenti OfficeScan effettuano il
backup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare i
dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati
di backup ripristinati delle minacce informatiche, sul dispositivo interessato e sui risultati
del ripristino.
Procedura
1.
Accedere a Registri > Agenti > Ripristino quarantena centrale.
7-103
2.
Selezionare le colonne Completato, Operazione non riuscita e In sospeso per
verificare se OfficeScan ha ripristinato correttamente i dati della quarantena.
3.
Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate su
ciascun dispositivo interessato.
Nota
Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare di
nuovo il file nella schermata Dettagli ripristino quarantena centrale facendo clic
su Ripristina tutto.
4.
Visualizzazione dei registri di spyware/grayware
Quando rileva spyware e grayware, l'Agente OfficeScan genera i registri e li invia al
server.
Procedura
1.
•
•
2.
3.
Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >
Registri di spyware/grayware.
4.
5.
•
7-104
) per
•
Il dispositivo interessato
•
•
Tipo di scansione che ha rilevato il programma spyware/grayware
•
Dettagli su risultati della scansione spyware/grayware (se l'azione di scansione
è riuscita o meno). Consultare Risultati della scansione spyware/grayware a pagina
7-105 per ulteriori dettagli.
•
Indirizzo IP
•
Indirizzo MAC
•
Dettagli registro (per vedere i dettagli, fare clic su Visualizza)
6.
Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/
grayware.
7.
Il file CSV contiene le seguenti informazioni:
•
Tutte le informazioni dei registri
•
Il nome dell'utente collegato al dispositivo al momento del rilevamento
Risultati della scansione spyware/grayware
I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware:
Tabella 7-27. Risultati della scansione spyware/grayware di primo livello
Risultato
Descrizione
Operazione riuscita,
non sono
necessarie azioni
Questo è il risultato di primo livello se l'azioni di scansione è stata
completata correttamente. Il risultato di secondo livello può essere
uno dei seguenti:
•
Disinfettati
•
Accesso negato
7-105
Risultato
Richieste ulteriori
azioni
Descrizione
Questo è il risultato di primo livello se l'azioni di scansione non è
stata completata correttamente. I risultati di secondo livello
conterranno almeno uno dei seguenti messaggi:
•
Ignorati
•
Disinf. spyware/grayware non sicura
•
La scansione di spyware/grayware è stata interrotta
manualmente. Effettuare una scansione completa
•
Spyware/grayware disinfettato. È necessario riavviare il
computer. Riavviare il computer
•
Impossibile disinfettare spyware/grayware
•
Risultati scansione spyware/grayware non identificati.
Contattare l'assistenza tecnica di Trend Micro
Tabella 7-28. Risultati della scansione spyware/grayware di secondo livello
Risultato
Descrizione
Soluzione
Disinfettati
OfficeScan interrompe i processi o elimina
registri, file, cookie e collegamenti.
N.D.
Accesso negato
OfficeScan ha negato all'utente l'accesso
(per copia e apertura) ai componenti
grayware e spyware rilevati.
N.D.
Ignorati
OfficeScan non ha eseguito alcuna
operazione, ma ha registrato il rilevamento
di spyware e grayware per successive
valutazioni.
aggiungere
spyware/grayware
considerati innocui
all'Elenco Approvati
spyware/grayware.
7-106
Risultato
Descrizione
Soluzione
Disinf. spyware/
grayware non sicura
: questo messaggio viene visualizzato nel
caso in cui il motore di scansione spyware
tenti di disinfettare ogni singola cartella e
siano rispettati i criteri di seguito riportati.
Contattare il
provider del
supporto per
ricevere assistenza.
•
Gli elementi da disinfettare superano i
250 MB.
•
Il sistema operativo utilizza i file
contenuti nella cartella. La cartella
potrebbe essere necessaria per il
normale funzionamento del sistema.
•
La cartella è una directory principale
(come C: o F:)
La scansione di
spyware/grayware è
stata interrotta
manualmente.
Effettuare una
scansione completa
un utente interrompe la scansione prima
del completamento.
eseguire una
scansione manuale
e attenderne la
conclusione.
Spyware/grayware
disinfettato. È
necessario riavviare
il computer.
Riavviare il
computer
OfficeScan ha disinfettato i componenti
spyware/grayware, ma per completare
l'attività è necessario riavviare il
dispositivo.
Riavviare il
dispositivo
immediatamente.
Impossibile
disinfettare
spyware/grayware
Sono stati rilevati spyware/grayware su un
CD-ROM o un'unità di rete. OfficeScan non
è in grado di disinfettare gli spyware/
grayware rilevati in queste posizioni.
rimuovere
manualmente il file
infetto
Risultati scansione
spyware/grayware
non identificati.
Contattare
l'assistenza tecnica
di Trend Micro
una nuova versione del motore di
scansione spyware fornisce un nuovo
risultato della scansione che la
configurazione di OfficeScan non è in
grado di gestire.
contattare
l'assistenza tecnica
per capire come
determinare il nuovo
risultato della
scansione.
7-107
Visualizzazione dei registri di ripristino spyware/grayware
Dopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScan
eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup,
se sono considerati innocui. I registri contengono le informazioni sui dati di backup di
spyware/grayware ripristinati, sul dispositivo interessato e sui risultati del ripristino.
Procedura
1.
Accedere a Registri > Agenti > Ripristino spyware/grayware.
2.
Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinato
correttamente i dati di spyware e grayware.
3.
Visualizzazione dei file delle connessioni sospette
Quando rileva file inclusi nell'elenco dei file sospetti, l'Agente OfficeScan genera i
registri e li invia al server.
Procedura
1.
•
•
2.
3.
Fare clic su Registri > Registri dei file sospetti o Visualizza registri > Registri
dei file sospetti.
4.
5.
7-108
) per
•
Data e ora del rilevamento del file sospetto
•
Dispositivo
•
Dominio
•
Valore hash SHA-1 dell'origine dell'infezione del file
•
Percorso del file
•
Tipo di scansione che ha rilevato il file sospetto
•
Risultati scansione
Nota
Per ulteriori informazioni sui risultati della scansione, vedere Risultati della
scansione antivirus/minacce informatiche a pagina 7-97.
•
Indirizzo IP
Visualizzazione dei registri dell'operazione di scansione
Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, Agente
OfficeScan crea un registro della scansione che contiene informazioni sulla scansione. È
possibile visualizzare il registro della scansione accedendo alla console del server
OfficeScan o dell'Agente OfficeScan.
Per visualizzare i registri dell'operazione di scansione nel server OfficeScan, accedere a
una delle seguenti sezioni:
•
Registri > Agenti > Rischi per la sicurezza e fare clic su Visualizza registri >
Registri dell'operazione di scansione
•
Agenti > Gestione agente e fare clic su Registri > Registri dell'operazione di
scansione
I registri dell'operazione di scansione mostrano le seguenti informazioni:
•
Data e ora di inizio della scansione di OfficeScan
7-109
•
Data e ora di fine della scansione di OfficeScan
•
Stato della scansione
•
Completato: la scansione è stata completata normalmente.
•
Operazione interrotta: la scansione è stata interrotta dall'utente prima del
completamento.
•
Operazione interrotta in modo imprevisto: la scansione è stata interrotta
dall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio
Scansione in tempo reale di OfficeScan potrebbe essersi interrotto in modo
imprevisto oppure l'utente ha forzato il riavvio dell'agente.
•
Tipo di scansione
•
Numero di oggetti esaminati
•
Numero di rilevamenti infetti da virus/minacce informatiche
•
Numero di rilevamenti spyware/grayware
•
Versione di Smart Scan Agent Pattern
•
•
Versione del pattern spyware
Rischi per la sicurezza
Un rischio per la sicurezza si presenta quando i rilevamenti di virus/minacce
informatiche, spyware/grayware e le sessioni di cartelle condivise superano una
determinata soglia in un determinato intervallo di tempo. Esistono vari modi per reagire
e contenere un'infezione nella rete, tra i quali:
•
Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attività
sospette
•
Blocco delle porte e delle cartelle più importanti del dispositivo agente
•
lnvio di messaggi di avviso di infezione agli agenti
7-110
•
Disinfezione dei dispositivi infetti
Notifiche e criteri dei rischi per la sicurezza
Configurare OfficeScan per inviare una notifica all'utente e agli amministratori di
OfficeScan quando si verificano i seguenti eventi:
Tabella 7-29. Tipi di notifiche di infezione sui rischi per la sicurezza
Tipo
•
Virus/minacce
informatiche
•
Spyware/Grayware
•
Sessione di
condivisione delle
cartelle
Riferimento
Configurazione delle notifiche e dei criteri dei rischi per la
sicurezza a pagina 7-112
Violazioni del firewall
Configurazione delle notifiche e dei criteri di infezione da
violazione del firewall a pagina 12-32
Callback C&C
Configurazione delle notifiche e dei criteri delle infezioni dei
callback C&C a pagina 11-24
•
Infezioni di virus/minacce informatiche
•
Infezioni di spyware/grayware
•
Infezioni da violazioni del firewall
•
Infezioni di sessioni di condivisione delle cartelle
Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo di
rilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamenti
nel periodo di rilevamento stabilito.
e altri amministratori di OfficeScan della presenza di un'infezione. È possibile
proprie esigenze.
7-111
Nota
OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezza
tramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessioni
di cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare le
impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i
dettagli, consultare Impostazioni notifica amministratore a pagina 13-35.
Configurazione delle notifiche e dei criteri dei rischi per la
sicurezza
Procedura
1.
Accedere a Amministrazione > Notifiche > Infezione.
2.
a.
Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware:
b.
Specificare il numero di origini uniche dei rilevamenti.
c.
Specificare il numero di rilevamenti e il periodo di rilevamento per ogni
rischio per la sicurezza.
Suggerimento
Trend Micro consiglia di accettare i valori predefiniti di questa schermata.
OfficeScan invia la notifica dopo che 10 tipi diversi di virus/minacce informatiche
hanno rilevato un totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se un
agente rileva 101 virus/minacce informatiche di qualsiasi tipo nell'arco di 5 ore,
anche OfficeScan invia una notifica di infezione
3.
7-112
a.
Andare alla sezione Sessioni di condivisione delle cartelle.
b.
Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete.
c.
In Sessioni di condivisione cartelle registrate, fare clic sul collegamento
del numero per visualizzare i dispositivi con cartelle condivise e i dispositivi
con accesso alle cartelle condivise.
d.
Specificare il numero di sessioni di condivisione cartelle e il periodo di
rilevamento.
OfficeScan invia un messaggio di notifica quando il numero di sessioni di
condivisione cartelle fissato viene superato.
4.
a.
Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni di
spyware/grayware e Infezioni delle sessioni di condivisione delle
cartelle.
b.
c.
Specificare i destinatari del messaggio e-mail.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel
campo Oggetto e Messaggio.
Tabella 7-30. Variabili token per le notifiche dei rischi per la sicurezza
Variabil
e
Descrizione
Infezioni di virus/minacce informatiche
%CV
Numero totale di virus/minacce informatiche rilevati
%CC
Numero totale di dispositivi con virus/minacce informatiche
Infezioni di spyware/grayware
%CV
Numero totale di spyware/grayware rilevati
%CC
Numero totale di dispositivi con spyware/grayware
Infezioni delle sessioni di condivisione delle cartelle
%S
Numero di sessioni di condivisione delle cartelle
7-113
Variabil
e
5.
6.
7.
7-114
Descrizione
%T
Totale periodo di durata delle sessioni di condivisione delle
cartelle
%M
Periodo di tempo in minuti
e.
Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/
grayware da includere nel messaggio e-mail. È possibile includere il nome
dell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora del
rilevamento, il file infetto, il percorso e il risultato della scansione.
f.
Accettare o modificare i messaggi di notifica predefiniti.
a.
Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni
di spyware/grayware.
b.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-113
per ulteriori dettagli.
a.
Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni
di spyware/grayware.
b.
c.
Tabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-113
per ulteriori dettagli.
Fare clic su Salva.
Configurazione della prevenzione dei rischi per la
sicurezza
Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misure
di prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delle
impostazioni di prevenzione, poiché eventuali errori di configurazione possono
provocare problemi imprevisti nella rete.
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni virali.
2.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurare
le impostazioni per il criterio:
) per
•
Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-117
•
Blocco delle porte vulnerabili a pagina 7-118
•
Divieto di accesso in scrittura a file e cartelle a pagina 7-119
•
Divieto di accesso ai file compressi eseguibili a pagina 7-122
•
Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a
pagina 7-121
5.
Selezionare i criteri da applicare.
6.
Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Il
valore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni di
rete prima che il periodo di prevenzione delle infezioni scada.
7-115
AVVERTENZA!
Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Per
bloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo di
tempo indeterminato, modificare direttamente le impostazioni del dispositivo e della
rete anziché utilizzare OfficeScan.
7.
Accettare o modificare il messaggio di notifica predefinito dell'agente.
Nota
Per configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere a
Amministrazione > Notifiche > Infezione.
8.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
9.
Nella struttura agente Prevenzione delle infezioni virali, selezionare la colonna
Prevenzione delle infezioni virali.
Accanto ai dispositivi a cui vengono applicate le misure di prevenzione delle
infezioni virali viene visualizzato un segno di spunta.
OfficeScan registra i seguenti eventi nei registri eventi di sistema:
•
Eventi server (avvio della prevenzione delle infezioni virali e notifica agli agenti per
l'attivazione della prevenzione delle infezioni virali)
•
Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali)
Criteri per la prevenzione delle infezioni
Quando si verificano le infezioni, implementare i seguenti criteri:
•
Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-117
•
Blocco delle porte vulnerabili a pagina 7-118
•
Divieto di accesso in scrittura a file e cartelle a pagina 7-119
7-116
•
Divieto di accesso ai file compressi eseguibili a pagina 7-122
•
Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a
pagina 7-121
Limitazione/Negazione dell'accesso alle cartelle condivise
Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivise
della rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartelle
condivise.
Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle,
ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisare
gli utenti di non condividere le cartelle durante un'infezione oppure implementare di
nuovo il criterio per applicarlo alle nuove cartelle condivise.
Procedura
1.
2.
3.
4.
Fare clic su Limita/impedisci l'accesso alle cartelle condivise.
5.
) per
•
Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise
•
Impedisci accesso completo
Nota
l'impostazione di accesso in sola lettura non si applica alle cartelle condivise già
configurate per impedire l'accesso completo.
6.
Fare clic su Salva.
7-117
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
7.
nuova finestra.
Blocco delle porte vulnerabili
Durante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacce
informatiche potrebbero utilizzare per accedere ai computer dell'Agente OfficeScan.
AVVERTENZA!
Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione.
Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili.
Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare con
l'agente per tutta la durata dell'infezione.
Procedura
1.
2.
3.
4.
Fare clic su Blocco delle porte.
5.
Decidere se selezionare l'opzione Blocca porta affidabile.
6.
Selezionare le porte da bloccare nella colonna Porte bloccate.
a.
Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata che
si apre, selezionare le porte da bloccare e fare clic su Salva.
•
7-118
) per
Tutte le porte (ICMP incluso): blocca tutte le porte eccetto la porta
affidabile. Se si desidera bloccare anche la porta affidabile, selezionare la
casella di controllo Blocca porta affidabile nella schermata precedente.
7.
•
Porte comunemente usate: selezionare almeno un numero di porta da
salvare nelle impostazioni per il blocco delle porte di OfficeScan.
•
Porte dei cavalli di Troia: blocca le porte normalmente utilizzate dai
programmi cavalli di Troia. Consultare Porta dei cavalli di Troia a pagina
E-14 per ulteriori dettagli.
•
Un numero o intervallo di porte: è possibile specificare la direzione del
traffico da bloccare e alcuni commenti, come il motivo per cui devono
essere bloccate le porte specificate.
•
Protocollo ping (respingi ICMP): fare clic su questa opzione se si
desidera soltanto bloccare i pacchetti ICMP, come ad esempio le richieste
ping.
b.
Per modificare le impostazioni per le porte bloccate, fare clic sul numero di
porta.
c.
Nella schermata che si apre, modificare le impostazioni e fare clic su Salva.
d.
Per rimuovere una porta dall'elenco, selezionare la casella di controllo accanto
al numero di porta e fare clic su Elimina.
Fare clic su Salva.
infezioni.
8.
nuova finestra.
Divieto di accesso in scrittura a file e cartelle
I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartelle
sui dispositivi host. Durante un'infezione è possibile configurare OfficeScan per
impedire a virus/minacce informatiche di modificare o eliminare file e cartelle sui
dispositivi Agente OfficeScan.
7-119
AVVERTENZA!
OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate.
Procedura
1.
2.
3.
4.
Fare clic su Impedisci accesso alla scrittura di file e cartelle.
5.
Inserire il percorso directory. Dopo avere digitato il percorso directory da
proteggere, fare clic su Aggiungi.
) per
Nota
Digitare il percorso assoluto (non quello virtuale) della directory.
6.
Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i file
con determinate estensioni. Per le estensioni dei file, per specificare un'estensione
non compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi.
7.
Per proteggere file specifici, in File da proteggere, inserire il nome file completo e
fare clic su Aggiungi.
8.
Fare clic su Salva.
infezioni.
9.
nuova finestra.
7-120
Creazione del trattamento di esclusione reciproca sui file/
processi di minacce informatiche
È possibile configurare Prevenzione delle infezioni virali, come protezione contro le
minacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorse
richieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delle
infezioni virali crea esclusioni reciproche su file e processi relazionati alle minacce
informatiche note, prevenendone l'accesso a queste risorse.
Suggerimento
Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di una
soluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutex
corretti da proteggere durante un'infezione.
Nota
Il trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche non
autorizzate e supporta solo le piattaforme a 32 bit.
Procedura
1.
2.
3.
4.
Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/
processi malware.
5.
Digitare il nome mutex come protezione contro il campo del testo fornito.
) per
Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -.
Nota
Prevenzione delle infezioni virali supporta il trattamento di esclusione reciproca per
un massimo di sei minacce mutex.
7-121
6.
Fare clic su Salva.
infezioni.
7.
nuova finestra.
Divieto di accesso ai file compressi eseguibili
Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire la
diffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere.
È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packer
eseguibili supportati.
Procedura
1.
2.
3.
4.
Fare clic su Impedisci l'accesso a file compressi eseguibili.
5.
Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic su
Aggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmi
packer.
) per
Nota
È possibile approvare solo l'uso dei file compressi creati dai programmi packer
nell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tutti
gli altri formati di file compressi eseguibili.
6.
7-122
Fare clic su Salva.
infezioni.
7.
nuova finestra.
Disattivazione della prevenzione delle infezioni
Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati o
messi in quarantena da OfficeScan, ripristinare le normali impostazioni di rete
disattivando la funzione di prevenzione delle infezioni.
Procedura
1.
2.
3.
Fare clic su Ripristina impostazioni.
4.
Per informare gli utenti che l'infezione è terminata, selezionare Invia una notifica
agli utenti dopo il ripristino delle impostazioni originali.
5.
Accettare o modificare il messaggio di notifica predefinito dell'agente.
6.
Fare clic su Ripristina impostazioni.
) per
Nota
Se non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristina
automaticamente trascorso il numero di ore specificato in Ripristina
automaticamente le normali impostazioni di rete dopo __ ore nella schermata
Impostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore.
OfficeScan registra i seguenti eventi nei registri eventi di sistema:
7-123
7.
7-124
•
Eventi server (avvio della prevenzione delle infezioni virali e notifica agli
Agenti OfficeScan per l'attivazione della prevenzione delle infezioni virali)
•
Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali)
Dopo aver disattivato la prevenzione dalle infezioni virali, effettuare la scansione
dei dispositivi di rete per contrastare eventuali rischi per la prevenzione.
Capitolo 8
Uso di Monitoraggio del
comportamento
Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzando
la funzione di Monitoraggio del comportamento.
•
Monitoraggio del comportamento a pagina 8-2
•
Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-9
•
Privilegi di monitoraggio del comportamento a pagina 8-11
•
Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina
8-14
•
Registri di Monitoraggio del comportamento a pagina 8-15
8-1
Il Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricerca
di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del
comportamento protegge gli dispositivo con il Blocco del comportamento malware e
il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di
eccezioni configurato dall'utente e il servizio Certified Safe software.
Importante
•
Il Monitoraggio del comportamento non supporta le piattaforme Windows XP o
Windows 2003 a 64 bit.
•
Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bit
con SP1 o versioni successive.
•
Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tutte
le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012.
Prima di attivare il Monitoraggio del comportamento su queste piattaforme server,
leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a
pagina 14-7.
Blocco del comportamento malware
Il Blocco del comportamento malware offre uno strato necessario di protezione
aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso.
Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono
varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i
comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa
funzione per garantire un maggior livello di protezione da minacce nuove, sconosciute
ed emergenti.
Il Blocco del comportamento malware fornisce le seguenti opzioni di scansione dei
livelli delle minacce:
8-2
•
Minacce note: blocca i comportamenti associati alle minacce note del malware.
•
Minacce note e potenziali: blocca i comportamenti associati alle minacce note e
interviene in caso di comportamenti potenzialmente dannosi.
Uso di Monitoraggio del comportamento
Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza
una notifica sul dispositivo Agente OfficeScan. Per ulteriori informazioni sulle notifiche,
vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina
8-14.
Protezione ransomware
Protezione ransomware impedisce la modifica o la crittografia non autorizzata dei file
sugli Agenti OfficeScan da parte di minacce “ransomware”. Ransomware è un tipo di
minaccia informatica che limita l'accesso ai file e che ripristina i file interessati su
pagamento.
È possibile configurare il monitoraggio del comportamento per rilevare una sequenza
specifica di eventi che indichi un attacco ransomware. Quando il monitoraggio del
comportamento verifica che i seguenti criteri sono stati soddisfatti, OfficeScan termina e
sottopone a quarantena il programma all'origine del problema:
1.
Un processo non riconosciuto come sicuro tenta di modificare, eliminare o
rinominare tre file in base a un intervallo di tempo specificato.
2.
Il processo ha tentato di modificare il tipo di estensione di un file protetto
AVVERTENZA!
OfficeScan non può recuperare i primi file interessati dal processo ransomware.
Nota
Per ridurre le possibilità che OfficeScan rilevi un processo sicuro come dannoso, verificare
che l'Agente OfficeScan disponga di accesso a Internet per eseguire ulteriori processi di
verifica attraverso i server Trend Micro.
Monitoraggio degli eventi
Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi
software e malware non autorizzati. Controlla le aree di sistema alla ricerca di
determinati eventi, consentendo agli amministratori di regolare i programmi che attivano
questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione
8-3
del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento
malware.
La tabella seguente contiene l'elenco degli eventi di sistema monitorati.
Tabella 8-1. Eventi di sistema controllati
Eventi
8-4
Descrizione
Duplicazione dei file
di sistema
Molti programmi dannosi creano copie di sé stessi o di altri
programmi dannosi servendosi dei nomi utilizzati dai file di
sistema di Windows. Lo scopo è generalmente quello di avere la
precedenza o di sostituirsi ai file di sistema, di evitare il
rilevamento o di disincentivare gli utenti dall'eliminare i file
dannosi.
Modifica del file
Hosts
Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti
programmi dannosi modificano il file Hosts e fanno in modo che il
browser Web venga reindirizzato verso siti Web infetti, inesistenti
o falsificati.
Comportamento
sospetto
Per comportamento sospetto si può intendere un'azione specifica
o una serie di azioni che raramente vengono eseguite da
programmi legittimi. I programmi che evidenziano un
comportamento sospetto devono essere utilizzati con la massima
cautela.
Nuovo plug-in per
Internet Explorer
I programmi spyware/grayware spesso installano dei plug-in non
richiesti per Internet Explorer, come barre degli strumenti e oggetti
BHO (Browser Helper Object).
Modifica delle
impostazioni di
Internet Explorer
Molti virus/minacce informatiche modificano le impostazioni di
Internet Explorer, comprese quelle relative a home page, siti Web
affidabili, impostazioni del server proxy ed estensioni dei menu.
Modifica dei criteri
di protezione
Le modifiche ai criteri di protezione di Windows possono
consentire alle applicazioni indesiderate di essere eseguite e di
modificare le impostazioni di sistema.
Caricamento di
librerie di
programma
Molti programmi dannosi configurano Windows in modo che tutte
le applicazioni carichino automaticamente una libreria di
programma (DLL). Questo causa l'esecuzione delle routine
dannose nelle DLL ad ogni avvio dell'applicazione.
Eventi
Descrizione
Modifica della shell
Molti programmi dannosi modificano le impostazioni della shell di
Windows per associare sé stessi a determinati tipi di file. Questa
routine consente ai programmi dannosi di venire avviati
automaticamente quando l’utente apre i file ad essi associati in
Esplora risorse. Le modifiche alle impostazioni della shell di
Windows sono anche in grado di consentire ai programmi dannosi
di rilevare i programmi utilizzati dall'utente e vengono avviati
insieme alle applicazioni legittime.
Nuovo servizio
I servizi di Windows sono processi con funzioni speciali e in
genere rimangono in esecuzione costante in background con
accesso amministrativo completo. I programmi dannosi spesso si
installano come servizi, in modo da rimanere nascosti.
Modifica dei file di
sistema
Alcuni file di sistema di Windows determinano il comportamento
del sistema, compresi i programmi di avvio e le impostazioni del
salvaschermo. Molti programmi dannosi modificano i file di
sistema per poter essere avviati automaticamente all'avvio e
controllare il comportamento del sistema.
Modifica dei criteri
del firewall
I criteri di Windows Firewall determinano quali applicazioni hanno
accesso alla rete, quali porte sono aperte per la comunicazione e
quali indirizzi IP possono comunicare con il computer dell'utente.
Molti programmi dannosi modificano i criteri per aprirsi un varco
nella rete e in Internet.
Modifica del
processo di sistema
Molti programmi dannosi eseguono operazioni diverse sui
processi incorporati di Windows. Tali operazioni possono
comprendere la chiusura o la modifica dei processi in corso.
Nuovo programma
di avvio
Le applicazioni dannose generalmente aggiungono o modificano
le voci di avvio automatico del registro Windows per essere
eseguite automaticamente ogni volta che viene avviato il
computer.
Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione
configurata per l'evento.
La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventi
di sistema monitorati.
8-5
Tabella 8-2. Azioni per eventi di sistema controllati
Azione
Valuta
Descrizione
OfficeScan autorizza sempre i programmi associati a un evento
ma tiene traccia dell'operazione nei registri ai fini della valutazione.
Questa è l'azione predefinita per tutti gli eventi di sistema
controllati.
Nota
Questa opzione non è supportata per il Caricamento di
librerie di programma sui sistemi a 64 bit.
Consenti
OfficeScan autorizza sempre i programmi associati a un evento.
Chiedi se
necessario
OfficeScan chiede agli utenti se consentire o negare i programmi
associati a un evento e aggiungere i programmi all'elenco di
eccezioni
Se l'utente non risponde entro un determinato periodo di tempo,
OfficeScan autorizza automaticamente l'esecuzione del
programma. Il periodo di tempo predefinito è 30 secondi.
Per modificare il periodo di tempo, consultare Configurazione delle
impostazioni del monitoraggio del comportamento globale a pagina
8-9.
Nota
Questa opzione non è supportata per il Caricamento di
librerie di programma sui sistemi a 64 bit.
Impedisci
OfficeScan blocca sempre i programmi associati a un evento e
tiene traccia dell'operazione nei registri..
Quando un programma viene bloccato e le notifiche sono attivate,
OfficeScan visualizza una notifica sul computer OfficeScan.
Per ulteriori informazioni sulle notifiche, vedere Notifiche di
Monitoraggio del comportamento per gli utenti degli agenti
8-6
Elenco eccezioni Monitoraggio del comportamento
L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che
non vengono controllati da Monitoraggio del comportamento.
•
Programmi approvati: i programmi contenuti in questo elenco possono essere
eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di
OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione.
•
Programmi bloccati: i programmi inclusi in questo elenco non possono essere
avviati. Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi.
Configurare l'elenco di eccezioni dalla console Web. È anche possibile concedere agli
utenti il privilegio di configurare il proprio elenco di eccezioni dalla console Agente
OfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina
8-11.
Configurazione del Blocco del comportamento malware, del
Monitoraggio degli eventi e dell'Elenco di Eccezione:
Procedura
1.
2.
3.
Fare clic su Impostazioni > Impostazioni del monitoraggio del
comportamento.
4.
Per attivare Blocco del comportamento malware:
a.
) per
Selezionare Attiva il Blocco del comportamento malware per minacce
note e potenziali e una delle opzioni seguenti:
•
Minacce note: blocca i comportamenti associati alle minacce
informatiche conosciute
8-7
•
b.
Minacce note e potenziali: blocca il comportamento associato alle
minacce conosciute e intraprende azioni sul comportamento
potenzialmente dannoso
Selezionare le funzionalità Protezione ransomware da attivare per proteggersi
dalle minacce ransomware.
•
Proteggi il documento da crittografia o modifiche non autorizzate:
interrompe l'eventuale codifica o modifica dei contenuti dei documenti
da parte di potenziali minacce ransomware
•
Blocca i processi comunemente associati a ransomware: blocca i
processi associati a minacce ransomware conosciute prima di eventuali
codifiche o modifiche dei documenti
Per i dettagli, consultare Protezione ransomware a pagina 8-3.
5.
Configurare le impostazioni del monitoraggio degli eventi.
a.
Selezionare Attiva Monitoraggio degli eventi.
b.
Scegliere gli eventi di sistema da controllare e selezionare un'azione per
ciascuno degli eventi selezionati.
Per informazioni sugli eventi di sistema controllati e le azioni, vedere
Monitoraggio degli eventi a pagina 8-3.
6.
Configurare gli elenchi delle eccezioni.
a.
In Digitare il percorso completo del programma, digitare l'intero percorso
del programma da approvare o da bloccare. Separare le diverse voci con un
punto e virgola (;
b.
Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco
Bloccati.
c.
Per eliminare dall'elenco un programma bloccato o approvato, fare clic
sull'icona del cestino ( ) accanto al programma.
Nota
OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi
bloccati.
8-8
7.
•
impostazioni.
•
Configurazione delle impostazioni del
monitoraggio del comportamento globale
OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti con
determinati privilegi.
Procedura
1.
2.
Passare alla sezione Impostazioni del monitoraggio del comportamento .
3.
Configurare le seguenti impostazioni, in base alle necessità:
Opzione
Autorizza
automaticamente
il programma se
l'utente non
risponde entro __
secondi
Descrizione
Questa impostazione funziona solo se è attivato il
Monitoraggio degli eventi e l'azione per un evento di sistema
controllato è "Chiedi se necessario". Questa azione chiede
all'utente se consentire o negare i programmi associati
all'evento. Se l'utente non risponde entro un determinato
periodo di tempo, OfficeScan autorizza automaticamente
l'esecuzione del programma. Per i dettagli, consultare
Monitoraggio degli eventi a pagina 8-3.
8-9
Opzione
Descrizione
Chiedi all'utente
prima di eseguire
nuovi programmi
scaricati tramite
HTTP o
applicazioni email (escluse
piattaforme
server)
Il Monitoraggio del comportamento, insieme ai Servizi di
reputazione Web, verifica la prevalenza di file scaricati tramite
le applicazioni e-mail o i canali HTTP. Dopo aver rilevato un
file "nuovo", gli amministratori possono scegliere di chiedere
conferma agli utenti prima di eseguire il file. Trend Micro
classifica un programma come nuovo in base al numero di
rilevamenti del file o all'età storica del file determinata da
Smart Protection Network.
Monitoraggio del comportamento effettua la scansione dei tipi
di file seguenti per ciascun canale:
•
HTTP: esegue la scansione dei file .exe.
•
Applicazioni e-mail: esegue la scansione dei file .exe e dei
file .exe compressi nei file .zip e .rar non crittografati.
Nota
4.
•
Gli amministratori devono attivare i Servizi di
reputazione Web sull'agente per consentire a
OfficeScan di effettuare la scansione del traffico
HTTP prima che venga visualizzata la richiesta.
•
Per i sistemi Windows 10/7/Vista/XP, questo
prompt supporta solo le porte 80, 81 e 8080.
•
OfficeScan abbina i nomi dei file scaricati tramite
applicazioni e-mail durante il processo di
esecuzione. Se il nome del file è stato modificato,
l'utente non riceve alcun prompt.
Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare
il Servizio certificato Safe Software, come necessario.
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio
Certified Safe Software per ridurre la possibilità di falsi allarmi.
8-10
Nota
Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per
maggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53)
prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette,
insieme a una connessione Internet intermittente, possono provocare ritardi o
mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi
controllati non rispondono.
datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi
IP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di
collegarsi ai datacenter Trend Micro.
5.
Fare clic su Salva.
Privilegi di monitoraggio del comportamento
Se gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzione
Monitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella
8-11
console dell'Agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco di
eccezioni.
Figura 8-1. Opzione Monitoraggio del comportamento nella console dell'Agente
OfficeScan
8-12
Concessione dei privilegi di monitoraggio del
comportamento
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio del
comportamento.
5.
Selezionare Visualizza le impostazioni Monitoraggio del comportamento
nella console agente OfficeScan.
6.
) per
•
impostazioni.
•
8-13
Notifiche di Monitoraggio del comportamento
per gli utenti degli agenti OfficeScan
OfficeScan può visualizzare un messaggio di notifica sul computer Agente OfficeScan
subito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivare
l'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio.
Attivazione dell'invio di messaggi di notifica
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni del
monitoraggio del comportamento .
5.
Selezionare Visualizza una notifica quando un programma viene bloccato.
6.
8-14
) per
•
impostazioni.
•
Modifica del contenuto del messaggio di notifica
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio del
comportamento.
3.
Modificare il messaggio predefinito nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri di Monitoraggio del comportamento
Gli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi e
inviano i registri al server. Un Agente OfficeScan che è sempre in esecuzione raccoglie i
registri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti.
13-39.
Visualizzazione dei registri di Monitoraggio del
comportamento
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione
agente.
2.
) per
8-15
3.
Fare clic su Registri > Registri di Monitoraggio del comportamento oppure
Visualizza registri > Registri di Monitoraggio del comportamento.
4.
5.
6.
•
Data/Ora di rilevamento del processo non autorizzato
•
Dispositivo in cui il processo non autorizzato è stato rilevato
•
Dominio del Dispositivo
•
Violazione, ossia la regola di monitoraggio dell'evento violata dal processo
•
Azione eseguita al rilevamento della violazione
•
Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso
•
Livello di rischio del programma non autorizzato
•
Programma, ossia il programma non autorizzato
•
Operazione, ossia l'azione eseguita dal programma non autorizzato
•
Destinazione, ossia il processo al quale è stato eseguito l'accesso
Configurazione della pianificazione dell'invio dei registri
di Monitoraggio del comportamento:
Procedura
1.
Accedere a <Cartella di installazione del server>\PCCSRV.
2.
Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.
3.
Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto ad
essa.
8-16
Il valore predefinito è 3600 secondi e la stringa completa è
SendBMLogPeriod=3600.
4.
Specificare il valore in secondi.
Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in
7200.
5.
Salvare il file.
6.
7.
Fare clic su Salva senza cambiare le impostazioni.
8.
Riavviare l'agente
8-17
Capitolo 9
Utilizzo di Controllo dispositivo
Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza
utilizzando la funzione di Controllo dispositivo.
•
Controllo dispositivo a pagina 9-2
•
Autorizzazioni per dispositivi di archiviazione a pagina 9-4
•
Autorizzazioni per dispositivi non di archiviazione a pagina 9-11
•
Modifica delle notifiche di controllo dispositivo a pagina 9-18
•
Registri di controllo dispositivo a pagina 9-18
9-1
Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse
di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la
dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi
per la sicurezza.
È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni.
Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agenti
esterni.
I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile
applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile
applicare un singolo criterio a tutti gli agenti.
Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti
nella schermata Località computer (consultare Posizione dispositivo a pagina 14-2) per
determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta
che cambia la posizione.
Importante
•
Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte le versioni
di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di
attivare il Controllo dispositivo su queste piattaforme server, leggere le linee guida e le
migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7.
•
Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione dati
su:
http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx
I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono
dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in
licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulteriori
informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina 3-4.
9-2
Tabella 9-1. Dispositivi monitorati dal Servizio prevenzione modifiche non
autorizzate
Tipo di dispositivo
Dispositivi di archiviazione
Descrizione del dispositivo
CD/DVD
Importante
Il controllo del dispositivo può limitare l'accesso solo
a dispositivi di registrazione CD/DVD che utilizzano
il formato Live File System. Alcune applicazioni di
terze parti che utilizzano il formato master possono
ancora eseguire operazioni di lettura o scrittura
anche quando il controllo del dispositivo è attivato.
Utilizzare Prevenzione perdita di dati per limitare
l'accesso a dispositivi di registrazione CD/DVD che
utilizzano qualsiasi tipo di formato.
Per i dettagli, consultare Blocco dell'accesso ai
supporti di registrazione dati (CD/DVD) a pagina
10-34.
Dischi floppy
Unità di rete
Dispositivi USB di archiviazione
Tabella 9-2. Dispositivi monitorati da Prevenzione perdita di dati
Tipo di dispositivo
Dispositivi mobili
Dispositivi mobili
Dispositivi di archiviazione
CD/DVD
Dischi floppy
Unità di rete
Dispositivi USB di archiviazione
9-3
Tipo di dispositivo
Dispositivi non di
archiviazione
Adattatori Bluetooth
Porte COM e LPT
Interfaccia IEEE 1394
Dispositivi per l\'acquisizione di immagini
Dispositivi a infrarossi
Modem
Scheda PCMCIA
Tasto Stamp
Schede NIC wireless:
Autorizzazioni per dispositivi di archiviazione
Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono
utilizzate per:
•
Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e
unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare
il livello di accesso.
•
Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo
dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione,
ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile
consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.
La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi di
archiviazione.
9-4
Tabella 9-3. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione
Autorizzazioni
Accesso completo
Modifica
File nel dispositivo
File in entrata
Operazioni consentite: copia,
spostamento, apertura,
salvataggio, eliminazione,
esecuzione
Operazioni consentite:
salvataggio, spostamento, copia
spostamento, apertura,
salvataggio, eliminazione
Operazioni consentite:
Ciò significa che un file può
essere salvato, spostato e
copiato nel dispositivo.
Operazioni non consentite:
esecuzione
Lettura ed
esecuzione
apertura, esecuzione
salvataggio, spostamento,
eliminazione
Lettura
apertura
salvataggio, spostamento,
eliminazione, esecuzione
Elenca solo
contenuto
dispositivo
Operazioni non consentite: tutte
le operazioni
Blocca
Operazioni non consentite: tutte
le operazioni
(disponibile dopo
l'attivazione della
Protezione dati)
Il dispositivo e i file che contiene
sono visibili all'utente (ad
esempio, da Esplora risorse di
Windows).
Il dispositivo e i file che contiene
non sono visibili all'utente (ad
esempio, da Esplora risorse di
Windows).
9-5
La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e
può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file,
ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene
eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se
l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia,
l'azione di scansione è Elimina, il file viene eliminato.
Suggerimento
Il controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per il
monitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati da
OfficeScan, impostare l'autorizzazione del dispositivo su Blocca per limitare l'accesso a tali
dispositivi.
