Guida per l`amministratore
Transcript
Guida per l`amministratore
- Patch critica Guida per l'amministratore Per medie e grandi aziende Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa documentazione e al prodotto in essa descritto senza alcun obbligo di notifica. Prima di installare e utilizzare il prodotto, leggere con attenzione i file readme, le note sulla versione e/o l'ultima edizione della documentazione appropriata, disponibili sul sito Web Trend Micro all'indirizzo: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Trend Micro, il logo Trend Micro della sfera con il disegno di una T, OfficeScan, Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall, ScanMail, ServerProtect e TrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari. Copyright © 2015. Trend Micro Incorporated. Tutti i diritti riservati. Codice documento: OSIM117085/150730 Data di pubblicazione: Luglio 2015 Protetto da brevetto U.S.: 5,951,698 Questa documentazione illustra le caratteristiche principali del prodotto e/o fornisce le istruzioni per l'installazione in un ambiente di produzione. Prima installare o utilizzare il prodotto, leggere attentamente la documentazione. Informazioni dettagliate sull'utilizzo di caratteristiche specifiche del prodotto sono disponibili nella guida in linea di Trend Micro e nella Knowledge Base di Trend Micro. Trend Micro si impegna continuamente a migliorare la propria documentazione. Per domande, commenti o suggerimenti riguardanti questo o qualsiasi documento Trend Micro, scrivere all'indirizzo [email protected]. È possibile esprimere un giudizio sulla documentazione al seguente indirizzo: http://www.trendmicro.com/download/documentation/rating.asp Sommario Prefazione Prefazione ........................................................................................................... xi Documentazione di OfficeScan ..................................................................... xii Destinatari ......................................................................................................... xii Convenzioni utilizzate nella documentazione ............................................. xiii Terminologia .................................................................................................... xiv Parte I: Introduzione e informazioni preliminari Capitolo 1: Introduzione di OfficeScan Informazioni su OfficeScan .......................................................................... 1-2 Novità della versione ...................................................................................... 1-2 Principali funzioni e vantaggi ..................................................................... 1-13 Il server OfficeScan ...................................................................................... 1-16 L'agente OfficeScan ..................................................................................... 1-17 Integrazione con i prodotti e i servizi Trend Micro ................................ 1-18 Capitolo 2: Informazioni preliminari su OfficeScan La console Web ............................................................................................... 2-2 Dashboard ....................................................................................................... 2-5 Strumento di migrazione del server ........................................................... 2-32 Active Directory Integration ....................................................................... 2-36 Struttura agente OfficeScan ........................................................................ 2-40 Domini OfficeScan ...................................................................................... 2-53 i Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Capitolo 3: Informazioni preliminari su Protezione dati Installazione di Protezione dati .................................................................... 3-2 Licenza di Protezione dati ............................................................................. 3-4 Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6 Cartella dati forensi e database DLP ........................................................... 3-9 Disinstallazione di Protezione dati ............................................................. 3-15 Parte II: Protezione degli Agenti OfficeScan Capitolo 4: Utilizzo di Trend Micro Smart Protection Informazioni su Trend Micro Smart Protection ........................................ 4-2 Servizi Smart Protection ................................................................................ 4-3 Origini Smart Protection ............................................................................... 4-6 File Smart Protection Pattern ....................................................................... 4-8 Impostazione dei servizi Smart Protection .............................................. 4-13 Utilizzo dei servizi Smart Protection ......................................................... 4-33 Capitolo 5: Installazione dell'agente OfficeScan Installazioni da zero dell'agent OfficeScan ................................................. 5-2 Considerazioni sull'installazione ................................................................... 5-2 Considerazioni sull'implementazione ........................................................ 5-11 Migrazione all'agente OfficeScan ............................................................... 5-66 Post-installazione .......................................................................................... 5-70 Disinstallazione del Agente OfficeScan .................................................... 5-73 Capitolo 6: Come mantenere la protezione aggiornata Programmi e componenti di OfficeScan .................................................... 6-2 Panoramica sugli aggiornamenti ................................................................. 6-14 ii Sommario Aggiornamenti server OfficeScan .............................................................. 6-17 Aggiornamenti di Integrated Smart Protection Server ........................... 6-30 Aggiornamenti dell'agente OfficeScan ...................................................... 