Autorizzazioni avanzate per i dispositivi di archiviazione
Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per
la maggior parte dei dispositivi di archiviazione. È possibile applicare una delle
autorizzazioni seguenti:
•
Modifica
•
Lettura ed esecuzione
•
Lettura
•
Elenca solo contenuto dispositivo
È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuni
programmi sui dispositivi di archiviazione e sul dispositivo locale.
Per definire i programmi, configurare gli elenchi di programmi seguenti.
9-6
Tabella 9-4. Elenchi di programmi
Elenco di
programmi
Descrizione
Valori validi
Programmi con
accesso in lettura
e scrittura ai
dispositivi
Questo elenco contiene i programmi locali e
i programmi dei dispositivi di archiviazione
che hanno accesso in lettura e scrittura ai
dispositivi.
Nome e percorso del
programma
Un esempio di programma locale è
Microsoft Word (winword.exe), di solito
installato in C:\\Programmi\\Microsoft Office\
\Office. Se l'autorizzazione per i dispositivi di
archiviazione USB è "Elenca solo contenuto
dispositivo", ma "C:\\Programmi\\Microsoft
Office\\Office\\winword.exe" è incluso
nell'elenco:
Programmi su
dispositivi a cui è
consentito
eseguire
•
L'utente avrà accesso in lettura e in
scrittura a tutti i file del dispositivo di
archiviazione USB a cui Microsoft Word
ha accesso.
•
L'utente può salvare, spostare o
copiare un file Microsoft Word sul
dispositivo di archiviazione USB.
Questo elenco contiene i programmi dei
dispositivi di archiviazione che possono
essere eseguiti dagli utenti o dal sistema.
Ad esempio, per consentire agli utenti di
installare il software da un CD, aggiungere
a questo elenco il nome e il percorso del
programma di installazione, ad esempio "E:
\Installer\Setup.exe",
Per i dettagli,
consultare Specifica
di nome e percorso
del programma a
pagina 9-9.
Nome e percorso del
programma o
provider della firma
digitale
Per ulteriori dettagli,
vedere Specifica di
nome e percorso del
programma a pagina
9-9 o Specifica di un
provider della firma
digitale a pagina
9-8.
In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi.
Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se
attivato, richiede agli utenti di specificare un nome utente e una password validi prima
9-7
che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un
programma del dispositivo denominato "Password.exe", che è necessario autorizzare
affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere
accesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificare
il nome utente o la password.
Ciascun elenco di programmi nell'interfaccia utente può contenere fino a 100
programmi.
Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file
ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere
i programmi al file ofcscan.ini, consultare Aggiunta di programmi agli elenchi di controllo
dispositivo con ofcscan.ini a pagina 9-16.
AVVERTENZA!
I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale (root)
e sovrascrivono i programmi nei singoli domini e negli agenti.
Specifica di un provider della firma digitale
Specificare un provider di firma digitale se si ritengono affidabili i programmi del
provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile
9-8
conoscere il provider della firma digitale verificando le proprietà di un programma (ad
esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).
Figura 9-1. Provider della firma digitale per il programma Agente OfficeScan
(PccNTMon.exe)
Specifica di nome e percorso del programma
Il nome e il percorso di un programma devono essere composti da un massimo di 259
caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile
specificare solo il nome del programma.
È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei
programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo,
come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere
multiplo, come un nome di un programma.
9-9
Nota
I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario
specificare il nome esatto di una cartella.
Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:
Tabella 9-5. Uso corretto dei caratteri jolly
Esempio
Dati corrispondenti
?:\Password.exe
Il file "Password.exe" si trova direttamente sotto una
qualsiasi unità
C:\Programmi\Microsoft\*.exe
Qualsiasi file in C:\Programmi che abbia
un'estensione di file
C:\Programmi\*.*
Qualsiasi file in C:\Programmi che abbia
un'estensione di file
C:\Programmi\a?c.exe
Qualsiasi file .exe in C:\Programmi composto da 3
caratteri che inizi con la lettera "a" e termini con la
lettera "c"
C:\*
Qualsiasi file che si trovi direttamente sotto l'unità C:
\Programmi con o senza un'estensione di file
Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:
Tabella 9-6. Uso scorretto dei caratteri jolly
Esempio
??:\Buffalo\Password.exe
?? rappresenta due caratteri, mentre le lettere delle
unità sono costituite da un solo carattere alfabetico.
*:\Buffalo\Password.exe
* rappresenta dati con più caratteri, mentre le lettere
delle unità sono costituite da un solo carattere
alfabetico.
C:\*\Password.exe
I caratteri jolly non possono essere usati per
rappresentare nomi di cartelle. È necessario
specificare il nome esatto di una cartella.
C:\?\Password.exe
9-10
Motivo
Autorizzazioni per dispositivi non di
archiviazione
L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per
questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.
Gestione dell'accesso ai dispositivi esterni (Protezione
dati attivata)
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti
esterni o sulla scheda Agenti interni per configurare le impostazioni per gli
agentiinterni.
5.
Selezionare Attiva controllo dispositivo.
6.
Applicare le impostazioni come indicato di seguito:
) per
•
Nella scheda Agenti esterni, è possibile applicare le impostazioni agli agenti
interni selezionando Applica tutte le impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare le impostazioni agli agenti
esterni selezionando Applica tutte le impostazioni agli agenti esterni.
Attendere che il comando di implementazione propaghi le impostazioni a tutti gli
agenti.
7.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un
9-11
8.
Configurare le impostazioni per i dispositivi di archiviazione.
a.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione.
Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per
dispositivi di archiviazione a pagina 9-4.
b.
Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare
un elenco dei dispositivi approvati. Gli utenti possono accedere a questi
dispositivi e possono controllare il livello di accesso usando le autorizzazioni.
Consultare Configurazione di un elenco Approvati per i dispositivi USB a pagina 9-13.
9.
Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.
10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
•
impostazioni.
•
Configurazione delle autorizzazioni avanzate
Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato
dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni
vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che
facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si
definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.
Nota
Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i
programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di
archiviazione a pagina 9-6.
9-12
Procedura
1.
Fare clic su Notifiche e autorizzazioni avanzate.
2.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il
percorso ed il nome file del programma e fare clic su Aggiungi.
Il provider della firma digitale non viene accettato.
3.
Sotto Programmi su dispositivi di archiviazione di cui è consentita
l'esecuzione:, digitare il percorso ed il nome file del programma oppure il
provider della firma digitale e fare clic su Aggiungi.
4.
Selezionare Visualizza un messaggio di notifica sul dispositivo quando
OfficeScan rileva un accesso non autorizzato.
5.
•
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul
dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utenti
non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo.
•
È possibile modificare il messaggio di notifica. Per i dettagli, consultare
Modifica delle notifiche di controllo dispositivo a pagina 9-18.
Fare clic su Indietro.
Configurazione di un elenco Approvati per i dispositivi USB
L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere
jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che
soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi
USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco
approvati.
Procedura
1.
Fare clic su Dispositivi approvati.
2.
Immettere il fornitore del dispositivo.
9-13
3.
Immettere il modello e l'ID di serie del dispositivo.
Suggerimento
Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli
dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun
dispositivo.
4.
Selezionare l'autorizzazione per ciascun dispositivo.
Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di
5.
Per aggiungere altri dispositivi, fare clic sull'icona (+).
6.
Fare clic su < Indietro.
Strumento elenco dispositivi
Eseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo per
eseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza un
dispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni sul
dispositivo in una finestra del browser. Tali informazioni possono quindi essere utilizzate
durante la configurazione delle impostazioni dei dispositivi per la Prevenzione perdita di
dati e il Controllo dispositivo.
Esecuzione dello Strumento elenco dispositivi
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server a
pagina xv>\PCCSRV\Admin\Utility\ListDeviceInfo.
2.
Copiare listDeviceInfo.exe nell'dispositivo di destinazione.
3.
Sull'dispositivo, eseguire listDeviceInfo.exe.
9-14
4.
Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. La
Prevenzione predita di dati e il Controllo dispositivo utilizzano le seguenti
informazioni:
•
Fornitore (obbligatorio)
•
Modello (facoltativo)
•
ID di serie (facoltativo)
Gestione dell'accesso ai dispositivi esterni (Protezione
dati non attivata)
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti
esterni o sulla scheda Agenti interni per configurare le impostazioni per gli
agentiinterni.
5.
Selezionare Attiva controllo dispositivo.
6.
Applicare le impostazioni come indicato di seguito:
) per
•
Nella scheda Agenti esterni, è possibile applicare le impostazioni agli agenti
interni selezionando Applica tutte le impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare le impostazioni agli agenti
esterni selezionando Applica tutte le impostazioni agli agenti esterni.
Attendere che il comando di implementazione propaghi le impostazioni a tutti gli
agenti.
9-15
7.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un
8.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione.
9.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il
dispositivo di archiviazione è una delle seguenti: Modifica, Lettura ed
esecuzione, Lettura o Elenca solo contenuto dispositivo.
Consultare Configurazione delle autorizzazioni avanzate a pagina 9-12.
•
impostazioni.
•
Aggiunta di programmi agli elenchi di controllo dispositivo
con ofcscan.ini
Nota
Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che
possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di
Procedura
1.
9-16
\PCCSRV.
2.
Aprire il file ofcscan.ini usando un editor di testo.
3.
Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di
archiviazione:
a.
Individuare le righe seguenti:
[DAC_APPROVED_LIST]
Count=x
b.
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
c.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<numero>=<nome e percorso del programma o provider
della firma digitale>
Ad esempio:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
4.
Per aggiungere i programmi su dispositivi di archiviazione di cui è consentita
l'esecuzione:
a.
Individuare le righe seguenti:
[DAC_EXECUTABLE_LIST]
Count=x
b.
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
c.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<numero>=<nome e percorso del programma o provider
della firma digitale>
9-17
Ad esempio:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
5.
Salvare e chiudere il file ofcscan.ini .
6.
Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globali
agente.
7.
Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti.
Modifica delle notifiche di controllo dispositivo
I messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazioni
del Controllo dispositivo. Se necessario, gli amministratori possono modificare il
messaggio di notifica predefinito.
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo
3.
Modificare i messaggi predefiniti nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri di controllo dispositivo
Gli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi e
inviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registri
9-18
e li invia dopo 1 ora. Qualsiasi agente che è stato riavviato controlla l'ultima volta che i
registri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente invia
i registri immediatamente.
13-39.
Visualizzazione dei registri di controllo dispositivo
Nota
I dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi di
archiviazione. Gli Agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi non
di archiviazione come da configurazione ma non registrano l'operazione.
Procedura
1.
agente.
2.
3.
Fare clic su Registri > Registri di controllo dispositivo oppure Visualizza
registri > Registri di controllo dispositivo.
4.
5.
•
Data/Ora di rilevamento dell'accesso non autorizzato
•
Dispositivo al quale è connesso un dispositivo esterno o è mappata una
risorsa di rete
•
Dominio del dispositivo al quale è connesso un dispositivo esterno o è
mappata una risorsa di rete
) per
9-19
6.
9-20
•
Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso
•
Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui è
stato eseguito l'accesso
•
Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso
•
Autorizzazioni impostate per la destinazione
Capitolo 10
Utilizzo di Prevenzione perdita di dati
In questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzione
perdita di dati
•
Informazioni su Prevenzione perdita di dati (DLP) a pagina 10-2
•
Criteri di Prevenzione perdita di dati a pagina 10-3
•
Tipi di identificatore di dati a pagina 10-5
•
Modelli di Prevenzione perdita di dati a pagina 10-20
•
Canali DLP a pagina 10-25
•
Azioni di Prevenzione perdita di dati a pagina 10-39
•
Eccezioni di Prevenzione perdita di dati a pagina 10-42
•
Configurazione dei criteri Prevenzione perdita di dati a pagina 10-48
•
Notifiche di Prevenzione perdita di dati a pagina 10-54
•
Registri di Prevenzione perdita di dati a pagina 10-58
10-1
Informazioni su Prevenzione perdita di dati
(DLP)
Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esterne
di raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metà
della storia. Le violazioni dei dati sono diventate di ordinaria amministrazione ed
espongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – a
persone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito a
errori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti,
oppure attacchi maligni.
Le violazioni dei dati possono:
•
Danneggiare la reputazione del marchio.
•
Minare la fiducia del cliente nell'azienda.
•
Causare spese superflue a copertura dei rimedi e delle multe per violazione della
normativa in materia di conformità.
•
Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furto
della proprietà intellettuale.
Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggi
la protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura di
sicurezza.
Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite
accidentali o intenzionali. Prevenzione perdita di dati consente di:
•
Identificare le informazioni sensibili che devono essere protette utilizzando gli
identificatori di dati.
•
Creare criteri che limitano o impediscono la trasmissione delle risorse digitali
attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi
esterni.
•
implementare la conformità alle norme vigenti sulla privacy
Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessario
essere in grado di rispondere alle domande seguenti:
10-2
•
Quali dati è necessario proteggere dagli utenti non autorizzati?
•
Dove risiedono i dati sensibili?
•
Come sono trasmessi i dati sensibili?
•
Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili?
•
Quale azione deve essere intrapresa se si verifica una violazione della sicurezza?
Queste importanti domande, in genere, riguardano diversi reparti e impiegati che
utilizzano i dati sensibili nell'ambito dell'organizzazione.
Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibile
iniziare a definire gli identificatori di dati e i criteri aziendali.
Criteri di Prevenzione perdita di dati
OfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. I
criteri determinano quali file e dati richiedono una protezione dalla trasmissione non
autorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione.
Nota
OfficeScan non monitora le trasmissioni di dati tra il server e gli Agenti OfficeScan.
OfficeScan consente agli amministratori di configurare i criteri per gli Agenti OfficeScan
interni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agenti
esterni.
Gli amministratori possono applicare criteri specifici a gruppi di agenti o a singoli agenti.
Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella
schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2) per
determinare le impostazioni di posizione corretta e il criterio da applicare. Gli agenti
cambiano criteri ogni volta che cambia la posizione.
10-3
Configurazione dei criteri
Definire i criteri DLP configurando le seguenti impostazioni e implementandole negli
agenti selezionati:
Tabella 10-1. Impostazioni per la definizione di un criterio DLP
Impostazioni
Regole
Descrizione
Una regola DLP è composta da azioni, canali e modelli multipli.
Ciascuna regola è un sottoinsieme del criterio DLP che la include.
Nota
Modelli e regole dei processi di Prevenzione perdita di dati in
base alla priorità. Se una regola è impostata su “Ignora”,
Prevenzione perdita di dati elabora la regola successiva
dell'elenco. Se una regola è impostata su “Blocca” o su
“Giustificazione utente”, Prevenzione perdita di dati blocca o
accetta l'operazione dell'utente e non elabora ulteriormente
tale regola/modello.
Modelli
I modelli DLP combinano identificatori di dati e operatori logici (E,
O, Eccetto) per formare istruzioni condizionali. La regola DLP viene
applicata solo ai file o ai dati che soddisfano una determinata
istruzione condizionale.
Prevenzione perdita di dati comprende una serie di modelli
predefiniti e consente agli amministratori di creare modelli
personalizzati.
Una regola DLP può contenere uno o più modelli. Prevenzione
perdita di dati utilizza la prima regola corrispondente quando
verifica i modelli. Questo significa che se un file o dei dati
corrispondono agli identificatori di dati in un modello, Prevenzione
perdita di dati non esegue la verifica in altri modelli.
Canali
10-4
I canali sono entità che trasmettono le informazioni sensibili.
Prevenzione perdita di dati supporta i comuni canali di
trasmissione, come la posta elettronica, i dispositivi di archiviazione
rimovibili e le applicazioni di messaggistica istantanea.
Impostazioni
Descrizione
Azioni
Prevenzione perdita di dati esegue una o più azioni quando rileva
un tentativo di trasmissione di informazioni sensibili attraverso uno
dei canali.
Eccezioni
Le eccezioni adottano azioni di sovrascrittura nei confronti delle
regole DLP configurate. Configurare le eccezioni per gestire
destinazioni non monitorate, destinazioni monitorate e scansioni di
file compressi.
identificatore di
dati
Prevenzione perdita di dati utilizza gli identificatori di dati per
identificare le informazioni sensibili. Gli identificatori di dati
includono espressioni, attributi di file e parole chiave che agiscono
come elementi di costruzione per i modelli DLP.
Tipi di identificatore di dati
Le risorse digitali sono i file e i dati che un'organizzazione deve proteggere da
trasmissione non autorizzata. Gli amministratori possono definire le risorse digitali
utilizzando i seguenti identificatori di dati:
•
Espressioni: dati con una determinata struttura.
Per i dettagli, consultare Espressioni a pagina 10-6.
•
Attributi dei file: proprietà dei file, come il tipo e le dimensioni dei file.
Per i dettagli, consultare Attributi di file a pagina 10-11.
•
Parole chiave: un elenco di specifiche parole o frasi.
Per i dettagli, consultare Parole chiave a pagina 10-14.
Nota
Gli amministratori non possono eliminare un identificatore di dati utilizzato da un modello
DLP. Eliminare il modello prima di eliminare l'identificatore di dati.
10-5
Espressioni
Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle carte
di credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnnnnnn", e questo li rende idonei per il rilevamento basato su espressioni.
Gli amministratori possono utilizzare espressioni predefinite e personalizzate.
Per i dettagli, consultare Espressioni predefinite a pagina 10-6 e Espressioni personalizzate a
pagina 10-7.
Espressioni predefinite
In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Queste
espressioni non possono essere modificate o eliminate.
Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche e
associazioni dei pattern. Quando Prevenzione perdita di dati individua possibili dati
corrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche.
Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione dati
su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx.
Visualizzazione delle impostazioni per le espressioni predefinite
Nota
Le espressioni predefinite non possono essere modificate o eliminate.
Procedura
1.
Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda espressione.
3.
Fare clic sul nome dell'espressione.
10-6
4.
Viene visualizzata la schermata delle impostazioni.
Espressioni personalizzate
Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa le
esigenze dell'azienda.
Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creare
espressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassi
errata possono avere un impatto negativo sulle prestazioni.
Durante la creazione delle espressioni:
•
Fare riferimento alle espressioni predefinite per ottenere esempi di espressioni
valide. Ad esempio, se si crea un'espressione con una data, fare riferimento alle
espressioni con il prefisso "Data".
•
Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti in
PCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE,
visitare il seguente sito Web:
http://www.pcre.org/
•
Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmi
o perfezionarle per migliorare i rilevamenti.
Gli amministratori possono scegliere tra vari criteri di creazione delle espressioni.
Un'espressione deve soddisfare i criteri scelti prima che Prevenzione perdita di dati vi
applichi un criterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri,
vedere Criteri per le espressioni personalizzate a pagina 10-8.
10-7
Criteri per le espressioni personalizzate
Tabella 10-2. Opzioni dei criteri per le espressioni personalizzate
Criteri
Nessuna
Regola
nessuna
Esempio
Tutti - Nomi provenienti dall'US
Census Bureau (Ufficio del
censimento degli Stati Uniti)
•
Caratteri specifici
Un'espressione deve
comprendere i caratteri
specificati.
Inoltre il numero dei
caratteri dell'espressione
deve essere compreso
entro il numero minimo e
massimo.
Suffisso
Il suffisso si riferisce
all'ultimo segmento di
un'espressione. Un suffisso
deve comprendere i
caratteri specificati e
contenere un certo numero
di caratteri.
caratteri dell'espressione
deve essere compreso
entro il numero minimo e
massimo.
10-8
Espressione: [^\w]([A-Z][a-z]{1,12}
(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]
{1,12})[^\w]
Stati Uniti - Numero di registrazione
ABA
•
Espressione: [^\d]([0123678]\d{8})
[^\d]
•
Caratteri: 0123456789
•
Numero minimo di caratteri: 9
•
Numero massimo di caratteri: 9
Tutti - Indirizzo abitazione
•
Espressione: \D(\d+\s[a-z.]+\s([az]+\s){0,2} (lane|ln|street|st|
avenue|ave| road|rd|place|pl|
drive|dr|circle| cr|court|ct|
boulevard|blvd)\.? [0-9a-z,#\s\.]
{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)
[^\d-]
•
Caratteri suffisso: 0123456789-
•
Numero di caratteri: 5
•
Numero minimo di caratteri
nell'espressione: 25
•
Numero massimo di caratteri
nell'espressione: 80
Criteri
Regola
Esempio
Separatore a
carattere singolo
Un'espressione deve avere
due segmenti separati da
un carattere. La lunghezza
del carattere deve essere 1
byte.
Tutti - Indirizzo e-mail
•
Espressione: [^\w.]([\w\.]
{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}
[a-z\.]{0,10})[^\w.]
caratteri a sinistra del
separatore deve essere
compreso entro il numero
minimo e massimo. Il
numero di caratteri a destra
del separatore non deve
superare il numero
massimo.
•
Separatore: @
•
Numero minimo di caratteri a
sinistra: 3
•
Numero massimo di caratteri a
sinistra: 15
•
Numero massimo di caratteri a
destra: 30
Creazione di un'espressione personalizzata
Procedura
1.
2.
3.
4.
Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100
byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
Immettere una descrizione la cui lunghezza non superi i 256 byte.
6.
Immettere i dati visualizzati.
Ad esempio, se si crea un'espressione per i numeri di documenti di identità,
immettere un numero di esempio. Questi dati vengono utilizzati solo per
riferimento e non vengono visualizzati nel prodotto.
10-9
7.
8.
Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i
parametri scelti (vedere Criteri per le espressioni personalizzate a pagina 10-8):
•
nessuna
•
Caratteri specifici
•
Suffisso
•
Separatore a carattere singolo
Provare l'espressione su dati effettivi.
Ad esempio, se l'espressione si riferisce a un documento di identità, digitare un
numero del documento di identità nella casella di testo Dati di prova, fare clic su
Prova e verificare i risultati.
9.
Se i risultati sono soddisfacenti, fare clic su Salva.
Nota
Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado di
rilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effetto
negativo sulle prestazioni.
10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli
agenti. Fare clic su Chiudi.
11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli
agenti.
Importazione di espressioni personalizzate
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene le
espressioni. È possibile generare il file esportando le espressioni dal server a cui si sta
accedendo o da un altro server.
Nota
I file di espressioni .dat generati da questa versione di Prevenzione perdita di dati non sono
compatibili con le versioni precedenti.
10-10
Procedura
1.
2.
3.
Fare clic su Importa e individuare il file .dat che contiene le espressioni.
4.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se
un'espressione da importare esiste già, viene ignorata.
5.
Fare clic su Applica a tutti gli agenti.
Attributi di file
Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributi
di file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensioni
dei file. Ad esempio, una società di sviluppo software potrebbe voler limitare la
condivisione del programma di installazione del software della società al reparto di
ricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software.
In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare la
trasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti,
ad eccezione di quello di ricerca e sviluppo.
Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nel
contesto dell'esempio precedente, anche i programmi di installazione del software di
terzi condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare gli
attributi di file insieme ad altri identificatori di dati DLP per un rilevamento più mirato
dei file sensibili.
Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati su
http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx.
10-11
Elenco di attributi di file predefiniti
In Prevenzione perdita di dati è incluso un elenco di attributi di file predefiniti. Questo
elenco non può essere modificato o eliminato. L'elenco ha delle condizioni incorporate
che determinano se il modello deve innescare una violazione dei criteri.
Utilizzare l'elenco di attributi di file predefiniti per limitare l'accesso ai supporti di
registrazione dati (CD/DVD).
Per i dettagli, consultare Blocco dell'accesso ai supporti di registrazione dati (CD/DVD) a pagina
10-34.
Creazione di un elenco di attributi di file
Procedura
1.
2.
Fare clic sulla scheda attributo di file.
3.
4.
Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non deve
superare 100 byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
6.
Selezionare i tipi di file effettivi preferiti.
7.
Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file e
digitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file con
l'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida per
specificare le estensioni dei file:
•
10-12
Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.)
e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta un
nome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol e test.pol.
•
Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un punto
interrogativo (?) per indicare un carattere singolo e un asterisco (*) per
indicare due o più caratteri. Vedere gli esempi seguenti:
- *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm
- *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr
- *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp
•
Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensione
in quanto corrispondere a una parte del nome del file o di un'estensione non
correlata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg e
abc.donor12.pdf.
•
Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessario
aggiungere uno spazio dopo il punto e virgola.
8.
Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensioni
del file devono corrispondere a numeri interi maggiori di zero.
9.
Fare clic su Salva.
agenti.
Importazione di un elenco di attributi di file
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli
elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributi di
file dal server a cui si sta accedo o da un altro server.
Nota
I file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati non
sono compatibili con le versioni precedenti.
10-13
Procedura
1.
2.
Fare clic sulla scheda attributo di file.
3.
Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributi di
file.
4.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un
elenco di attributi di file da importare esiste già, viene ignorato.
5.
Parole chiave
Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiave
correlate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi",
"gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono essere
presenti in un certificato medico. Per impedire la trasmissione di file contenti certificati
medici, è possibile usare queste parole chiave in un criterio DLP e configurare
Prevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave.
È possibile combinare parole di uso comune in modo da formare parole chiave
significative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo da
formare parole chiave che si trovano nei codici sorgente, come "END-IF", "ENDREAD" e "AT END".
È possibile usare parole chiave predefinite e personalizzate. Per i dettagli, consultare
Elenchi parole chiave predefinite a pagina 10-14 e Elenchi parole chiave personalizzate a pagina
10-16.
Elenchi parole chiave predefinite
In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite.
Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascun
10-14
elenco ha delle condizioni incorporate che determinano se il modello deve innescare una
violazione dei criteri.
Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita di
dati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/enus/enterprise/data-protection-reference-documents.aspx.
Funzionamento degli elenchi di parole chiave
Condizione del numero di parole chiave
Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di un
determinato numero di parole chiave in un documento prima che l'elenco attivi una
violazione.
La condizione del numero di parole chiave contiene i seguenti valori:
•
Tutto: tutte le parole chiave dell'elenco devono essere presenti nel documento.
•
Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente nel
documento.
•
Numero specifico: nel documento deve essere presente almeno il numero di
parole chiave specificato. Se nel documento è presente un numero di parole
superiore a quello specificato, Prevenzione perdita di dati attiva una violazione.
Condizione di distanza
Alcuni elenchi contengono una condizione di “distanza” per determinare se è presente
una violazione. la “distanza” indica il numero di caratteri tra il primo carattere di una
parola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voce
seguente:
First Name:_John_ Last Name:_Smith_
La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) e i
campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente,
Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nel
campo “First Name” e "L" nel campo “Last Name” è uguale diciotto (18).
10-15
Di seguito viene riportato un esempio che non costituisce una violazione:
The first name of our new employee from Switzerland is John. His last name is
Smith.
In questo esempio, il numero di caratteri tra “f ” nel campo “first name” e “l” nel campo
“last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza e
non si verifica una violazione.
Elenchi parole chiave personalizzate
Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiave
predefiniti soddisfa le proprie esigenze.
Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elenco
deve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco ad
un criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti:
•
Qualsiasi parola chiave
•
Tutte le parole chiave
•
Tutte le parole chiave comprese tra <x> caratteri
•
Il punteggio combinato per le parole chiave supera la soglia
Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzate
a pagina 10-16.
Elenchi di parole chiave personalizzate
Tabella 10-3. Criteri per un elenco di parole chiave
Criteri
Regola
Qualsiasi
parola chiave
Un file deve contenere almeno una parola chiave dell'elenco di parole
chiave.
Tutte le parole
chiave
Un file deve contenere tutte le parole chiave dell'elenco di parole
chiave.
10-16
Criteri
Regola
Tutte le parole
chiave
comprese tra
<x> caratteri
Un file deve contenere tutte le parole chiave dell'elenco di parole
chiave. Inoltre ogni coppia di parole chiave deve essere separata da un
massimo di <x> caratteri.
Ad esempio, si supponga che le tre parole chiave siano WEB, DISK e
USB e che il numero di caratteri specificato sia 20.
Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordine
DISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (in
WEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20
caratteri.
I dati seguenti soddisfano i criteri: DISK####WEB############USB
I seguenti dati non soddisfano i criteri:
DISK*******************WEB****USB (23 caratteri tra "D" e "W")
Quando si determina il numero dei caratteri, si tenga presente che un
numero basso, quale 10, consente di ottenere tempi di scansione ridotti
ma copre un'area relativamente piccola. Ciò riduce le probabilità di
rilevamento di dati sensibili, in particolare nei file di grandi dimensioni.
A un numero maggiore corrisponde un'area maggiore, ma i tempi di
scansione potrebbero essere maggiori.
Il punteggio
combinato per
le parole
chiave supera
la soglia
Un file deve contenere una o più parole chiave dell'elenco di parole
chiave. Se viene rilevata solo una parola chiave, il punteggio deve
essere maggiore della soglia. Se esistono più parole chiave, il
punteggio combinato deve essere maggiore della soglia.
Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Una
parola o frase riservata, quale "aumento di stipendio" per il reparto
Risorse umane, deve avere un punteggio relativamente alto. Parole o
frasi che non sono molto rilevanti possono avere un punteggio minore.
Quando viene configurata la soglia, occorre considerare i punteggi
assegnati alle parole chiave. Ad esempio, se esistono cinque parole
chiave e tre hanno una priorità alta, la soglia può essere uguale o
minore del punteggio combinato delle tre parole chiave di priorità alta.
Ciò significa che il rilevamento di queste tre parole chiave è sufficiente
a considerare il file come sensibile.
10-17
Creazione di un elenco di parole chiave
Procedura
1.
2.
Fare clic sulla scheda parola chiave.
3.
4.
Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non deve
superare 100 byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
6.
Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i
criteri scelti:
7.
8.
•
Qualsiasi parola chiave
•
Tutte le parole chiave
•
Tutte le parole chiave comprese tra <x> caratteri
•
Il punteggio combinato per le parole chiave supera la soglia
Per aggiungere parole chiave all'elenco in modo manuale:
a.
Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte e
specificare se si applica la distinzione tra maiuscole e minuscole.
b.
Per aggiungere parole chiave con l'opzione "importa":
Nota
Utilizzare questa opzione se è disponibile un file .csv in formato corretto che contiene
le parole chiave. È possibile generare il file esportando le parole chiave dal server a cui
si sta accedendo o da un altro server.
10-18
a.
Fare clic su Importa e individuare il file .csv che contiene le parole chiave.
b.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se
una parola chiave da importare esiste già nell'elenco, viene ignorata.
9.
Per eliminare le parole chiave, selezionarle e fare clic su Elimina.
10. Per esportare le parole chiave:
Nota
Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppure
per importarle su un altro server. Saranno esportate le parole chiave presenti
nell'elenco. Non è possibile esportare singole parole chiave.
a.
Fare clic sul pulsante Esporta.
b.
Salvare il file .csv risultante nel percorso desiderato.
agenti.
Importazione di un elenco di parole chiave
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli
elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parole
chiave dal server a cui si sta accedendo o da un altro server.
Nota
I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perdita di
dati non sono compatibili con le versioni precedenti.
10-19
Procedura
1.
2.
Fare clic sulla scheda parola chiave.
3.
Fare clic su Importa e individuare il file .dat che contiene le parole chiave.
4.
elenco di parole chiave da importare esiste già, viene ignorato.
5.
Modelli di Prevenzione perdita di dati
I modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto)
per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati che
soddisfano una determinata istruzione condizionale.
Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E deve
contenere determinati termini legali (parole chiave) E deve contenere numeri ID
(espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterio
consente al personale delle Risorse umane di trasmettere il file stampandolo in modo che
la copia stampata possa essere firmata da un dipendente. La trasmissione attraverso tutti
gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata.
Se sono stati configurati degli identificatori di dati DLP, è possibile creare i propri
modelli. È possibile inoltre usare i modelli predefiniti. Per i dettagli, consultare Modelli
DLP personalizzati a pagina 10-21 e Modelli DLP predefiniti a pagina 10-21.
Nota
Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modello
dal criterio prima di eliminarlo.
10-20
Modelli DLP predefiniti
Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possono
essere utilizzati per conformarsi ai diversi standard normativi. Questi modelli non
possono essere modificati o eliminati.
•
GLBA: Gramm-Leach-Billey Act
•
HIPAA: Health Insurance Portability and Accountability Act
•
PCI-DSS: Payment Card Industry Data Security Standard
•
SB-1386: US Senate Bill 1386
•
US PII: United States Personally Identifiable Information
Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengono
protetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/
enterprise/data-protection-reference-documents.aspx.
Modelli DLP personalizzati
Creare modelli personalizzati se sono stati configurati identificatori di dati. I modelli
combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni
condizionali.
Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici,
vedere Istruzioni condizionali e operatori logici a pagina 10-21.
Istruzioni condizionali e operatori logici
Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestare
attenzione all'uso degli operatori logici durante la configurazione delle istruzioni
condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può
produrre risultati imprevisti.
Vedere alcuni esempi nella tabella seguente.
10-21
Tabella 10-4. Esempi di istruzioni condizionali
Istruzione
condizionale
[Identificatore di dati 1] E
[Identificatore di dati 2]
Eccetto [Identificatore di
dati 3]
Interpretazione ed esempio
Un file deve soddisfare [Identificatore di dati 1] e
[Identificatore di dati 2] ma non [Identificatore di dati 3].
Ad esempio:
Un file deve essere [un documento Adobe PDF] e deve
contenere [un indirizzo e-mail] ma non deve contenere
[tutte le parole chiave dell'elenco di parole chiave].
[Identificatore di dati 1] O
[Identificatore di dati 2]
Il file deve soddisfare la [Identificatore di dati 1] o
[Identificatore di dati 2].
Ad esempio:
Il file deve essere [un documento Adobe PDF] o [un
documento Microsoft Word].
Eccetto [Identificatore di
dati 1]
Un file non deve soddisfare [Identificatore di dati 1].
Ad esempio:
Un file non deve essere [un file multimediale].
Come indicato nell'ultimo esempio della tabella, il primo identificatore di dati
nell'istruzione condizionale può avere l'operatore "Eccetto" se un file non deve
soddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte dei
casi, tuttavia, il primo identificatore di dati non ha un operatore.
Creazione di un modello
Procedura
1.
Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP.
2.
3.
10-22
Inserire un nome per il modello. La lunghezza del nome non deve superare 100
byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
4.
5.
Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi".
Durante la selezione delle definizioni:
•
Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionare
gli identificatori di dati.
•
Utilizzare la funzionalità di ricerca per cercare una definizione specifica. È
possibile immettere il nome completo o una parte del nome dell'identificatore
di dati.
•
Ogni modello può comprende al massimo 40 identificatori di dati.
6.
Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiungi
nuova espressione. Configurare le impostazioni dell'espressione nella schermata
visualizzata.
7.
Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi su
Aggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco di
attributi di file nella schermata visualizzata.
8.
Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi su
Aggiungere nuova parola chiave. Configurare le impostazioni per l'elenco delle
keyword nella schermata visualizzata.
9.
Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde al
numero di volte che un'espressione deve ricorrere prima che Prevenzione perdita di
dati la applichi a un criterio.
10. Scegliere un operatore logico per ciascuna definizione.
Nota
Prestare attenzione all'uso degli operatori logici durante la configurazione delle
istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non
corretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedere
Istruzioni condizionali e operatori logici a pagina 10-21.
10-23
11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fare
clic sull'icona del cestino.
12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se non
corrisponde all'istruzione desiderata.
15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti.
Importazione di modelli
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene i
modelli. È possibile generare il file esportando i modelli dal server a cui si sta accedendo
o da un altro server.
Nota
Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di dati
associati (precedentemente denominati Definizioni). Prevenzione perdita di dati non può
importare i modelli che non dispongono dei relativi identificatori di dati associati.
Procedura
1.
Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP.
2.
Fare clic su Importa e individuare il file .dat che contiene i modelli.
3.
modello da importare esiste già, viene ignorato.
4.
10-24
Canali DLP
Gli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScan
può monitorare i seguenti canali:
•
Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocolli
di rete, come HTTP e FTP.
•
Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesse
utilizzando le applicazioni locali e le periferiche nel dispositivo.
Canali di rete
OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete:
•
Client di posta elettronica
•
FTP
•
HTTP e HTTPS
•
Applicazioni di messaggistica istantanea
•
Protocollo SMB
•
Webmail
Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito della
trasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato,
OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori della
rete locale (LAN).
Per ulteriori informazioni sull'ambito della trasmissione, vedere Ambito e destinazioni della
trasmissione per i canali di rete a pagina 10-29.
Client di posta elettronica
OfficeScan controlla i messaggi trasmessi tramite diversi agenti di posta elettronica.
OfficeScan verifica oggetto, corpo e allegati dei messaggi e-mail per rilevare eventuali
10-25
identificatori di dati. Per un elenco degli agenti e-mail supportati, consultare il
documento Elenchi di protezione dati su:
Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di posta
elettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppure
blocca il messaggio e-mail.
È possibile definire i domini e-mail interni non monitorati e i sottodomini monitorati.
•
Domini e-mail non monitorati: OfficeScan consente immediatamente la
trasmissione dei messaggi e-mail inviati ai domini non monitorati.
Nota
Le trasmissioni di dati ai domini e-mail non monitorati e ai sottodomini e-mail
monitorati in cui l'azione è "Monitoraggio" sono simili perché la trasmissione è
consentita. L'unica differenza consiste nel fatto che per i domini e-mail non
monitorati, OfficeScan non registra la trasmissione, mentre per i sottodomini e-mail
monitorati la trasmissione viene sempre registrata.
•
Sottodomini e-mail monitorati: quando OfficeScan rileva messaggi trasmessi a
un sottodominio monitorato, verifica l'azione per il criterio. In base all'azione, la
trasmissione viene consentita o bloccata.
Nota
Se come canali monitorati si selezionano agenti di posta elettronica, affinché un
messaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Al
contrario, un messaggio e-mail inviato a un sottodominio monitorato viene
monitorato automaticamente, anche se non soddisfa alcun criterio.
Specificare i domini usando i seguenti formati; usare la virgola per separare più domini:
•
Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina
•
Domini di posta elettronica, come example.com
Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il server
SMTP di destinazione è presente negli elenchi seguenti:
10-26
1.
Destinazioni monitorate
2.
Destinazioni non monitorate
Nota
Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultare
Definizione di destinazioni non monitorate e monitorate a pagina 10-42.
3.
Domini di posta elettronica non monitorati
4.
Sottodomini e-mail monitorati
Questo significa che se un messaggio e-mail viene inviato a un server SMTP presente
nell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se il
server SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScan
verifica gli altri elenchi.
Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchi
seguenti:
1.
Domini di posta elettronica non monitorati
2.
Sottodomini e-mail monitorati
FTP
Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP,
controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è stato
caricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca il
caricamento.
Se si configura un criterio che blocca l'upload di file, ricordare quanto segue:
•
Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare di
nuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire che
carichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato
chiuso il client FTP. Informare gli utenti di questa situazione quando vengono
implementati i criteri DLP.
•
Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTP
potrebbe essere eliminato.
10-27
Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su:
HTTP e HTTPS
OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS,
OfficeScan controlla i dati prima che vengano crittografati e trasmessi.
Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezione
dati su:
Applicazioni di messaggistica istantanea
OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni di
messaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengono
controllati.
Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchi
di protezione dati su:
Quando OfficeScan blocca un messaggio o un file inviato tramite AOL Instant
Messenger, MSN, Windows Messenger o Windows Live Messenger, chiude anche
l'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non risponde
e gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessuna
notifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazione
quando vengono implementati i criteri DLP.
Protocollo SMB
OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server Message
Block (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire,
10-28
salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file è
o contiene identificatori di dati e poi autorizza oppure blocca l'operazione.