6-30 Update Agent ................................................................................................ 6-58 Riepilogo aggiornamento componenti ..................................................... 6-67 Capitolo 7: Analisi dei rischi per la sicurezza Informazioni sui rischi per la sicurezza ....................................................... 7-2 Tipi di metodi di scansione ........................................................................... 7-8 Tipi di scansione ........................................................................................... 7-15 Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28 Privilegi scansione e altre impostazioni ..................................................... 7-57 Impostazioni globali di scansione .............................................................. 7-73 Notifiche sui Rischi per la sicurezza .......................................................... 7-85 Registri dei rischi per la sicurezza ............................................................... 7-95 Rischi per la sicurezza ................................................................................ 7-110 Capitolo 8: Uso di Monitoraggio del comportamento Monitoraggio del comportamento ............................................................... 8-2 Configurazione delle impostazioni del monitoraggio del comportamento globale ............................................................................................................... 8-9 Privilegi di monitoraggio del comportamento ......................................... 8-11 Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan ..................................................................................................... 8-14 Registri di Monitoraggio del comportamento .......................................... 8-15 Capitolo 9: Utilizzo di Controllo dispositivo Controllo dispositivo ...................................................................................... 9-2 iii Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Autorizzazioni per dispositivi di archiviazione .......................................... 9-4 Autorizzazioni per dispositivi non di archiviazione ................................ 9-11 Modifica delle notifiche di controllo dispositivo ..................................... 9-18 Registri di controllo dispositivo .................................................................. 9-18 Capitolo 10: Utilizzo di Prevenzione perdita di dati Informazioni su Prevenzione perdita di dati (DLP) ............................... 10-2 Criteri di Prevenzione perdita di dati ......................................................... 10-3 Tipi di identificatore di dati ......................................................................... 10-5 Modelli di Prevenzione perdita di dati .................................................... 10-20 Canali DLP .................................................................................................. 10-25 Azioni di Prevenzione perdita di dati ...................................................... 10-39 Eccezioni di Prevenzione perdita di dati ................................................ 10-42 Configurazione dei criteri Prevenzione perdita di dati ......................... 10-48 Notifiche di Prevenzione perdita di dati ................................................. 10-54 Registri di Prevenzione perdita di dati ..................................................... 10-58 Capitolo 11: Protezione dei computer dalle minacce Web Minacce Web ................................................................................................. 11-2 Servizi di avvisi contatti Command & Control ........................................ 11-2 Reputazione Web .......................................................................................... 11-4 Criteri di reputazione Web .......................................................................... 11-5 Servizio di connessione sospetta .............................................................. 11-14 Notifiche di minacce Web per utenti agente .......................................... 11-18 Notifiche di callback C&C per gli amministratori ................................. 11-19 Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 11-22 Infezioni dei callback C&C ....................................................................... 11-23 iv Sommario Registri delle minacce Web ........................................................................ 11-26 Capitolo 12: Utilizzo del firewall di OfficeScan Informazioni sul Firewall di OfficeScan ................................................... 12-2 Attivazione o disattivazione del Frewall di OfficeScan .......................... 12-6 Criteri e profili del firewall .......................................................................... 12-8 Privilegi firewall ........................................................................................... 12-24 Impostazioni firewall globali ..................................................................... 12-26 Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan ........................................................................................................................ 12-29 Registri del firewall ..................................................................................... 12-30 Infezioni da violazione del firewall .......................................................... 12-32 Test del firewall OfficeScan ...................................................................... 12-33 Parte III: Gestione degli agenti e del server OfficeScan Capitolo 13: Gestione del server OfficeScan Role-based Administration (RBA) ............................................................. 13-3 Trend Micro Control Manager ................................................................. 13-24 Impostazioni elenco oggetti sospetti ....................................................... 13-31 Server di riferimento .................................................................................. 