Nota
L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad
esempio, Controllo dispositivo non consente lo spostamento di file su unità di rete
mappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza.
Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per
dispositivi di archiviazione a pagina 9-4.
Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi,
consultare gli elenchi di protezione dati su:
Webmail
I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. Se
OfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere se
contengono identificatori di dati.
Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione dati
su:
Ambito e destinazioni della trasmissione per i canali di
rete
L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canali
di rete che OfficeScan deve monitorare. Per le trasmissioni che devono essere
monitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire o
bloccare la trasmissione. Per le trasmissioni che non devono essere monitorate,
10-29
OfficeScan non verifica la presenza di identificatori di dati e consente subito la
trasmissione.
Ambito trasmissione: Tutte le trasmissioni
OfficeScan controlla i dati trasmessi all'esterno del computer host.
Nota
Trend Micro consiglia di scegliere questo ambito per gli agenti esterni.
Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterne
al computer host, definire quanto segue:
•
Destinazioni non monitorate: OfficeScan non effettua il monitoraggio dei dati
trasmessi a queste destinazioni.
Nota
Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è
"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola
differenza è che, per le destinazioni non monitorate, OfficeScan non registra la
trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre
registrata.
•
Destinazioni monitorate: Destinazioni specifiche nell'ambito delle destinazioni
non monitorate che devono essere monitorate. Le destinazioni monitorate sono:
•
Facoltative, se sono state definite destinazioni non monitorate.
•
Non configurabili se non sono state definite le destinazioni non monitorate.
Ad esempio:
Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda:
•
Da 10.201.168.1 a 10.201.168.25
Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tutti
gli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, è
necessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi:
10-30
Opzione
Opzione 1
Opzione 2
Passaggi
1.
Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non
monitorate.
2.
Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale
alle destinazioni monitorate. Si presupponga che siano disponibili
3 indirizzi IP, 10.201.168.21-10.201.168.23.
Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio
legale alle destinazioni non monitorate:
•
10.201.168.1-10.201.168.20
•
10.201.168.24-10.201.168.25
Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,
consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-42.
Ambito trasmissione: Solo trasmissioni esterne alla LAN
(Local Area Network)
OfficeScan esegue il monitoraggio dei dati trasmessi a qualsiasi destinazione esterna alla
LAN (Local Area Network).
Nota
Trend Micro consiglia di scegliere questo ambito per gli agenti interni.
Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale (indirizzo
IP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard:
•
Classe A: da 10.0.0.0 a 10.255.255.255
•
Classe B: da 172.16.0.0 a 172.31.255.255
•
Classe C: da 192.168.0.0 a 192.168.255.255
Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue:
•
Destinazioni non monitorate: Definire destinazioni esterne alla LAN considerate
sicure e che quindi non devono essere monitorate.
10-31
Nota
Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è
"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola
differenza è che, per le destinazioni non monitorate, OfficeScan non registra la
trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre
registrata.
•
Destinazioni monitorate: Definire le destinazioni interne alla LAN da
monitorare.
Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,
consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-42.
Risoluzione dei conflitti
Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e le
destinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità,
in ordine decrescente:
•
Destinazioni monitorate
•
Destinazioni non monitorate
•
Ambito trasmissione
Canali di applicazioni e sistemi
OfficeScan può monitorare i seguenti canali di applicazioni e sistemi:
•
Cloud storage services
•
Supporti di registrazione dati (CD/DVD)
•
Applicazioni peer-to-peer
•
Crittografia PGP
•
Stampante
•
Dispositivi di archiviazione rimovibili
10-32
•
Software di sincronizzazione (ActiveSync)
•
Appunti di Windows
Cloud Storage Service
OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando i cloud
storage services. Per un elenco dei cloud storage services supportati, consultare il
documento Elenchi di protezione dati su:
Nota
Prevenzione perdita di dati supporta la crittografia sui cloud storage services quando
Endpoint Encryption è installato sul dispositivo agente.
Supporti di registrazione dati (CD/DVD)
OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e di
dispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su:
Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi o
software supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione è
Blocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati.
Se OfficeScan rileva almeno un identificatore di dati, non verrà registrato alcun file,
inclusi quelli che non sono identificatori di dati o che non li contengono. OfficeScan
può anche impedire l'espulsione del CD o DVD. Se si verifica questo problema,
avvertire gli utenti che devono riavviare il processo del software o il dispositivo.
OfficeScan implementa altre regole di registrazione di CD/DVD:
•
Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file:
.bud
.dll
.gif
.gpd
.htm
.ico
.ini
10-33
.jpg
.lnk
.sys
.ttf
.url
.xml
•
Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) non
vengono controllati per aumentare le prestazioni.
•
OfficeScan non controlla i file nelle seguenti directory:
*:\autoexec.bat
*:\Windows
..\Dati applicazioni
..\Cookies
..\Impostazioni locali
..\ProgramData
..\Programmi
..\Users\*\AppData
..\WINNT
•
Le immagini ISO create dalle unità e dal software non vengono controllate.
Blocco dell'accesso ai supporti di registrazione dati (CD/DVD)
Il controllo del dispositivo può limitare l'accesso solo a dispositivi di registrazione
CD/DVD che utilizzano il formato Live File System. Alcune applicazioni di terze parti
che utilizzano il formato master possono ancora eseguire operazioni di lettura o scrittura
anche quando il controllo del dispositivo è attivato. Utilizzare Prevenzione perdita di dati
per limitare l'accesso a dispositivi di registrazione CD/DVD che utilizzano qualsiasi tipo
di formato.
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti
esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti
interni.
10-34
) per
Nota
Se ancora non sono state configurate, configurare le impostazioni della posizione
dell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criterio
di Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivo
a pagina 14-2.
5.
Scegliere una delle seguenti opzioni:
•
Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le
impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le
impostazioni agli agenti esterni.
6.
Nella scheda Regole, fare clic su Aggiungi.
7.
Selezionare Attiva questa regola.
8.
9.
Fare clic sulla scheda Modello.
10. Selezionare il modello Tutte le estensioni di file dall'elenco e fare clic su
Aggiungi.
11. Fare clic sulla scheda Canale.
12. Nella sezione Canali di applicazioni e sistemi, selezionare Supporti di
registrazione dati (CD/DVD).
13. Fare clic sulla scheda Operazione.
14. Selezionare l'azione Blocca.
10-35
•
impostazioni.
•
Applicazioni peer-to-peer
OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer.
Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezione
dati su:
Crittografia PGP
OfficeScan controlla i dati che devono essere crittografati dal software di crittografia
PGP. OfficeScan controlla i dati prima della crittografia.
Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi di
protezione dati su:
Stampante
OfficeScan controlla le operazioni della stampante avviate da varie applicazioni.
OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono stati
salvati perché a questo punto le informazioni di stampa sono solo state salvate in
memoria.
10-36
Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultare
gli elenchi di protezione dati su:
Dispositivi di archiviazione rimovibili
OfficeScan effettua il monitoraggio della trasmissione dei dati verso o all'interno dei
dispositivi di memoria rimovibili. Attività correlate alla trasmissione dei dati
comprendono:
•
Creazione di un file nel dispositivo
•
Copia di un file dal computer host al dispositivo
•
Chiusura di un file modificato nel dispositivo
•
Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo
Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppure
autorizza la trasmissione.
Nota
•
L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se,
ad esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo di
archiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguita
anche se DLP la autorizza.
•
Prevenzione perdita di dati supporta la crittografia su dispositivi di archiviazione
rimovibili quando Endpoint Encryption è installato sul dispositivo agente.
Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitano
le attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su:
La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è un
processo semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Word
10-37
potrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il quale
l'utente salva il file). Se il file contiene un identificatore di dati che non deve essere
trasmesso, OfficeScan impedisce il salvataggio del file.
Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue innanzitutto il
backup del file (se le dimensioni non superano i 75 MB) in %WINDIR%
\system32\dgagent\temp prima di elaborarlo. OfficeScan elimina il file di backup se ha
autorizzato la trasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile
che il file possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan
copia il file di backup nella cartella che contiene il file originale.
OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissione
dei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base ai
fornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi.
Suggerimento
dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.
Software di sincronizzazione (ActiveSync)
OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software di
sincronizzazione.
Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi di
protezione dati su:
Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso la
porta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i dati
sono identificatori di dati prima di autorizzarne o bloccarne la trasmissione.
Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque essere
creato un file con lo stesso nome contenente caratteri in formato non corretto nella
10-38
cartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono state
copiate sul dispositivo prima che OfficeScan bloccasse la trasmissione.
Appunti di Windows
OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirne
o bloccarne la trasmissione.
OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktop
remoto. Il monitoraggio avviene sull'entità con l'Agente OfficeScan. L'Agente
OfficeScan su una macchina virtuale VMware, ad esempio, può impedire la trasmissione
dei dati degli appunti della macchina virtuale al computer host. Allo stesso modo, un
computer host con l'Agente OfficeScan non può copiare i dati degli appunti su un
dispositivo a cui si accede da desktop remoto.
Azioni di Prevenzione perdita di dati
Quando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati,
controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azione
configurata per il criterio.
Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati.
Tabella 10-5. Azioni di Prevenzione perdita di dati
Azione
Descrizione
Azioni
Ignora
Prevenzione perdita di dati consente e registra la
trasmissione.
Blocca
Prevenzione perdita di dati blocca e registra la
trasmissione.
Ulteriori azioni
10-39
Azione
Descrizione
Notifica all'utente dell'agente
Prevenzione perdita di dati visualizza un messaggio di
notifica per informare l'utente della trasmissione di dati e
se tale operazione è stata bloccata o consentita.
Registra dati
Indipendentemente dall'azione primaria, Prevenzione
perdita di dati registra le informazioni sensibili nella
<Cartella di installazione del client>\DLPLite\Forensic. Selezionare
questa azione per valutare le informazioni sensibili da
contrassegnate da Prevenzione perdita di dati.
Le informazioni sensibili registrate possono utilizzare
troppo spazio su disco. Quindi, Trend Micro consiglia
vivamente di scegliere questa opzione solo per
informazioni particolarmente sensibili.
10-40
Azione
Descrizione
Crittografa i canali supportati
utilizzando la chiave o la
password specificata
(disponibile solo se Endpoint
Encryption è installato)
Se Trend Micro Endpoint Encryption è installato insieme
all'agente OfficeScan, Prevenzione perdita di dati è in
grado di crittografare automaticamente i file prima di
consentire all'utente di spostarli in un'altra posizione. Se
Endpoint Encryption non è installato, Prevenzione perdita
di dati esegue l'azione Blocca sui file.
Nota
Questa opzione è
disponibile solo per i
canali dei servizi dei
dispositivi di
archiviazione
rimovibili e della cloud
storage, nonché
quando viene
selezionata l'azione
Ignora.
Scegliere una delle seguenti chiavi di crittografia o una
password fissa:
•
Chiave utente: questa chiave, denominata anche
Chiave locale, è univoca per ciascun utente e
consente l'accesso al file crittografato solo all'utente
che l'ha creato.
•
Chiave condivisa: questa chiave fa riferimento alla
Chiave di gruppo o alla Chiave aziendale e
l'amministratore di Endpoint Encryption configura il
tipo mediante PolicyServer MMC.
•
Password fissa: gli utenti specificano manualmente
una password fissa attraverso una richiesta sullo
schermo. Endpoint Encryption crea un pacchetto
autoestraente a cui gli utenti possono accedere su
qualsiasi dispositivo dopo aver fornito la password di
decrittografia.
Importante
•
Per poter crittografare i dati, è necessario che
il dispositivo di destinazione abbia Endpoint
Encryption installato e che l'utente vi abbia
eseguito l'accesso.
•
I file crittografati contenuti in dispositivi USB
sono soggetti alla scansione Prevenzione
perdita di dati quando gli utenti provano a
descrittografarli. La decrittografia di file
contenenti dati sensibili in un dispositivo USB
attiva il protocollo di crittografia USB, con la
conseguenza che il sistema richiede che i dati
sensibili vengano nuovamente crittografati. Per
evitare che OfficeScan tenti di crittografare di
nuovo i dati, spostare i file crittografati in
un'unità locale prima di provare ad accedere ai
dati.
Prevenzione perdita di dati bocca i tentativi10-41
di
•
caricamento dei file nella cloud storage
quando viene utilizzato un client Web.
Crittografare i file manualmente prima di
caricarli mediante un client Web.
Azione
Giustificazione utente
Nota
Questa opzione è
disponibile solo dopo
aver selezionato
l'azione Blocca.
Descrizione
Prevenzione perdita di dati chiede conferma all'utente
prima di eseguire l'azione “Blocca”. L'utente può scegliere
di sovrascrivere l'azione “Blocca” fornendo una
spiegazione del perché sia sicuro ignorare i dati sensibili.
Le giustificazioni disponibili sono le seguenti:
•
Si tratta di un processo aziendale definito.
•
Il responsabile ha approvato il trasferimento dei
dati.
•
I dati di questo file non sono riservati.
•
Altro: Gli utenti forniscono una spiegazione
alternativa nel campo del testo disponibile.
Eccezioni di Prevenzione perdita di dati
Le eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'interno
del criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte le
trasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrisponde
a una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente la
trasmissione o la scansione, in base al tipo di eccezione.
Definizione di destinazioni non monitorate e monitorate
Definire le destinazioni non monitorate e monitorate in base all'ambito di trasmissione
nella scheda Canale. Per ulteriori informazioni su come definire le destinazioni non
monitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte le
trasmissioni a pagina 10-30. Per ulteriori informazioni su come definire le destinazioni non
monitorate e monitorate per Solo trasmissioni esterne alla LAN (Local Area
Network), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area
Network) a pagina 10-31.
Seguire queste istruzioni quando si definiscono le destinazioni monitorate e non
monitorate:
10-42
1.
Definire ciascuna destinazione secondo:
•
Indirizzo IP
•
Nome host
•
FQDN
•
Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32
Nota
Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR
(Classless Inter-Domain Routing). Questo significa che si dovrà immettere
semplicemente un numero come 32 invece di 255.255.255.0.
2.
Per utilizzare come destinazione canali specifici, includere i numeri di porta
predefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, la
porta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e la porta
443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dai
numeri di porta.
3.
È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorare
l'intervallo di porte.
Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta e
intervalli di porte:
4.
•
10.1.1.1:80
•
host:5-20
•
host.domain.com:20
•
10.1.1.1/32:20
Separare le destinazioni con delle virgole.
10-43
Regole di decompressione
I file inclusi all'interno di file compressi possono essere sottoposti a scansione per
individuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzione
perdita di dati applica le seguenti regole a un file compresso:
•
Le dimensioni del file decompresso superano: __ MB (1-512 MB)
•
I livelli di compressione superano: __ (1-20)
•
Il numero di file da analizzare supera: __ (1-2000)
Regola 1: Dimensioni massime di un file decompresso
Un file compresso, una volta decompresso, deve soddisfare il limite specificato.
Esempio: il limite è impostato a 20 MB.
Scenario 1: se le dimensioni di archive.zip dopo la decompressione sono di 30 MB,
nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole non
vengono verificate.
Scenario 2: se le dimensioni di my_archive.zip dopo la decompressione sono di 10 MB:
•
Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 e
procede con la Regola 3.
•
Se my_archive.zip contiene file compressi, le dimensioni di tutti i file decompressi
devono essere entro il limite. Ad esempio, se my_archive.zip contiene AAA.rar,
BBB.zip e EEE.zip, e EEE.zip contiene 222.zip:
= 10 MB dopo la decompressione
my_archive.zip
\AAA.rar
\BBB.zip
\EEE.zip
\222.zip
10-44
my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in base alla Regola 2
perché le dimensioni combinate di questi file sono entro il limite di 20 MB. AAA.rar
viene ignorato.
Regola 2: Numero massimo di livelli di compressione
I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione.
Ad esempio:
my_archive.zip
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Se il limite è impostato su due livelli:
•
OfficeScan ignora 333.txt perchè si trova al terzo livello.
•
OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3:
•
DDD.txt (nel primo livello)
•
CCC.xls (nel secondo livello)
•
111.pdf (nel secondo livello)
Regola 3: Numero massimo di file da sottoporre a scansione
OfficeScan esegue la scansione dei file fino al limite specificato.OfficeScan esegue la
scansione di file e cartelle prima in ordine numerico e poi alfabetico.
Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziati
per la scansione:
my_archive.zip
10-45
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non viene
controllata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In tal
modo, il numero totale di file da anlizzare diventa 5, come indicato di seguito:
my_archive.zip
\7Folder
\FFF.doc
\7Folder
\GGG.ppt
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file:
•
FFF.doc
•
GGG.ppt
•
CCC.xls
•
DDD.txt
10-46
Nota
Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati.
Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i file
incorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file.
Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i file
incorporati (ad esempio, abc.exe) vengono contati come file separati.
Eventi che innescano le regole di decompressione
I seguenti eventi innescano le regole di decompressione:
Tabella 10-6. Eventi che innescano le regole di decompressione
Un file compresso che deve essere
trasmesso corrisponde a un criterio e
l'azione per il file compresso è Ignora
(trasmetti il file).
Ad esempio, per monitorare i file .ZIP
trasmessi dagli utenti, è stato definito un
attributo di file (.ZIP) e aggiunto a un
modello, quindi il modello è stato usato in
un criterio e l'azione è stata impostata su
Ignora.
Nota
Se l'azione è Blocca, l'intero file
compresso non viene trasmesso e,
quindi, non è necessario eseguire la
scansione dei file che questo
contiene.
Un file compresso che deve essere
trasmesso non corrisponde a un criterio.
In questo caso, OfficeScan applica
comunque le regole di decompressione al
file compresso per determinare quali file in
esso contenuti devono essere sottoposti a
scansione per verificare la presenza di
risorse digitali e stabilire se l'intero file
compresso deve essere trasmesso o
meno.
Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un file
compresso:
10-47
•
Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissione
dell'intero file compresso.
•
Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole.
OfficeScan consente la trasmissione dell'intero file compresso se:
•
Tutti i file sottoposti a scansione non corrispondono a un criterio.
•
Tutti i file sottoposti a scansione corrispondono a un criterio e l'azione
Ignora.
La trasmissione dell'intero file compresso viene bloccata se almeno uno dei
file sottoposti a scansione corrisponde a un criterio e l'azione è Blocca.
Configurazione dei criteri Prevenzione perdita
di dati
È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configurato
gli identificatori di dati e averli organizzati in modelli.
Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessario
configurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri di
Prevenzione perdita di dati a pagina 10-3.
Creazione di un criterio di Prevenzione perdita di dati
Procedura
1.
2.
3.
4.
interni.
10-48
) per
Nota
Se ancora non sono state configurate, configurare le impostazioni della posizione
dell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criterio
di Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivo
a pagina 14-2.
5.
Selezionare Attiva Prevenzione perdita di dati.
6.
Scegliere una delle seguenti opzioni:
7.
•
Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le
impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le
impostazioni agli agenti esterni.
Nella scheda Regole, fare clic su Aggiungi.
Un criterio può contenere un massimo di 40 regole.
8.
Configurare le impostazioni delle regole.
Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole di
Prevenzione perdita di dati a pagina 10-50.
9.
Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezione
necessarie.
Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedere
Eccezioni di Prevenzione perdita di dati a pagina 10-42.
•
impostazioni.
10-49
•
Creazione di regole di Prevenzione perdita di dati
Nota
Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una
regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva
dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”,
Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora
ulteriormente tale regola/modello.
Procedura
1.
Selezionare Attiva questa regola.
2.
Configurare le impostazioni dei modelli:
3.
Fare clic sulla scheda Modello.
4.
Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi.
Quando si selezionano i modelli:
•
Selezionare più voci facendo clic sui nomi dei modelli che evidenziano il
nome.
•
Usare la funzione di ricerca se si pensa a un modello specifico. È possibile
digitare il nome del modello per intero o parziale.
Nota
Ogni regola può comprendere un massimo di 200 modelli.
5.
10-50
Se il modello che si preferisce utilizzare non si trova nell'elenco Modelli
disponibili:
a.
Fare clic su Aggiungi nuovo modello.
Viene visualizzata la schermata Modelli di Prevenzione perdita di dati.
Per istruzioni su come aggiungere i modelli nella schermata Modelli di
Prevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 10-20.
b.
Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi.
Nota
OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo
significa che se un file o dei dati corrispondono alla definizione di un modello,
OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine dei
modelli nell'elenco.
Configurare le impostazioni dei canali:
6.
Fare clic sulla scheda Canale.
7.
Selezionare i canali per la regola.
Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 10-25 e Canali di
applicazioni e sistemi a pagina 10-32.
8.
Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione:
•
Tutte le trasmissioni
•
Solo trasmissioni esterne alla LAN (Local Area Network)
Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29 per
maggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazioni
dipendono dall'ambito della trasmissione e su come definire le destinazioni
correttamente.
9.
Se si seleziona Client di posta elettronica:
a.
Fare clic su Eccezioni.
b.
Specificare domini di posta elettronica interni monitorati e non monitorati.
Per maggiori dettagli sui domini di posta elettronica monitorati e non
monitorati, vedere Client di posta elettronica a pagina 10-25.
10-51
10. Se si seleziona Dispositivi di archiviazione rimovibili:
a.
Fare clic su Eccezioni.
b.
Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarli
in base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi.
L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come
carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i
dispositivi che soddisfano gli altri campi.
Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del
fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco
approvati.
c.
Per aggiungere altri dispositivi, fare clic sull'icona (+).
Suggerimento
dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.
Configurare le impostazioni delle azioni:
11. Fare clic sulla scheda Operazione.
12. Selezionare un'azione primaria ed eventuali azioni aggiuntive.
Per ulteriori informazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a
pagina 10-39.
Nota
Prevenzione perdita di dati supporta solo la crittografia dei dati sensibili su dispositivi
rimovibili e cloud storage services. Prevenzione perdita di dati esegue l'azione
“Ignora” senza crittografia su tutti i canali in cui la crittografia non è supportata. Per
poter crittografare i dati, è necessario che il dispositivo di destinazione abbia
Endpoint Encryption installato e che l'utente vi abbia eseguito l'accesso.
10-52
13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic su
Salva.
Importazione, esportazione e copia delle regole DLP
Gli amministratori possono importare le regole precedentemente definite, contenute in
un file .dat adeguatamente formattato, o esportare l'elenco delle regole DLP configurate.
Con la copia di una regola DLP, l'amministratore può modificare i contenuti di una
regola precedentemente definita per risparmiare tempo.
La seguente tabella descrive in che modo opera una funzione.
Tabella 10-7. Funzioni di importazione, esportazione e copia per le regole DLP
Funzione
Descrizione
Importa
L'importazione di un elenco di regole aggiunge regole non esistenti
all'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora le
regole che esistono già nell'elenco di destinazione. Prevenzione perdita
di dati gestisce tutte le impostazioni preconfigurate per ciascuna regola,
incluso lo stato di attivato o disattivato.
Esporta
Con l'esportazione di un elenco di regole si ottiene l'elenco completo in
un file .dat che gli amministratori possono importare e implementare in
altri domini o agenti. Prevenzione perdita di dati salva tutte le
impostazioni delle regole sulla base della configurazione corrente.
Nota
Copia
•
Gli amministratori devono salvare o applicare eventuali
regole nuove o modificate prima di esportare l'elenco.
•
Prevenzione perdita di dati non esporta nessuna eccezione
configurata per il criterio ma solo le impostazioni configurate
per ciascuna regola.
Con la copia di una regola viene creata una replica esatta delle
impostazioni di configurazione correnti per la regola. Gli amministratori
devono digitare un nuovo nome per la regola e possono effettuare
modifiche di configurazione necessarie per la nuova regola.
10-53
Notifiche di Prevenzione perdita di dati
OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare
gli amministratori di OfficeScan e gli utenti dell'agente sulle trasmissioni di risorse
digitali.
Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche di
Prevenzione perdita di dati per gli amministratori a pagina 10-54.
Per ulteriori informazioni sulle notifiche inviate agli utenti dell'agente, consultare
Notifiche di Prevenzione perdita di dati per gli utenti dell'agente a pagina 10-57.
Notifiche di Prevenzione perdita di dati per gli
amministratori
Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notifica
quando viene rilevata la trasmissione di risorse digitali o quando la trasmissione viene
bloccata.
OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare
gli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggi
di notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali.
Nota
OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di
Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica
attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-35.
per gli amministratori
Procedura
1.
10-54
2.
3.
Sulla scheda Criteri:
a.
Fare clic sulla sezione Trasmissioni di risorse digitali.
b.
Specificare se inviare le notifiche per il rilevamento della trasmissione delle
risorse digitali o solo quando la trasmissione è bloccata.
Sulla scheda E-mail:
a.
b.
c.
Utilizzare il Role-based Administration (RBA) per concedere agli utenti
autorizzazioni per il dominio della struttura agente. Se la trasmissione avviene
in un agente appartenente a un dominio specifico, il messaggio e-mail viene
inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La
tabella seguente illustra alcuni esempi:
Ruoli con
autorizzazioni
per il dominio
Dominio A
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Dominio B
Account
utente con il
ruolo
Indirizzo email
dell'account
utente
Dominio della
struttura
agente
Se qualsiasi Agente OfficeScan appartenente al Dominio A rileva una
trasmissione di risorse digitali, il messaggio e-mail viene inviato a
[email protected], [email protected] e [email protected].
10-55
Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva la
trasmissione, il messaggio e-mail viene inviato a [email protected] e
[email protected].
Nota
Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il
dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail
di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli
indirizzi e-mail sono configurati da Amministrazione > Gestione account >
Account utente.
d.
indirizzi e-mail.
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.
Usare solo variabili token per rappresentare i dati nei campi Oggetto e
Messaggio.
Tabella 10-9. Variabili token per le notifiche di Prevenzione perdita di dati
Variabile
4.
10-56
Descrizione
%USER%
L'utente che accede al dispositivo quando la
trasmissione viene rilevata
%COMPUTER%
Dispositivo in cui è stata rilevata la trasmissione
%DOMAIN%
%DATETIME%
Data e ora di rilevamento della trasmissione
%CHANNEL%
Il canale attraverso il quale viene rilevata la trasmissione
%TEMPLATE%
Il modello di risorse digitali che ha avviato il rilevamento
%RULE%
Il nome della regola che ha attivato l'incidente.
Sulla scheda Trap SNMP:
a.
b.
c.
5.
6.
Accettare o modificare il messaggio predefinito. Utilizzare variabili token per
rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili
token per le notifiche di Prevenzione perdita di dati a pagina 10-56 per ulteriori
dettagli.
Sulla scheda Registro eventi NT:
a.
b.
c.
Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina
10-56 per ulteriori dettagli.
Fare clic su Salva.
Notifiche di Prevenzione perdita di dati per gli utenti
dell'agente
OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agente
immediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali.
Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata o
consentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio di
Prevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazione
dei criteri Prevenzione perdita di dati a pagina 10-48.
per gli agenti
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali
10-57
3.
Accettare o modificare il messaggio predefinito.
4.
Fare clic su Salva.
Registri di Prevenzione perdita di dati
Gli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e inviano
immediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprova
dopo 5 minuti.
13-39.
Visualizzazione dei registri di Prevenzione perdita di dati
Procedura
1.
Accedere a Agenti > Gestione agente o Registri > Agenti > Rischi per la
sicurezza.
2.
3.
Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizza
registri > Registri DLP.
4.
5.
Visualizzare i registri.
I registri contengono le seguenti informazioni:
10-58
) per
Tabella 10-10. Informazioni del registro Prevenzione perdita di dati
Colonna
Descrizione
Data/Ora
La data e l'ora in cui Prevenzione perdita di dati ha registrato
l'incidente
Utente
Il nome utente che ha effettuato l'accesso al dispositivo
Dispositivo
Il nome del dispositivo in cui Prevenzione perdita di dati ha
rilevato la trasmissione
Dominio
Il dominio del dispositivo
IP
L'indirizzo IP del dispositivo
Nome regola
I nomi delle regole che hanno generato l'incidente.
Nota
I criteri creati in una versione precedente di OfficeScan
visualizzano come nome predefinito
LEGACY_DLP_Policy.
Canale
Il canale attraverso il quale si è verificata la trasmissione
Processo
Il processo che ha facilitato la trasmissione di una risorsa
digitale (il processo dipende dal canale)
Per i dettagli, consultare Processi per canale a pagina
10-60.
Origine
L'origine del file contenente la risorsa digitale o il canale (se
non è presente alcuna risorsa disponibile)
Destinazione
La destinazione designata del file contenente la risorsa
digitale o il canale (se non è disponibile alcuna risorsa )
Azione
L'azione eseguita sulla trasmissione
Dettagli
Un collegamento che include ulteriori informazioni sulla
trasmissione
Per i dettagli, consultare Dettagli del registro per Prevenzione
della perdita di dati a pagina 10-62.
10-59
6.
Processi per canale
La tabella seguente contiene un elenco dei processi che vengono visualizzati nella
colonna Processo dei registri di Prevenzione perdita di dati.
Tabella 10-11. Processi per canale
Canale
Software di
sincronizzazione
(ActiveSync)
Processo
Il percorso completo e il nome del processo del software di
sincronizzazione.
Esempio:
C:\Windows\system32\WUDFHost.exe
Supporto di
registrazione dati
(CD/DVD)
Percorso completo e nome di processo del supporto di
registrazione dati
Esempio:
C:\Windows\Explorer.exe
Appunti di
Windows
Non pertinente
Client di posta
elettronica - Lotus
Notes
Percorso completo e nome di processo di Lotus Notes
Esempio:
C:\Program Files\IBM\Lotus\Notes\nlnotes.exe
Client di posta
elettronica Microsoft Outlook
Percorso completo e nome di processo di Microsoft Outlook
Esempio:
C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
10-60
Canale
Client di posta
elettronica - Tutti i
client che usano il
protocollo SMTP
Processo
Percorso completo e nome di processo del client di posta
elettronica
Esempio:
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
Dispositivi di
archiviazione
rimovibili
Nome di processo dell'applicazione che ha trasmesso i dati al
dispositivo di archiviazione oppure all'interno dello stesso
Esempio:
explorer.exe
FTP
Percorso completo e nome di processo del client FTP
Esempio:
D:\Programmi\FileZilla FTP Client\filezilla.exe
HTTP
"Applicazione HTTP"
HTTPS
Percorso completo e nome di processo del browser o
dell'applicazione
Esempio:
C:\Programmi\Internet Explorer\iexplore.exe
Applicazione IM
Percorso completo e nome di processo dell'applicazione di
messaggistica istantanea
Esempio:
C:\Program Files\Skype\Phone\Skype.exe
Applicazione di
messaggistica
istantanea - MSN
•
Percorso completo e nome di processo di MSN
Esempio:
C:\Programmi\Windows Live\Messenger\ msnmsgr.exe
•
"Applicazione HTTP" se i dati sono trasmessi da una finestra
di chat
10-61
Canale
Applicazione peerto-peer
Processo
Percorso completo e nome di processo dell'applicazione peer-topeer
Esempio:
D:\Program Files\BitTorrent\bittorrent.exe
Crittografia PGP
Percorso completo e nome di processo del software di crittografia
PGP
Esempio:
C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe
Stampante
Percorso completo e nome di processo dell'applicazione che ha
avviato un'operazione della stampante
Esempio:
C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE
Protocollo SMB
Percorso completo e nome di processo dell'applicazione da cui è
stato effettuato l'accesso ai file condivisi (copia o creazione di un
nuovo file)
Esempio:
C:\Windows\Explorer.exe
Webmail (modalità
HTTP)
"Applicazione HTTP"
Webmail (modalità
HTTPS)
Percorso completo e nome di processo del browser o
dell'applicazione
Esempio:
C:\Programmi\Mozilla Firefox\firefox.exe
Dettagli del registro per Prevenzione della perdita di dati
La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza dati
aggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano in
base al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente.
10-62
Nella seguente tabella sono riporta i dati che vengono visualizzati.
Tabella 10-12. Dettagli del registro per Prevenzione della perdita di dati
Dettagli
Descrizione
Data/Ora
La data e l'ora in cui Prevenzione perdita di dati ha registrato
l'incidente
ID violazione
L'ID univoco dell'incidente
Utente
Il nome utente che ha effettuato l'accesso al dispositivo
Dispositivo
Il nome del dispositivo in cui Prevenzione perdita di dati ha
rilevato la trasmissione
Dominio
Il dominio del dispositivo
IP
L'indirizzo IP del dispositivo
Canale
Il canale attraverso il quale si è verificata la trasmissione
Processo
Il processo che ha facilitato la trasmissione di una risorsa digitale
(il processo dipende dal canale)
Per i dettagli, consultare Processi per canale a pagina 10-60.
Origine
L'origine del file contenente la risorsa digitale o il canale (se non è
presente alcuna risorsa disponibile)
Mittente e-mail
L'indirizzo e-mail dal quale la trasmissione proviene
Oggetto e-mail
La riga dell'oggetto del messaggio e-mail contenente la risorsa
digitale
Destinatario e-mail
Gli indirizzi e-mail di destinazione del messaggio e-mail
URL
L'URL di un sito Web o di una pagina Web
Utente FTP
Il nome utente usato per accedere al server FTP
Classe file
Il tipo di file nel quale Prevenzione perdita di dati ha rilevato la
risorsa digitale
10-63
Dettagli
Regola/Modello
Descrizione
Un elenco di nomi di regole e modelli esatti che hanno attivato il
rilevamento
Nota
Ciascuna regola contiene modelli multipli che hanno
generato l'incidente. I nomi dei modelli multipli sono
separati dalle virgole.
Azione
L'azione eseguita sulla trasmissione
Motivo
giustificazione
utente
Il motivo fornito dall'utente per il trasferimento continuo di dati
sensibili
Attivazione del registro di debug per il modulo Protezione
dati
Procedura
1.
Richiedere il file logger.cfg all'assistenza tecnica.
2.
Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
\PC-cillinNTCorp\DlpLite (per i sistemi a 32 bit) o HKEY_LOCAL_MACHINE
\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\DlpLite (per
i sistemi a 64 bit):
•
Tipo: stringa
•
Nome: debugcfg
•
Valore: C:\Log\logger.cfg
3.
Creare una cartella denominata “Log” nella directory C:\
4.
Copiare logger.cfg nella cartella “Log”.
5.
Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivo
della console Web per avviare la raccolta dei registri.
10-64
Nota
Per disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nella
chiave di registro e riavviare il dispositivo.
10-65
Capitolo 11
Protezione dei computer dalle
minacce Web
In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan per
proteggere la rete e i computer dalle minacce Web.
•
Minacce Web a pagina 11-2
•
Servizi di avvisi contatti Command & Control a pagina 11-2
•
Reputazione Web a pagina 11-4
•
Criteri di reputazione Web a pagina 11-5
•
Servizio di connessione sospetta a pagina 11-14
•
Notifiche di minacce Web per utenti agente a pagina 11-18
•
Notifiche di callback C&C per gli amministratori a pagina 11-19
•
Infezioni dei callback C&C a pagina 11-23
•
Registri delle minacce Web a pagina 11-26
11-1
Minacce Web
Le minacce Web comprendono un'ampia gamma di minacce che hanno origine su
Internet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano una
combinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori di
minacce Web modificano, ad esempio, in modo continuo la versione o la variante di una
minaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Web
anziché sul dispositivo infetto, l'autore della minaccia modifica continuamente il suo
codice affinché non venga rilevata.
Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spyware
sono noti come criminali informatici. Le minacce Web consentono a questi individui di
perseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo di
lucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità.
Il dispositivo infetto può essere utilizzato per un attacco di phishing o per altre attività
volte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima di
insicurezza generale nei confronti delle transazioni via Internet e la conseguente perdita
di fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo è
impossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro.
Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchi
Denial-of-Service distribuiti o abuso di annunci "pay-per-click".
Servizi di avvisi contatti Command & Control
I Servizi di avvisi contatti Trend Micro Command & Control (C&C) forniscono
funzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minacce
costanti e attacchi mirati avanzati. I Servizi di avvisi contatti C&C sono integrati con i
Servizi di reputazione Web che determinano l'azione eseguita sugli indirizzi di callback
rilevati in base al livello di sicurezza della reputazione Web.
L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando il
Motore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasi
canale di rete.
Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web,
consultare Configurazione dei Criteri di reputazione Web a pagina 11-5.
11-2
Protezione dei computer dalle minacce Web
Tabella 11-1. Caratteristiche dei servizi di avvisi contatti C&C
Funzione
Descrizione
Elenco Global
Intelligence
Trend Micro Smart Protection Network compila l'elenco Global
Intelligence da origini di tutto il mondo e verifica e valuta il livello di
rischio di ciascun indirizzo di callback C&C I servizi di reputazione
Web utilizzano l'elenco Global Intelligence insieme ai punteggi di
reputazione per i siti Web dannosi al fine di fornire una maggiore
sicurezza dalle minacce avanzate. Il livello di sicurezza della
reputazione Web determina l'azione eseguita sui siti Web dannosi o
sui server C&C in base ai livelli di rischio assegnati.
Elenco Virtual
Analyzer
Gli Smart Protection Server possono essere integrati con Virtual
Analyzer per ottenere l'elenco dei server Virtual Analyzer C&C. Virtual
Analyzer valuta i potenziali rischi in un ambiente protetto e, utilizzando
euristica avanzata e metodi di verifica dei comportamenti, assegna un
livello di rischio alle minacce analizzate. Virtual Analyzer popola
l'elenco Virtual Analyzer con le minacce che tentano di connettersi a
un possibile server C&C. L'elenco Virtual Analyzer è altamente
specifico per ciascuna azienda e offre una difesa più personalizzata
dagli attacchi mirati.
OfficeScan recupera l'elenco da Virtual Analyzer ed è in grado di
valutare tutte le possibili minacce C&C attraverso l'elenco Global
Intelligence e quello Virtual Analyzer locale.
Per ulteriori informazioni sulla connessione degli elenchi di oggetti
sospetti di Virtual Analyzer, consultare Configurazione delle
impostazioni dell'elenco di oggetti sospetti a pagina 13-32.
Servizio di
connessione
sospetta
Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali
e definiti dall'utente e controlla il comportamento delle connessioni che
i dispositivi stabiliscono con i potenziali server C&C.
Per i dettagli, consultare Servizio di connessione sospetta a pagina
11-14.
Notifiche
amministratore
Gli amministratori possono scegliere di ricevere notifiche dettagliate e
personalizzabili una volta rilevato un callback C&C.
Per i dettagli, consultare Configurazione delle notifiche di callback
C&C per gli amministratori a pagina 11-19.
11-3
Funzione
Notifiche
agente
Descrizione
Gli amministratori possono scegliere di inviare notifiche dettagliate e
personalizzabili agli utenti finali una volta rilevato un callback C&C in
un dispositivo.
Per i dettagli, consultare Notifiche di avvisi contatti C&C per gli utenti
degli agenti a pagina 11-22.
Notifiche di
infezione
Gli amministratori possono personalizzare le notifiche di infezione
specifiche degli eventi di callback C&C e specificare se l'infezione
avviene in un solo dispositivo o nell'intera rete.
Per i dettagli, consultare Infezioni dei callback C&C a pagina 11-23.
Registri di
callback C&C
I registri forniscono informazioni dettagliate relative a tutti gli eventi di
callback C&C.
Per i dettagli, consultare Visualizzazione dei registri di callback C&C a
pagina 11-27.