13-33 Impostazioni notifica amministratore ..................................................... 13-35 Registri eventi di sistema ........................................................................... 13-38 Gestione dei registri ................................................................................... 13-39 Licenze ......................................................................................................... 13-43 OfficeScan Database Backup ................................................................... 13-46 Strumento di migrazione SQL Server ..................................................... 13-47 v Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Impostazioni connessione agente/server Web OfficeScan ................. 13-52 Comunicazione agente server ................................................................... 13-53 Password della console Web ..................................................................... 13-59 Impostazioni della console Web .............................................................. 13-59 Gestore della quarantena ........................................................................... 13-60 Server Tuner ................................................................................................ 13-61 Smart Feedback ........................................................................................... 13-64 Capitolo 14: Gestione dell'agente OfficeScan Posizione dispositivo .................................................................................... 14-2 Gestione del programma agente OfficeScan ........................................... 14-6 Connessione agente server ........................................................................ 14-29 Impostazioni proxy dell'Agente OfficeScan ........................................... 14-53 Visualizzazione delle informazioni sull'agente OfficeScan .................. 14-58 Importazione ed esportazione delle impostazioni degli agenti ........... 14-59 Conformità sicurezza ................................................................................. 14-60 Supporto Trend Micro Virtual Desktop ................................................. 14-78 Impostazioni globali agente ...................................................................... 14-92 Configurazione dei privilegi e di altre impostazioni dell'agente .......... 14-94 Parte IV: Protezione aggiuntiva Capitolo 15: Uso di Plug-in Manager Informazioni su Plug-in Manager .............................................................. 15-2 Installazione di Plug-in Manager ................................................................ 15-3 Gestione delle funzioni native di OfficeScan ........................................... 15-4 Gestione dei Programmi plug-in ................................................................ 15-4 Disinstallazione di Plug-in Manager ........................................................ 15-12 vi Sommario Risoluzione dei problemi di Plug-in Manager ........................................ 15-12 Capitolo 16: Risorse per la risoluzione dei problemi Sistema di supporto intelligente ................................................................. 16-2 Case Diagnostic Tool ................................................................................... 16-2 Trend Micro Performance Tuning Tool .................................................... 16-2 Registri del server OfficeScan ..................................................................... 16-3 Registri dell'agente OfficeScan ................................................................. 16-15 Capitolo 17: Assistenza tecnica Risorse per la risoluzione dei problemi ..................................................... 17-2 Come contattare Trend Micro .................................................................... 17-4 Invio di contenuti sospetti a Trend Micro ................................................ 17-5 Other Resources ........................................................................................... 17-6 Appendici Appendice A: Supporto dell'IPv6 in OfficeScan Supporto IPv6 per server OfficeScan e agenti ......................................... A-2 Configurazione indirizzi IPv6 ...................................................................... A-6 Schermate che visualizzano gli indirizzi IP ................................................ A-7 Appendice B: Supporto per Windows Server Core 2008/2012 Supporto per Windows Server Core 2008/2012 ...................................... B-2 Metodi di installazione per Windows Server Core ................................... B-2 Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6 Comandi di Windows Server Core .............................................................. B-7 vii Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Appendice C: Supporto per Windows 8/8.1/10 e Windows Server 2012 Informazioni su Windows 8/8.1/10 e Windows Server 2012 ................ C-2 Supporto della funzione OfficeScan con la modalità interfaccia utente ............................................................................................................................ C-5 Internet Explorer 10/11 e Microsoft Edge ............................................... C-6 Appendice D: Rollback di OfficeScan Rollback del server OfficeScan e degli agenti OfficeScan ...................... D-2 Appendice E: Glossario ActiveUpdate .................................................................................................. E-2 File compresso ............................................................................................... E-2 Cookie .............................................................................................................. E-2 Attacco DoS (Denial of Service) ................................................................. E-2 DHCP .............................................................................................................. E-3 DNS ................................................................................................................. E-3 Nome dominio ............................................................................................... E-3 Indirizzo IP dinamico ................................................................................... E-3 ESMTP ............................................................................................................ E-4 Contratto di licenza per l'utente finale ........................................................ E-4 Falso allarme ................................................................................................... E-4 FTP .................................................................................................................. E-4 GeneriClean .................................................................................................... E-4 Hotfix ............................................................................................................... E-5 HTTP ............................................................................................................... E-5 HTTPS ............................................................................................................ E-6 ICMP ............................................................................................................... E-6 viii Sommario IntelliScan ........................................................................................................ E-6 IntelliTrap ........................................................................................................ E-7 IP ...................................................................................................................... E-7 File Java ........................................................................................................... E-7 LDAP ............................................................................................................... E-8 Porta di ascolto ............................................................................................... E-8 MCP Agent ..................................................................................................... E-8 Minaccia di tipo misto ................................................................................... E-9 NAT ................................................................................................................. E-9 NetBIOS ......................................................................................................... E-9 Comunicazione unidirezionale ..................................................................... E-9 Patch .............................................................................................................. E-10 Attacco di phishing ...................................................................................... E-10 Ping ................................................................................................................ E-11 POP3 ............................................................................................................. E-11 Server proxy .................................................................................................. E-11 RPC ................................................................................................................ E-11 Patch di protezione ...................................................................................... E-11 Service Pack .................................................................................................. E-12 SMTP ............................................................................................................. E-12 SNMP ............................................................................................................ E-12 Trap SNMP ................................................................................................... E-12 SOCKS 4 ....................................................................................................... E-12 SSL ................................................................................................................. E-13 Certificato SSL ............................................................................................. E-13 TCP ................................................................................................................ E-13 Telnet ............................................................................................................. E-13 ix Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Porta dei cavalli di Troia ............................................................................. E-14 Porta affidabile ............................................................................................. E-15 Comunicazione bidirezionale ..................................................................... E-16 UDP ............................................................................................................... E-16 File non disinfettabili ................................................................................... E-16 Indice Indice ............................................................................................................. IN-1 x Prefazione Prefazione Questo documento contiene le informazioni introduttive e illustra le procedure per l'installazione dell'agente e di gestione del server OfficeScan e dell'agente. Di seguito sono riportati gli argomenti trattati: • Documentazione di OfficeScan a pagina xii • Destinatari a pagina xii • Convenzioni utilizzate nella documentazione a pagina xiii • Terminologia a pagina xiv xi Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Documentazione di OfficeScan La documentazione di OfficeScan comprende quanto segue: Tabella 1. Documentazione di OfficeScan Documentazio ne Descrizione Guida all'installazione e all'aggiornamento Un documento PDF che illustra i requisiti e le procedure di installazione del server OfficeScan e l'aggiornamento del server e degli agenti Guida per l'amministratore Un documento PDF contenente le informazioni introduttive, le procedure per l'installazione dell'Agente OfficeScan e la gestione del server OfficeScan e dell'agente Guida File HTML compilati in formato WebHelp o CHM che forniscono procedure, consigli di utilizzo e informazioni specifiche. È possibile accedere alla Guida dalle console del server OfficeScan e dell'agente e dall'installazione principale di OfficeScan. File Readme Contiene un elenco di problemi noti e la procedura di base per l'installazione. Contiene inoltre le informazioni più recenti sul prodotto che non è stato possibile inserire nella documentazione nel software né in quella stampata. Knowledge Base Un database online contenente informazioni utili per la risoluzione dei problemi. Fornisce le informazioni più recenti sui problemi noti riscontrati nell'utilizzo dei prodotti. Per accedere alla Knowledge Base, visitare il seguente sito Web: http://esupport.trendmicro.com Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per il download alla pagina seguente: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Destinatari La documentazione di OfficeScan è destinata agli utenti seguenti: xii Prefazione • Amministratori OfficeScan: responsabili della gestione di OfficeScan, comprese le attività di gestione e installazione del server OfficeScan e dell'Agente OfficeScan. Si presuppone che questi utenti abbiano conoscenze avanzate di reti e gestione dei server. • Utenti finali: gli utenti con l'Agente OfficeScan installato sui dispositivi. Il livello di conoscenza del dispositivo di questi utenti varia da principiante a utente esperto. Convenzioni utilizzate nella documentazione Nella presente documentazione vengono usate le seguenti convenzioni di denominazione. Tabella 2. Convenzioni utilizzate nella documentazione Convenzione Descrizione MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti della tastiera. Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede e opzioni Corsivo Riferimenti ad altri documenti Carattere a spaziatura fissa Righe di comando di esempio, codice del programma, URL Web, nomi di file e output programmi Percorso > navigazione Percorso di navigazione per raggiungere una determinata schermata. Ad esempio, l'istruzione File > Salva significa che, all'interno dell'interfaccia, bisogna fare clic su File e quindi su Salva. Nota Suggerimento Note alla configurazione Raccomandazioni o consigli xiii Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Convenzione Importante AVVERTENZA! Descrizione Informazioni riguardanti le limitazioni del prodotto e le impostazioni di configurazione predefinite o obbligatorie Azioni fondamentali e opzioni di configurazione Terminologia La tabella riportata di seguito contiene la terminologia ufficiale utilizzata nella documentazione di OfficeScan: Tabella 3. Terminologia di OfficeScan Terminologia Descrizione Agente OfficeScan Il programma agente OfficeScan Agente dispositivo Il dispositivo su cui è installato l'Agente OfficeScan Utente agente (o utente) La persona che gestisce l'Agente OfficeScan nel dispositivo dell'agente Server Il programma server OfficeScan Computer server Il dispositivo su cui è installato il server OfficeScan Amministratore (o amministratore OfficeScan) La persona che gestisce il server OfficeScan Console L'interfaccia utente per configurare e gestire le impostazioni del server OfficeScan e dell'agente La console per il programma server OfficeScan è denominata "console Web", mentre la console del programma Agente OfficeScan è denominata "console agente". xiv Prefazione Terminologia Descrizione Rischio per la sicurezza Termine collettivo per virus/minacce informatiche, spyware/grayware e minacce Web Servizio licenza Comprende Antivirus, Damage Cleanup Services, Reputazione Web e Anti-spyware, —tutti attivati durante l'installazione del server OfficeScan Servizio OfficeScan Servizi gestiti tramite Microsoft Management Console (MMC). Ad esempio, ofcservice.exe, il Servizio principale OfficeScan. Programma Comprende l'Agente OfficeScan e Plug-in Manager Componenti Consentono di analizzare, individuare ed eseguire operazioni contro i rischi per la sicurezza Cartella di installazione dell'agente La cartella del dispositivo che contiene i file dell'Agente OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan Client C:\Programmi (x86)\Trend Micro\OfficeScan Client Cartella di installazione del server La cartella del dispositivo che contiene i file del server OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan C:\Programmi (x86)\Trend Micro\OfficeScan Ad esempio, se un file specifico si trova in \PCCSRV nella cartella di installazione del server, il percorso completo del file è: C:\Programmi\Trend Micro\OfficeScan\PCCSRV\<nome_file>. Agente Smart Scan Qualsiasi Agente OfficeScan configurato per utilizzare Smart Scan Scansione convenzionale dell'agente Qualsiasi Agente OfficeScan configurato per utilizzare la scansione convenzionale xv Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Terminologia Dual-stack Descrizione Entità con indirizzi IPv4 e IPv6. Ad esempio: xvi • Dispositivo con indirizzi IPv4 e IPv6 • Agenti OfficeScan installati su dispositivi dual-stack • Update Agent che distribuiscono gli aggiornamenti agli agenti • Un server proxy dual-stack, come DeleGate, è in grado di convertire un indirizzo IPv4 in IPv6 e viceversa IPv4 puro Un'entità che ha solo un indirizzo IPv4 IPv6 puro Un'entità che ha solo un indirizzo IPv6 Soluzioni plug-in Programmi plug-in e funzioni di OfficeScan disponibili attraverso Plug-in Manager Parte I Introduzione e informazioni preliminari Capitolo 1 Introduzione di OfficeScan In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche di Trend Micro™ OfficeScan™. Di seguito sono riportati gli argomenti trattati: • Informazioni su OfficeScan a pagina 1-2 • Novità della versione a pagina 1-2 • Principali funzioni e vantaggi a pagina 1-13 • Il server OfficeScan a pagina 1-16 • L'agente OfficeScan a pagina 1-17 • Integrazione con i prodotti e i servizi Trend Micro a pagina 1-18 1-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Informazioni su OfficeScan Trend Micro™ OfficeScan™ protegge le reti aziendali da malware, virus di rete, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una soluzione integrata che comprende un programma Agente OfficeScan che risiede nel dispositivo e un programma server che gestisce tutti gli agenti. L'Agente OfficeScan controlla l'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso la console di gestione basata sul Web, permette di impostare criteri di sicurezza coordinati e di implementare gli aggiornamenti in ciascun agente. OfficeScan utilizza Trend Micro Smart Protection Network™, un'infrastruttura client cloud di prossima generazione che fornisce soluzioni per la sicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica e un agente leggero consentono di ridurre la dipendenza dai download dei pattern convenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti dei desktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza di banda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati. Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile da qualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio. Novità della versione Trend Micro OfficeScan include le seguenti nuove funzioni e miglioramenti. Novità della patch critica di OfficeScan 11.0 SP1 Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti. 1-2 Introduzione di OfficeScan Funzione Piattaforme e browser compatibili Descrizione Agente OfficeScan supporta Windows 10 (edizioni Home, Pro, Education ed Enterprise). OfficeScan supporta Microsoft Edge. Per un elenco dei requisiti di sistema, consultare il documento Requisiti di sistema di OfficeScan all'indirizzo: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Protezione dell'avvio dell'antimalware preliminare OfficeScan supporta la funzione di avvio dell'anti-malware preliminare (ELAM), inclusa nell'avvio protetto standard, per proteggere i dispositivi in fase di avvio. Gli amministratori possono attivare questa funzione per avviare gli agenti OfficeScan prima degli altri driver del software di terze parti all'avvio dei dispositivi. Questa funzione consente agli agenti OfficeScan di rilevare il malware durante il processo di avvio. Per i dettagli, consultare Attivazione della protezione dell'avvio dell'anti-malware preliminare sui dispositivi a pagina 7-77. Processo di sottoscrizione degli oggetti sospetti avanzato Quando gli amministratori registrano OfficeScan in un server Control Manager connesso a Deep Discovery, OfficeScan effettua automaticamente la sottoscrizione a Control Manager per sincronizzare gli oggetti sospetti e richiamare le azioni contro tali oggetti. La sincronizzazione dell'elenco di oggetti sospetti è parte della strategia di Connected Threat Defense. Per ulteriori informazioni, consultare il documento Connected Threat Defense Primer all'indirizzo http://docs.trendmicro.com/all/ent/tmcm/v6.0-sp3/enus/tmcm_6.0_sp3_ctd_primer/ctd_primer.pdf. Novità di OfficeScan 11.0 SP1 Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti. 1-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione 1-4 Descrizione Protezione ransomware per i documenti Le funzionalità di scansione avanzate possono identificare e bloccare i programmi ransomware che colpiscono i documenti eseguiti nel dispositivo per identificare i comportamenti comuni e bloccare i processi generalmente associati ai programmi ransomware. Crittografia comunicazione agente server avanzata OfficeScan offre la crittografia avanzata della comunicazione tra server e agenti utilizzando l'Advanced Encryption Standard (AES) 256, in conformità alle normative in materia di sicurezza. Connected Threat Defense Configurare OfficeScan per sottoscrivere gli elenchi di oggetti sospetti dal server Control Manager. Attraverso la console di Control Manager, è possibile creare azioni personalizzate per gli oggetti rilevati dagli elenchi di oggetti sospetti, in grado di fornire una difesa personalizzata contro le minacce identificate dai dispositivi protetti dai prodotti Trend Micro specifici per l'ambiente dell'utente. Monitoraggio della scansione OfficeScan offre maggiore visibilità e controllo sulle funzionalità di scansione mediante: • Ripresa di scansioni pianificate interrotte: configurare OfficeScan in modo da riprendere automaticamente le scansioni pianificate interrotte sulla base di una pianificazione configurata • Registri dell'operazione di scansione: consentono di monitorare il tempo, lo stato e i risultati della scansione attraverso la console Web Crittografia di dati sensibili Prevenzione perdita di dati viene integrato da Trend Micro™ Endpoint Encryption™ per automatizzare la crittografia di dati sensibili su dispositivi rimovibili e canali di servizi di memorizzazione cloud. Funzionalità di protezione automatica dell'Agente OfficeScan avanzate • Le funzionalità avanzate di monitoraggio dell'integrità dei file e di prevenzione dalla manomissione delle DLL garantiscono la validità e la disponibilità dei file di programma dell'Agente OfficeScan • Protezione contro il blocco dei processi dell'Agente OfficeScan Introduzione di OfficeScan Funzione Descrizione Assistenza multilingue per l'Agente OfficeScan Gli amministratori possono configurare la lingua del programma dell'Agente OfficeScan dalla console Web. Selezionare per visualizzare la console dell'Agente OfficeScan sulla base delle impostazioni di lingua dell'utente che ha effettuato l'accesso o delle impostazioni di lingua del server OfficeScan. Gestione estesa dei criteri mediante Control Manager™ • La gestione dei criteri di Control Manager™ nel server OfficeScan consente ora agli amministratori di creare criteri secondari che ereditano le impostazioni globali di Control Manager. Utilizzando la console di Control Manager, gli amministratori locali di OfficeScan possono modificare questi criteri secondari per migliorare la protezione dei server regionali, di reparto o satelliti che richiedono eventuali impostazioni più specifiche. Gli amministratori locali di OfficeScan possono modificare i tempi delle scansioni pianificate e gli elenchi di eccezioni delle scansioni per migliorare la protezione degli ambienti locali e, allo stesso tempo, mantenere quella configurata dall'amministratore di Control Manager. • Gli amministratori di Control Manager™ possono mettere