Reputazione Web
La tecnologia di reputazione Web tiene traccia della credibilità dei domini Web
assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i
cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi
del comportamento delle minacce informatiche. I siti sono continuamente sottoposti a
scansione e l'accesso ai siti infetti viene bloccato.
Gli Agenti OfficeScan inviano query alle origini Smart Protection per determinare la
reputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sito
Web è correlata al criterio di reputazione Web specifico applicato sul dispositivo. A
seconda del criterio utilizzato, l'Agente OfficeScan blocca o consente l'accesso a un sito
Web.
Nota
Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini Smart
Protection a pagina 4-24.
11-4
Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri o
pericolosi. Quando l'Agente OfficeScan rileva un accesso a tali siti Web, consente o
blocca automaticamente l'accesso e non invia altre query alle origini Smart Protection.
Criteri di reputazione Web
I criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a un
sito Web.
È possibile configurare i criteri per gli agenti interni ed esterni. Gli amministratori di
OfficeScan in genere configurano criteri più rigidi per gli agenti esterni.
I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile
applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile
applicare un singolo criterio a tutti gli agenti.
Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella
schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2) per
determinare la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta
che cambia la posizione.
Configurazione dei Criteri di reputazione Web
Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed è
necessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali per
l'autenticazione del server proxy.
Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per gli
agenti OfficeScan a pagina 14-55.
Procedura
1.
2.
Selezionare le destinazioni nella struttura agente.
•
Per configurare un criterio per gli agenti con Windows XP, Vista, 7, 8, 8.1 o
10, selezionare l'icona del dominio root ( ), domini specifici o agenti.
11-5
Nota
Quando si seleziona un dominio root o domini specifici, l'impostazione verrà
applicata solo agli agenti con Windows XP, Vista, 7, 8, 8.1 o 10. Non verrà
applicata agli agenti con Windows Server 2003, Windows Server 2008 o
Windows Server 2012, anche se appartengono ai domini.
•
Per configurare un criterio per gli agenti con Windows Server 2003, Windows
Server 2008 o Windows Server 2012, selezionare un agente specifico.
3.
Fare clic su Impostazioni > Impostazioni di reputazione Web.
4.
interni.
Suggerimento
Configurare le impostazioni della posizione agente se non sono state già configurate.
Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi e
applicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizione
dispositivo a pagina 14-2.
5.
Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi.
I sistemi operativi elencati nella schermata variano in base alle destinazioni
selezionate nel passaggio 1.
Suggerimento
Trend Micro consiglia di disattivare la reputazione Web per gli agenti interni nel caso
in cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazione
Web, come InterScan Web Security Virtual Appliance.
Quando un criterio di reputazione Web è attivato:
11-6
•
Gli agenti esterni inviano query di reputazione Web a Smart Protection
Network.
•
Gli agenti interni inviano query di reputazione Web a:
6.
•
Gli Smart Protection Server se l'opzione Invia query a Smart
Protection Server è attivata. Per ulteriori informazioni su questa
opzione, vedere il passaggio 7.
•
Gli Smart Protection Network se l'opzione Invia query a Smart
Protection Server è attivata.
Selezionare Attiva valutazione.
Nota
In modalità di valutazione, gli agenti consentono l'accesso a tutti i siti Web, ma
registrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazione
fosse disattivata. La modalità di valutazione fornita da Trend Micro consente di
valutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, ad
esempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati.
7.
Selezionare Verifica URL HTTPS.
Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web.
Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro,
accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siti
compromessi, anche quelli con certificati validi, possono ospitare minacce
informatiche e sottrarre informazioni personali. Inoltre, i certificati sono
relativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione di
server Web dannosi che utilizzano HTTPS.
Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi o
dannosi che usano HTTPS. OfficeScan è in grado di monitorare il traffico HTTPS
sui seguenti browser:
11-7
Tabella 11-2. Browser supportati per il traffico HTTPS
Browser
Microsoft Internet Explorer
11-8
Versione
•
6 con SP2 o successivo
•
7.x
•
8.x
•
9.x
•
10.x
•
11.x
Microsoft Edge
N.D.
Mozilla Firefox
3.5 o versioni successive
Chrome
N.D.
Importante
•
La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1,
Windows 10 o Windows 2012 in modalità desktop.
•
Dopo aver attivato la scansione HTTPS per la prima volta negli Agenti
OfficeScan, è necessario che gli utenti attivino il componente aggiuntivo
necessario nel browser prima che la scansione HTTPS sia operativa.
•
Firefox
Per gli Agenti OfficeScan con Windows 7, 8, 8.1, 10, Server 2008 R2 o
Server 2012, gli utenti devono attivare il componente aggiuntivo Trend
Micro Osprey Firefox Extension 2.0.0.1077 nella finestra popup del browser (o
nella schermata Componenti aggiuntivi > Estensioni).
Per gli Agenti OfficeScan con Windows XP, Vista, Server 2003 o Server
2008 gli utenti devono attivare il componente aggiuntivo Trend Micro NSC
Firefox Extension 5.82.0.1092 nella finestra popup del browser (o nella
schermata Componenti aggiuntivi > Estensioni).
•
Internet Explorer 9, 10 e 11
Per gli Agenti OfficeScan con Windows 7, 8, 8.1, 10, Server 2008 R2 o
Server 2012, gli utenti devono attivare il componente aggiuntivo Trend
Micro Osprey Plugin Class nella finestra popup del browser.
Per gli Agenti OfficeScan con Windows XP, Vista, Server 2003 o Server
2008, gli utenti devono attivare il componente aggiuntivo TmIEPlugInBHO
Class nella finestra popup del browser.
Per informazioni sulla configurazione delle impostazioni di Internet Explorer
per la reputazione Web, consultare i seguenti articoli della Knowledge Base:
8.
•
•
Selezionare Esegui scansione solo delle porte HTTP comuni per limitare la
scansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Per
impostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tutte
le porte.
11-9
Nota
Non supportato in Windows 7, 8, 8.1, 10 o Windows Server 2008 R2, 2012 o
piattaforme successive.
9.
Selezionare Invia query a Smart Protection Server se si desidera che gli agenti
interni inviino query di reputazione Web agli Smart Protection Server.
•
Se si attiva questa opzione:
•
Gli agenti fanno riferimento all'elenco delle origini Smart Protection per
determinare a quale Smart Protection Server connettersi.
Per ulteriori informazioni sull'elenco delle origini Smart Protection,
consultare Elenco delle origini Smart Protection a pagina 4-24.
•
11-10
•
Accertarsi che gli Smart Protection Server siano disponibili. Se nessuno
Smart Protection Server è disponibile, gli agenti non inviano query a
Smart Protection Network. Le sole origini rimanenti di dati di
reputazione Web per gli agenti sono gli elenchi di URL approvati e
bloccati (configurati nel passaggio 10).
•
Se si desidera che gli agenti si connettano agli Smart Protection Server
tramite un server proxy, specificare le impostazioni del proxy nella
scheda Amministrazione > Impostazioni > Proxy > Proxy interno.
•
Aggiornare gli Smart Protection Server regolarmente in modo da
mantenere aggiornata la protezione.
•
Gli agenti non bloccano i siti Web non testati. Gli Smart Protection
Server non memorizzano i dati di reputazione Web per questi siti Web.
Se si disattiva questa opzione:
•
Gli agenti inviano query di reputazione Web a Smart Protection
Network. I computer agente devono essere dotati di una connessione
Internet per poter inviare query correttamente.
•
Se la connessione a Smart Protection Network richiede l'autenticazione
del server proxy, specificare le credenziali di autenticazione in
Amministrazione > Impostazioni > Proxy > Proxy esterno
(scheda) > Connessione dell'agente OfficeScan con i server Trend
Micro.
•
Gli agenti bloccheranno i siti Web non testati se si seleziona Blocca le
pagine che non sono state testate da Trend Micro nel passaggio 11.
10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto,
Medio o Basso
Nota
I livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a un
URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan blocca
solo gli URL considerati come minaccia Web. Impostando il livello di sicurezza più
elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità di
falsi allarmi.
11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nel
passaggio 9, è possibile selezionare Blocca le pagine che non sono state testate
da Trend Micro.
Nota
Anche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza,
gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove o
poco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma si
impedisce anche l'accesso alle pagine sicure.
12. Selezionare Blocca le pagine che contengono script dannosi per identificare
vulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minacce
comprometta il browser Web.
OfficeScan utilizza sia il pattern Prevenzione minaccia browser sia il pattern Script
Analyzer, per identificare e bloccare le pagine Web prima di esporre il sistema.
11-11
Tabella 11-3. Browser supportati per Prevenzione minaccia browser
Browser
Microsoft Internet Explorer
Versione
•
7.x
•
8.x
•
9.x
•
10.x
•
11.x
Importante
Per usare la funzione Prevenzione minaccia browser, è necessario abilitare il Servizio
di protezione avanzata.
Per attivare il Servizio di protezione avanzata, accedere a Agenti > Gestione agente
e fare clic su Impostazioni > Impostazioni aggiuntive del servizio.
Dopo avere attivato per la prima volta la funzione Prevenzione minaccia browser su
Agenti OfficeScan, gli utenti devono attivare il componente aggiuntivo richiesto nel
browser prima che Prevenzione minaccia browser sia operativo. Per gli Agenti
OfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare il componente
aggiuntivo Trend Micro IE Protection nella finestra popup del browser.
13. Configurare gli elenchi approvati e bloccati.
Nota
L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.
Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenti
consentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degli
URL bloccati.
a.
Selezionare Attiva elenco approvati/bloccati.
b.
Immettere un URL.
È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL.
Ad esempio:
11-12
•
Se si immette www.trendmicro.com/*, tutte le pagine del sito Web Trend
Micro saranno approvate.
•
Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasi
sottodominio di trendmicro.com saranno approvate.
È possibile immettere URL che contengono indirizzi IP. Se un URL contiene
un indirizzo IPv6, racchiudere l'indirizzo tra parentesi.
c.
Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco
Bloccati.
d.
Salva.
e.
Importante
Reputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchi
Approvati e Bloccati.
14. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito in
Valuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di query
della reputazione Web di Trend Micro.
15. Selezionare se consentire che l'Agente OfficeScan invii i registri di reputazione Web
al server. Consentire agli agenti di inviare i registri se si desidera analizzare gli URL
che vengono bloccati da OfficeScan ed eseguire le azioni appropriate per gli URL
che si considerano sicuri per l'accesso.
•
impostazioni.
11-13
•
Servizio di connessione sospetta
Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti
dall'utente e controlla il comportamento delle connessioni che i dispositivi stabiliscono
con i potenziali server C&C.
•
Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono un
ulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IP
specifici. Configurare questi elenchi quando si desidera consentire l'accesso a un
indirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a un
indirizzo che può rappresentare un rischio per la sicurezza.
Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali
definiti dall'utente a pagina 11-15.
•
L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete
(Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i
server C&C confermati da Trend Micro. Il motore NCIE rileva il contatto del
server C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospetta
registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globale
per la valutazione.
Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, consultare
Configurazione delle impostazioni di connessione sospetta a pagina 11-16.
•
Dopo aver rilevato la minaccia informatica sui dispositivi tramite il pattern regola di
pertinenza corrispondente sui pacchetti di rete, il Servizio di connessione sospetta
può effettuare ulteriori ricerche sul comportamento della connessione, per
determinare se si è verificato un callback C&C. Dopo aver individuato un callback
C&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettare
l'origine della connessione utilizzando la tecnologia GeneriClean.
Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta,
vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-16.
11-14
Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4.
Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntive
del servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli,
consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8.
Configurazione impostazioni degli elenchi di indirizzii IP
globali definiti dall'utente
Gli amministratori possono configurare OfficeScan per consentire, bloccare o registrare
tutte le connessioni tra agenti e indirizzi IP C&C definiti dall'utente.
Nota
Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4.
Procedura
1.
2.
Accedere alla sezione Impostazioni connessione sospetta.
3.
Fare clic su Modifica elenco IP definito dall'utente.
4.
Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gli
indirizzi IP che si desidera monitorare.
Suggerimento
È possibile configurare OfficeScan solo per registrare le connessioni effettuate verso
gli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo le
connessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definito
dall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-16.
a.
b.
Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP, l'intervallo
dell'indirizzo IP o l'indirizzo IPv4 e la subnet mask per l'OfficeScan da
monitorare.
11-15
c.
Fare clic su Salva.
5.
Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accanto
all'indirizzo e fare clic su Elimina.
6.
Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermata
Impostazioni globali agente.
Configurazione delle impostazioni di connessione
sospetta
OfficeScan è in grado di registrare tutte le connessioni effettuate tra agenti e indirizzi
nell'elenco IP C&C globale. La schermata impostazioni di connessione sospetta
consente effettivamente la registrazione ma permette ancora di accedere agli indirizzi IP
configurati nell'elenco di indirizzi IP bloccati definito dall'utente
OfficeScan è inoltre in grado di monitorare le connessioni che possono essere risultato
di un botnet o di un'altra minaccia informatica. Dopo aver rilevato una minaccia
informatica, OfficeScan può tentare di eliminare l'infezione.
Procedura
1.
2.
3.
Fare clic su Impostazioni > Impostazioni di connessione sospetta.
) per
Viene visualizzata la schermata Impostazioni di connessione sospetta.
4.
Attivare l'impostazione Registra connessioni di rete effettuate agli indirizzi
nell'elenco IP C&C globale per monitorare le connessioni effettuate sui server
C&C confermati di Trend Micro.
•
11-16
Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IP
bloccati definito dall'utente, attivare l'impostazione Registra e consenti
l'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente.
Nota
È necessario attivare il registro della connessione di rete prima che OfficeScan
consenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente.
Per ulteriori informazioni sull'elenco IP C&C globale, consultare Servizio di
5.
Attivare l'impostazione Registra connessioni mediante l'impronta di rete della
minaccia per eseguire la corrispondenza di pattern sulle intestazioni dei pacchetti.
OfficeScan registra tutte le connessioni effettuate dai pacchetti con le intestazioni
che corrispondono alle minacce informatiche con l'uso del pattern regola di
pertinenza.
•
Per consentire a OfficeScan di disinfettare le connessioni effettuate sui server
C&C, attivare l'impostazione Disinfetta connessioni sospette quando
viene rilevato un callback C&C. OfficeScan usa GeneriClean per
disinfettare le minacce informatiche e interrompere la connessione al server
C&C.
Nota
È necessario attivare Registra connessioni mediante l'impronta di rete della
minaccia prima che OfficeScan tenti di disinfettare le connessioni effettuate sui
server C&C rilevate dalla corrispondenza della struttura dei pacchetti.
6.
•
impostazioni.
•
11-17
Notifiche di minacce Web per utenti agente
OfficeScan può visualizzare un messaggio di notifica sul dispositivo Agente OfficeScan
subito dopo aver bloccato un URL che viola un criterio di reputazione Web. È
necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto di
tale messaggio.
Attivazione del messaggio di notifica di minacce Web
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni.
5.
Nella sezione Impostazioni di reputazione Web, selezionare Visualizza una
notifica quando un sito Web viene bloccato.
6.
Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica
quando un callback C&C viene rilevato.
7.
11-18
) per
•
impostazioni.
•
Modifica delle notifiche di minacce Web
Procedura
1.
2.
Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web da
modificare:
•
Violazioni della reputazione Web
•
Callback C&C
3.
4.
Fare clic su Salva.
Notifiche di callback C&C per gli
amministratori
e altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibile
proprie esigenze.
Configurazione delle notifiche di callback C&C per gli
amministratori
Procedura
1.
2.
Sulla scheda Criteri:
a.
Accedere alla sezione Callback C&C.
11-19
b.
3.
Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C
(l'azione può essere bloccata o registrata) o solo quando il livello di rischio
dell'indirizzo di callback è Alto.
Sulla scheda E-mail:
a.
b.
c.
Utilizzare il Role-based Administration (RBA) per concedere agli utenti
autorizzazioni per il dominio della struttura agente. Se la trasmissione avviene
in un agente appartenente a un dominio specifico, il messaggio e-mail viene
inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La
tabella seguente illustra alcuni esempi:
Ruoli con
autorizzazioni
per il dominio
Dominio A
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Dominio B
Account
utente con il
ruolo
Indirizzo email
dell'account
utente
Dominio della
struttura
agente
Se un Agente OfficeScan appartenente al Dominio A rileva un callback C&C,
il messaggio e-mail viene inviato a [email protected], [email protected] e
[email protected].
Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva il callback
C&C, il messaggio e-mail viene inviato a [email protected] e [email protected].
11-20
Nota
Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il
dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail
di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli
indirizzi e-mail sono configurati da Amministrazione > Gestione account >
Account utente.
d.
indirizzi e-mail.
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.
Utilizzare le variabili token per rappresentare i dati nei campi Oggetto e
Messaggio.
Tabella 11-5. Variabili token per le notifiche dei callback C&C
Variabile
4.
Descrizione
%CLIENTCOMPU
TER%
Il dispositivo di destinazione che ha inviato il callback
%IP%
L'indirizzo IP del dispositivo di destinazione
%DOMAIN%
Dominio del computer
%DATETIME%
Data e ora di rilevamento della trasmissione
%CALLBACKADD
RESS%
L'indirizzo di callback del server C&C
%CNCRISKLEVE
L%
Il livello di rischio del server C&C
%CNCLISTSOUR
CE%
Indica l'elenco delle origini di C&C
%ACTION%
Operazione eseguita
Sulla scheda Trap SNMP:
a.
b.
11-21
c.
5.
6.
Accettare o modificare il messaggio predefinito. Utilizzare variabili token per
rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili
token per le notifiche dei callback C&C a pagina 11-21 per ulteriori dettagli.
Sulla scheda Registro eventi NT:
a.
b.
c.
Tabella 11-5: Variabili token per le notifiche dei callback C&C a pagina 11-21 per
ulteriori dettagli.
Fare clic su Salva.
Notifiche di avvisi contatti C&C per gli utenti
degli agenti
OfficeScan può visualizzare un messaggio di notifica sui computer Agente OfficeScan
subito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio di
notifica e, se lo si desidera, modificare il contenuto del messaggio
Attivazione del messaggio di notifica di callback C&C
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni.
11-22
) per
5.
Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica
quando un callback C&C viene rilevato.
6.
•
impostazioni.
•
Modifica delle notifiche di callback C&C
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Callback C&C.
3.
4.
Fare clic su Salva.
Infezioni dei callback C&C
Definire un'infezione dei callback C&C per numero, origine e livello di rischio dei
callback.
modificare i messaggi di notifica in base alle diverse esigenze.
11-23
Nota
OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite posta
elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a
OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica
amministratore a pagina 13-35.
Configurazione delle notifiche e dei criteri delle infezioni
dei callback C&C
Procedura
1.
2.
Nella scheda Criteri, configurare le opzioni riportate di seguito:
Opzione
Descrizione
Stesso host
compromesso
Selezionare per definire un'infezione basata sui
rilevamenti di callback per dispositivo
Specificare se generare un'infezione in tutti i callback
C&C o solo sulle origini ad alto rischio
Azione
Selezionare tra Qualsiasi azione, Registrata o
Bloccata
Rilevamenti
Indicare il numero di rilevamenti richiesto che definisce
un'infezione
Periodo di tempo
Indicare il numero di ore entro il quale deve avvenire il
numero di rilevamenti
Suggerimento
3.
a.
11-24
b.
c.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare variabili token per rappresentare i dati nel campo
Oggetto e Messaggio.
Tabella 11-6. Variabili token per le notifiche dei callback C&C
Variabile
e.
4.
5.
6.
Descrizione
%C
Numero di registri dei callback C&C
%T
Periodo di tempo di accumulo dei registri dei callback C&C
Selezionare le informazioni aggiuntive disponibili sui callback C&C da
includere nel messaggio e-mail.
a.
b.
c.
ulteriori dettagli.
a.
b.
c.
ulteriori dettagli.
Fare clic su Salva.
11-25
Registri delle minacce Web
Configurare gli agenti esterni e interni in modo che inviino i registri di reputazione Web
al server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioni
appropriate per gli URL considerati sicuri, consentire tale operazione.
13-39.
Visualizzazione dei registri di reputazione Web
Procedura
1.
agente.
2.
3.
Fare clic su Visualizza registri > Registri reputazione Web o su Registri >
Registri reputazione Web.
4.
5.
Elemento
11-26
Descrizione
Data/Ora
Ora del rilevamento
Dispositivo
L'dispositivo su cui si è verificato il rilevamento
Dominio
Il dominio dell'dispositivo oggetto del rilevamento
URL
L'URL bloccato dai servizi di reputazione Web
Livello di rischio
Il livello di rischio dell'URL
) per
Elemento
Descrizione
Descrizione
Una descrizione della minaccia per la sicurezza
Processo
Il processo tramite il quale è stato tentato il contatto
(path\application_name)
Azione
L'azione eseguita sul rilevamento
6.
Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungi
all'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati.
7.
Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file
o salvarlo in una posizione specifica.
Visualizzazione dei registri di callback C&C
Procedura
1.
agente.
2.
3.
Fare clic su Visualizza registri > Registri dei callback C&C o Registri >
Registri dei callback C&C.
4.
5.
Elemento
) per
Descrizione
Data/Ora
Ora del rilevamento
Utente
L'utente ha effettuato l'accesso all'ora del rilevamento
Host compromesso
L'dispositivo origine del callback
11-27
Elemento
6.
Descrizione
Indirizzo IP
L'indirizzo IP dell'host compromesso
Dominio
L'indirizzo a cui l'dispositivo ha inviato il callback
Origine elenco C&C
L'origine dell'elenco C&C che ha identificato il server
C&C
Il livello di rischio del server C&C
Protocollo
Il protocollo Internet usato per la trasmissione
Processo
Il processo che ha avviato la trasmissione (path
\application_name)
Azione
L'azione eseguita sul callback
Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clic
sul pulsante Aggiungi a elenco reputazione Web approvati per aggiungere
l'indirizzo all'elenco reputazione Web approvati.
Nota
OfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per i
rilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&C
Virtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvati
C&C definito dall'utente.
Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali
definiti dall'utente a pagina 11-15.
7.
11-28
Visualizzazione dei registri delle connessioni sospette
Procedura
1.
agente.
2.
3.
Fare clic su Visualizza registri > Registri delle connessioni sospette oppure
Registri > Registri delle connessioni sospette.
4.
5.
Elemento
) per
Descrizione
Data/Ora
Ora del rilevamento
Dispositivo
L'dispositivo su cui si è verificato il rilevamento
Dominio
Processo
Il processo che ha avviato la trasmissione (path
\application_name)
IP locale e porta
L'indirizzo IP e il numero di porta dell'dispositivo di
origine
IP remoto e porta
L'indirizzo IP e il numero di porta dell'dispositivo di
destinazione
Risultato
Il risultato dell'azione effettuata
Rilevato da
L'origine dell'elenco C&C che ha identificato il server
C&C
Direzione del traffico
La direzione della trasmissione
11-29
6.
11-30
Capitolo 12
Utilizzo del firewall di OfficeScan
In questo capitolo vengono descritte le configurazioni e le funzioni del firewall
OfficeScan.
•
Informazioni sul Firewall di OfficeScan a pagina 12-2
•
Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6
•
Criteri e profili del firewall a pagina 12-8
•
Privilegi firewall a pagina 12-24
•
Impostazioni firewall globali a pagina 12-26
•
Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan a pagina 12-29
•
Registri del firewall a pagina 12-30
•
Infezioni da violazione del firewall a pagina 12-32
•
Test del firewall OfficeScan a pagina 12-33
12-1
Informazioni sul Firewall di OfficeScan
Il firewall di OfficeScan protegge gli agenti e i server della rete grazie a un sistema di
"stateful inspection" e alle scansioni di virus della rete a elevate prestazioni. Con la
console di gestione centrale, è possibile creare regole per filtrare le connessioni per
applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a
gruppi diversi di utenti.
Nota
È possibile attivare, configurare e utilizzare il firewall di OfficeScan su dispositivi di
Windows XP sui quali è stato attivato Windows Firewall. Per fare questo, tuttavia, è
necessario gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e
ottenere risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare
la documentazione Microsoft.
Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:
•
Filtraggio del traffico a pagina 12-2
•
Filtro di applicazioni a pagina 12-3
•
Elenco software sicuro certificato a pagina 12-3
•
Scansione dei virus di rete a pagina 12-4
•
Profili e criteri personalizzabili a pagina 12-4
•
Stateful Inspection a pagina 12-4
•
Sistema di rilevamento anti-intrusione a pagina 12-4
•
Monitoraggio delle infezioni di violazione del firewall a pagina 12-6
•
Privilegi firewall dell'agente OfficeScan a pagina 12-6
Filtraggio del traffico
Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di
bloccare alcuni tipi di traffico in base ai seguenti criteri:
12-2
•
Direzione (in entrata/in uscita)
•
Protocollo (TCP/UDP/ICMP/ICMPv6)
•
Porte di destinazione
•
dispositivi di origine e destinazione
Filtro di applicazioni
Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni,
consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai
criteri impostati dall'amministratore.
Nota
OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8,
Windows 8.1, Windows 10 e Windows Server 2012. OfficeScan consente o impedisce il
traffico di tutte le applicazioni sui dispositivi con tali piattaforme.
Elenco software sicuro certificato
L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono
evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su
Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete.
Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un
elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro.
Nota
Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare
l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio
prevenzione modifiche non autorizzate e il Servizio Certified Safe Software.
12-3
Scansione dei virus di rete
Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per i
dettagli, consultare Virus e minacce informatiche a pagina 7-2.
Profili e criteri personalizzabili
Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o
consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili,
che poi potranno essere implementati negli Agenti OfficeScan specificati. Questo
costituisce un metodo molto personalizzabile di organizzare e configurare le
impostazioni del firewall per gli agenti.
Stateful Inspection
Il firewall di OfficeScan è di tipo Stateful Inspection: ovvero, controlla tutte le
connessioni dell'Agente OfficeScan e registra tutti gli stati di connessione. È in grado di
identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno
e individuare le interruzioni in una connessione normale. L'uso efficace del firewall,
quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle
connessioni e il filtro dei pacchetti che passano attraverso il firewall.
Sistema di rilevamento anti-intrusione
Il firewall OfficeScan include anche un sistema di rilevamento anti-intrusione (IDS). Se
attivato, IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono
indicare un attacco al Agente OfficeScan. Il firewall OfficeScan consente di evitare le
seguenti intrusioni note:
Intrusione
frammento troppo
grande
12-4
Descrizione
Attacco DoS (Denial of Service) in cui un hacker dirige un
pacchetto TCP/UDP di dimensioni eccessive sul dispositivo di
destinazione. Un'operazione di questo tipo può comportare
l'overflow del buffer sul dispositivo, causando il blocco o il riavvio
del dispositivo.
Intrusione
Descrizione
Ping of Death
Attacco DoS (Denial of Service) in cui un hacker dirige un
pacchetto ICMP/ICMPv6 di dimensioni eccessive sul dispositivo di
destinazione. Un'operazione di questo tipo può comportare
l'overflow del buffer sul dispositivo, causando il blocco o il riavvio
del dispositivo.
conflitto ARP
Tipo di attacco in cui un hacker invia una richiesta ARP (Address
Resolution Protocol) a un dispositivo di destinazione utilizzando lo
stesso indirizzo IP come origine e come destinazione. Il
dispositivo oggetto dell'attacco comincia a inviare continuamente
una risposta ARP (il suo indirizzo MAC) a se stesso, con
conseguente blocco del sistema.
flooding SYN
Attacco DoS (Denial of Service) in cui un programma invia al
dispositivo più pacchetti di sincronizzazione (SYN) TCP,
causando un invio continuo di risposte di riconoscimento della
sincronizzazione (SYN/ACK) da parte del dispositivo. Ciò può
esaurire la memoria del dispositivo e causare guasti del
dispositivo.
frammenti
sovrapposti
In modo analogo al teardrop, questo attacco DoS (Denial of
Service) invia al dispositivo frammenti TCP sovrapposti. Questo
causa la sovrascrittura delle informazioni di intestazione del primo
frammento TCP che potrebbe così oltrepassare un firewall. Il
firewall, a questo punto, potrebbe consentire l'accesso ai
successivi frammenti contenenti il codice maligno permettendo
loro di raggiungere il dispositivo di destinazione.
Teardrop
Questo attacco DoS (Denial of Service) simile all'attacco a
frammenti sovrapposti, utilizza dei frammenti IP. Un valore di
offset errato all'interno del secondo o di altri frammenti IP può
causare il blocco del sistema operativo del dispositivo ricevente
nel momento in cui tenta di riassemblare i frammenti.
attacco frammento
minuscolo
Tipo di attacco in cui un frammento TCP di dimensioni minime
forza le informazioni di intestazione del primo pacchetto TCP
all'interno del frammento successivo. In questo modo potrebbero
essere ignorati i frammenti successivi che potrebbero contenere
dati dannosi.
12-5
Intrusione
Descrizione
IGMP frammentato
Attacco DoS (Denial of Service) che invia pacchetti IGMP
frammentati a un dispositivo di destinazione ,che non riesce a
elaborarli correttamente. Ciò può bloccare il dispositivo o
rallentarne le attività.
attacco LAND
Tipo di attacco che invia al dispositivo pacchetti di
sincronizzazione (SYN) IP contenenti lo stesso indirizzo come
origine e come destinazione facendo in modo che il dispositivo
invii la risposta di riconoscimento della sincronizzazione (SYN/
ACK) a se stesso. Ciò può bloccare il dispositivo o rallentarne le
attività.
Monitoraggio delle infezioni di violazione del firewall
Quando le violazioni del firewall superano determinate soglie che potrebbero far
pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica
personalizzato a specifici destinatari.
Privilegi firewall dell'agente OfficeScan
È possibile concedere agli utenti dell'Agente OfficeScan le autorizzazioni necessarie per
visualizzare le impostazioni del firewall nella console dell'Agente OfficeScan. nonché
quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il
messaggio di notifica della violazione del firewall.
Attivazione o disattivazione del Frewall di
OfficeScan
Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare o
disattivare il firewall OfficeScan.
Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulle
prestazioni, in particolare sulle piattaforme del server (Windows Server 2003, Windows
Server 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall.
12-6
Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo per
proteggere gli agente da intrusioni, leggere prima le linee guida e le istruzioni in Servizi
È possibile attivare o disattivare il firewall su tutti i dispositivi Agente OfficeScan o solo
su alcuni.
Attivazione o disattivazione del firewall di OfficeScan sui
dispositivi selezionati
Per attivare o disattivare il firewall nella console Web, utilizzare uno dei metodi seguenti.
Metodo
Procedura
Creare un nuovo
criterio e applicarlo
agli Agenti
OfficeScan
1.
Creare un nuovo criterio per attivare o disattivare il firewall.
Per istruzioni sulla creazione di un nuovo criterio, vedere
Aggiunta o modifica di un criterio firewall a pagina 12-11.
2.
Applicare il criterio agli Agenti OfficeScan.
Attivare o disattivare
il servizio del
firewall dalla
console Web.
Per la procedura dettagliata, vedere Servizi dell'agente
Nota
La disattivazione del servizio del firewall disattiva
automaticamente tutti i criteri del firewall sugli agenti
selezionati.
Per attivare o disattivare il firewall nel dispositivi selezionato, utilizzare uno dei metodi
seguenti.
Metodo
Attivazione/
Disattivazione del
driver del firewall
Procedura
1.
Aprire le Proprietà delle Connessioni di rete Windows.
2.
Selezionare o deselezionare la casella di controllo Driver
comune Firewall Trend Micro nella scheda di rete.
12-7
Metodo
Attivazione/
Disattivazione del
servizio del firewall
Procedura
1.
Aprire il prompt dei comandi e digitare services.msc.
2.
Avviare o interrompere OfficeScan NT Firewall da Microsoft
Management Console (MMC).
Attivazione o disattivazione del firewall di OfficeScan su
tutti i dispositivi
Procedura
1.
Accedere a Amministrazione > Impostazioni > Licenza del prodotto.
2.
Andare alla sezione Servizi aggiuntivi.
3.
Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fare
clic su Attiva o Disattiva.
Criteri e profili del firewall
Il firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodi
di protezione dei dispositivi collegati in rete.
Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,
amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può
creare, configurare o eliminare i criteri e i profili di domini specifici.
Suggerimento
Installazioni di più firewall sullo stesso dispositivo possono produrre risultati inaspettati.
Prima di implementare e attivare il firewall di OfficeScan, è opportuno disinstallare altri
firewall basati su software presenti sugli Agenti OfficeScan.
Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguenti
operazioni:
12-8
1.
Creare un criterio. Il criterio consente di selezionare un livello di sicurezza che
blocca o consente il traffico sui dispositivi collegati in rete e attiva le funzioni del
firewall.
2.
Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli Agenti
OfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, è
possibile specificare gli agenti e consentire o bloccare determinati tipi di traffico
indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. È
possibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agenti
tramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modo
che gli agenti possano accedere al server Web.
3.
Creare e assegnare dei profili agli Agenti OfficeScan. Un profilo di firewall
comprende una serie di attributi agente ed è associato a un criterio. Quando un
agente corrisponde agli attributi specificati nel profilo, il criterio a esso associato
viene attivato.
Criteri firewall
I criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete non
specificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewall
vengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall.
OfficeScan comprende una serie di criteri predefiniti che è possibile modificare o
eliminare.
Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,
amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può
creare, configurare o eliminare i criteri di domini specifici.
Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall.
12-9
Tabella 12-1. Criteri del firewall predefiniti
Nome criterio
Livello
di
sicurez
za
Imposta
zioni
Agente
Eccezioni
Uso consigliato
Tutti i tipi di
accesso
Basso
Attiva
firewall
Nessuna
Da utilizzare per
consentire agli agenti
un accesso illimitato
alla rete
Porte di
comunicazione
per Trend Micro
Control Manager
Basso
Attiva
firewall
Permette tutto il
traffico TCP/UDP in
entrata e in uscita
tramite le porte 80 e
10319
Da utilizzare per gli
agenti sui quali è
installato un MCP
Agent
Console
ScanMail per
Microsoft
Exchange
Basso
Attiva
firewall
Permette tutto il
traffico TCP in
entrata e in uscita
tramite la porta
16372
Da utilizzare quando
gli agenti devono
accedere alla console
ScanMail
Console
InterScan
Messaging
Security Suite
(IMSS)
Basso
Attiva
firewall
Permette tutto il
traffico TCP in
entrata e in uscita
tramite la porta 80
Da utilizzare quando
gli agenti devono
accedere alla console
IMSS
Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, creare
nuovi criteri.
Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri del
firewall nella console Web.
Configurazione dell'elenco dei criteri del firewall
Procedura
1.
12-10
Accedere a Agenti > Firewall > Criteri.
2.
Per aggiungere un nuovo criterio, fare clic su Aggiungi.
Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterio
esistente, selezionare il criterio esistente e fare clic su Copia. Per modificare un
criterio esistente, fare clic sul nome del criterio.
Viene visualizzata la schermata per la configurazione del criterio. Consultare
Aggiunta o modifica di un criterio firewall a pagina 12-11 per ulteriori informazioni.
3.
Per eliminare un criterio esistente, selezionare la casella di controllo accanto al
criterio e fare clic su Elimina.
4.
Per modificare il modello di eccezione del firewall, fare clic su Modifica modello
di eccezione.
Consultare Modifica del modello di eccezione del firewall a pagina 12-14 per ulteriori
informazioni.
Viene visualizzato l'editor del modello di eccezione.
Aggiunta o modifica di un criterio firewall
Per ciascun criterio, configurare le impostazioni riportate di seguito:
•
Livello di sicurezza: impostazione generale che blocca o consente tutto il traffico
in entrata e/o in uscita nel dispositivo Agente OfficeScan.
•
Caratteristiche del firewall: specificare se attivare o disattivare il firewall di
OfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica
di violazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema di
rilevamento anti-intrusione a pagina 12-4.
•
Elenco software sicuro certificato: specificare se consentire alle applicazioni
sicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato a
pagina 12-3 per ulteriori informazioni su Elenco software sicuro certificato.
•
Elenco eccezioni al criterio: elenco di eccezioni configurabili che bloccano o
consentono vari tipi di traffico di rete
12-11
Aggiunta di un criterio del firewall
Procedura
1.
2.
Per aggiungere un nuovo criterio, fare clic su Aggiungi.
Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente,
selezionare il criterio esistente e fare clic su Copia.
3.
Inserire un nome per il criterio.
4.
Selezionare un livello di sicurezza.
Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametri
delle eccezioni ai criteri del firewall.
5.
Selezionare le funzioni del firewall da utilizzare per il criterio.
•
Quando il firewall blocca un pacchetto in uscita, viene visualizzato un
messaggio di notifica di violazione del firewall. Per modificare il messaggio,
vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 12-30.
•
Se l'amministratore attiva tutte le funzioni del firewall e concede agli utenti
dell'Agente OfficeScan il privilegio di configurazione delle impostazioni del
firewall, gli utenti possono attivare o disattivare le funzionalità, nonché
modificare le impostazioni del firewall nella console dell'Agente OfficeScan.
AVVERTENZA!
Non è possibile utilizzare la console Web OfficeScan per sovrascrivere le
impostazioni della console dell'Agente OfficeScan configurate dall'utente.
12-12
•
Se non si attivano queste funzioni, le impostazioni del firewall configurate
dalla console Web OfficeScan vengono visualizzate in Elenco schede di rete
nella console dell'Agente OfficeScan.
•
Le informazioni che si trovano in Impostazioni nella scheda Firewall della
console dell'Agente OfficeScan corrispondono sempre alle impostazioni
configurate nella console dell'Agente OfficeScan e non a quelle della console
Web del server.
6.
Attiva l'elenco software sicuro certificato globale o locale.
Nota
Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzione
modifiche non autorizzate e il Servizio Certified Safe Software.
7.
In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteri
qui incluse si basano sul modello di eccezione del firewall. Consultare Modifica del
modello di eccezione del firewall a pagina 12-14 per ulteriori dettagli.
•
Per modificare un'eccezione ai criteri esistente fare clic sul nome
dell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata.
Nota
L'eccezione modificata si applica solo al criterio da creare. Se si desidera rendere
permanente la modifica all'eccezione, è necessario apportare la stessa modifica
all'eccezione nel modello di eccezione del firewall.
•
Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le
impostazioni nella pagina che si apre.
Nota
Anche l'eccezione ai criteri si applica solo al criterio da creare. Per applicare
questa eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elenco
delle eccezioni criteri nel modello di eccezione del firewall.
8.
Fare clic su Salva.
Modifica di di un criterio del firewall esistente
Procedura
1.
2.
Fare clic su un criterio.
12-13
3.
4.
Modificare gli elementi riportati di seguito:
•
Nome criterio
•
Livello di sicurezza
•
Funzioni firewall da utilizzare per il criterio
•
Stato dell'elenco Servizio Certified Safe Software
•
Eccezioni ai criteri del firewall da includere nei criteri
•
Modificare un'eccezione esistente (fare clic sul nome dell'eccezione e
modificare le impostazioni nella pagina che si apre)
•
Fare clic su Aggiungi per creare una nuova eccezione ai criteri.
Specificare le impostazioni nella pagina che si apre.
Fare clic su Salva per applicare le modifiche ai criteri esistenti.
Modifica del modello di eccezione del firewall
Il modello di eccezione del firewall contiene eccezioni dei criteri che possono essere
configurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di
porta e agli indirizzi IP del dispositivo Agente OfficeScan. Una volta creata un'eccezione
ai criteri, modificare i criteri a cui si applica l'eccezione.
Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione:
•
Restrittiva
Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentono
tutto il traffico di rete. Un esempio di utilizzo di eccezione restrittiva dei criteri è il
blocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio le
porte utilizzate in genere dai cavalli di Troia.
•
Permissiva
Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccano
tutto il traffico di rete. Ad esempio, è possibile consentire agli Agenti OfficeScan di
accedere solo al server OfficeScan e a un server Web. In questo caso, è necessario
consentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con il
12-14
server OfficeScan) e dalla porta che l'Agente OfficeScan utilizza per la
comunicazione HTTP.
Porta di ascolto dell'Agente OfficeScan: Agenti > Gestione agente > Stato. Il
numero di porta è reperibile in Informazioni di base.
Porta di ascolto del server: Amministrazione > Impostazioni > Connessione
agente. Il numero di porta è reperibile in Impostazioni connessione agente.
OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che è
possibile modificare o eliminare.
Tabella 12-2. Eccezioni predefinite ai criteri del firewall
Nome
eccezione
Azion
e
Protocollo
Porta
Direzione
DNS
Consen
ti
TCP/UDP
53
In entrata e in uscita
NetBIOS
Consen
ti
TCP/UDP
137, 138,
139, 445
HTTPS
Consen
ti
TCP
443
HTTP
Consen
ti
TCP
80
Telnet
Consen
ti
TCP
23
SMTP
Consen
ti
TCP
25
FTP
Consen
ti
TCP
21
POP3
Consen
ti
TCP
110
LDAP
Consen
ti
TCP/UDP
389
12-15
Nota
Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezione
predefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IP
degli agenti.
L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versione
precedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni,
aggiungerla manualmente.
Aggiunta di un'eccezione dei criteri del firewall
Procedura
1.
2.
Fare clic su Modifica modello di eccezione.
3.
4.
Digitare un nome per l'eccezione ai criteri.
5.
Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazioni
oppure specificare il percorso o le chiavi del registro di sistema delle applicazioni.
Nota
Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione non
supporta i caratteri jolly.
6.
Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare o
consentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione del
traffico (traffico di rete in entrata o in uscita sul dispositivo Agente OfficeScan).
7.
Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6.
8.
Specificare le porte del dispositivo Agente OfficeScan sulle quali effettuare l'azione.
9.
Selezionare gli indirizzi IP del dispositivo Agente OfficeScan da includere
nell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in
entrata e in uscita) e si immette l'indirizzo IP di un singolo dispositivo nella rete,
12-16
qualsiasi Agente OfficeScan con questa eccezione tra i criteri non potrà inviare o
ricevere dati da tale indirizzo IP.
•
Tutti gli indirizzi IP: include tutti gli indirizzi IP
•
Indirizzo IP singolo: immettere un nome host oppure un indirizzo IPv4 o
IPv6.
•
Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 o
IPv6.
•
Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzo
IPv6.
•
Subnet mask: immettere un indirizzo IPv4 e la relativa subnet mask.
Modifica di un'eccezione dei criteri del firewall
Procedura
1.
2.
3.
Fare clic su un criterio di eccezione.
4.
•
Nome eccezione ai criteri
•
Tipo, nome o percorso dell'applicazione
•
Operazione che OfficeScan deve effettuare su traffico di rete e direzione del
traffico
•
Tipo di protocollo di rete
•
Numeri di porta relativi all'eccezione
•
Indirizzi IP del dispositivo Agente OfficeScan
12-17
5.
Fare clic su Salva.
Salvataggio delle impostazioni dell'elenco eccezioni al criterio
Procedura
1.
2.
3.
Fare clic su una delle opzioni di salvataggio riportate di seguito:
•
Salva modifiche al modello: salva il modello eccezioni con le eccezioni e le
impostazioni correnti. Questa opzione applica il modello solo ai criteri creati
in futuro, non a quelli esistenti.
•
Salva e applica ai criteri esistenti: salva il modello eccezioni con le
eccezioni e le impostazioni correnti. Questa opzione applica il modello a
criteri esistenti e futuri.
Profili firewall
I profili del firewall sono flessibili in quanto consentono di scegliere quali attributi un
singolo agente o un gruppo di agenti deve avere affinché il criterio venga applicato.
Creare ruoli utente che permettano di creare, configurare o eliminare i profili di specifici
domini.
Gli utenti con account di amministratore integrato o con le autorizzazioni per la
gestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezza
dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo Agente
OfficeScan con le impostazioni del server.
I profili comprendono i seguenti elementi:
•
Criterio associato: ogni profilo utilizza un singolo criterio
•
Attributi dell'agente: il criterio associato viene applicato agli Agenti OfficeScan
che dispongono di almeno uno degli attributi riportati di seguito.
12-18
•
Indirizzo IP: un indirizzo IP specifico dell'Agente OfficeScan OfficeScan, un
indirizzo IP compreso in un determinato intervallo di indirizzi IP o un
indirizzo IP appartenente a una subnet specifica
•
Dominio: un dominio OfficeScan specifico al quale appartiene l'Agente
OfficeScan
•
Dispositivo: l'Agente OfficeScan con un nome di dispositivo specifico
•
Piattaforma: una piattaforma specifica utilizzata da qualsiasi Agente
OfficeScan
•
Nome accesso: un dispositivi Agente OfficeScan a cui degli utenti specifici
hanno effettuato l'accesso
•
Descrizione NIC: un dispositivo Agente OfficeScan con una specifica
descrizione NIC
•
Stato della connessione agente: se l'Agente OfficeScan è online oppure
offline
Nota
L'Agente OfficeScan è online se è in grado di connettersi al server OfficeScan o
a uno dei server di riferimento, mentre è offline se non è in grado di connettersi
ad alcun server.
OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" che
utilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo
profilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall
predefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato
attuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella console
Web. Gestire l'elenco dei profili e implementare tutti i profili sugli Agenti OfficeScan.
Gli Agenti OfficeScan archiviano tutti i profili del firewall nel dispositivo agente.
12-19
Configurazione dell'elenco profili del firewall
Procedura
1.
Accedere a Agenti > Firewall > Profili.
2.
Gli utenti che utilizzano l'account di amministratore integrato o gli utenti con le
autorizzazioni per la gestione completa, possono facoltativamente attivare l'opzione
Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per
sostituire le impostazioni del profilo dell'Agente OfficeScan con le impostazioni del
server.
3.
Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profilo
esistente, selezionare il nome del profilo.
Viene visualizzata la schermata per la configurazione del profilo. Per ulteriori
informazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 12-22.
4.
Per eliminare un criterio esistente, selezionare la casella di controllo accanto al
criterio e fare clic su Elimina.
5.
Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controllo
accanto al profilo da spostare e fare clic su Sposta su o Sposta giù.
OfficeScan applica i profili del firewall agli Agenti OfficeScan nell'ordine in cui i
profili compaiono nell'elenco dei profili. Ad esempio, se l'agente corrisponde al
primo profilo, OfficeScan applica le azioni configurate per tale profilo all'agente.
OfficeScan ignora gli altri profili configurati per l'agente.
Suggerimento
Più esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare in cima
un criterio creato per un unico agente, seguito da quelli relativi a un intervallo di
agenti, a un dominio di rete e a tutti gli agenti.
6.
12-20
Per gestire i server di riferimento, fare clic su Modifica elenco server di
riferimento. Quando si applicano i profili del firewall, i server di riferimento sono
dispositivi che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivo
nella rete può essere un server di riferimento (per ulteriori informazioni, consultare
Server di riferimento a pagina 13-33). Quando si attivano i server di riferimento,
OfficeScan parte dai seguenti presupposti:
•
Gli Agenti OfficeScan collegati a server di riferimento sono online, anche se
gli agenti non possono comunicare con il server OfficeScan.
•
I profili del firewall applicati agli Agenti OfficeScan online vengono applicati
anche agli Agenti OfficeScan collegati a server di riferimento.
Nota
Solo gli utenti con account di amministratore predefinito o quelli con autorizzazioni
di gestione completa possono visualizzare e configurare l'elenco dei server di
riferimento.
7.
8.
Per salvare le impostazioni correnti e assegnare i profili agli Agenti OfficeScan:
a.
Decidere se attivare l'opzione Sovrascrivi il livello di sicurezza
dell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte le
impostazioni del firewall configurate dall'utente.
b.
Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profili
presenti nell'elenco di profili a tutti gli Agenti OfficeScan.
Per verificare di aver assegnato i profili agli Agenti OfficeScan:
a.
Accedere a Agenti > Gestione agente. Nella casella di riepilogo a discesa
disponibile nella visualizzazione della struttura agente, selezionare
Visualizzazione firewall.
b.
Verificare che sia presente un segno di spunta verde nella colonna Firewall
della struttura agente. Se i criteri associati al profilo consentono di utilizzare il
sistema IDS (Intrusion Detection System), è presente un segno di spunta
verde anche nella colonna IDS.
c.
Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri
sono visualizzati nella colonna Criteri del firewall della struttura agente.
12-21
Aggiunta e modifica di un profilo firewall
I dispositivi Agente OfficeScan possono richiedere livelli diversi di protezione. I profili
del firewall consentono di specificare i dispositivi agente ai quali si applica un criterio
associato. In linea di massima, per ogni criterio in uso è necessario un profilo.
Aggiunta di un profilo di firewall
Procedura
1.
2.
3.
Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il
profilo sugli Agenti OfficeScan.
4.
Inserire un nome per identificare il profilo e una descrizione opzionale.
5.
Specificare un criterio per questo profilo.
6.
Specificare i dispositivi agente a cui OfficeScan deve applicare il criterio.
Selezionare i dispositivi in base ai seguenti criteri:
•
Indirizzo IP
•
Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare i
domini.
Nota
Solo gli utenti con autorizzazioni complete per i domini possono selezionarli.
12-22
•
Nome dispositivo: fare clic sul pulsante per aprire la struttura agente e
selezionare i dispositivi Agente OfficeScan.
•
Piattaforma
•
Nome accesso
•
Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri
jolly.
Suggerimento
Trend Micro consiglia di immettere il prodottore della scheda NIC perché le
descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se
si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si
digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le
descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a
questo criterio.
•
7.
Stato della connessione dell'agente
Fare clic su Salva.
Modifica di un profilo di firewall
Procedura
1.
2.
Fare clic su un profilo.
3.
Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare
questo profilo sugli Agenti OfficeScan. Modificare gli elementi riportati di seguito:
•
Nome profilo e descrizione
•
Criterio assegnato al profilo
•
Agente OfficeScan Dispositivi agente OfficeScan, in base ai seguenti criteri:
•
Indirizzo IP
•
Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare
i domini.
•
Nome dispositivo: fare clic sul pulsante per aprire la struttura agente e
selezionare i dispositivi agente.
•
Piattaforma
•
Nome accesso
12-23
•
Descrizione NIC: immettere una descrizione totale o parziale, senza
caratteri jolly.
Suggerimento
Trend Micro consiglia di immettere il prodottore della scheda NIC perché
le descrizioni NIC in genere iniziano con il nome del produttore. Ad
esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo
criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R)
Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100"
corrisponderanno a questo criterio.
•
4.
Stato connessione agente
Fare clic su Salva.
Privilegi firewall
Consentono agli utenti di configurare le proprie impostazioni del firewall. Le
impostazioni configurate dagli utenti hanno la precedenza sulle impostazioni
implementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistema
rilevamento anti-intrusione (IDS), ma questo viene attivato nel server OfficeScan, IDS
rimane disattivato nel dispositivo Agente OfficeScan.
Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall.
Tabella 12-3. Privilegi firewall
Privilegio
Visualizza le
impostazioni del
firewall nella
console agente
OfficeScan
12-24
Descrizione
L'opzione Firewall visualizza tutte le impostazioni del firewall
nell'Agente OfficeScan.
Privilegio
Descrizione
Consenti agli
utenti di attivare/
disattivare il
firewall, il sistema
di rilevamento
anti-intrusione e il
messaggio di
notifica di
violazione del
firewall
Il firewall OfficeScan protegge gli agenti e i server della rete
grazie a un sistema di "stateful inspection", alla scansione
antivirus della rete a elevate prestazioni e all'eliminazione. Se si
concede agli utenti il privilegio di attivare o disattivare il firewall e
le relative funzioni, è necessario avvertirli di non disattivare il
firewall per un periodo di tempo prolungato per evitare di esporre
il dispositivo a intrusioni e attacchi di hacker.
Consenti agli
agenti di inviare i
registri di firewall
al server
OfficeScan
Selezionare questa opzione per analizzare il traffico bloccato e
consentito dal firewall OfficeScan.
Se non si concedono agli utenti tali privilegi, le impostazioni del
firewall configurate dalla console Web del server OfficeScan
vengono visualizzate in Elenco schede di rete nella console
dell'Agente OfficeScan.
Per ulteriori informazioni sui registri del firewall, consultare
Registri del firewall a pagina 12-30.
Se si seleziona questa opzione, configurare la pianificazione
dell'invio del registro in Agenti > Impostazioni globali agente.
Andare alla sezione Impostazioni firewall. La pianificazione si
applica solamente agli agenti con privilegio di invio del registro del
firewall. Per le istruzioni, vedere Impostazioni firewall globali a
pagina 12-26.
Concessione dei privilegi firewall
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, andare alla sezione Privilegi firewall.
5.
) per
12-25
6.
•
Visualizza la scheda Firewall nella console agente OfficeScan a pagina 12-24
•
Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento antiintrusione e il messaggio di notifica di violazione del firewall a pagina 12-25
•
Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina
12-25
•
impostazioni.
•
Impostazioni firewall globali
Le impostazioni globali del firewall possono essere applicate agli Agenti OfficeScan in
diversi modi.
•
Una determinata impostazione del firewall può essere applicata a tutti gli agenti
gestiti dal server.
•
Un'impostazione può essere applicata solo agli Agenti OfficeScan con determinati
privilegi per il firewall. Ad esempio, la pianificazione di invio dei registri del firewall
si applica solo agli Agenti OfficeScan che hanno il privilegio di inviare registri al
server.
Attivare le impostazioni globali seguenti, in base alle necessità.
•
Invia i registri del firewall al server
È possibile concedere a determinati Agenti OfficeScan il privilegio di inviare
registri del firewall al server OfficeScan. Configurare la pianificazione per l'invio del
12-26
registro. Solo gli agenti con privilegi per inviare registri del firewall potranno usare
questa pianificazione.
Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati,
consultare Privilegi firewall a pagina 12-24.
•
Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema
Attivare l'Agente OfficeScan per aggiornare il Driver comune Firewall solo dopo il
riavvio del dispositivo Agente OfficeScan. Attivare questa opzione per impedire
che si verifichino interruzioni (ad esempio la disconnessione temporanea dalla rete)
per il dispositivo agente quando viene aggiornato Driver comune Firewall durante
l'aggiornamento dell'agente.
•
Invia le informazioni del registro firewall al server OfficeScan ogni ora per
rilevare possibili violazioni del firewall
Quando viene attivata questa opzione, gli Agenti OfficeScan inviano i conteggi dei
registri del firewall al server OfficeScan a intervalli di un'ora. Per ulteriori
informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-30.
OfficeScan utilizza i conteggi dei registri e i criteri delle infezioni da violazione del
firewall per determinare la possibilità di un'infezione da violazione del firewall. In
caso di infezione, OfficeScan invia un messaggio e-mail di notifica agli
amministratori OfficeScan.
•
Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare
il Servizio certificato Safe Software, come necessario.
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio
Certified Safe Software per ridurre la possibilità di falsi allarmi.
12-27
Nota
Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per
maggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53)
prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette,
insieme a una connessione Internet intermittente, possono provocare ritardi o
mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi
controllati non rispondono.
datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi
IP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di
collegarsi ai datacenter Trend Micro.
Configurazione delle impostazioni firewall globali
Procedura
1.
2.
Andare alla sezione seguente e configurare le impostazioni:
Tabella 12-4. Impostazioni firewall globali
Sezione
Impostazioni del
firewall
3.
12-28
Impostazioni
•
Invia i registri del firewall al server a pagina 12-26
•
Aggiorna il driver del firewall OfficeScan solo dopo
aver riavviato il sistema a pagina 12-27
Conteggio registro
firewall
Invia le informazioni del registro firewall al server
OfficeScan ogni ora per rilevare possibili violazioni del
firewall a pagina 12-27
Impostazioni di
Certified Safe
Software
Attiva il servizio Certified Safe Software per il monitoraggio
del comportamento, il firewall e le scansioni antivirus a
pagina 12-27
Fare clic su Salva.
Notifiche di violazione del firewall per gli utenti
OfficeScan può visualizzare un messaggio di notifica sugli agenti subito dopo che il
firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall.
Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica.
Nota
È anche possibile attivare la notifica quando si configura un particolare criterio del firewall.
Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina
12-11.
Concessione agli utenti del privilegio di attivare/
disattivare il messaggio di notifica
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, andare alla sezione Privilegi firewall.
5.
Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema di
rilevamento anti-intrusione e il messaggio di notifica di violazione del
firewall.
6.
•
) per
12-29
impostazioni.
•
Modifica del contenuto del messaggio di notifica del
firewall
Procedura
1.
2.
Dal menu a discesa Tipo, selezionare Violazioni del firewall
3.
Modificare i messaggi predefiniti nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri del firewall
I registri del firewall disponibili nel server vengono inviati dagli Agenti OfficeScan che
dispongono dei privilegi per tale invio. Concedere questo privilegio ad agenti specifici
per monitorare e analizzare il traffico nei dispositivi che il firewall di OfficeScan blocca.
Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 12-24.
13-39.
12-30
Visualizzazione dei registri firewall
Procedura
1.
agente.
2.
3.
Fare clic su Registri > Registri del firewall o su Visualizza registri > Registri
del firewall.
4.
Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agli
agenti. Prima di procedere al passaggio successivo, attendere il tempo necessario
per consentire agli agenti di inviare i registri del firewall.
5.
6.
) per
•
Data e ora del rilevamento della violazione del firewall
•
Dispositivo in cui si è verificata la violazione del firewall
•
Dominio del dispositivo in cui si è verificata la violazione del firewall
•
Indirizzo IP host remoto
•
Indirizzo IP host locale
•
Protocollo
•
Numero di porta
•
Direzione: indica se la violazione dei criteri del firewall è stata effettuata dal
traffico in entrata (ricezione) o in uscita (invio)
•
Processo: il programma eseguibile o il servizio in esecuzione sul dispositivo
che ha causato la violazione del firewall
•
Descrizione: specifica il rischio alla protezione reale (quali virus di rete o
attacchi IDS) o la violazione dei criteri del firewall
12-31
7.
Infezioni da violazione del firewall
Definire i parametri di un'infezione da violazione del firewall in base al numero di
violazioni del firewall e al periodo di rilevamento.
modificare i messaggi di notifica in base alle diverse esigenze.
Nota
OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica.
Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di
inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-35.
Configurazione delle notifiche e dei criteri di infezione da
violazione del firewall
Procedura
1.
2.
12-32
a.
Andare alla sezione Violazioni del firewall.
b.
Selezionare Controlla le violazioni del firewall negli agenti OfficeScan.
c.
Specificare il numero dei registri di IDS, dei registri di firewall e dei registri dei
virus di rete.
d.
Specificare un periodo di rilevamento.
Suggerimento
OfficeScan invia un messaggio di notifica quando il numero di registri viene
superato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall,
100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia la
notifica quando il server riceve 301 registri in 3 ore.
3.
a.
Andare alla sezione Infezioni da violazioni del firewall.
b.
c.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel
campo Oggetto e Messaggio.
Tabella 12-5. Variabili token per notifiche di infezione da violazione del
firewall
Variabile
4.
Descrizione
%A
Tipo di registro superato
%C
Numero di registri di violazione del firewall
%T
Totale periodo di durata dei registri di violazione del firewall
Fare clic su Salva.
Test del firewall OfficeScan
Per avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un test
su un Agente OfficeScan o un gruppo di Agenti OfficeScan.
12-33
AVVERTENZA!
Eseguire il test delle impostazioni del programma Agente OfficeScan solo in un ambiente
controllato. Non eseguire test su dispositivi collegati alla rete o a Internet. Questa
operazione potrebbe esporre i dispositivi Agente OfficeScan a virus, attacchi di hacker e
altri rischi.
Procedura
1.
Creare e salvare un criterio per il test. Configurare le impostazioni affinché vengano
bloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire la
connessione dell'Agente OfficeScan a Internet, effettuare le operazioni riportate di
seguito:
a.
Impostare il livello di sicurezza su Basso (per consentire tutto il traffico in
entrata e in uscita).
b.
Selezionare Invia una notifica agli utenti quando si verifica una
violazione del firewall.
c.
Creare un'eccezione che blocchi il traffico HTTP (o HTTPS).
2.
Creare e salvare un profilo per il test, selezionando gli agenti su cui si desiderano
controllare le funzioni del firewall. Associare i criteri del test al profilo del test.
3.
Fare clic su Assegna profilo agli utenti.
4.
Verificare l'implementazione.
12-34
a.
Fare clic su Agenti > Gestione agente.
b.
Selezionare il dominio a cui appartiene l'agente.
c.
Selezionare Visualizzazione firewall dalla visualizzazione della struttura
agente.
d.
Verificare che sia presente un segno di spunta verde nella colonna Firewall
della struttura agente. Se è stato attivato il Sistema rilevamento anti-intrusione
per l'agente, verificare che sia presente un segno di spunta verde anche nella
colonna IDS.
e.
Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri
sono visualizzati nella colonna Criteri del firewall della struttura agente.
5.
Eseguire il test del firewall nel dispositivo agente tentando di inviare o ricevere il
tipo di traffico configurato nei criteri.
6.
Per eseguire il test di un criterio configurato per evitare che l'agente acceda a
Internet, aprire un browser Web sul dispositivo agente. Se OfficeScan è stato
configurato per visualizzare un messaggio di notifica per le violazioni del firewall, il
messaggio viene visualizzato sul dispositivo agente quando si verifica una
violazione del traffico in uscita.
12-35
Parte III
Gestione degli agenti e del
server OfficeScan
Capitolo 13
Gestione del server OfficeScan
In questo capitolo vengono descritte le configurazioni e la gestione del server
OfficeScan.
•
Role-based Administration (RBA) a pagina 13-3
•
Trend Micro Control Manager a pagina 13-24
•
Impostazioni elenco oggetti sospetti a pagina 13-31
•
Server di riferimento a pagina 13-33
•
Impostazioni notifica amministratore a pagina 13-35
•
Registri eventi di sistema a pagina 13-38
•
Gestione dei registri a pagina 13-39
•
Licenze a pagina 13-43
•
OfficeScan Database Backup a pagina 13-46
•
Strumento di migrazione SQL Server a pagina 13-47
•
Impostazioni connessione agente/server Web OfficeScan a pagina 13-52
•
Comunicazione agente server a pagina 13-53
13-1
•
Password della console Web a pagina 13-59
•
Impostazioni della console Web a pagina 13-59
•
Gestore della quarantena a pagina 13-60
•
Server Tuner a pagina 13-61
•
Smart Feedback a pagina 13-64
13-2
Role-based Administration (RBA)
Utilizzare la Role-based Administration per garantire e controllare l'accesso alla console
Web OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propria
organizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegi
di console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioni
necessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accesso
alla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibile
concedere ai non amministratori l'accesso alla console Web in modalità "sola lettura".
A ciascun utente (amministratore o non amministratore) viene assegnato un ruolo
specifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono alla
console Web utilizzando gli account utente personalizzati o gli account Active Directory.
Role-based Administration comprende le operazioni riportate di seguito:
1.
Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 13-3.
2.
Configurare gli account utente e assegnare un ruolo particolare a ciascun account
utente. Per maggiori dettagli, consultare Account utente a pagina 13-13.
Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema.
Vengono registrate le attività riportate di seguito:
•
Accesso alla console Web
•
Modifica della password
•
Disconnessione dalla console
•
Timeout di sessione (l'utente viene disconnesso automaticamente)
Ruoli utente
Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruolo
viene assegnata un'autorizzazione per ciascuna voce di menu.
Assegnare le autorizzazioni per i seguenti elementi:
•
Autorizzazioni per le voci di menu a pagina 13-4
13-3
•
Tipi di voci di menu a pagina 13-4
•
Voci di menu per server e agenti a pagina 13-5
•
Voci menu per domini gestiti a pagina 13-8
Autorizzazioni per le voci di menu
Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu.
L'autorizzazione per una voce di menu può essere:
•
Configura: consente l'accesso completo a una voce di menu. Gli utenti sono in
grado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzare
i dati di una voce di menu.
•
Visualizza: consente agli utenti di visualizzare soltanto le impostazioni, le
operazioni e i dati di una voce di menu.
•
Nessun accesso: la voce di menu viene nascosta.
Tipi di voci di menu
Sono disponibili due tipi di voci di menu configurabili per i ruoli utenti OfficeScan.
Tabella 13-1. Tipi di voci di menu
Tipo
Voci di menu per
server/agenti
Ambito
•
Dati, operazioni e impostazioni del server
•
Dati, operazioni e impostazioni globali dell'agente
Per un elenco completo delle voci di menu disponibili, vedere Voci
di menu per server e agenti a pagina 13-5.
Voci menu per
domini gestiti
Dati, operazioni e impostazioni granulari dell'agente disponibili al
di fuori della struttura agente
Per un elenco completo delle voci di menu disponibili, vedere Voci
menu per domini gestiti a pagina 13-8.
13-4
Voci di menu per server e agenti
Nella seguente tabella sono riportate le voci di menu per server/agenti.
Nota
Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non
viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programma
plug-in aggiuntivo viene visualizzato nella voce di menu Plug-in.
Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu
Plug-in.
Tabella 13-2. Voci menu Agenti
Voce di menu di primo
livello
Agenti
Voce di menu
•
Gestione agente
•
•
•
•
•
Verifica connessione
•
Prevenzione delle infezioni virali
13-5
Tabella 13-3. Voci menu Registri
Voce di menu di primo
livello
Registri
Voce di menu
•
Agenti
•
Rischi per la sicurezza
•
Aggiornamento componente agente
•
Aggiornamenti server
•
Eventi di sistema
•
Tabella 13-4. Voci menu Aggiornamenti
Voce di menu
di primo
livello
Aggiornamenti
Voce di menu
Server
Agenti
Rollback
Voce di menu secondario
•
Aggiornamento pianificato
•
Aggiornamento manuale
•
•
Aggiornamento automatico
•
N.D.
Tabella 13-5. Voci menu Amministrazione
Voce di menu
di primo
livello
Amministrazion
e
13-6
Voce di menu
Gestione account
•
Account utente
•
Ruoli utente
Voce di menu
di primo
livello
Voce di menu
Nota
Solo gli utenti che
utilizzano l'account di
amministratore integrato
possono accedere ad
Account utente e Ruoli
utente.
Smart Protection
Active Directory
Notifiche
Impostazioni
•
•
Server integrato
•
Smart Feedback
•
Active Directory Integration
•
Sincronizzazione pianificata
•
Impostazioni generali
•
Infezione
•
Agente
•
Proxy
•
Connessione agente
•
Agenti inattivi
•
•
Licenza del prodotto
•
Control Manager
•
Console Web
•
Database Backup
•
Elenco oggetti sospetti
13-7
Voci menu per domini gestiti
Nella seguente tabella sono riportate le voci di menu per i domini gestiti.
Tabella 13-6. Voce di menu Dashboard
Voce di menu principale
Dashboard
Voce di menu
N.D.
Nota
Tutti gli utenti possono accedere a questa
pagina, indipendentemente
dall'autorizzazione.
Tabella 13-7. Voci menu Valutazione
Voce di menu
di primo
livello
Valutazione
Voce di menu
Conformità sicurezza
Dispositivi non gestiti
•
Segnalazione manuale
•
Segnalazione pianificata
N.D.
Tabella 13-8. Voci menu Agenti
Voce di menu
di primo
livello
Agenti
Voce di menu
Firewall
Installazione agente
13-8
•
Criteri
•
Profili
•
Basato su browser
•
Remota
Tabella 13-9. Voci menu Registri
Voce di menu
di primo
livello
Registri
Voce di menu
Agenti
•
Verifica connessione
•
Ripristino quarantena
centrale
•
Tabella 13-10. Voci menu Aggiornamenti
Voce di menu
di primo
livello
Aggiornamenti
Voce di menu
Riepilogo
N.D.
Agenti
Aggiornamento manuale
Tabella 13-11. Voci menu Amministrazione
Voce di menu
di primo
livello
Amministrazion
e
Voce di menu
Notifiche
Amministratore
Ruoli utente integrati
OfficeScan comprende una serie di ruoli utente integrati che non possono essere
modificati o eliminati. I ruoli integrati sono riportati di seguito:
13-9
Tabella 13-12. Ruoli utente integrati
Nome ruolo
Amministratore
Descrizione
È possibile concedere questo ruolo agli utenti o amministratori di
OfficeScan che hanno una buona conoscenza di OfficeScan.
Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tutte
le voci di menu.
Nota
Solo gli utenti con il ruolo “Amministratore (integrato)”
hanno accesso alla voce di menu Plug-in.
Utente ospite
È possibile concedere questo ruolo agli utenti che desiderano
visualizzare la console Web per riferimento.
•
•
Gli utenti con questo ruolo non hanno accesso alle voci di
menu seguenti:
•
Plug-in
•
Amministrazione > Gestione account > Ruoli utente
•
Amministrazione > Gestione account > Account
utente
Gli utenti con accesso di visualizzazione a tutte le altre voci di
menu.
Utente esperto
Trend
Questo ruolo è disponibile solamente se si esegue
l'aggiornamento della versione da OfficeScan 10.
(ruolo solo
aggiornamento)
Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" in
OfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione
"Configura" per tutti i domini della struttura agente, ma non hanno
accesso alle nuove funzioni di questa versione.
Ruoli personalizzati
Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruoli
personalizzati.
13-10
Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzano
l'account principale (root) creato durante l'installazione di OfficeScan possono creare
ruoli utente personalizzati ed assegnare tali ruoli agli account utente.
Aggiunta di una regola personalizzata
Procedura
1.
Accedere a Amministrazione > Gestione account > Ruoli utente.
2.
Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruolo
esistente, selezionare il ruolo esistente e fare clic su Copia.
3.
Immettere il nome del ruolo e, se lo si desidera, una descrizione.
4.
Fare clic su Voci menu per server/agenti e specificare l'autorizzazione per
ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,
vedere Voci di menu per server e agenti a pagina 13-5.
5.
Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione per
ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,
vedere Voci menu per domini gestiti a pagina 13-8.
6.
Fare clic su Salva.
Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente.
Modifica di una regola personalizzata
Procedura
1.
2.
Fare clic sul nome del ruolo.
13-11
3.
4.
Modificare una delle voci riportate di seguito:
•
Descrizione
•
Autorizzazioni ruolo
•
Voci menu per server/agenti
•
Voci menu per domini gestiti
Fare clic su Salva.
Eliminazione di una regola personalizzata
Procedura
1.
2.
Selezionare la casella di controllo accanto al ruolo.
3.
Fare clic su Elimina.
Nota
Non è possibile eliminare un ruolo se è assegnato ad almeno un account utente.
Importazione o esportazione di regole personalizzate
Procedura
1.
2.
Per esportare i ruoli personalizzati in un file .dat:
13-12
a.
Selezionare i ruoli e fare clic su Esporta.
b.
Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare il file .dat
per importare i ruoli personalizzati in quel server.
Nota
È possibile esportare i ruoli solo tra server con la stessa versione.
3.
4.
Per esportare i ruoli personalizzati in un file .csv:
a.
Selezionare i ruoli e fare clic su Esporta impostazioni ruolo.
b.
Salvare il file .csv. Utilizzare questo file per verificare le informazioni e le
autorizzazioni per i ruoli selezionati.
Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e si
desidera importarli nel server OfficeScan attuale, fare clic su Importa e individuare
il file .dat contenente i ruoli personalizzati.
•
Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa un
ruolo con lo stesso nome.
•
È possibile importare i ruoli solo tra server con la stessa versione.
•
Ruolo importato da un altro server OfficeScan:
•
Conserva le autorizzazioni per le voci di menu per server/agenti e le voci
di menu per i domini gestiti.
•
Applica le autorizzazioni predefinite per le voci di menu di gestione degli
agenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci di
menu di gestione degli agenti, quindi riapplicarle al ruolo che è stato
importato.
Account utente
Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruolo
utente determina le voci di menu della console Web che un utente può visualizzare o
configurare.
Durante l'installazione del server OfficeScan, il programma di installazione crea un
account integrato denominato "root" (account principale). Gli utenti che accedono
utilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non è
consentito eliminare l'account principale (root) ma è possibile modificare i dettagli
13-13
dell'account quali la password e il nome completo oppure la descrizione dell'account.
Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenza
tecnica per reimpostarla.
Aggiungere account personalizzati o account Active Directory. Tutti gli account utente
vengono visualizzati nell'elenco Account utente della console Web.
Assegnare le autorizzazioni agli account utenti per visualizzare o configurare le
impostazioni, le operazioni e i dati dettagliati dell'agente che sono disponibili nella
struttura agente. Per un elenco completo delle voci di menu della struttura agente
disponibili, consultare Voci di menu di Gestione agente a pagina 13-14.
Nota
Dopo l'aggiornamento del server OfficeScan, è necessario modificare gli account
personalizzati e attivare manualmente tutte le nuove funzionalità nella schermata
Passaggio 3 Definire l'ambito della struttura agente per gli account personalizzati
aggiunti precedentemente. Per ulteriori informazioni sulle autorizzazioni, vedere Definizione
delle autorizzazioni per i domini a pagina 13-19.
Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On".
La funzione SSO (Single Sign-On) consente agli utenti di accedere alla console Web di
OfficeScan dalla console di Trend Micro Control Manager. Per maggiori dettagli, vedere
la procedura riportata di seguito.
Voci di menu di Gestione agente
La seguente tabella elenca le voci di menu di Gestione agente.
Nota
Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non
viene visualizzata alcuna voce di menu per Prevenzione perdita di dati.
13-14
Tabella 13-13. Voci di menu di Gestione agente
Voce di menu
principale
Menu secondari
Stato
N.D.
Operazioni
•
Esegui scansione
•
Disinstallazione dell'agente
•
Ripristino quarantena centrale
•
•
Impostazioni di scansione
Impostazioni
•
Metodi di scansione
•
Impostazioni scansione manuale
•
Impostazioni scansione in tempo reale
•
Impostazioni scansione pianificata
•
Impostazioni funzione Esegui scansione
•
•
Impostazioni connessione sospetta
•
Impostazione del monitoraggio del comportamento
•
•
Impostazioni DLP
•
Impostazioni Update Agent
•
•
•
•
Elenco Programmi affidabili
•
Esporta impostazioni
•
Importa impostazioni
13-15
Voce di menu
principale
Registri
Gestione struttura
agente
Esporta
Menu secondari
•
Registri di virus/minacce informatiche
•
Registri di spyware/grayware
•
•
Registri di reputazione Web
•
Registri delle connessioni sospette
•
Registri dei file sospetti
•
Registri di callback C&C
•
•
•
•
•
Elimina registri
•
Aggiungi dominio
•
Rinomina dominio
•
Sposta agente
•
Rimuovi dominio/agente
N.D.
Aggiunta di un account personalizzato
Procedura
1.
Accedere a Amministrazione > Gestione account > Account utente.
2.
Viene visualizzata la schermata Fase 1 Informazioni utente.
13-16
3.
Selezionare Attiva questo account.
4.
Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.
Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a
pagina 13-10.
5.
Digitare il nome utente, la descrizione, la password e la password di conferma.
Importante
Impossibile utilizzare il nome utente come password dell'account. Immettere una
password diversa dal nome utente.
6.
Digitare un indirizzo e-mail per l'account.
Nota
OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano il
destinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorse
digitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per la
sicurezza per gli amministratori a pagina 7-85.
7.
Viene visualizzata la schermata Fase 2 Controllo dominio agente.
8.
Definire l'ambito della struttura agente selezionando il dominio principale (root)
oppure uno o più domini nella struttura agente.
A questo punto sono stati definiti solo i domini. Il livello di accesso ai domini
selezionati viene definito nella Fase 10.
9.
Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.
10. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,
vedere Voci di menu di Gestione agente a pagina 13-14.
L'ambito della struttura agente configurato nella fase 8 determina il livello di
autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione.
13-17
L'ambito della struttura agente può essere il dominio principale (root) (tutti gli
agenti) oppure i domini specifici della struttura agente.
Tabella 13-14. Voci di menu di gestione degli agenti e ambito della struttura
agente
Criteri
Ambito della struttura agente
Dominio root
Domini specifici
Autorizzazione
per le voci di
menu
Configura, Visualizza o Nessun
accesso
Configura, Visualizza o Nessun
accesso
Destinazione
Dominio principale (root) (tutti
gli agenti) o domini specifici
Solo domini selezionati
È possibile, ad esempio,
concedere a un ruolo
l'autorizzazione "Configura" per
la voce di menu "Operazioni"
della struttura agente. Se la
destinazione è il dominio
principale (root), l'utente può
avviare le operazioni su tutti gli
agenti. Se le destinazioni sono
i domini A e B, le operazioni
possono essere avviate
soltanto sugli agenti dei domini
A e B.
È possibile, ad esempio,
concedere a un ruolo
l'autorizzazione "Configura" per
la voce di menu "Impostazioni"
della struttura agente. Ciò
significa che l'utente può
implementare le impostazioni,
ma solo verso gli agenti nei
domini selezionati.
La struttura agente verrà visualizzata solo se l'autorizzazione alla
voce di menu Gestione agente in "Voci menu per server/agenti" è
"Visualizza".
13-18
•
Se viene selezionata la casella di controllo in Configura, la casella di controllo
in Visualizza viene configurata automaticamente.
•
Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun
accesso".
•
Se si configurano autorizzazioni per un dominio specifico, è possibile copiare
le autorizzazioni su altri domini facendo clic su Copiare le impostazioni del
dominio selezionato negli altri domini.
11. Fare clic su Fine.
12. Inviare i dettagli dell'account all'utente.
Definizione delle autorizzazioni per i domini
Quando si definiscono le autorizzazioni per i domini, OfficeScan applica
automaticamente le autorizzazioni di un dominio principale a tutti i sottodomini che
gestisce. Un sottodominio non può avere meno autorizzazioni del suo dominio
principale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione per visualizzare
e configurare tutti gli agenti gestiti da OfficeScan (il dominio “Server OfficeScan”), le
autorizzazioni per i sottodomini devono consentire all'amministratore di sistema di
accedere a queste funzioni di configurazione. Se si rimuove un'autorizzazione da un
sottodominio, l'amministratore di sistema non avrà le autorizzazioni complete per la
configurazione di tutti gli agenti.
Per la procedura seguente, la struttura del dominio è come segue:
Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare e
configurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltanto
l'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire la
procedura seguente.
Tabella 13-15. Autorizzazioni per l'account utente “Chris”
Dominio
Autorizzazioni desiderate
Server OfficeScan
Nessuna autorizzazione particolare
Manager
Visualizza registri
13-19
Dominio
Dipendenti
Autorizzazioni desiderate
Visualizza e configura operazioni
Visualizza e configura registri
Visualizza impostazioni:
Vendite
Nessuna autorizzazione particolare
Procedura
1.