in quarantena i dispositivi specifici dell'Agente OfficeScan dalla rete per evitare la diffusione delle minacce alla sicurezza. Per maggiori dettagli sulla configurazione dei criteri di OfficeScan mediante Control Manager™, consultare la Guida per l'amministratore di Trend Micro Control Manager. Programmi affidabili Gli amministratori possono configurare OfficeScan per escludere dalla scansione i file e i processi firmati da aziende affidabili e applicare gli elenchi di esclusione configurati alla scansione in tempo reale e al monitoraggio del comportamento oppure creare elenchi specifici per ciascuna funzionalità. Per un elenco dei requisiti di sistema, consultare il documento Requisiti di sistema di OfficeScan all'indirizzo: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Novità di OfficeScan 11.0 Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti. 1-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 1-1. Miglioramenti del server Funzione Descrizione Strumento di migrazione SQL Database Gli amministratori possono scegliere di migrare il database del server CodeBase® esistente su un database SQL Server. Miglioramenti di Smart Protection Server Questa versione di OfficeScan supporta la versione Smart Protection Server 3.0 aggiornata. Nella versione aggiornata di Smart Protection Server sono stati migliorati i pattern per Servizi di reputazione file. I file di pattern sono stati riprogettati per fornire i seguenti vantaggi: Autenticazione del server Per i dettagli, consultare Strumento di migrazione SQL Server a pagina 13-47. • Riduzione del consumo della memoria • Aggiornamenti dei pattern incrementali e rilevamento del pattern Servizi di reputazione file, con una notevole riduzione del consumo della larghezza di banda Le chiavi di autenticazione del server migliorate assicurano che tutte le comunicazioni da e verso il server siano sicure e affidabili. Per i dettagli, consultare Autenticazione delle comunicazioni avviate dal server a pagina 13-53. 1-6 Miglioramento di Role-based Administration (RBA) Il miglioramento di Role-based Administration semplifica il modo in cui gli amministratori configurano ruoli e account, facilitando l'integrazione con Trend Micro™ Control Manager™. Requisiti del server Web È possibile integrare questa versione di OfficeScan con il server Web Apache 2.2.25. Per i dettagli, consultare Role-based Administration (RBA) a pagina 13-3. Introduzione di OfficeScan Funzione Riprogettazione dell'interfaccia del server OfficeScan Descrizione L'interfaccia di OfficeScan è stata riprogettata per fornire un'esperienza più semplice e diretta. Tutte le funzioni disponibili nel server OfficeScan precedente sono tuttora presenti nella versione aggiornata. • Le voci di menu principali occupano meno spazio nelle schermate • Il menu "Preferiti" facilita l'accesso alle schermate utilizzate più frequentemente • Una visualizzazione con presentazione delle schede Dashboard consente di visualizzare i dati dei widget senza dover controllare manualmente la console Guida online contestuale basata sul cloud La guida online basata sul cloud sensibile al contesto aiuta gli amministratori ad avere sempre le informazioni più aggiornate ogni volta che il sistema di guida viene aperto. Se la connessione a Internet non è disponibile, OfficeScan passa automaticamente al sistema di guida online locale fornito con il prodotto. Piattaforme e browser compatibili OfficeScan supporta i seguenti sistemi operativi: • Windows Server™ 2012 R2 (server e agente) • Windows 8.1 (solo agente) OfficeScan supporta il browser seguente: • Internet Explorer™ 11.0 1-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 1-2. Miglioramenti dell'agente Funzione Descrizione Ripristino quarantena centrale OfficeScan offre agli amministratori la possibilità di ripristinare file "sospetti" rilevati in precedenza e ne aggiunge altri agli elenchi "approvati" a livello di dominio, per impedire ulteriori azioni sui file. Se un file o un programma viene rilevato e messo in quarantena, gli amministratori possono ripristinare il file sugli agenti in modo globale o capillare. Gli amministratori possono usare lo strumento di verifica SHA1 per assicurarsi che i file da ripristinare non siano stati modificati in alcun modo. Dopo il ripristino, OfficeScan è in grado di aggiungere automaticamente i file agli elenchi di esclusione del dominio, escludendoli da ulteriori scansioni. Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45. Servizio di protezione avanzata Il Servizio di protezione avanzata fornisce le seguenti nuove funzioni di scansione: • Prevenzione minaccia browser usa la tecnologia sandbox per testare il comportamento delle pagine Web in tempo reale e rilevare programmi o script dannosi prima che l'Agente OfficeScan sia esposto a minacce. Per i dettagli, consultare Configurazione dei Criteri di reputazione Web a pagina 11-5. • La scansione della memoria migliorata funziona insieme a Monitoraggio del comportamento per individuare le varianti delle minacce informatiche durante le scansioni in tempo reale e intraprendere azioni di quarantena contro le minacce. Per i dettagli, consultare Impostazioni di scansione a pagina 7-29. 1-8 Introduzione di OfficeScan Funzione Miglioramenti della protezione dati Descrizione Protezione dati OfficeScan è stata migliorata per fornire i seguenti vantaggi: • Data Discovery tramite l'integrazione con Control Manager™: gli amministratori possono configurare i criteri di Prevenzione perdita di dati su Control Manager per effettuare le scansioni delle cartelle sugli Agenti OfficeScan per i file sensibili. Dopo aver rilevato dati sensibili all'interno di un file, Control Manager è in grado di registrare la posizione del file oppure, tramite l'integrazione con Trend Micro Endpoint Encryption, di crittografare automaticamente il file sull'Agente OfficeScan. • Supporto giustificazione utente: gli amministratori possono consentire agli utenti di fornire un motivo che giustifichi il trasferimento di dati sensibili oppure possono essi stessi bloccare le trasmissioni. OfficeScan registra tutti i tentativi di trasferimento e i motivi forniti