Accedere alla schermata Account utente: Fase 3 Definire il menu della
struttura agente.
2.
Fare clic sul dominio “Server OfficeScan”.
3.
Deselezionare tutte le caselle di controllo Visualizza e Configura.
Nota
Il dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti i
relativi sottodomini nella schermata Account utente: Fase 2 Controllo dominio
agente.
4.
Fare clic sul dominio “Vendite”.
5.
Deselezionare tutte le caselle di controllo Visualizza e Configura.
Nota
Il dominio “Vendite” viene visualizzato solo se viene selezionato nella schermata
Account utente: Fase 2 Controllo dominio agente.
6.
Fare clic sul dominio “Manager”.
7.
Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controllo
Visualizza e Configura.
8.
Fare clic sul dominio “Dipendenti”.
9.
Selezionare una delle seguenti voci di menu per Chris:
13-20
•
Operazioni: visualizza e configura
•
Registri: visualizza e configura
•
Impostazioni: visualizza
Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio
“Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”.
Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”,
OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio
“Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoi
sottodomini.
Modifica di un account personalizzato
Nota
Dopo l'aggiornamento del server OfficeScan, è necessario modificare gli account
personalizzati e attivare manualmente tutte le nuove funzionalità nella schermata
Passaggio 3 Definire l'ambito della struttura agente per gli account personalizzati
aggiunti precedentemente. Per ulteriori informazioni sulle autorizzazioni, vedere Definizione
delle autorizzazioni per i domini a pagina 13-19.
Procedura
1.
2.
Fare sull'account dell'utente.
3.
Attivare o disattivare l'account utilizzando la relativa casella di controllo.
4.
•
Ruolo
•
Descrizione
•
Password
13-21
Nota
Durante la modifica di un account, non è possibile reimmettere la password
configurata in precedenza. Per continuare a utilizzare la password configurata in
precedenza, non modificare il campo Password.
•
Indirizzo e-mail
5.
6.
Definire l'ambito della struttura Agente.
7.
8.
Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile.
Per un elenco delle voci di menu disponibili, vedere Voci di menu di Gestione agente a
pagina 13-14.
9.
Fare clic su Fine.
10. Inviare i dettagli del nuovo account all'utente.
Aggiunta di gruppi o account Active Directory
Procedura
1.
2.
Viene visualizzata la schermata Fase 1 Informazioni utente.
3.
Selezionare Attiva questo account.
4.
Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.
Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a
pagina 13-10.
13-22
5.
Selezionare Utente o gruppo Active Directory.
6.
Cercare un account (nome utente o gruppo) specificando il nome utente e il
dominio di appartenenza.
Nota
Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly,
specificare il nome di account completo. OfficeScan non restituisce alcun risultato se i
nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti di
domini".
7.
Quando OfficeScan trova un account valido, il nome dell'account viene visualizzato
in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostare l'account in
Utenti e gruppi selezionati.
Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a un
gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno
due gruppi e i ruoli dei due gruppi sono diversi:
8.
•
Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura
un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a
tale impostazione, viene applicata l'autorizzazione di livello più alto.
•
Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad
esempio, l'utente Mario Rossi accede con i ruoli seguenti: amministratore,
utente esperto.
Viene visualizzata la schermata Fase 2 Controllo dominio agente.
9.
Definire l'ambito della struttura Agente.
Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.
11. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile.
Per un elenco delle voci di menu disponibili, vedere Voci di menu di Gestione agente a
pagina 13-14.
13-23
12. Fare clic su Fine.
13. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome di
dominio e password.
Trend Micro Control Manager
Trend Micro™ Control Manager™ è una console di gestione centralizzata che consente
di gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di
file e di desktop aziendale. La console di gestione basata su Web di Control Manager
costituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete.
Control Manager consente agli amministratori di sistema di monitorare ed emettere
rapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus.
Gli amministratori di sistema possono scaricare e implementare i componenti attraverso
la rete e così essere sicuri di disporre di una protezione coerente e aggiornata. Control
Manager consente aggiornamenti manuali e pianificati e la possibilità di configurare e
amministrare i prodotti individualmente o in gruppi per una maggiore flessibilità.
Integrazione di Control Manager in questa versione di
OfficeScan
Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione di
OfficeScan per la gestione dei server OfficeScan da Control Manager.
•
Creazione, gestione e implementazione di criteri antivirus per Prevenzione perdita
di dati e Controllo dispositivo di OfficeScan e assegnazione di privilegi
direttamente agli Agenti OfficeScan dalla console di Control Manager.
La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0.
13-24
Tabella 13-16. Tipi di gestione dei criteri OfficeScan in Control Manager
Tipo di criterio
Impostazioni dell'agente e antivirus
OfficeScan
Protezione dati
Caratteristiche
•
•
Impostazione del monitoraggio del
comportamento
•
•
•
•
Impostazioni scansione in tempo
reale
•
•
Metodi di scansione
•
Impostazioni funzione Esegui
scansione
•
•
•
•
Impostazioni dei criteri Prevenzione
perdita di dati
Nota
Gestione delle autorizzazioni di
Controllo dispositivo per
Protezione dati nei criteri degli
agenti OfficeScan.
•
Replicare le impostazioni riportate di seguito da un server OfficeScan a un altro
utilizzando la console di Control Manager:
•
Tipi di identificatore di dati a pagina 10-5
13-25
•
Modelli di Prevenzione perdita di dati a pagina 10-20
Nota
Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata la
licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione della
licenza.
Versioni di Control Manager supportate
Questa versione di OfficeScan supporta le seguenti versioni di Control Manager.
Tabella 13-17. Versioni di Control Manager supportate
Versione di Control Manager
Server OfficeScan
6.0 o versioni
successive
5.5 SP1
Dual-stack
Sì
Sì
IPv4 puro
Sì
Sì
IPv6 puro
Sì
No
Nota
Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1.
Per dettagli sugli indirizzi IP che il server OfficeScan e gli Agenti OfficeScan segnalano a
Control Manager, consultare Schermate che visualizzano gli indirizzi IP a pagina A-7.
Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Manager
per consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix
più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Micro
all'indirizzo seguente:
http://downloadcenter.trendmicro.com/index.php?regs=IT
Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurare
le impostazioni per OfficeScan nella console di gestione di Control Manager. Per
13-26
informazioni sulla gestione dei server OfficeScan, consultare la documentazione di Control
Manager.
Registrare OfficeScan al servizio Control Manager
Procedura
1.
Accedere a Amministrazione > Impostazioni > Control Manager.
2.
Specificare il nome di entità visualizzato, che corrisponde al nome del server
OfficeScan visualizzato in Control Manager.
Per impostazione predefinita il nome di entità visualizzato comprende il nome host
del computer server e il nome di questo prodotto (ad esempio, Server01_OSCE).
Nota
In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite Control
Manager vengono definiti "entità".
3.
Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numero
di porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi in
modo più sicuro con HTTPS.
•
Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager o
l'indirizzo IP (IPv4 o IPv6, se disponibile).
•
Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Manager
o l'indirizzo IPv4.
•
Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Manager
o l'indirizzo IPv6.
Nota
Solo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6.
4.
Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nome
utente e password.
13-27
5.
Se si utilizza un server proxy per collegarsi al server Control Manager, specificare le
seguenti impostazioni proxy:
•
Protocollo proxy
•
FQDN del server o porta e indirizzo IPv4/IPv6
•
ID utente e password per l'autenticazione del server proxy
6.
Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali o
bidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta.
7.
Per verificare che OfficeScan si colleghi al server Control Manager in base alle
impostazioni specificate, fare clic su Test di connessione.
Se il tentativo di connessione è riuscito, fare clic su Registra.
8.
Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzato
un messaggio che chiede all'utente di usare il server Control Manager come origini
aggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OK
per usare il server Control Manager come origine aggiornamenti di Integrated
Smart Protection Server o Annulla per continuare a usare l'origine aggiornamenti
corrente (per impostazione predefinita, il server ActiveUpdate).
9.
Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clic
su Impostazioni di aggiornamento dopo aver modificato le impostazioni per
notificare le modifiche al server Control Manager.
Nota
Se il server Control Manager è connesso a Deep Discovery, il processo automatico di
sottoscrizione inizia dopo il completamento della registrazione. Per ulteriori
informazioni, consultare Impostazioni elenco oggetti sospetti a pagina 13-31.
10. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clic
su Annulla registrazione.
13-28
Verifica dello stato di OfficeScan nella console di gestione
Control Manager
Procedura
1.
Aprire la console di gestione Control Manager.
Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire un
browser Web e immettere:
https://<nome server Control Manager>/Webapp/login.aspx
dove <nome server Control Manager> è l'indirizzo IP o il nome host del server
Control Manager
2.
Nel menu principale fare clic su Directory > Prodotti.
3.
Nella struttura visualizzata, andare alla cartella [server Control Manager] >
Cartella locale > Nuova entità.
4.
Controllare che venga visualizzata l'icona del server OfficeScan.
Strumento di esportazione dei criteri
Lo Strumento di esportazione dei criteri del server di Trend Micro OfficeScan consente
agli amministratori di esportare le impostazioni dei criteri OfficeScan supportati da
Control Manager 6.0 o versioni successive. Gli amministratori inoltre si servono dello
strumento di importazione di Control Manager per importare i criteri. Lo strumento di
esportazione dei criteri supporta OfficeScan 10.6 Service Pack 1 e versioni successive.
•
•
Impostazione del monitoraggio del
comportamento
•
•
•
•
Impostazioni di Prevenzione perdita di
dati
13-29
•
scansione
•
•
•
•
•
Elenco approvati spyware/grayware
•
Metodo di scansione
•
Utilizzo dello strumento di esportazione dei criteri
Procedura
1.
\PCCSRV\Admin\Utility\PolicyExportTool.
2.
Fare doppio clic su PolicyExportTool.exe per avviare lo Strumento di esportazione
dei criteri.
Viene aperta una schermata CLI (Command Line Interface, interfaccia della linea
di comando) e lo Strumento di esportazione dei criteri avvia l'esportazione delle
impostazioni. Lo strumento crea due cartelle (PolicyClient e PolicyDLP) nella cartella
PolicyExportTool che contiene le impostazioni esportate.
3.
Copiare le due cartelle nella cartella di installazione di Control Manager.
4.
Eseguire lo Strumento di importazione dei criteri nel server Control Manager.
Per ulteriori informazioni riguardanti lo Strumento di importazione dei criteri,
consultare il Readme dello Strumento di importazione dei criteri nel server Control
Manager (Cartella_installazione_TMCM\WebUI\WebApp\widget\common\tool
\PolicyImport\).
13-30
Nota
Lo Strumento di esportazione dei criteri non esporta gli identificatori di dati o i
modelli DLP personalizzati. Gli amministratori che necessitano di esportare gli
identificatori di dati personalizzati e dei modelli DLP possono eseguire l'esportazione
manuale dalla console OfficeScan, quindi importare manualmente il file utilizzando la
console Control Manager.
Impostazioni elenco oggetti sospetti
Gli oggetti sospetti sono elementi digitali risultanti da un'analisi effettuata dai prodotti
Trend Micro Deep Discovery o da altre origini. OfficeScan è in grado di sincronizzare
gli oggetti sospetti e di recuperare le azioni eseguite su tali oggetti da un Control
Manager 6.0 SP3 connesso a Deep Discovery o da una versione successiva del server.
Dopo aver effettuato la sottoscrizione a Control Manager, selezionare i tipi di oggetti
sospetti per monitorare i callback C&C o i possibili attacchi mirati identificati dagli
agenti nella rete. Gli oggetti sospetti comprendono:
•
Elenco URL sospetti
•
Elenco IP sospetti
•
Elenco file sospetti
13-31
Nota
Da OfficeScan 10.6 alla versione 11.0, l'origine primaria degli oggetti sospetti è Deep
Discovery Analyzer. A partire da OfficeScan 11.0 SP1, l'origine primaria è Control Manager
6.0 SP3, che offre un processo di gestione e trattamento degli oggetti sospetti più solido.
Se è stata effettuata la sottoscrizione di OfficeScan a Deep Discovery Analyzer, è
disponibile solo l'elenco URL sospetti. Dopo aver annullato la sottoscrizione di OfficeScan
a Deep Discovery Analyzer, non è possibile effettuarla di nuovo. Per sincronizzare gli
oggetti sospetti, è necessario effettuare la sottoscrizione di OfficeScan a un Control
Manager connesso a Deep Discovery.
Per ulteriori informazioni sul modo in cui Control Manager gestisce gli oggetti sospetti,
consultare Connected Threat Defense Primer all'indirizzo:
http://docs.trendmicro.com/all/ent/tmcm/v6.0-sp3/en-us/tmcm_6.0_sp3_ctd_primer/
ctd_primer.pdf.
Configurazione delle impostazioni dell'elenco di oggetti
sospetti
Durante la registrazione di OfficeScan nel Control Manager, quest'ultimo implementa
una chiave API su OfficeScan per avviare il processo di sottoscrizione. Per attivare il
processo di sottoscrizione automatico, verificare la corretta configurazione delle
impostazioni richieste e la connessione di Control Manager a Deep Discovery con
l'amministratore di Control Manager.
Per dettagli sulla registrazione a un server Control Manager, consultare Registrare
OfficeScan al servizio Control Manager a pagina 13-27.
Procedura
1.
Accedere a Amministrazione > Impostazioni > Elenco oggetti sospetti.
2.
Selezionare l'elenco da attivare negli agenti.
13-32
•
Elenco URL sospetti
•
Elenco IP sospetti (disponibile solo quando si sottoscrive al server Control
Manager registrato)
•
Elenco file sospetti (disponibile solo quando si sottoscrive al server Control
Manager registrato)
Gli amministratori sono in grado di sincronizzare manualmente gli elenchi di
oggetti sospetti in qualsiasi momento facendo clic sul pulsante Sincronizza
adesso.
3.
4.
Nella sezione Impostazioni di Update Agent, specificare il momento in cui gli
agenti aggiornano gli elenchi di oggetti sospetti.
•
Invia una notifica agli agenti OfficeScan in base alla pianificazione
dell'aggiornamento del componente dell'agente: gli Agenti OfficeScan
aggiornano gli elenchi di oggetti sospetti in base alla pianificazione di
aggiornamento corrente.
•
Invia automaticamente una notifica agli agenti OfficeScan dopo
l'aggiornamento dell'elenco di oggetti sospetti nel server: gli Agenti
OfficeScan aggiornano automaticamente gli elenchi di oggetti sospetti dopo
che il server OfficeScan riceve gli elenchi aggiornati.
Fare clic su Salva.
Server di riferimento
Uno dei modi in cui l'Agente OfficeScan determina quale criterio o profilo utilizzare
consiste nella verifica dello stato della connessione con il server OfficeScan. Se un
Agente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersi
con il server, lo stato dell'agente diventa offline. L'agente applica quindi un criterio o un
profilo destinato agli agenti esterni. I server di riferimento risolvono questo problema.
Un Agente OfficeScan che perde la connessione con il server OfficeScan proverà a
collegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con un
server di riferimento, applica il profilo o il criterio per gli agenti interni.
Criteri e profili gestiti dai server di riferimento includono:
•
Profili firewall
13-33
•
Criteri di reputazione Web
•
Criteri di protezione dati
•
Criteri di controllo dispositivo
È necessario ricordare quanto segue:
•
Assegnare come server di riferimento computer con funzionalità server, come un
server Web, un server SQL o un server FTP. È possibile specificare un massimo di
320 server di riferimento.
•
Gli Agenti OfficeScan si collegano al primo server dell'elenco dei server di
riferimento. Se il collegamento non riesce, l'agente prova a collegarsi al server
successivo dell'elenco.
•
Gli Agenti OfficeScan utilizzano i server di riferimento per determinare le
impostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio del
comportamento, Controllo dispositivo, profili di firewall, criterio di reputazione
Web). I server di riferimento non gestiscono gli agenti né implementano
aggiornamenti e impostazioni agente. Il server OfficeScan esegue queste
operazioni.
•
Un Agente OfficeScan non è in grado di inviare registri ai server di riferimento o
utilizzare i server come origini aggiornamenti.
Gestione dell'elenco server di riferimento
Procedura
1.
Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo.
2.
In base alla schermata visualizzata, attenersi alle seguenti istruzioni.
13-34
•
Nella schermata Profili firewall per gli agenti, fare clic su Modifica elenco
server di riferimento.
•
Nella schermata Posizione dispositivo, fare clic su Elenco server di
riferimento.
3.
Selezionare Attiva l'elenco server di riferimento.
4.
Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi.
a.
b.
Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully Qualified
Domain Name) del dispositivo, ad esempio:
•
computer.nomerete
•
12.10.10.10
•
ilmiocomputer.dominio.com
Inserire la porta attraverso la quale gli agenti comunicano con il dispositivo.
Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul server
di riferimento.
Nota
Per specificare un altro numero di porta per lo stesso server di riferimento,
ripetere i passaggi 2a e 2b. L'Agente OfficeScan utilizza il primo numero di
porta dell'elenco e, se la connessione non riesce, passa al numero di porta
successivo.
c.
Fare clic su Salva.
5.
Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nome del
dispositivo. Modificare il nome o la porta del dispositivo e fare clic su Salva.
6.
Per rimuovere un dispositivo dall'elenco, selezionare il nome del dispositivo e fare
clic su Elimina.
7.
Per consentire ai dispositivi di agire come server di riferimento, fare clic su
Assegna agli agenti.
Impostazioni notifica amministratore
Configurare le impostazioni di notifica per l'amministratore per consentire a OfficeScan
di inviare notifiche tramite e-mail e trap SNMP. OfficeScan è anche in grado di inviare
13-35
notifiche tramite il registro eventi di Windows NT, ma per questo canale di notifica non
ci sono impostazioni configurate.
OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quando
rileva:
Tabella 13-18. Rilevamenti che determinano l'invio di notifiche all'amministratore
Canali di notifica
Rilevamenti
E-mail
Trap SNMP
Registri
eventi di
Windows NT
Virus e minacce
informatiche
Sì
Sì
Sì
Spyware e grayware
Sì
Sì
Sì
digitali
Sì
Sì
Sì
Callback C&C
Sì
Sì
Sì
Infezioni da spyware e
Sì
Sì
Sì
Infezioni da spyware e
grayware
Sì
Sì
Sì
Infezioni da violazione del
firewall
Sì
No
No
Infezioni delle sessioni di
condivisione delle cartelle
Sì
No
No
Configurazione delle impostazioni di notifica generali
Procedura
1.
Accedere a Amministrazione > Notifiche > Impostazioni generali.
2.
Configurare le impostazioni di notifica e-mail
13-36
a.
Specificare l'indirizzo IPv4/IPv6 o il nome del dispositivo nel campo Server
SMTP.
b.
Specificare un numero di porta compreso tra 1 e 65535.
c.
Specificare un indirizzo e-mail.
Se si desidera attivare l'ESMTP nel passaggio successivo, specificare un
indirizzo e-mail valido.
3.
4.
d.
Facoltativamente, attivare ESMTP.
e.
Specificare il nome utente e la password per l'indirizzo e-mail specificato nel
campo Da.
f.
Scegliere un metodo per autenticare l'agente nel server:
•
Accesso: la funzione di accesso è una vecchia versione di Mail User
Agent. Il server e l'agente usano entrambi BASE64 per l'autenticazione
del nome utente e della password.
•
Testo semplice: il testo semplice è il più facile, ma anche il meno sicuro
perché il nome utente e la password vengono inviati come una stringa e
codificati come BASE64 prima di essere inviati tramite Internet.
•
CRAM-MD5: CRAM-MD5 utilizza una combinazione di un
meccanismo di autenticazione con risposta e di un algoritmo Message
Digest 5 crittografato per scambiare e autenticare le informazioni.
Configurare le impostazioni di notifica mediante trap SNMP.
a.
Specificare l'indirizzo IPv4/IPv6 o il nome del dispositivo nel campo
Indirizzo IP del server.
b.
Specificare un nome community difficile da indovinare.
Fare clic su Salva.
13-37
Registri eventi di sistema
OfficeScan trascrive nei registri gli eventi correlati al programma server, come ad
esempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i servizi
OfficeScan funzionino correttamente.
13-39.
Visualizzazione dei registri degli eventi di sistema
Procedura
1.
Accedere a Registri > Eventi di sistema.
2.
Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScan
registra i seguenti eventi:
Tabella 13-19. Registri eventi di sistema
Tipo di registro
Servizio principale
OfficeScan e server
database
Prevenzione delle
infezioni virali
Database backup
13-38
Eventi
•
Servizio principale avviato
•
Servizio principale interrotto correttamente
•
Servizio principale interrotto correttamente
•
Prevenzione delle infezioni attivata
•
Prevenzione delle infezioni disattivata
•
Numero di sessioni di cartelle condivise negli ultimi
<numero di minuti>
•
Backup del database riuscito
•
Backup del database non riuscito
Tipo di registro
Accesso alla console
Web basato sui ruoli
Autenticazione del
server
3.
Eventi
•
Accesso alla console Web
•
Modifica della password
•
Disconnessione dalla console
•
Timeout di sessione (utente automaticamente
disconnesso)
•
L'Agente OfficeScan ha ricevuto comandi non validi
dal server
•
Certificato di autenticazione non valido o scaduto
Gestione dei registri
OfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per la
sicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare i
criteri di protezione della propria organizzazione e di identificare gli Agenti OfficeScan
esposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di
controllare la connessione agente-server e di verificare che gli aggiornamenti dei
componenti siano stati completati.
OfficeScan utilizza inoltre un meccanismo centralizzato di verifica dell'orario per
garantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previene
le incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale che
possono generare confusione nell'analisi dei registri.
Nota
OfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degli
aggiornamenti del server e degli eventi di sistema.
Il server OfficeScan riceve i seguenti registri dagli Agenti OfficeScan:
13-39
•
Visualizzazione dei registri di virus/minacce informatiche a pagina 7-96
•
Visualizzazione dei registri di spyware/grayware a pagina 7-104
•
Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-108
•
Visualizzazione dei registri firewall a pagina 12-31
•
Visualizzazione dei registri di reputazione Web a pagina 11-26
•
Visualizzazione dei registri delle connessioni sospette a pagina 11-29
•
Visualizzazione dei file delle connessioni sospette a pagina 7-108
•
Visualizzazione dei registri di callback C&C a pagina 11-27
•
Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-15
•
Visualizzazione dei registri di controllo dispositivo a pagina 9-19
•
Visualizzazione dei registri dell'operazione di scansione a pagina 7-109
•
Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-58
•
Visualizzazione dei registri di aggiornamenti dell'agente OfficeScan a pagina 6-55
•
Visualizzazione dei registri di verifica connessione a pagina 14-48
Il server OfficeScan genera i seguenti registri:
•
Registri di aggiornamento del server OfficeScan a pagina 6-30
•
Registri eventi di sistema a pagina 13-38
I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli Agenti
OfficeScan:
•
Registri eventi di Windows a pagina 16-23
•
Registri del server OfficeScan a pagina 16-3
•
Registri dell'agente OfficeScan a pagina 16-15
13-40
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli
dalla console Web.
Eliminazione dei registri in base alla pianificazione
Procedura
1.
Accedere a Registri > Manutenzione registri.
2.
Selezionare Attiva eliminazione pianificata dei registri.
3.
Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, ad
eccezione dei registri di debug, possono essere eliminati in base ad una
pianificazione. Per i registri di debug, disattivare la registrazione di debug per
interrompere la raccolta dei registri.
Nota
Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da
alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e
grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori
informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.
4.
Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli
precedenti a un certo numero di giorni.
5.
Specificare la frequenza e l'ora di eliminazione dei registri.
6.
Fare clic su Salva.
13-41
Eliminazione manuale dei registri
Procedura
1.
agente.
2.
3.
Eseguire una delle operazioni riportate di seguito.
4.
13-42
) per
•
Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic su
Elimina registri.
•
Se si accede alla schermata Gestione agente, fare clic su Registri > Elimina
registri.
Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo i
seguenti registri:
•
•
Registri di callback C&C
•
•
•
•
Registri di spyware/grayware
•
•
Registri delle connessioni sospette
•
Registri dei file sospetti
•
Registri di virus/minacce informatiche
•
Registri di reputazione Web
Nota
Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da
alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e
grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori
informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.
5.
Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli
precedenti a un certo numero di giorni.
6.
Fare clic su Elimina.
Licenze
Tramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenza
OfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte del
servizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni.
Nota
Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto Virtual
Desktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate e
gestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza di
Protezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 14-81.
Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazione
online Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScan
di connettersi al server per la registrazione, è necessario un server proxy dual-stack in grado
di convertire gli indirizzi IP, come ad esempio DeleGate.
Visualizzazione delle informazioni sulla Licenza del
prodotto
Procedura
1.
13-43
2.
Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore della
schermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:
Tabella 13-20. Promemoria per le licenze
Tipo di licenza
Versione
completa
Versione di prova
3.
13-44
Promemoria
•
Durante il periodo di proroga per il prodotto. La durata del
periodo di proroga varia a seconda dell'area geografica.
Verificare il periodo di proroga con il rappresentante Trend
Micro.
•
Alla scadenza della licenza e al termine del periodo di
proroga. In questo periodo non sarà possibile ottenere
l'assistenza tecnica o effettuare l'aggiornamento dei
componenti. I motori di scansione continueranno a
effettuare l'analisi dei dispositivi, ma con componenti non
aggiornati. Tali componenti obsoleti potrebbero non
proteggere in maniera completa dai più recenti rischi per
la sicurezza.
Alla scadenza della licenza. Durante questo periodo,
OfficeScan disattiva l'aggiornamento dei componenti. I motori
di scansione continueranno a effettuare l'analisi dei dispositivi,
ma con componenti non aggiornati. Tali componenti obsoleti
potrebbero non proteggere in maniera completa dai più recenti
rischi per la sicurezza.
Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenza
contiene le seguenti informazioni:
•
Servizi: include tutti i servizi della licenza OfficeScan
•
Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periodo
di proroga". Se un servizio prevede diverse licenze e almeno una di queste è
ancora attiva, lo stato di tale servizio sarà "Attivato".
•
Versione: indica se la versione è "Completa" o se si tratta di una "Versione di
prova". Se si dispone sia della versione completa sia della versione di prova, la
versione indicata sarà "Completa".
•
Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzata
l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007
e 30/06/2008, verrà visualizzata la data 30/06/2008.
Nota
Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà
"N.D.".
4.
OfficeScan consente di attivare diverse licenze per un servizio di licenza. Per
visualizzare tutte le licenze relative a un servizio (sia quelle attive che quelle
scadute), fare clic sul nome del servizio stesso.
Attivazione o rinnovo della licenza
Procedura
1.
2.
Fare clic sul nome del servizio di licenza.
3.
Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic su
Nuovo codice di attivazione.
4.
Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su
Salva.
Nota
Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sulla
chiave di registrazione e sul codice di attivazione, contattare un rappresentante Trend
Micro.
5.
Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiorna
informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il
nuovo stato del servizio. Questa schermata contiene anche un collegamento al sito
Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla
propria licenza.
13-45
OfficeScan Database Backup
Il database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese le
impostazioni e i privilegi di scansione. Qualora il database del server dovesse subire un
danno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manuale
del database in qualsiasi momento oppure configurare una pianificazione per il backup.
Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alla
deframmentazione del database e ripara eventuali danni al file dell'indice.
Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Per
ulteriori informazioni, consultare Registri eventi di sistema a pagina 13-38.
Suggerimento
Trend Micro consiglia di configurare una pianificazione per il backup automatico. Si
consiglia di effettuare il backup del database durante ore non di punta quando il traffico del
server è ridotto.
AVVERTENZA!
Non eseguire il backup con altri strumenti o software. Configurare il backup del database
solo dalla console Web OfficeScan.
Backup del database di OfficeScan
Procedura
1.
Accedere a Amministrazione > Impostazioni > Database Backup.
2.
Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste,
selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completo
della directory, ad esempio C:\OfficeScan\DatabaseBackup.
Per impostazione predefinita, OfficeScan salva la copia di backup nella seguente
directory:<Cartella di installazione del server>\DBBackup
13-46
Nota
OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartella
indica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS.
OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente le
cartelle precedenti.
3.
Se il percorso di backup è su un computer remoto (con un percorso UNC), inserire
un nome account adeguato e la password corrispondente. Accertarsi che l'account
disponga dei privilegi di scrittura sul computer.
4.
Per configurare una pianificazione per il backup:
a.
Selezionare Attiva pianificazione di Database Backup.
b.
Specificare la frequenza e l'orario del backup.
c.
Per eseguire il backup del database e salvare le modifiche apportate, fare clic
su Esegui backup. Per salvare soltanto senza eseguire il backup del database,
fare clic su Salva.
Ripristino dei file di backup database
Procedura
1.
Interrompere il servizio principale OfficeScan.
2.
Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV
\HTTPDB con i file di backup.
3.
Riavviare il servizio principale OfficeScan.
Strumento di migrazione SQL Server
Gli amministratori possono eseguire la migrazione del database OfficeScan esistente
dallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento di
13-47
migrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta le
seguenti migrazioni di database:
•
Database OfficeScan CodeBase al nuovo database SQL Server Express
•
Database OfficeScan CodeBase al database SQL Server preesistente
•
Database OfficeScan SQL (precedentemente migrato) che è stato spostato in
un'altra posizione
Utilizzo dello strumento di migrazione SQL Server
Lo Strumento di migrazione SQL Server esegue la migrazione del database CodeBase
esistente al database SQL utilizzando SQL Server 2008 R2 SP2 Express.
Suggerimento
Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server il
database SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo lo
Strumento di migrazione SQL Server e selezionare Passare a un database OfficeScan
SQL esistente per usare l'altro SQL Server.
Importante
Prima di eseguire lo Strumento di migrazione SQL Server su Windows Server 2008 o
versioni successive con le credenziali di autenticazione Windows dell'utente del dominio:
•
Controllo dell'accesso degli utenti deve essere attivato
•
Non è possibile eseguire il Servizio principale OfficeScan utilizzando l'account utente
del dominio utilizzato per accedere a SQL Server
Procedura
1.
\PCCSRV\Admin\Utility\SQL.
2.
Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.
La console di Strumento di migrazione del server SLQ viene aperta.
13-48
3.
Scegliere il tipo di migrazione:
Opzione
Installare un nuovo SQL
Server 2008 R2 SP2
Express ed eseguire la
migrazione del database
OfficeScan
Descrizione
Installa automaticamente SQL Server 2008 R2 SP2
Express ed esegue la migrazione del database
OfficeScan esistente su un nuovo database SQL
Nota
OfficeScan assegna automaticamente la porta 1433 a
SQL Server.
4.
Eseguire la migrazione
del database OfficeScan
su un SQL Server
esistente
Esegue la migrazione del database OfficeScan
esistente su un nuovo database SQL, su un SQL
Server esistente
Passa a un database
OfficeScan SQL
esistente
Modifica le impostazioni di configurazione OfficeScan
per selezionare un database SQL OfficeScan esistente
su un SQL Server esistente
Specificare il nome server nel modo seguente:
•
Per le nuove installazioni SQL: <nome host o indirizzo IP di SQL Server>
\<nome istanza>
•
Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQL
Server>,<numero_porta>\<nome istanza>
•
Quando si passa a un database OfficeScan SQL esistente: <nome host o
indirizzo IP di SQL Server>,<numero_porta>\<nome istanza>
Importante
OfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQL
Server si installa. Quando viene effettuata la migrazione verso un database o un SQL
Server esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan su
SQL Server.
5.
Fornire le credenziali di autenticazione per il database SQL Server.
13-49
Importante
Quando si usa l'Account Windows per accedere al server:
•
•
6.
Per un account di amministratore di dominio predefinito:
•
Formato Nome utente: nome_dominio\amministratore
•
I requisiti per l'account sono i seguenti:
•
Gruppi: “gruppo di amministratori”
•
Ruoli utente: “Accedi come servizio” e “Accedi come processo batch”
•
Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”
Per un account utente di dominio:
•
Formato Nome utente: nome_dominio\nome_utente
•
I requisiti per l'account sono i seguenti:
•
Gruppi: “gruppo di amministratori” e “amministratori di dominio”
•
Ruoli utente: “Accedi come servizio” e “Accedi come processo batch”
•
Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”
Per le installazioni SQL Server nuove, digitare una nuova password e confermare.
Nota
Le password devono soddisfare i requisiti minimi di complessità elencati di seguito:
7.
13-50
a.
Lunghezza minima: 6 caratteri
b.
Devono contenere almeno 3 dei seguenti elementi:
•
Lettere maiuscole: A - Z
•
Lettere minuscole: a - z
•
Numeri: 0 - 9
•
Caratteri speciali: !@#$^*?_~-();.+:
Specificare il Nome database OfficeScan su SQL Server.
Quando viene effettuata la migrazione del database CodeBase OfficeScan verso un
nuovo database SQL, OfficeScan crea automaticamente il nuovo database, con il
nome.
8.
Eseguire, facoltativamente, le operazioni riportate di seguito:
•
Fare clic su Test di connessione per verificare le credenziali di autenticazione
per l'SQL Server o il database esistente.
•
Fare clic su Avviso non disponibile database SQL… per configurare le
impostazioni di notifica del database SQL.
Per i dettagli, consultare Configurazione di Avviso non disponibile database SQL a
pagina 13-51.
9.
Per applicare le modifiche della configurazione, fare clic su Avvia.
Configurazione di Avviso non disponibile database SQL
OfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventa
non disponibile.
AVVERTENZA!
OfficeScan interrompe automaticamente tutti i servizi quando il database diventa non
disponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, a
eseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile.
Procedura
1.
\PCCSRV\Admin\Utility\SQL.
2.
Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.
La console di Strumento di migrazione del server SLQ viene aperta.
3.
Fare clic su Avviso non disponibile database SQL….
La schermata di Avviso non disponibile per SQL Server viene aperta.
13-51
4.
Digitare gli indirizzi e-mail dei destinatari dell'avviso.
Separare le diverse voci con un punto e virgola (;).
5.
Modificare Oggetto e Messaggio in base alle esigenze.
OfficeScan offre le seguenti variabili token:
Tabella 13-21. Token di Avviso non disponibile database SQL
Varia
bile
6.
Descrizione
%x
Il nome dell'istanza SQL Server OfficeScan
%s
Il nome del server OfficeScan infetto
Fare clic su OK.
Impostazioni connessione agente/server Web
OfficeScan
Nel corso dell'installazione del server OfficeScan, il programma di installazione imposta
automaticamente un server Web (server IIS o Apache Web) che consente ai computer
della rete di collegarsi al server OfficeScan. Configurare il server Web a cui si
collegheranno gli agenti dispositivo collegati in rete.
Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla console
di gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modifica
manualmente l'indirizzo IP del server per i computer in rete o se si assegna al server un
indirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative al
server.
AVVERTENZA!
La modifica delle impostazioni di connessione può determinare la perdita permanente della
connessione tra il server e gli agenti e rende necessaria una nuova implementazione degli
Agenti OfficeScan.
13-52
Configurazione delle impostazioni di connessione
Procedura
1.
Accedere a Amministrazione > Impostazioni > Connessione agente.
2.
Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta del
server Web.
Nota
Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza per
comunicare con gli Agenti OfficeScan.
3.
Fare clic su Salva.
Comunicazione agente server
È possibile configurare OfficeScan in modo da garantire che tutte le comunicazioni tra il
server e gli agenti siano valide. OfficeScan offre funzionalità di crittografia di chiave
pubblica avanzate per proteggere tutte le comunicazioni tra il server e gli agenti.
Per i dettagli sulle funzionalità di protezione della comunicazione, consultare le sezioni
seguenti:
•
Autenticazione delle comunicazioni avviate dal server a pagina 13-53
•
Crittografia avanzata della comunicazione agente-server a pagina 13-58
Autenticazione delle comunicazioni avviate dal server
OfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che il
server OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il server
detiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agenti
usano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dal
server e siano valide. Gli agenti rispondono se la verifica è corretta.
13-53
Nota
OfficeScan non autentica le comunicazioni che gli agenti avviano nel server.
Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durante
l'installazione del server OfficeScan, il programma di installazione ripristina il certificato
nell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication Certificate
Manager per gestire le chiavi e i certificati Trend Micro.
Quando si decide di usare una singola chiave di autenticazione per tutti i server
OfficeScan, tenere presente quanto segue:
•
L'implementazione di un singolo certificato è una prassi comune per tutti i livelli di
sicurezza standard. Questo approccio compensa il livello di sicurezza di
un'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi.
•
L'implementazione di più certificati sui server OfficeScan fornisce il livello di
sicurezza massimo. Questo approccio aumenta la gestione necessaria quando le
chiavi dei certificati scadono e devono essere ridistribuite sui server.
Importante
Prima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per il
certificato esistente. Una volta completata la nuova installazione, importare la copia del
certificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan e
gli Agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificato
durante l'installazione del server, gli Agenti OfficeScan non riescono ad autenticare le
comunicazioni del server perché utilizzano ancora il vecchio certificato, che non esiste più.
Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione e
dell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina
13-55.
Configurazione dell'autenticazione delle comunicazioni
avviate dal server
Procedura
1.
Sul server OfficeScan, accedere a <Cartella_installazione_server\PCCSRV e aprire
ofcscan.ini con un editor di testo.
13-54
2.
Aggiungere o modificare la stringa di testo SGNF nella sezione [Global
Settings].
Per attivare l'autenticazione: SGNF=1
Per disattivare l'autenticazione: SGNF=0
Nota
OfficeScan attivare l'autenticazione per impostazione predefinita. Aggiungere la
chiave SGNF al file ofcscan.ini solo se si desidera disattivare questa funzione.
3.
Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clic
su Salva per implementare le impostazioni in tutti gli agenti.
Uso di Authentication Certificate Manager
Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubbliche
scadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per un
periodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agenti
eseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificato
scaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il server
implementa quindi la chiave pubblica più recente sugli agenti.
Quando vengono configurati i certificati, ricordare quanto segue:
•
Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate.
•
Scegliere una password complessa e registrarla per riferimenti futuri.
Importante
Quando si usa lo strumento Authentication Certificate Manager, sono necessari i seguenti
requisiti:
•
L'utente deve avere i privilegi di amministratore
•
Lo strumento è in grado di gestire solo i certificati che si trovano sul dispositivo locale
13-55
Procedura
1.
Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in
<Cartella di installazione del server>\PCCSRV\Admin\Utility\CertificateManager.
2.
Eseguire uno dei seguenti comandi:
Comando
Esempio
Descrizione
CertificateMana
ger.exe -c
[Password_Backu
p]
CertificateMana
ger.exe -c
strongpassword
Genera un nuovo certificato Trend Micro
e sostituisce il certificato esistente
CertificateMana
ger.exe -b
[Password]
[Percorso
certificato]
CertificateMana
ger.exe -b
strongpassword
D:\Test
\TrendMicro.zip
Esegue il backup di tutti i certificati
Trend Micro emessi dal server
OfficeScan corrente
Nota
Nota
Il certificato
è in formato
ZIP.
13-56
Effettuare il backup per ripristinare il
certificato su un server OfficeScan.
Nota
Il certificato
è in formato
ZIP.
CertificateMana
ger.exe -r
[Password]
[Percorso
certificato]
Effettuare questa operazione se il
certificato esistente è scaduto o se è
passato a parti non autorizzate.
Effettuando il backup dei certificati
del server OfficeScan consente di
usarli se è necessario reinstallare
il server OfficeScan.
CertificateMana
ger.exe -r
strongpassword
D:\Test
\TrendMicro.zip
Ripristina tutti i certificati Trend Micro sul
server
Effettuare tale operazione per
ripristinare il certificato su un server
OfficeScan reinstallato.
Comando
Esempio
CertificateMana
ger.exe -e
[Percorso
certificato]
CertificateMana
ger.exe -e
<Cartella_insta
llazione_agente
>\OfcNTCer.dat
Descrizione
Esporta la chiave pubblica dell'Agente
OfficeScan associata al certificato
attualmente utilizzato
Effettuare tale operazione se la chiave
pubblica utilizzata dagli agenti viene
danneggiata. Copiare il file .dat nella
cartella principale dell'agente,
sovrascrivendo il file esistente.
Importante
Il percorso del file del certificato
nell'Agente OfficeScan deve
essere:
<Cartella_installazione_agente>
\OfcNTCer.dat
CertificateMana
ger.exe -i
[Password]
[Percorso
certificato]
CertificateMana
ger.exe -i
strongpassword
D:\Test
\OfcNTCer.pfx
Importa un certificato Trend Micro
nell'archivio dei certificati
CertificateMana
ger.exe -l D:
\Test
\MismatchedAgen
tList.csv
Elenca gli agenti (in formato CSV) che
stanno usando un certificato non
corrispondente
Nota
Il nome
predefinito
del file del
certificato è:
OfcNTCer.pfx
CertificateMana
ger.exe -l
[Percorso CSV]
13-57
Crittografia avanzata della comunicazione agente-server
OfficeScan offre la crittografia avanzata della comunicazione tra server e agenti
utilizzando l'Advanced Encryption Standard (AES) 256, in conformità alle normative
governative.
Importante
OfficeScan supporta la crittografia AES-256 solo su server e agenti con OfficeScan 11.0
SP1 o versioni successive e Plug-in Manager 2.2 o versioni successive.
AVVERTENZA!
Verificare di aver aggiornato tutti gli Agenti OfficeScan gestiti dal server alla versione 11.0
SP1 prima di attivare la crittografia AES-256. Le versioni precedenti dell'Agente OfficeScan
potrebbero non essere in grado di decrittografare la comunicazione crittografata con
AES-256. L'attivazione della crittografia AES-256 su versioni precedenti dell'Agente
OfficeScan potrebbe comportare la totale perdita della comunicazione con il server
OfficeScan durante l'utilizzo di un server proxy.
Procedura
1.
2.
Andare alla sezione Comunicazione agente-server.
3.
Fare clic sul pulsante Modifica accanto a Crittografia AES-256 per la
comunicazione tra il server e gli agenti OfficeScan.
Viene visualizzato un messaggio.
4.
Fare clic su Verifica versioni per confermare di aver aggiornato tutti gli agenti a
OfficeScan 11.0 SP1 o versioni successive.
5.
Fare clic su OK.
13-58
Password della console Web
La schermata per la gestione della password della console Web (o la password per
l'account principale (root) creato durante l'installazione del server OfficeScan) è
disponibile solo se il computer server non dispone delle risorse necessarie per utilizzare
l'RBA (Role-based Administration). Ad esempio se sul computer server è installato
Windows Server 2003 e Authorization Manager Runtime non è installato, la schermata
non è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata e
la password può essere gestita modificando l'account principale (root) nella schermata
Account utente.
Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica per
ottenere istruzioni su come accedere alla console Web.
Impostazioni della console Web
Utilizzare la schermata Impostazioni della console Web per effettuare le operazioni
•
Configurare il server OfficeScan per l'aggiornamento periodico della dashboard
Riepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30
secondi. Il numero di secondi deve essere compreso tra 10 e 300.
•
Specificare le impostazioni di timeout della console Web. Per impostazione
predefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30
minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e
60.
Configurazione delle impostazioni della console Web
Procedura
1.
Accedere a Amministrazione > Impostazioni > Console Web.
2.
Selezionare Attiva aggiornamento automatico e selezionare l'intervallo di
aggiornamento.
13-59
3.
Selezionare Attiva disconnessione automatica dalla console Web e selezionare
l'intervallo di timeout.
4.
Fare clic su Salva.
Quando l'Agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è la
messa in quarantena, il file infetto viene crittografato e quindi spostato nella cartella di
quarantena locale in <Cartella di installazione dell'agente>\SUSPECT.
Dopo aver spostato il file nella directory di quarantena locale, l'Agente OfficeScan lo
invia alla directory di quarantena designata. Specificare la directory in Agenti >
Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > Azione. I
file nella directory di quarantena vengono crittografati per evitare che infettino altri file.
Consultare Directory di quarantena a pagina 7-41 per ulteriori informazioni.
Se la directory di quarantena designata si trova nel computer server OfficeScan,
modificare le impostazioni della directory di quarantena dalla console Web. Il server
memorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV\Virus.
Nota
Se per qualche motivo (come ad esempio un problema di connessione), l'Agente
OfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il file
crittografato rimane nella cartella di quarantena dell'Agente OfficeScan. L'Agente
OfficeScan tenta un nuovo invio del file al successivo collegamento al server OfficeScan.
Configurazione delle impostazioni della directory di
quarantena
Procedura
1.
13-60
Accedere a Amministrazione > Impostazioni > Gestore della quarantena.
2.
Accettare o modificare la capacità predefinita della cartella di quarantena e le
dimensioni massime di un file infetto che OfficeScan è in grado di mettere in
quarantena.
In questa schermata vengono visualizzati i valori predefiniti.
3.
Fare clic su Salva impostazioni di quarantena.
4.
Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Elimina
tutti i file in quarantena.
Server Tuner
Server Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando dei
parametri per le seguenti problematiche prestazionali relative al server:
•
Download
Quando il numero di Agenti OfficeScan (compresi gli Update Agent) che
richiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sul
server, il server sposta la richiesta di aggiornamento dell'agente in una coda ed
elabora le richieste quando le risorse diventano disponibili. Dopo che l'agente ha
aggiornato correttamente i componenti dal server OfficeScan, invia una notifica al
server sul completamento dell'aggiornamento. Impostare il numero massimo di
minuti per i quali il server OfficeScan deve attendere la notifica di aggiornamento
dall'agente. Impostare anche il numero massimo di tentativi che il server deve
effettuare per richiedere all'agente di eseguire un aggiornamento e di applicare le
nuove impostazioni di configurazione. Il server effettua nuovi tentativi soltanto se
non riceve notifiche dall'agente.
•
Buffer
Quando il server OfficeScan riceve più richieste dagli Agenti OfficeScan come, ad
esempio, la richiesta di eseguire un aggiornamento, il server elabora il numero
massimo di richieste possibili, spostando le richieste restanti in un buffer. Il server
elabora quindi le richieste salvate nel buffer una per volta, man mano che si
rendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, ad
esempio, le richieste di aggiornamento dell'agente, e per i report dei registri
dell'agente.
13-61
•
Traffico di rete
La quantità di traffico della rete varia nel corso della giornata. Per controllare il
flusso del traffico di rete verso il server OfficeScan e verso altre origini
aggiornamenti, specificare il numero di Agenti OfficeScan che possono essere
aggiornati contemporaneamente in un determinato orario.
Server Tuner richiede il seguente file: SvrTune.exe
Esecuzione di Server Tuner
Procedura
1.
\PCCSRV\Admin\Utility\SvrTune.
2.
Fare doppio clic su SvrTune.exe per avviare Server Tuner.
Si apre la console di Server Tuner.
3.
13-62
Nella sezione Download modificare le seguenti impostazioni:
•
Timeout per client: digitare il numero di minuti per i quali il server
OfficeScan deve attendere una risposta di aggiornamento dagli agenti. Se
l'agente non risponde entro questo intervallo, il server OfficeScan non
considera l'agente come dotato di componenti aggiornati. Quando si verifica il
timeout su un agente notificato, si rende disponibile lo spazio per un altro
agente in attesa di notifica.
•
Timeout per Update Agent: digitare il numero di minuti per i quali il server
OfficeScan deve attendere una risposta di aggiornamento da un Update
Agent. Quando si verifica il timeout su un agente notificato, si rende
disponibile lo spazio per un altro agente in attesa di notifica.
•
Numero tentativi: digitare il numero massimo di tentativi che il server
OfficeScan deve effettuare per richiedere a un agente di eseguire un
aggiornamento o di applicare nuove impostazioni di configurazione.
•
Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScan
deve attendere tra un tentativo di notifica e quello successivo.
4.
5.
Nella sezione Traffico di rete, modificare le seguenti impostazioni:
•
Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentano
le ore del giorno in cui il traffico di rete è considerato normale.
•
Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentano
le ore del giorno in cui il traffico di rete è considerato minimo.
•
Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano le
ore del giorno in cui il traffico di rete è considerato massimo.
•
Numero massimo connessioni client: digitare il numero massimo di client
che possono simultaneamente aggiornare i componenti da "altra origine
aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di client
per ciascuno dei periodi di tempo. Quando viene raggiunto il numero
massimo di connessioni, gli Agenti OfficeScan possono aggiornare i
componenti soltanto dopo la chiusura di una connessione in corso dell'agente
(a causa del completamento dell'aggiornamento o del fatto che la risposta
dell'agente ha raggiunto il valore di timeout specificato nel campo Timeout
per client o Timeout per Update Agent).
Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principale
OfficeScan.
Nota
Viene riavviato soltanto il servizio, non il computer.
6.
Selezionare una delle opzioni di riavvio seguenti:
•
fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio.
Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio.
•
Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare il
servizio. Per fare in modo che le impostazioni abbiano effetto, riavviare il
servizio principale OfficeScan o riavviare il computer su cui è installato il
server OfficeScan.
13-63
Smart Feedback
Trend Micro Smart Feedback condivide le informazioni sulle minacce anonime con
Smart Protection Network, consentendo a Trend Micro di identificare e trattare
rapidamente le nuove minacce. È possibile disattivare Smart Feedback in qualsiasi
momento tramite questa console.
Partecipazione al programma Smart Feedback
Procedura
1.
Accedere a Amministrazione > Smart Protection > Smart Feedback.
2.
Fare clic su Attiva Trend Micro Smart Feedback.
3.
Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare un
valore nel campo Settore.
4.
Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degli
Agenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file di
programma sospetti.
Nota
I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati solo
per eseguire le analisi delle minacce.
5.
Per configurare i criteri per l'invio del feedback, selezionare il numero di rilevamenti
effettuati nel periodo di tempo specificato che generano il feedback.
6.
Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan per
inviare feedback e ridurre le interruzioni della rete.
7.
Fare clic su Salva.
13-64
Capitolo 14
Gestione dell'agente OfficeScan
In questo capitolo vengono descritte le configurazioni e la gestione dell'Agente
OfficeScan.
•
Posizione dispositivo a pagina 14-2
•
Gestione del programma agente OfficeScan a pagina 14-6
•
Connessione agente server a pagina 14-29
•
Impostazioni proxy dell'Agente OfficeScan a pagina 14-53
•
Visualizzazione delle informazioni sull'agente OfficeScan a pagina 14-58
•
Importazione ed esportazione delle impostazioni degli agenti a pagina 14-59
•
Conformità sicurezza a pagina 14-60
•
Supporto Trend Micro Virtual Desktop a pagina 14-78
•
Impostazioni globali agente a pagina 14-92
•
Configurazione dei privilegi e di altre impostazioni dell'agente a pagina 14-94
14-1
OfficeScan fornisce una funzione di Location Awareness in grado di determinare se la
posizione dell'Agente OfficeScan è interna o esterna. Location Awareness viene
utilizzata nelle seguenti funzioni e servizi di OfficeScan:
Tabella 14-1. Funzioni e servizi che usano Location Awareness
Funzione/
Servizio
Servizi di
reputazione Web
Descrizione
La posizione dell'Agente OfficeScan determina il criterio di
reputazione Web che sarà applicato dall'Agente OfficeScan. Gli
amministratori in genere applicano criteri più rigidi per gli agenti
esterni.
Per ulteriori informazioni sui criteri di reputazione Web, vedere
Criteri di reputazione Web a pagina 11-5.
Servizi di
reputazione file
Per gli agenti che usano Smart Scan, la posizione dell'Agente
OfficeScan stabilisce l'origine Smart Protection a cui gli agenti
inviano query di scansione.
Gli Agenti OfficeScan esterni inviano query di scansione a Smart
Protection Network mentre gli agenti interni inviano le query alle
origini definite nell'elenco delle origini Smart Protection.
Per ulteriori informazioni sulle origini Smart Protection, vedere
Origini Smart Protection a pagina 4-6.
Prevenzione
perdita di dati
La posizione dell'Agente OfficeScan determina il criterio di
Prevenzione perdita di dati applicato dall'agente. Gli amministratori
in genere applicano criteri più rigidi per gli agenti esterni.
Per ulteriori informazioni sui criteri Prevenzione perdita di dati,
vedere Criteri di Prevenzione perdita di dati a pagina 10-3.
Controllo
dispositivo
La posizione dell'Agente OfficeScan determina il criterio di controllo
dispositivo che sarà applicato dall'agente. Gli amministratori in
genere applicano criteri più rigidi per gli agenti esterni.
Per ulteriori informazioni sui criteri di Controllo dispositivo, vedere
Controllo dispositivo a pagina 9-2.
14-2
Criteri di località
Specificare se il percorso si basa sull'indirizzo IP del gateway del dispositivo Agente
OfficeScan o sullo stato della connessione dell'Agente OfficeScan con il server
OfficeScan o un server di riferimento.
•
Stato della connessione agente: se l'Agente OfficeScan può collegarsi al server
OfficeScan o a uno dei server di riferimento assegnati della intranet, la posizione
del dispositivo è interna. Inoltre, se un dispositivo al di fuori della rete aziendale è
in grado di stabilire una connessione al server OfficeScan o al server di riferimento,
anche quella posizione è interna. Se non si applica nessuna di queste condizioni, la
posizione del dispositivo è esterna.
•
Indirizzo MAC e IP gateway: se l'indirizzo IP gateway del dispositivo Agente
OfficeScan corrisponde a un indirizzo IP gateway specificato nella schermata
Posizione dispositivo, la posizione del dispositivo è interna. Altrimenti, la
posizione del dispositivo è esterna.
Configurazione delle impostazioni della località
Procedura
1.
Accedere a Agenti > Posizione dispositivo.
2.
Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IP
e MAC del gateway.
3.
Se si sceglie Stato della connessione agente, occorre decidere se utilizzare un
server di riferimento.
Consultare Server di riferimento a pagina 13-33 per ulteriori dettagli.
a.
Se non viene specificato un server di riferimento, l'Agente OfficeScan verifica
lo stato della connessione con il server OfficeScan quando si verificano gli
eventi seguenti:
•
L'Agente OfficeScan passa dalla modalità roaming a quella normale
(online/offline) e viceversa.
14-3
b.
4.
•
L'Agente OfficeScan passa da un metodo di scansione a un altro.
Consultare Tipi di metodi di scansione a pagina 7-8 per ulteriori dettagli.
•
L'Agente OfficeScan rileva una variazione di indirizzo IP nel dispositivo.
•
L'Agente OfficeScan viene riavviato.
•
Il server avvia una verifica della connessione. Consultare Icone dell'agente
•
I parametri della località di reputazione Web vengono modificati durante
l'applicazione delle impostazioni globali
•
I criteri di difesa dalle infezioni non vengono più applicati e vengono
ripristinate le impostazioni precedenti all'infezione.
Quando si specifica un server di riferimento, se la connessione al server
OfficeScan non riesce, l'Agente OfficeScan verifica lo stato della connessione
prima con il server OfficeScan, poi con il server di riferimento. L'Agente
OfficeScan verifica lo stato della connessione ogni ora e quando si verificano
gli eventi sopra citati.
Se si seleziona l'indirizzo IP e MAC del gateway:
a.
Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo.
b.
Inserire l'indirizzo MAC.
c.
Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizzi
MAC appartenenti all'indirizzo IP specificato.
d.
Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway che
si desidera aggiungere.
e.
Utilizzare lo strumento Utilità di importazione impostazioni gateway per
importare un elenco delle impostazioni del gateway.
Consultare Utilità di importazione impostazioni gateway a pagina 14-5 per ulteriori
dettagli.
14-4
5.
Fare clic su Salva.
Utilità di importazione impostazioni gateway
OfficeScan verifica la posizione del dispositivo per determinare il criterio di reputazione
Web da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con
cui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gateway
del dispositivo.
Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppure
utilizzare l'Utilità di importazione impostazioni gateway per importare un elenco di
impostazioni del gateway nella schermata Posizione dispositivo.
Uso dell'utilità di importazione impostazioni gateway
Procedura
1.
Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway. In
ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo).
Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096.
Ad esempio:
10.1.111.222,00:17:31:06:e6:e7
2001:0db7:85a3:0000:0000:8a2e:0370:7334
10.1.111.224,00:17:31:06:e6:e7
2.
Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin
\Utility\GatewaySettingsImporter e fare doppio clic su GSImporter.exe.
Nota
Non è possibile eseguire lo strumento Utilità di importazione impostazioni gateway
dai servizi terminal.
14-5
3.
Nella schermata Utilità di importazione impostazioni gateway, trovare il file
creato al passaggio 1 e fare clic su Importa.
4.
Fare clic su OK.
Le impostazioni del gateway vengono visualizzate nella schermata Posizione
dispositivo e il server OfficeScan implementa le impostazioni negli Agenti
OfficeScan.
5.
Per eliminare tutte le voci, fare clic su Cancella tutto.
Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizione
dispositivo.
6.
Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare il
nome e il tipo di file.
Gestione del programma agente OfficeScan
I seguenti argomenti illustrano modi per gestire e proteggere il programma Agente
OfficeScan:
•
Servizi dell'agente OfficeScan a pagina 14-7
•
Riavvia Servizio Agente OfficeScan a pagina 14-12
•
Protezione automatica dell'agente OfficeScan a pagina 14-13
•
Sicurezza dell'Agente OfficeScan a pagina 14-17
•
Restrizione di accesso alla console dell'agente OfficeScan a pagina 14-19
•
Rimozione e sblocco dell'agente OfficeScan a pagina 14-20
•
Privilegio di roaming dell'agente OfficeScan a pagina 14-21
•
Agent Mover a pagina 14-25
•
Agenti OfficeScan inattivi a pagina 14-28
14-6
Servizi dell'agente OfficeScan
L'Agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibile
visualizzare lo stato di questi servizi da Microsoft Management Console.
Tabella 14-2. Servizi dell'agente OfficeScan
Servizio
Funzioni controllate
Servizio prevenzione
modifiche non autorizzate
di Trend Micro
(TMBMSRV.exe)
•
•
•
Servizio Certified Safe Software
OfficeScan NT Firewall
(TmPfw.exe)
Firewall di OfficeScan
Servizio Protezione dati
OfficeScan (dsagent.exe)
•
•
OfficeScan NT Listener
(tmlisten.exe)
Comunicazione tra l'Agente OfficeScan e il server
OfficeScan
OfficeScan NT Proxy
Service (TmProxy.exe)
•
Reputazione Web
•
Scansione e-mail POP3
OfficeScanNT (ntrtscan.exe)
•
•
Scansione pianificata
•
Scansione manuale/Esegui scansione
Framework soluzione client
comune OfficeScan
(TmCCSF.exe)
Servizio di protezione avanzata
•
Prevenzione minaccia browser
•
Scansione memoria
I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllo
possono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguono
applicazioni a elevato utilizzo delle risorse del sistema:
•
14-7
•
OfficeScan NT Firewall (TmPfw.exe)
•
Servizio Protezione dati OfficeScan (dsagent.exe)
Per questo motivo, per impostazione predefinita questi servizi sono disattivati sulle
piattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server
2012). Se si desidera attivare questi servizi:
•
Tenere costantemente sotto controllo le prestazioni del sistema e prendere gli
opportuni provvedimenti se si nota un calo delle prestazioni.
•
Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni a
elevato utilizzo delle risorse del sistema dai criteri di monitoraggio del
comportamento. È possibile utilizzare uno strumento di ottimizzazione delle
prestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema.
Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 14-10.
Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delle
prestazioni.
Attivazione o disattivazione dei servizi dell'agente dalla
console Web
Procedura
1.
2.
Per gli Agenti OfficeScan con sistemi operativi Windows XP, Vista, 7, 8, 8.1 o 10:
a.
Nota
Quando si seleziona un dominio root o domini specifici, l'impostazione sarà
applicata soltanto agli agenti con Windows XP, Vista, 7, 8, 8.1 o 10.
L'impostazione non sarà applicata agli agenti che eseguono piattaforme
Windows Server anche se fanno parte dei domini.
14-8
b.
Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.
c.
Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:
d.
3.
•
Servizio prevenzione modifiche non autorizzate
•
Servizio firewall
•
•
•
Fare clic su Salva per applicare le impostazioni ai domini. Se è stata
selezionata l'icona del dominio principale, scegliere una delle opzioni riportate
di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti
Windows XP/Vista/7/8/8.1/10 esistente e ai nuovi agenti aggiunti a un
dominio esistente o futuro. I domini futuri sono i domini non ancora
creati al momento della configurazione delle impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli
agenti Windows XP/Vista/7/8/8.1/10 aggiunti ai domini futuri. Questa
opzione non applica le impostazioni ai nuovi agenti aggiunti a un
dominio esistente.
Per gli Agenti OfficeScan con Windows Server 2003, Windows Server 2008 o
Windows Server 2012:
a.
Selezionare un singolo agente nella struttura agente.
b.
Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.
c.
Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:
•
Servizio prevenzione modifiche non autorizzate
•
Servizio firewall
•
•
14-9
•
d.
Fare clic su Salva.
Uso di Trend Micro Performance Tuning Tool
Procedura
1.
Scaricare Trend Micro Performance Tuning Tool da:
2.
Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe.
3.
Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nella stessa
cartella di TMBMCLI.dll.
4.
Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionare Esegui
come amministratore.
5.
Leggere e accettare il contratto per l'utente finale e fare clic su OK.
6.
Fare clic su Analizza.
14-10
Figura 14-1. Processo a elevato utilizzo delle risorse del sistema evidenziato
Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. I
processi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso.
7.
Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sul
).
pulsante Aggiungi a elenco eccezioni (consenti) (
8.
Controllare se le prestazioni del sistema o dell'applicazione migliorano.
9.
Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsante
Rimuovi da elenco eccezioni (
).
10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito:
a.
Prendere nota del nome dell'applicazione.
b.
Fare clic su Interrompi.
c.
Fare clic sul pulsante Genera segnalazione (
) e salvare il file .xml.
14-11
d.
Esaminare le applicazioni identificate come in conflitto e aggiungerle
all'elenco eccezioni del monitoraggio del comportamento.
Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina
8-7.
Riavvia Servizio Agente OfficeScan
OfficeScan riavvia i servizi dell'Agente OfficeScan che improvvisamente non
rispondono senza essere stati interrotti da un processo di sistema normale. Per ulteriori
informazioni sui servizi dell'agente, consultare Servizi dell'agente OfficeScan a pagina 14-7.
Configurare le impostazioni necessarie per consentire il riavvio dei servizi dell'Agente
OfficeScan.
Configurazione delle impostazioni del servizio di riavvio
Procedura
1.
2.
Passare alla sezione Riavvia Servizio OfficeScan.
3.
Selezionare Riavvia automaticamente il servizio agente OfficeScan se viene
interrotto in modo imprevisto.
4.
Configurare gli elementi riportati di seguito.
14-12
•
Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti)
che deve trascorrere prima che OfficeScan riavvii un servizio.
•
Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte:
specificare il numero massimo di tentativi di riavvio del servizio. Se un
servizio rimane interrotto dopo il numero massimo di tentativi di riavvio,
riavviarlo manualmente.
•
Reimposta il conteggio dei riavvii non riusciti dopo _ ora/e: se un
servizio rimane interrotto dopo il numero massimo di tentativi di riavvio,
OfficeScan attende alcune ore prima di azzerare il conteggio dei riavvii non
riusciti. Se un servizio rimane interrotto dopo il numero di ore specificato,
OfficeScan riavvia il servizio.
Protezione automatica dell'agente OfficeScan
La protezione automatica dell'Agente OfficeScan consente all'Agente OfficeScan di
proteggere i processi e le altre risorse necessarie per il corretto funzionamento. La
protezione automatica dell'Agente OfficeScan contribuisce a impedire i tentativi di
programmi o di utenti di disattivare la protezione contro le minacce informatiche.
La protezione automatica dell'Agente OfficeScan fornisce le seguenti opzioni:
•
Proteggi i servizi dell'agente OfficeScan a pagina 14-14
•
Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 14-15
•
Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16
•
Proteggi i processi dell'agente OfficeScan a pagina 14-16
Configurazione delle impostazioni di protezione automatica
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezione
automatica dell'agente OfficeScan.
5.
Attivare le seguenti opzioni:
•
) per
Proteggi i servizi dell'agente OfficeScan a pagina 14-14
14-13
6.
•
Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 14-15
•
Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16
•
Proteggi i processi dell'agente OfficeScan a pagina 14-16
•
impostazioni.
•
Proteggi i servizi dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di interrompere i servizi dell'Agente OfficeScan:
•
OfficeScan NT Listener (TmListen.exe)
•
Scansione in tempo reale OfficeScanNT (NTRtScan.exe)
•
OfficeScan NT Proxy Service (TmProxy.exe)
•
OfficeScan NT Firewall (TmPfw.exe)
•
Servizio Protezione dati OfficeScan (dsagent.exe)
•
Nota
Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti di
terzi sui dispositivi. Se si verifica questo problema, è possibile disattivare
temporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi.
14-14
•
Framework soluzione client comune Trend Micro (TmCCSF.exe)
Proteggi i file nella cartella d'installazione dell'agent
OfficeScan
Per impedire ad altri programmi e anche all'utente di modificare o eliminare i file
dell'Agente OfficeScan, OfficeScan offre diverse funzionalità di protezione avanzate.
Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agente
OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione dell'agente>
principale:
•
Tutti i file con firma digitale con estensione .exe, .dll e .sys
•
Alcuni file senza firma digitale, compresi i seguenti:
•
bspatch.exe
•
OfceSCV.dll
•
bzip2.exe
•
OFCESCVPack.exe
•
INETWH32.dll
•
patchbld.dll
•
libcurl.dll
•
patchw32.dll
•
libeay32.dll
•
patchw64.dll
•
libMsgUtilExt.mt.dll
•
PiReg.exe
•
msvcm80.dll
•
ssleay32.dll
•
MSVCP60.DLL
•
Tmeng.dll
•
msvcp80.dll
•
TMNotify.dll
•
msvcr80.dll
•
zlibwapi.dll
Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agente
OfficeScan e Scansione in tempo reale per rilevare minacce virus/malware, OfficeScan
esegue le operazioni seguenti:
•
Verifica l'integrità dei file prima di aprire i file .exe nella cartella d'installazione
Durante gli aggiornamenti di ActiveUpdate, OfficeScan verifica che l'emittente del
file che ha attivato l'aggiornamento sia Trend Micro. Se l'emittente non viene
riconosciuto come Trend Micro e ActiveUpdate non è in grado di sostituire il file
14-15
non corretto, OfficeScan registra l'incidente nei registri eventi di Windows e blocca
l'aggiornamento.
•
Impedisce l'hijack delle DLL
Alcuni sviluppatori di malware copiano i file delle librerie di collegamento dinamico
(DLL) nella cartella d'installazione dell'Agente OfficeScan o nella cartella del
monitoraggio del comportamento, allo scopo di caricare questi file prima del
caricamento dell'agente. Questi file tentano di interrompere la protezione offerta da
OfficeScan. Per impedire la copia dei file manomessi nelle cartelle dell'Agente
OfficeScan, OfficeScan impedisce la copia dei file nella cartella d'installazione e in
quella del monitoraggio del comportamento.
•
Impedisce il blocco dei file utilizzando l'impostazione “SHARE:NONE” in
Windows
Proteggi le chiavi di registro dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nelle
chiavi e sottochiavi di registro riportate di seguito:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
\CurrentVersion
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP
Proteggi i processi dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di terminare i processi riportati nella tabella seguente:
Processo
TmListen.exe
14-16
Descrizione
riceve comandi e notifiche dal server OfficeScan e facilita la
comunicazione dall'Agente OfficeScan al server
Processo
Descrizione
NTRtScan.exe
esegue la scansione in tempo reale, pianificata e manuale sugli
Agenti OfficeScan
TmProxy.exe
esegue la scansione del traffico di rete prima di passarlo
all'applicazione di destinazione
TmPfw.exe
fornisce funzioni di firewall a livello di pacchetti, scansione di virus
di rete e rilevamento intrusioni
TMBMSRV.exe
regola l'accesso ai dispositivi di memorizzazione esterni e
impedisce le modiche non autorizzate alle chiavi di registro e ai
processi
DSAgent.exe
effettua il monitoraggio della trasmissione dei dati sensibili e
controlla l'accesso ai dispositivi
PccNTMon.exe
questo processo è responsabile dell'avvio della console
dell'Agente OfficeScan
TmCCSF.exe:
esegue Prevenzione minaccia browser e la scansione della
memoria
OfficeScan può proteggere anche dall'aggiunta di processi nei Criteri restrizione
software di Microsoft. I Criteri restrizione software impediscono l'esecuzione delle
applicazioni elencate sul dispositivo. Per impedire l'aggiunta di processi OfficeScan
nell'elenco dei Criteri restrizione software:
1.
Attivare Proteggi i processi dell'agente OfficeScan.
2.
Attivare il Servizio prevenzione modifiche non autorizzate.
Per i dettagli, consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web
a pagina 14-8.
Sicurezza dell'Agente OfficeScan
Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utenti
alla directory di installazione dell'Agente OfficeScan e alle impostazioni di registro.
14-17
Controllo dell'accesso alla directory di installazione e alle
chiavi di registro dell'agente OfficeScan
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Impostazioni di
sicurezza agente.
5.
Selezionare una delle autorizzazioni di accesso riportate di seguito:
) per
•
Alto: la directory di installazione dell'Agente OfficeScan eredita i diritti della
cartella Programmi e le voci di registro dell'Agente OfficeScan ereditano le
autorizzazioni della chiave HKLM\Software. Per la maggior parte delle
configurazioni Active Directory, questo limita automaticamente gli utenti
"normali" (senza privilegi di amministratore) all'accesso in sola lettura.
•
Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti
"Tutti") tutti i diritti alla directory del programma Agente OfficeScan e alle
voci di registro dell'Agente OfficeScan.
Nota
Le impostazioni di protezione automatica dell'agente OfficeScan hanno la
priorità sulle impostazioni di sicurezza agente OfficeScan. Gli Agenti OfficeScan
configurati con entrambe le impostazioni applicano per prime le impostazioni di
protezione automatica dell'agente OfficeScan.
Ad esempio, se si imposta Impostazioni di sicurezza agente OfficeScan su
Normale e si attiva la protezione dei file nelle impostazioni di protezione
automatica dell'agente OfficeScan, le impostazioni di Protezione automatica
dell'agente OfficeScan impediscono agli utenti di modificare i file dell'Agente
OfficeScan con estensioni .exe, .dll, .ptn o .sys.
14-18
6.
•
impostazioni.
•
Restrizione di accesso alla console dell'agente
OfficeScan
Questa impostazione disattiva l'accesso alla console dell'Agente OfficeScan dalla barra
delle applicazioni o dal menu Start di Windows. L'unico modo in cui gli utenti possono
accedere alla console dell'Agente OfficeScan è facendo doppio clic su PccNTMon.exe
nella cartella <Cartella di installazione dell'agente>. Dopo aver configurato questa
impostazione, caricare di nuovo l'Agente OfficeScan per applicarla.
Questa impostazione non disattiva l'Agente OfficeScan. L'Agente OfficeScan è attivo in
background e continua a fornire protezione contro i rischi per la sicurezza.
Restrizione dell'accesso alla console dell'agente OfficeScan
Procedura
1.
2.
3.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione di
accesso agente OfficeScan.
) per
14-19
5.
Selezionare Impedisce agli utenti di accedere alla console agente OfficeScan
dalla barra delle applicazioni o dal menu Start di Windows.
6.
•
impostazioni.
•
Rimozione e sblocco dell'agente OfficeScan
Il privilegio di rimozione e sblocco dell'Agente OfficeScan consente agli utenti di
interrompere l'Agente OfficeScan o di accedere alle funzioni avanzate della console Web
con o senza password.
Concessione del privilegio di rimozione e sblocco
dell'agente
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca.
5.
Per consentire la rimozione dell'Agente OfficeScan senza una password,
selezionare Password non richiesta.
14-20
) per
•
6.
Se è necessaria una password, selezionare Richiedi una password, digitare la
password e confermarla.
•
impostazioni.
•
Privilegio di roaming dell'agente OfficeScan
Concedere a determinati utenti il privilegio di roaming dell'Agente OfficeScan se eventi
agente server interferiscono con le operazioni degli utenti. Ad esempio, un utente che fa
spesso presentazioni può attivare la modalità roaming prima di iniziare una
presentazione per impedire al server OfficeScan di implementare le impostazioni
dell'Agente OfficeScan e di avviare le scansioni sull'Agente OfficeScan.
Se gli Agenti OfficeScan sono in modalità roaming:
•
Gli agenti OfficeScan non inviano registri al server OfficeScan, neppure se è
presente una connessione funzionante tra il server e gli agenti.
•
Il server OfficeScan non avvia operazioni né implementa le impostazioni
dell'Agente OfficeScan sugli agenti, neppure se è presente una connessione
funzionante tra il server e gli agenti.
•
Gli agenti OfficeScan aggiornano i componenti se sono in grado connettersi a una
delle rispettive origini degli aggiornamenti. Le origini sono il server OfficeScan, gli
Update Agents oppure un origine di aggiornamento personalizzata.
I seguenti eventi attivano un aggiornamento sugli agenti in roaming:
14-21
•
L'utente esegue un aggiornamento manuale.
•
Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivare
l'aggiornamento automatico dell'agente sugli agenti in roaming.
Per i dettagli, consultare Disattivazione dell'aggiornamento automatico dell'agente negli
agenti in roaming a pagina 14-23.
•
Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegi
richiesti possono eseguire aggiornamenti pianificati. È possibile revocare
questo privilegio in qualsiasi momento.
Per i dettagli, consultare Revoca dei privilegi per l'aggiornamento pianificato negli agenti
OfficeScan in roaming a pagina 14-23.
Assegnazione dei privilegi di roaming dell'agente
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, accedere alla sezione Roaming.
5.
Selezionare Attiva modalità roaming.
6.
•
14-22
) per
impostazioni.
•
Disattivazione dell'aggiornamento automatico dell'agente
negli agenti in roaming
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.
2.
Passare alla sezione Aggiornamento provocato da un evento.
3.
Disattivare Includi agenti in roaming e offline.
Nota
Questa opzione viene disattivata automaticamente se si disattiva Avvia
l'aggiornamento dei componenti degli agenti subito dopo che il server
OfficeScan ha scaricato un nuovo componente.
Revoca dei privilegi per l'aggiornamento pianificato negli
agenti OfficeScan in roaming
Procedura
1.
2.
Nella struttura agente, fare clic sull'icona del dominio root (
domini o agenti specifici.
3.
4.
Nella scheda Privilegi, accedere alla sezione Aggiornamenti dei componenti.
5.
Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati.
) oppure selezionare
14-23
6.
Fare clic su Salva.
Configurazione della lingua dell'agente OfficeScan
È possibile configurare tutti gli Agenti OfficeScan da visualizzare utilizzando le
impostazioni della lingua del server OfficeScan oppure quelle della lingua dell'utente
collegato localmente. Dopo aver installato o aggiornato il programma Agente
OfficeScan, l'agente applica le impostazioni della lingua configurate nella schermata
Impostazioni globali.
Per impostazione predefinita, se l'Agente OfficeScan non supporta le impostazioni della
lingua dell'utente collegato, la lingua viene impostata su quella del server OfficeScan.
Configurazione delle impostazioni di lingua dell'agente
OfficeScan
Procedura
1.
2.
Passare alla sezione Configurazione lingua agente.
3.
Specificare il modo in cui l'Agente OfficeScan applica le impostazioni di lingua:
•
Impostazioni di lingua locali nel dispositivo: viene visualizzato l'Agente
OfficeScan utilizzando le impostazioni di lingua dell'utente che ha effettuato
l'accesso.
Nota
Se l'Agente OfficeScan non supporta le impostazioni di lingua dell'utente che ha
effettuato l'accesso, l'agente applica la lingua del server OfficeScan. Se il
dispositivo non supporta la lingua del server OfficeScan, il testo viene
visualizzato in inglese.
•
14-24
Lingua del server OfficeScan: viene visualizzato l'Agente OfficeScan
utilizzando la lingua del server OfficeScan.
Nota
Se il dispositivo non supporta la lingua del server OfficeScan, il testo viene
visualizzato in inglese.
4.
Fare clic su Salva.
Agent Mover
Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento Agent
Mover per trasferire gli Agenti OfficeScan da un server OfficeScan a un altro. Questo
strumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo server
OfficeScan alla rete, si desidera trasferire gli Agenti OfficeScan esistenti sul nuovo
server.
Nota
I due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostare
un Agente OfficeScan con una versione precedente in un server della versione corrente, la
versione dell'Agente OfficeScan sarà aggiornata automaticamente.
Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questo
strumento.
Esecuzione di Agent Mover
Procedura
1.
Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV
\Admin\Utility\IpXfer.
2.
Copiare IpXfer.exe nel dispositivo Agente OfficeScan. Se il dispositivo Agente
OfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe.
3.
Nel dispositivo Agente OfficeScan, aprire un prompt dei comandi e accedere alla
cartella nella quale è stato copiato il file eseguibile.
4.
Eseguire Agent Mover utilizzando la sintassi riportata di seguito.
14-25
<nome file eseguibile> -s <nome server> -p <porta di
ascolto del server> -c <porta di ascolto dell'agente> -d
<dominio o gerarchia dominio>
Tabella 14-3. Parametri di Agent Mover
Parametro
14-26
Spiegazione
<nome file
eseguibile>
IpXfer.exe oppure IpXfer_x64.exe
-s <nome server>
Il nome del server OfficeScan di destinazione (il server in
cui verrà trasferito l'Agente OfficeScan)
-p <porta di
ascolto del server>
La porta di ascolto (o porta affidabile) del server
OfficeScan di destinazione. Per visualizzare la porta di
ascolto della console Web OfficeScan, fare clic su
Amministrazione > Impostazioni > Connessione
agente nel menu principale.
-c <porta di
ascolto
dell'agente>
Il numero della porta usata dal dispositivo Agente
OfficeScan per comunicare con il server
-d <dominio o
gerarchia dominio>
Il dominio o sottodominio della struttura agente in cui
viene raggruppato agente. La gerarchia di domini deve
indicare il sottodominio.
Parametro
-e <nome file e
posizione del
certificato>
Spiegazione
Importa un nuovo certificato di autenticazione per
l'Agente OfficeScan durante il processo di spostamento.
Se non viene usato questo parametro, l'Agente
OfficeScan recupera automaticamente il certificato di
autenticazione corrente dal suo server di gestione nuovo.
Nota
La posizione predefinita del certificato nel server
OfficeScan è:
<Cartella di installazione del server>\PCCSRV\Pccnt
\Common\OfcNTCer.dat.
Quando viene usato un certificato da un'origine
diversa da OfficeScan, assicurarsi che certificato
sia in formato DER (Distinguished Encoding
Rules).
Esempi:
ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro
ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo di
lavoro\Gruppo01
5.
Per confermare che ora l'Agente OfficeScan invia le notifiche all'altro server,
effettuare le seguenti operazioni:
a.
Nel dispositivo Agente OfficeScan, fare clic con il pulsante destro del mouse
sull'icona del programma Agente OfficeScan nella barra delle applicazioni.
b.
Selezionare Versioni componenti.
c.
Verificare il server OfficeScan a cui fa riferimento l'Agente OfficeScan nel
campo Nome server/porta.
14-27
Nota
Se l'Agente OfficeScan non viene visualizzato nella struttura agente del nuovo
server OfficeScan che lo gestisce, riavviare il servizio principale del server
(ofservice.exe).
Agenti OfficeScan inattivi
Se si utilizza il programma di disinstallazione dell'Agente OfficeScan per rimuovere un
programma Agente OfficeScan dai dispositivi, il programma invia automaticamente una
notifica al server. Quando il server riceve questa notifica, l'icona dell'Agente OfficeScan
viene rimossa dalla struttura agente per indicare che l'agente non esiste più.
Se tuttavia l'Agente OfficeScan viene rimosso con altri metodi, ad esempio
riformattando il disco rigido del dispositivo oppure eliminando manualmente i file
dell'Agente OfficeScan, OfficeScan non ne rileva la rimozione e l'Agente OfficeScan
viene quindi visualizzato come inattivo. Se un utente rimuove o disattiva l'Agente
OfficeScan per un periodo di tempo prolungato, anche il server visualizza l'Agente
OfficeScan come inattivo.
Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurare
OfficeScan in modo da rimuovere automaticamente gli agenti inattivi dalla struttura
agente.
Rimozione automatica degli agenti inattivi
Procedura
1.
Accedere a Amministrazione > Impostazioni > Agenti inattivi.
2.
Selezionare Attiva rimozione automatica degli agenti inattivi.
3.
Selezionare il numero di giorni che devono trascorrere prima che OfficeScan
consideri inattivo un Agente OfficeScan.
4.
Fare clic su Salva.
14-28
Connessione agente server
L'Agente OfficeScan deve mantenere una connessione continua al server principale in
modo da poter aggiornare i componenti, ricevere le notifiche e applicare
tempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano come
controllare lo stato della connessione dell'Agente OfficeScan e risolvere i problemi di
connessione:
•
Indirizzi IP dell'agente a pagina 5-10
•
Icone dell'agente OfficeScan a pagina 14-29
•
Verifica della connessione agente server a pagina 14-47
•
Registri di verifica connessione a pagina 14-48
•
Agenti non raggiungibili a pagina 14-49
Icone dell'agente OfficeScan
L'icona dell'Agente OfficeScan presente nella barra delle applicazioni offre suggerimenti
visivi che indicano lo stato corrente dell'Agente OfficeScan e chiedono agli utenti di
eseguire determinate azioni. In qualsiasi momento, l'icona mostra una combinazione dei
seguenti suggerimenti visivi.
14-29
Tabella 14-4. Stato dell'Agente OfficeScan indicato dall'icona dell'Agente
OfficeScan
Stato
dell'agen
te
Connession
e
dell'agente
al server
OfficeScan
Descrizione
Suggerimento visivo
Gli agenti online sono
connessi al server
OfficeScan. Il server può
avviare operazioni e
implementare impostazioni
su questi agenti
L'icona contiene un simbolo che somiglia a
un battito cardiaco (Heartbeat).
Gli agenti offline vengono
disconnessi dal server
OfficeScan. Il server non è
in grado di gestire questi
agenti.
Il colore di sfondo è una tonalità di blu o
rosso, a seconda dello stato del servizio
L'icona contiene un simbolo che somiglia
alla perdita di un battito cardiaco
(Hearbeat).
Un agente può essere offline anche se è
connesso alla rete. Per ulteriori informazioni
su questo problema, vedere Soluzioni ai
problemi riportati nelle icone dell'agente
Gli agenti in roaming
possono essere in grado di
comunicare con il server
OfficeScan oppure no.
L'icona contiene i simboli del desktop e del
segnale.
Per ulteriori informazioni sugli agenti in
roaming, consultare Privilegio di roaming
14-30
Stato
dell'agen
te
Disponibilità
di origini
Smart
Protection
Descrizione
Suggerimento visivo
Le origini Smart Protection
comprendono gli Smart
Protection Server e Trend
Micro Smart Protection
Network.
L'icona comprende un segno di spunta se è
disponibile un'origine Smart Protection.
Gli agenti con scansione
convenzionale si collegano
alle origini Smart Protection
per le query di reputazione
Web.
Se non sono disponibili origini Smart
Protection e l'agente sta tentando di
stabilire la connessione alle origini, l'icona
comprende una barra di avanzamento.
Gli agenti Smart Scan si
collegano alle origini Smart
Protection per le query di
scansione e reputazione
Web.
Per ulteriori informazioni su questo
problema, vedere Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a
pagina 14-43.
Per gli agenti con scansione convenzionale,
non viene visualizzato alcun segno di
spunta né alcuna barra di avanzamento se
la reputazione Web è stata disattivata
nell'agente.
14-31
Stato
dell'agen
te
Stato
servizio
scansione
in tempo
reale
Descrizione
OfficeScan utilizza il
servizio di scansione in
tempo reale non solo per la
scansione in tempo reale,
ma anche per la scansione
manuale e pianificata.
Il servizio deve essere
funzionante per evitare di
esporre l'agente a rischi per
la sicurezza.
Suggerimento visivo
Se il servizio scansione in tempo reale è
funzionante, tutta l'icona è ombreggiata di
colore blu. Due tonalità di blu vengono
utilizzate per indicare il metodo di
scansione dell'agente.
•
Per la scansione convenzionale:
•
Per Smart Scan:
Se il servizio scansione in tempo reale è
stato disattivato o non è funzionante, l'intera
icona è ombreggiata di colore rosso.
Due tonalità di rosso vengono utilizzate per
indicare il metodo di scansione dell'agente.
•
Per la scansione convenzionale:
•
Per Smart Scan:
pagina 14-43.
14-32
Stato
dell'agen
te
Stato
scansione
in tempo
reale
Descrizione
La scansione in tempo
reale offre la protezione
proattiva effettuando la
scansione dei file per
identificare rischi per la
sicurezza mentre vengono
creati, modificati o
recuperati.
Suggerimento visivo
Non ci sono suggerimenti visivi se è
abilitata la scansione in tempo reale.
Se la scansione in tempo reale è
disabilitata, l'intera icona è circondata da un
cerchio rosso e contiene una linea
diagonale rossa.
pagina 14-43.
Stato
aggiorname
nto pattern
Gli agenti devono
aggiornare il pattern
regolarmente per
proteggere l'agente dalle
minacce più recenti.
Non ci sono suggerimenti visivi se il pattern
è aggiornato o leggermente non aggiornato.
L'icona comprende un punto esclamativo se
il pattern è obsoleto. Significa che il pattern
non è stato aggiornato recentemente.
Per ulteriori informazioni sulle modalità di
aggiornamento degli agenti, consultare
Aggiornamenti dell'agente OfficeScan a
pagina 6-30.
Stato della
licenza di
prova di
reputazione
del server
OfficeScan
Gli agenti online sono
connessi a un server
OfficeScan che sta
utilizzando una licenza di
prova scaduta.
Questa icona indica che la licenza di prova
nel server OfficeScan è scaduta.
14-33
Icone Smart Scan
Quando gli Agenti OfficeScan usano la scansione Smart Scan, viene visualizzata una
delle icone elencate di seguito.
Tabella 14-5. Icone Smart Scan
Icona
14-34
Connessio
ne al
server
OfficeSca
n
Disponibilità di
origini Smart
Protection
Servizio
scansione in
tempo reale
Scansione in
tempo reale
Online
Disponibili
Funzionante
Attivato
Online
Disponibili
Funzionante
Disattivato
Online
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Online
Non disponibile,
nuova connessione
alle origini in corso
Funzionante
Attivato
Online
Non disponibile,
nuova connessione
Funzionante
Disattivata
Online
Non disponibile,
nuova connessione
Disattivato o non
funzionante
Disattivato o non
funzionante
Offline
Disponibili
Funzionante
Attivato
Offline
Disponibili
Funzionante
Disattivata
Offline
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Icona
Connessio
ne al
server
OfficeSca
n
Disponibilità di
origini Smart
Protection
Servizio
scansione in
tempo reale
Scansione in
tempo reale
Offline
Non disponibile,
nuova connessione
Funzionante
Attivato
Offline
Non disponibile,
nuova connessione
Funzionante
Disattivata
Offline
Non disponibile,
nuova connessione
Disattivato o non
funzionante
Disattivato o non
funzionante
Roaming
Disponibili
Funzionante
Attivato
Roaming
Disponibili
Funzionante
Disattivata
Roaming
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Roaming
Non disponibile,
nuova connessione
Funzionante
Attivato
Roaming
Non disponibile,
nuova connessione
Funzionante
Disattivata
Roaming
Non disponibile,
nuova connessione
Disattivato o non
funzionante
Disattivato o non
funzionante
Icone scansione convenzionale
Quando gli Agenti OfficeScan usano la scansione convenzionale, viene visualizzata una
delle seguenti icone.
14-35
Tabella 14-6. Icone scansione convenzionale
Icona
14-36
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Online
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Funzionante
Attivato
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
Online
Disponibili
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Funzionante
Disattivata
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Obsoleto
Icona
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Online
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Funzionante
Attivato
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
14-37
Icona
14-38
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Offline
Disponibili
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Funzionante
Disattivata
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Obsoleto
Offline
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Icona
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Roaming
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Funzionante
Attivato
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
Roaming
Disponibili
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Funzionante
Disattivata
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivata
Obsoleto
14-39
Icona
14-40
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Roaming
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Icona
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
14-41
Icona
14-42
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Aggiornato o
leggermente
non
aggiornato
Icona
Connes
sione al
server
OfficeS
can
Servizi di
reputazione
Web forniti
dalle origini
Smart
Protection
Servizio
scansione
in tempo
reale
Scansione
in tempo
reale
Pattern
dei virus
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivata
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Soluzioni ai problemi riportati nelle icone dell'agente
OfficeScan
Se l'icona dell'Agente OfficeScan indica una delle seguenti condizioni, eseguire le azioni
necessarie:
Condizione
Il file di pattern non
è stato aggiornato
recentemente
Descrizione
Gli utenti dell'Agente OfficeScan devono aggiornare i componenti.
Dalla console Web, configurare le impostazioni di aggiornamento
dei componenti in Aggiornamenti > Agenti > Aggiornamento
automatico oppure concedere agli utenti il privilegio di
aggiornamento in Agenti > Gestione agente > Impostazioni >
Privilegi altre impostazioni > scheda Privilegi >
Aggiornamenti dei componenti.
14-43
Condizione
Descrizione
Servizio scansione
in tempo reale è
stato disattivato o
non è funzionante
Se Servizio scansione in tempo reale (Scansione in tempo reale
OfficeScan NT) è stato disattivato o non è funzionante, gli utenti
devono avviare il servizio manualmente da Microsoft
Management Console.
Scansione in tempo
reale disattivata
Attivare la scansione in tempo reale dalla console Web (Agenti >
Gestione agente > Impostazioni > Impostazioni di scansione
> Impostazioni scansione in tempo reale).
La scansione in
tempo reale è stata
disattivata e
l'Agente OfficeScan
è in modalità
roaming.
Gli utenti devono disattivare la modalità roaming. Dopo aver
disattivato la modalità roaming, attivare la scansione in tempo
reale dalla console Web.
L'Agente OfficeScan
è connesso alla rete
ma risulta offline.
Verificare la connessione tramite la console Web (Agenti >
Verifica connessione), quindi controllare i registri di verifica della
connessione (Registri > Agenti > Registri di verifica
connessione).
Se dopo la verifica, l'Agente OfficeScan è ancora offline:
14-44
1.
Se lo stato della connessione è offline sia nel server che
nell'Agente OfficeScan, verificare la connessione di rete.
2.
Se lo stato della connessione dell'Agente OfficeScan è offline
ma online sul server, il nome di dominio del server potrebbe
essere stato modificato e l'Agente OfficeScan continua a
collegarsi al server usando il nome di dominio (se è stato
selezionato il nome di dominio durante l'installazione del
server). Registrare il nome di dominio del server OfficeScan
nel server DNS o WINS o aggiungere il nome di dominio e le
informazioni IP nei file "host" della cartella <Cartella Windows>
\system32\drivers\ecc. del dispositivo agente.
3.
Se lo stato della connessione dell'Agente OfficeScan è online
ma offline sul server, verificare le impostazioni del firewall
OfficeScan. Il firewall potrebbe bloccare la comunicazione dal
server all'agente, ma consentire quella dall'agente al server.
4.
Se lo stato della connessione dell'Agente OfficeScan è online
ma offline sul server, è possibile che l'indirizzo IP dell'Agente
OfficeScan sia stato modificato, ma che il suo stato non sia
Condizione
Descrizione
aggiornato sul server (ad esempio, al caricamento
dell'agente). Provare a implementare di nuovo l'Agente
OfficeScan.
Origini Smart
Protection non
disponibili
Se l'agente perde la connessione alle origini Smart Protection,
effettuare queste operazioni:
1.
2.
3.
4.
Nella console Web, accedere alla schermata Posizione
dispositivo (Agenti > Posizione dispositivo) e controllare
se sono state configurate correttamente le seguenti
impostazioni della posizione del dispositivo:
•
Server di riferimento e numeri di porta
•
Indirizzi IP gateway
Nella console Web, accedere alla schermata Origine Smart
Protection (Amministrazione > Smart Protection > Origini
Smart Protection) quindi effettuare le seguenti operazioni:
a.
Verificare se le impostazioni dello Smart Protection
Server nell'elenco standard o personalizzato delle origini
sono corrette.
b.
Verificare se la connessione ai server riesce.
c.
Fare clic su Invia una notifica tutti gli agenti dopo aver
configurato l'elenco delle origini.
Verificare che i seguenti file di configurazione presenti in
Smart Protection Server e nell'Agente OfficeScan siano
sincronizzati:
•
sscfg.ini
•
ssnotify.ini
Aprire l'editor del Registro di sistema e verificare che l'agente
sia connesso alla rete aziendale.
Chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\iCRC Scan\Scan Server
14-45
Condizione
Descrizione
•
Se LocationProfile=1, l'Agente OfficeScan è connesso alla
rete e dovrebbe essere in grado di collegarsi a Smart
Protection Server.
•
Se LocationProfile=2, l'Agente OfficeScan non è connesso
alla rete e dovrebbe connettersi a Smart Protection
Network. Da Internet Explorer, verificare se il dispositivo
Agente OfficeScan è in grado di accedere alle pagine
Web su Internet.
5.
Verificare le impostazioni del proxy interno ed esterno
utilizzate per connettersi a Smart Protection Network e agli
Smart Protection Server. Per i dettagli, consultare Proxy
interno per gli agenti OfficeScan a pagina 14-53 e Proxy
esterno per gli agenti OfficeScan a pagina 14-55.
6.
Per gli agenti con scansione convenzionale che eseguono
Windows XP, Vista, Server 2003 e Server 2008, verificare
che OfficeScan NT Proxy Service (TmProxy.exe) sia in
esecuzione. Se questo servizio viene interrotto, gli agenti non
sono in grado di connettersi alle origini Smart Protection per
la reputazione Web.
Per gli agenti con scansione convenzionale che eseguono
Windows 7, Server 2012 e versioni successive, verificare che
il driver tmusa sia in esecuzione. Se questo driver viene
interrotto, gli agenti non sono in grado di connettersi alle
origini Smart Protection per la reputazione Web.
14-46
Verifica della connessione agente server
Lo stato della connessione dell'agente con il server OfficeScan viene visualizzato nella
struttura agente della console Web OfficeScan.
Figura 14-2. Nella struttura agente viene visualizzato lo stato della connessione
dell'agente con il server OfficeScan
Alcune condizioni potrebbero impedire alla struttura agente di visualizzare
correttamente lo stato della connessione dell'agente. Se, ad esempio, il cavo di rete del
dispositivo agente viene involontariamente scollegato, l'agente non sarà in grado di
notificare al server di essere offline. Questo agente verrà pertanto visualizzato ancora
come online nella struttura agente.
Verificare la connessione agente server manualmente o eseguire la verifica pianificata
mediante OfficeScan. Non è possibile verificare lo stato della connessione di domini o
agenti specifici dopo averli selezionati. OfficeScan verifica lo stato della connessione di
tutti gli agenti registrati.
Verifica delle connessioni agente-server
Procedura
1.
Accedere a Agenti > Verifica connessione.
2.
Per verificare la connessione agente-server manualmente, accedere alla scheda
Verifica manuale e fare clic su Verifica ora.
14-47
3.
4.
Per verificare la connessione agente-server automaticamente, accedere alla scheda
Verifica pianificata.
a.
Selezionare Attiva la verifica pianificata.
b.
Selezionare la frequenza e l'ora di inizio della verifica.
c.
Fare clic su Salva per salvare la pianificazione della verifica.
Controllare la struttura agente per verificare lo stato o visualizzare i registri di
verifica della connessione.
Registri di verifica connessione
OfficeScan mantiene dei registri di verifica della connessione per consentire di
determinare se il server OfficeScan è in grado di comunicare con tutti gli agenti
registrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica della
connessione agente server dalla console Web.
13-39.
Visualizzazione dei registri di verifica connessione
Procedura
1.
Accedere a Registri > Agenti > Registri di verifica connessione.
2.
I risultati della verifica della connessione sono contenuti all'interno della colonna
Stato.
3.
14-48
Agenti non raggiungibili
Gli Agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti di
rete dietro un gateway NAT, sono quasi sempre offline perché il server non riesce a
stabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in grado
di inviare notifiche agli agenti per:
•
Scaricare la versione più recente dei componenti.
•
Applicare le impostazioni dell'agente configurate dalla console Web. Ad esempio,
quando si modifica la frequenza della Scansione pianificata dalla console Web, il
server invia immediatamente una notifica agli agenti per applicare la nuova
impostazione.
Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attività
tempestivamente. Eseguono queste attività solo quando si connettono al server, ovvero
quando:
•
Eseguono la registrazione sul server dopo l'installazione.
•
Eseguono il riavvio o il ricaricamento. Questo evento non si verifica
frequentemente e in genere richiede l'intervento dell'utente.
•
L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questo
evento non si verifica frequentemente.
Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettività
degli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado di
stabilire una connessione con gli agenti, il server cambia immediatamente lo stato su
offline.
OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere i
problemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il server
interrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifiche
delle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa
dell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno di
questi eventi, il server considera gli agenti come online.
14-49
Nota
Eventi iniziati dall'Agente e non correlati a heartbeat e polling del server, come
l'aggiornamento manuale dell'agente e l'invio del registro, non determinano
l'aggiornamento dello stato degli agenti non raggiungibili da parte del server.
Heartbeat
Gli Agenti OfficeScan inviano messaggi heartbeat per notificare al server che la
connessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il server
considera l'agente come online. Nella struttura agente, lo stato dell'agente può essere
uno dei seguenti:
•
Online: per gli agenti online normali
•
Non raggiungibile/Online: per gli agenti online nella rete non raggiungibile
Nota
Gli Agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioni
quando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazioni
durante gli aggiornamenti di routine (consultare Aggiornamenti dell'agente OfficeScan a pagina
6-30). Gli agenti nella rete non raggiungibile eseguono queste operazioni durante il polling
del server.
La funzione di heartbeat consente di risolvere il problema degli Agenti OfficeScan nelle
reti non raggiungibili che risultano sempre offline, anche quando in realtà sono in grado
di connettersi al server.
Un'impostazione nella console Web controlla la frequenza di invio dei messaggi di
heartbeat da parte degli agenti. Se non riceve heartbeat, il server non considera
immediatamente l'agente come offline. Un'altra impostazione controlla il periodo di
tempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su:
•
Offline: per gli Agenti OfficeScan offline normali
•
Non raggiungibile/Offline: per gli Agenti OfficeScan offline nella rete non
raggiungibile
Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giusto
compromesso tra l'esigenza di visualizzare le informazioni di stato dell'agente aggiornate
14-50
e le esigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguata
per la maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazione
dell'heartbeat, tenere conto di quanto segue:
Tabella 14-7. Impostazioni consigliate per Heartbeat
Frequenza
Heartbeat
Raccomandazione
Intervalli di heartbeat
lunghi (maggiori di 60
minuti)
Più lungo è l'intervallo tra gli heartbeat, maggiore è il numero
di eventi che possono verificarsi prima che il server aggiorni
lo stato dell'agente nella console Web.
Intervalli di Heartbeat
brevi (minori di 60
minuti)
Intervalli di tempo brevi consentono di mantenere lo stato
dell'agente più aggiornato, ma richiedono un maggiore
utilizzo dell'ampiezza di banda.
Polling del server
La funzione di polling del server consente di risolvere il problema degli Agenti
OfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agli
aggiornamenti dei componenti e alle modifiche alle impostazioni dell'agente. Questa
funzione è indipendente dalla funzione di heartbeat.
Con la funzione di polling del server:
•
Gli Agenti OfficeScan avviano automaticamente la connessione con il server
OfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling,
considera l'agente come "Non raggiungibile/Online".
•
Gli Agenti OfficeScan si connettono a una o più delle rispettive origini
aggiornamenti per scaricare eventuali componenti aggiornati e applicare nuove
impostazioni per l'agente. Se l'origine aggiornamenti principale è il server
OfficeScan o un Update Agent, gli agenti ottengono sia i componenti che le nuove
impostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un Update
Agent, gli agenti possono scaricare solo i componenti aggiornati e devono
connettersi al server OfficeScan o all'Update Agent per ottenere le nuove
impostazioni.
14-51
Configurazione di heartbeat e funzioni di polling del server
Procedura
1.
2.
Passare alla sezione Rete non raggiungibile.
3.
Configurare le impostazioni del polling del server.
Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina
14-51.
a.
Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibile
digitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza.
Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure un
prefisso IPv6 e la lunghezza se il server è un IPv6 puro.
Quando l'indirizzo IP di un agente corrisponde a un indirizzo IP
dell'intervallo, l'agente applica le impostazioni relative al polling e all'heartbeat
del server e considera l'agente come appartenente alla rete non raggiungibile.
Nota
Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a un
server OfficeScan dual-stack.
Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a un
server OfficeScan dual-stack.
Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4
puro o IPv6 puro.
b.
In Gli agenti eseguono il polling del server per le impostazioni e i
componenti aggiornati ogni __ minuti, specificare la frequenza del polling
del server. Digitare un valore compreso tra 1 e 129600 minuti.
Suggerimento
Trend Micro consiglia di impostare una frequenza di polling del server almeno
tre volte superiore alla frequenza di invio di heartbeat.
14-52
4.
Configurare le impostazioni Heartbeat.
Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 14-50.
5.
a.
Selezionare Consenti agli agenti di inviare heartbeat al server.
b.
Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile.
c.
In Gli agenti inviano heartbeat ogni __ minuti, specificare la frequenza
con la quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e
129600 minuti.
d.
In L'agente è offline se non c'è heartbeat dopo __ minuti, specificare
l'intervallo di tempo che deve trascorrere senza un heartbeat prima che il
server OfficeScan consideri un agente come offline. Digitare un valore
compreso tra 1 e 129600 minuti.
Fare clic su Salva.
Impostazioni proxy dell'Agente OfficeScan
Configurare gli Agenti OfficeScan per utilizzare le impostazioni proxy durante la
connessione a server interni ed esterni.
Proxy interno per gli agenti OfficeScan
Gli Agenti OfficeScan possono utilizzare le impostazioni del proxy interno per
connettersi ai server seguenti presenti in rete:
•
Server OfficeScan
Il computer server ospita il server OfficeScan e Integrated Smart Protection Server.
Gli Agenti OfficeScan si connettono al server OfficeScan per aggiornare i
componenti, ottenere le impostazioni di configurazione e inviare i registri. Agenti
OfficeScan si connette a Integrated Smart Protection Server per inviare query di
scansione.
•
14-53
Gli Smart Protection Server comprendono gli Smart Protection Server standalone
e Integrated Smart Protection Server di altri server OfficeScan. Gli Agenti
OfficeScan si connettono ai server per inviare query di scansione e di reputazione
Web.
Configurazione delle impostazioni del proxy interno
Procedura
1.
2.
Fare clic sulla scheda Proxy interno.
3.
Accedere alla sezione Connessione dell'agente al server OfficeScan.
a.
Selezionare Utilizzare le seguenti impostazioni proxy quando gli agenti
sono connessi al server OfficeScan.
b.
proxy.
Nota
Specificare un server proxy dual-stack identificato tramite il nome host se si
utilizzano agenti IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti,
impostazioni globali. Se si specifica un indirizzo IPv4, gli agenti IPv6 non
possono collegarsi al server proxy. Lo stesso vale per gli agenti IPv4.
c.
4.
14-54
password e confermare la password.
Accedere alla sezione Connessione dell'agente con i Smart Protection Server
standalone.
a.
Selezionare Utilizzare le seguenti impostazioni del proxy quando gli
agenti sono collegati ai Smart Protection Server standalone.
b.
proxy.
c.
5.
password e confermare la password.
Fare clic su Salva.
Proxy esterno per gli agenti OfficeScan
Il server OfficeScan e l'Agente OfficeScan possono utilizzare le impostazioni del proxy
esterno durante la connessione ai server ospitati da Trend Micro. In questa parte
vengono illustrate le impostazioni del proxy esterno per gli agenti. Per informazioni sulle
impostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del server
Per connettersi a Trend Micro Smart Protection Network, gli Agenti OfficeScan
utilizzano le impostazioni proxy configurate in Internet Explorer o Chrome. Se è
richiesta l'autenticazione del server proxy, gli agenti utilizzano le credenziali di
autenticazione del server proxy (ID utente e password).
Configurazione delle credenziali di autenticazione del server
proxy
Procedura
1.
2.
Fare clic sulla scheda Proxy esterno.
3.
Accedere alla sezione Connessione dell'agente OfficeScan con i server Trend
Micro.
4.
Inserire ID utente e password per l'autenticazione del server proxy. I protocolli di
autenticazione proxy riportati di seguito sono supportati:
•
Autenticazione con accesso di base
•
Autenticazione con accesso digest
•
Autenticazione integrata di Windows
14-55
5.
Fare clic su Salva.
Privilegi di configurazione del proxy per gli agenti
È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy.
Gli Agenti OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo nei
seguenti casi:
•
Quando gli Agenti OfficeScan effettuano l'operazione "Aggiorna ora".
•
Quando gli utenti disattivano le impostazioni automatiche del proxy oppure
l'Agente OfficeScan non è in grado di rilevarle.
Consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-57 per
AVVERTENZA!
Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di
aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie
impostazioni proxy.
Concessione dei privilegi di configurazione del proxy
Procedura
1.
2.
3.
4.
Nella scheda Privilegi, accedere alla sezione Impostazioni proxy.
5.
Selezionare Consente di configurare le impostazioni proxy.
14-56
) per
6.
•
impostazioni.
•
Impostazioni proxy automatiche per l'agente OfficeScan
La configurazione manuale delle impostazioni proxy può rivelarsi un'operazione
complessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per
garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'intervento
dell'utente.
Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principali
quando gli Agenti OfficeScan aggiornano i componenti attraverso l'aggiornamento
automatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico o
su Aggiorna ora, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.
Se gli Agenti OfficeScan non riescono a connettersi utilizzando le impostazioni proxy
automatiche, gli utenti dell'agente con il privilegio di configurazione delle impostazioni
proxy possono utilizzare le impostazioni proxy configurate dall'utente. Altrimenti, la
connessione attraverso le impostazioni proxy automatiche non riuscirà.
Nota
Autenticazione proxy non supportata.
14-57
Configurazione delle impostazioni automatiche del proxy
Procedura
1.
2.
Passare alla sezione Configurazione proxy.
3.
Selezionare Rileva automaticamente le impostazioni per consentire a
OfficeScan di rilevare automaticamente le impostazioni proxy configurate
dall'amministratore tramite DHCP o DNS.
4.
Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration)
impostato dall'amministratore di rete per rilevare il server proxy appropriato:
5.
a.
Selezionare Usa lo script di configurazione automatica.
b.
Digitare l'indirizzo dello script PAC.
Fare clic su Salva.
Visualizzazione delle informazioni sull'agente
OfficeScan
La schermata Visualizza stato mostra importanti informazioni sugli Agenti OfficeScan,
come privilegi, informazioni sul software dell'agente ed eventi di sistema.
Procedura
1.
2.
3.
Fare clic su Stato.
14-58
) per
4.
Visualizzare le informazioni di stato espandendo il nome del dispositivo agente. Se
sono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare le
informazioni di stato di tutti gli agenti selezionati.
5.
(Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischi
per la sicurezza.
Importazione ed esportazione delle
impostazioni degli agenti
OfficeScan consente di esportare le impostazioni della struttura agente che un Agente
OfficeScan o dominio specifico applica a un file. Il file può quindi essere importato per
applicare le impostazioni ad altri agenti o domini oppure a un altro server OfficeScan
della stessa versione.
Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delle
impostazioni di Update Agent.
Esportazione delle impostazioni dell'agente OfficeScan
Procedura
1.
2.
3.
Fare clic su Impostazioni > Esporta impostazioni.
4.
Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'Agente
OfficeScan o del dominio selezionato.
5.
Fare clic su Esporta per salvare le impostazioni.
) per
Le impostazioni vengono salvate in un file .dat.
14-59
6.
Fare clic su Salva e specificare la posizione in cui salvare il file .dat.
7.
Fare clic su Salva.
Importazione delle impostazioni dell'agente
Procedura
1.
2.
3.
Fare clic su Impostazioni > Importa impostazioni.
4.
Fare clic su Sfoglia per individuare il file .dat nel dispositivo, quindi fare clic su
Importa.
) per
Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogo
delle impostazioni.
5.
Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni di
scansione o dei privilegi da importare.
6.
Importare le impostazioni.
•
Se è stata selezionata l'icona del dominio principale, selezionare Applica a
tutti i domini, quindi fare clic su Applica alla destinazione.
•
Se sono stati selezionati i domini, selezionare Applica a tutti i computer che
appartengono ai domini selezionati, quindi fare clic su Applica alla
destinazione.
•
Se sono stati selezionati più agenti, fare clic su Applica alla destinazione.
Conformità sicurezza
Utilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione e
mantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempi
14-60
richiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibro
tra sicurezza e funzionalità.
La conformità di sicurezza può essere forzata sui due tipi di dispositivi riportati di
seguito:
•
Gestiti: Dispositivo con Agenti OfficeScan gestiti dal server OfficeScan. Per i
dettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-61.
•
Non gestiti: comprende i seguenti elementi:
•
Agenti OfficeScan non gestiti dal server OfficeScan
•
Dispositivo senza Agenti OfficeScan installati
•
Dispositivo non raggiungibili dal server OfficeScan
•
Dispositivo il cui stato di sicurezza non può essere verificato
Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina
14-73.
Conformità sicurezza per gli agenti gestiti
Conformità sicurezza genera una Segnalazione conformità che facilita la valutazione
dello stato di sicurezza degli Agenti OfficeScan gestiti dal server OfficeScan. Conformità
sicurezza genera la segnalazione su richiesta o secondo un programma.
Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate di
seguito:
•
Servizi: usare questa scheda per verificare che i servizi dell'agente siano
funzionanti. Per i dettagli, consultare Servizi a pagina 14-62.
•
Componenti: usare questa scheda per verificare che i componenti degli Agenti
OfficeScan siano aggiornati. Per i dettagli, consultare Componenti a pagina 14-64.
•
Compatibilità scansione: usare questa scheda per verificare che gli Agenti
OfficeScan eseguano regolarmente le scansioni. Per i dettagli, consultare
Compatibilità scansione a pagina 14-65.
14-61
•
Impostazioni: usare questa scheda per verificare che le impostazioni dell'agente
siano coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina
14-67.
Nota
La scheda Componenti può visualizzare gli Agenti OfficeScan in cui è installata la versione
corrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo gli Agenti
OfficeScan con la versione 10.5, 10.6 o gli Agenti OfficeScan.
Note su Segnalazione conformità
•
Conformità sicurezza verifica lo stato di connessione degli Agenti OfficeScan
prima di generare una Segnalazione conformità. Nella segnalazione, include gli
agenti online e offline ma non gli agenti in roaming.
•
Per account utente basati sui ruoli:
•
Ciascun account utente della console Web dispone di un insieme
completamente indipendente di impostazioni Segnalazione conformità.
Eventuali modifiche alle impostazioni Segnalazione conformità di un account
utente non hanno effetto sulle impostazioni degli altri account utente.
•
L'ambito della segnalazione dipende dalle autorizzazioni di dominio
dell'agente per l'account utente. Se, ad esempio, si assegnano a un account
utente autorizzazioni per gestire i domini A e B, le segnalazioni dell'account
utente mostrano solo i dati degli agenti che appartengono ai domini A e B.
Per ulteriori informazioni sugli account utente, vedere Role-based Administration
(RBA) a pagina 13-3.
Servizi
Conformità sicurezza controlla se i seguenti servizi dell'Agente OfficeScan sono
funzionanti:
•
Antivirus
•
Anti-spyware
14-62
•
Firewall
•
Reputazione Web
•
Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizio
prevenzione modifiche non autorizzate di Trend Micro)
•
Protezione dati
•
Connessione sospetta
Un agente non conforme viene contato almeno due volte nella Segnalazione conformità.
Figura 14-3. Segnalazione conformità - scheda Servizi
•
Nella categoria Dispositivo con servizi non conformi
•
Nella categoria per la quale l'Agente OfficeScan non è conforme. Se, ad esempio, il
servizio Antivirus dell'Agente OfficeScan non è funzionante, l'agente viene contato
nella categoria Antivirus. Se più servizi non sono funzionanti, l'agente viene
contato in ciascuna categoria per la quale non è conforme.
14-63
Riavviare i servizi non funzionanti dalla console Web o dall'Agente OfficeScan. Se i
servizi sono funzionanti dopo il riavvio, l'agente non viene più visualizzato come non
conforme nella valutazione successiva.
Componenti
Conformità sicurezza consente di determinare le incoerenze delle versioni dei
componenti tra il server OfficeScan e gli Agenti OfficeScan. In genere le incoerenze si
verificano quando gli agenti non riescono a connettersi al server per aggiornare i
componenti. Se l'agente ottiene gli aggiornamenti da un'altra origine (ad esempio, dal
server ActiveUpdate di Trend Micro), è possibile che la versione di un componente
dell'agente sia più recente rispetto alla versione del server.
Conformità sicurezza controlla i seguenti componenti:
•
•
comportamento
•
Pattern dei virus
•
Pattern IntelliTrap
•
Pattern di configurazione monitoraggio
del comportamento
•
•
•
Motore di scansione virus
•
•
Pattern spyware
•
comportamento
•
•
•
Motore di scansione spyware
•
•
•
Driver preliminare cleanup
•
Motore di disinfezione virus
•
Pattern avvio scansione memoria
•
•
•
Driver comune Firewall
•
Pattern prevenzione minaccia browser
•
comportamento
•
•
Versione del programma
14-64
Figura 14-4. Segnalazione conformità - scheda Componenti
•
Nella categoria Dispositivo con versioni componenti non conformi
•
Nella categoria per la quale l'agente non è conforme. Se, ad esempio, la versione di
Pattern agente Smart Scan dell'agente è diversa da quella del server, l'agente viene
contato nella categoria Pattern agente Smart Scan. In caso di più versioni dei
componenti non coerenti, l'agente viene contato in ciascuna categoria per la quale
non è conforme.
Per risolvere le differenze nelle versioni dei componenti, aggiornare i componenti
obsoleti degli agenti o del server.
Compatibilità scansione
Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificata
vengono eseguite regolarmente e se vengono completate in tempi ragionevoli.
14-65
Nota
Conformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansione
pianificata è attivata sugli agenti.
Conformità sicurezza usa i seguenti parametri di compatibilità scansione:
•
Non è stata eseguita l'opzione Esegui scansione o Scansione pianificata
negli ultimi (x) giorni: l'Agente OfficeScan non è conforme se non ha eseguito
Esegui scansione o Scansione pianificata nell'arco del numero di giorni specificato.
•
Durata di Esegui scansione o Scansione pianificata superata (x) ore: l'Agente
OfficeScan non è conforme se l'ultima operazione Esegui scansione o Scansione
pianificata è durata oltre il numero di ore specificato.
Figura 14-5. Segnalazione conformità - scheda Compatibilità scansione
•
14-66
Nella categoria Dispositivo con scansioni non aggiornate
•
Nella categoria per la quale l'agente non è conforme. Se, ad esempio, l'ultima
Scansione pianificata è durata più del numero di ore specificato, l'agente viene
contato nella categoria Durata di Esegui scansione o Scansione pianificata
superata <x> ore. Se l'agente soddisfa più di un parametro di compatibilità
scansione, viene contato in ciascuna categoria per la quale non è conforme.
Eseguire le funzioni Esegui scansione o Scansione pianificata su agenti che non hanno
effettuato operazioni di scansione o che non sono stati in grado di completare la
scansione.
Impostazioni
Conformità sicurezza consente di determinare se gli agenti e i relativi domini principali
nella struttura agente hanno le stesse impostazioni. Le impostazioni potrebbero essere
diverse se si trasferisce un agente a un altro dominio che applica un insieme di
impostazioni diverso oppure se un utente dell'agente con privilegi particolari configura
manualmente le impostazioni nella console dell'Agente OfficeScan.
OfficeScan verifica le impostazioni riportate di seguito:
•
Metodo di scansione
•
Reputazione Web
•
•
•
•
•
•
•
scansione
•
Impostazioni di Prevenzione perdita di
dati
•
•
Connessione sospetta
•
•
Elenco Programmi affidabili
14-67
Figura 14-6. Segnalazione conformità - scheda Impostazioni
•
Nella categoria Dispositivo con impostazioni di configurazione non conformi
•
Nella categoria per la quale l'agente non è conforme. Se, ad esempio, le
impostazioni del metodo di scansione nell'agente e nel relativo dominio root non
sono coerenti, l'agente viene contato nella categoria Metodo di scansione. Se più
di un gruppo di impostazioni non è coerente, l'agente viene contato in ciascuna
categoria per la quale non è conforme.
Per risolvere le differenze di impostazione, applicare all'agente le impostazioni del
dominio.
Segnalazioni conformità su richiesta
Conformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazioni
facilitano la valutazione dello stato di sicurezza degli Agenti OfficeScan gestiti dal server
OfficeScan.
14-68
Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gli
agenti gestiti a pagina 14-61.
Generazione di una segnalazione di conformità su richiesta
Procedura
1.
Accedere a Valutazione > Conformità sicurezza > Segnalazione manuale.
2.
Accedere alla sezione Ambito della struttura agente.
3.

Guida per l`amministratore

Transcript

Documenti analoghi

ANAPA-saluta-il-presidente-e-i-nuovi-vicepresidenti-di-ANIA-con

come installare i settings condreamboxedit

NETGEAR DG834

Knowledge Base

TITOLO DEL LAVORO

Manuale in italiano di ClamWin

clamwin - sommaruga andrea guido

MFC-7420 e MFC-7820N di Brother

120 SPACECAM

Knowledge Base