dall'utente. Per i dettagli, consultare Azioni di Prevenzione perdita di dati a pagina 10-39. • Supporto smartphone e tablet: Prevenzione perdita di dati e Controllo dispositivo ora possono monitorare e intraprendere azioni sui dati sensibili che vengono inviati ai dispositivi mobili oppure bloccare interamente l'accesso a questi ultimi. Per i dettagli, consultare Controllo dispositivo a pagina 9-2. • Identificatore di dati e librerie dei modelli aggiornati: le librerie di Prevenzione perdita di dati sono state aggiornate con 2 nuovi elenchi di parole chiave e 93 nuovi modelli. • Integrazione dei registri di Controllo dispositivo con Control Manager™ 1-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione Miglioramento di Impostazioni connessione sospetta Descrizione Servizi di avvisi contatti Command & Control (C&C) è stato aggiornato per includere quanto segue: • Elenchi globali di indirizzi IP bloccati e approvati definiti dall'utente Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-15. • Impronta di rete della minaccia per rilevare i callback C&C • Configurazione delle azioni flessibile quando vengono rilevate connessioni sospette Per i dettagli, consultare Configurazione delle impostazioni di connessione sospetta a pagina 11-16. • Miglioramenti di Prevenzione delle infezioni I registri del server C&C e dell'agente registrano il processo responsabile per i callback C&C Prevenzione delle infezioni è stato migliorato per offrire protezione dalle seguenti minacce: • File compressi eseguibili Per i dettagli, consultare Divieto di accesso ai file compressi eseguibili a pagina 7-122. • Processi mutex Per i dettagli, consultare Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-121. 1-10 Introduzione di OfficeScan Funzione Miglioramenti delle funzioni di protezione automatica Descrizione Le funzioni di protezione automatica disponibili in questa versione forniscono soluzioni per la sicurezza leggere e di alto livello, per la protezione sia del server sia dei programmi dell'Agente OfficeScan. • Soluzione leggera: progettata per piattaforme server per proteggere il processo dell'Agente OfficeScan e le chiavi di registro per impostazione predefinita, senza condizionare le prestazioni del server • Soluzione di sicurezza alto livello: migliora la funzione di protezione automatica dell'agente disponibile nelle versioni precedenti, grazie a: • Autenticazione del comando IPC • Verifica e protezione dei file di pattern • Protezione dell'aggiornamento dei file di pattern • Protezione del processo Monitoraggio del comportamento Per i dettagli, consultare Protezione automatica dell'agente OfficeScan a pagina 14-13. 1-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione Miglioramenti per il rilevamento e le prestazioni della scansione Descrizione • La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni volta che l'Agente OfficeScan viene avviato. L'Agente OfficeScan tiene traccia di tutte le modifiche ai file o alle cartelle apportate in seguito alla rimozione dell'Agente OfficeScan, eliminando questi file dalla cache. • Questa versione di OfficeScan include elenchi Approvati globali per i file di sistema Windows, file con firma digitale da origini affidabili e file sottoposti a test da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non esegue alcuna azione sul medesimo. • I miglioramenti di Damage Cleanup Services forniscono funzioni di rilevamento migliorate per le minacce rootkit nonché un numero ridotto di falsi positivi tramite la scansione GeneriClean aggiornata. • Le impostazioni dei file compressi sono divise tra scansioni su richiesta e scansioni in tempo reale, per un miglioramento delle prestazioni. Per i dettagli, consultare Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-77. • Riprogettazione dell'interfaccia dell'Agente OfficeScan I registri su due livelli forniscono una visualizzazione più dettagliata per i rilevamenti che gli amministratori intendono esaminare ulteriormente. L'interfaccia di Agente OfficeScan è stata riprogettata per fornire un'esperienza più semplice e diretta. Tutte le funzioni disponibili nel programma client OfficeScan precedente sono tuttora presenti nella versione aggiornata. L'interfaccia aggiornata consente inoltre agli amministratori di "sbloccare" funzioni amministrative direttamente dalla console dell'Agente OfficeScan, al fine di risolvere rapidamente i problemi senza l'apertura della console Web. 1-12 Introduzione di OfficeScan Principali funzioni e vantaggi OfficeScan offre le funzioni e i vantaggi seguenti. Tabella 1-3. Principali funzioni e vantaggi Funzione Plug-In Manager e soluzioni plug-in Vantaggi Plug-in Manager consente l'installazione, l'implementazione e la gestione delle soluzioni plug-in. Gli amministratori possono installare due tipi di soluzioni plug-in: Gestione centralizzata • Programmi plug-in • Funzioni OfficeScan native Una console di gestione basata su Web consente agli amministratori di accedere in modo trasparente a tutti gli agenti e server della rete. La console Web coordina l'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamenti software su ciascun agente e server. Grazie ai servizi di prevenzione delle infezioni, arresta i vettori delle infezioni e implementa rapidamente i criteri di protezione specifici per l'attacco al fine di prevenire o contenere le infezioni prima che i file di pattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in tempo reale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratori possono eseguire l'amministrazione in remoto, impostare criteri personalizzati per singoli desktop o gruppi e bloccare le impostazioni di sicurezza dell'agente. 1-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione Protezione contro i rischi per la sicurezza Vantaggi OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. Per contenere le infezioni, OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computer infetti fino a quando sono completamente privi di rischi. OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente. Questa tecnologia consente di scaricare un gran numero di firme precedentemente memorizzate nel dispositivo locale su Origini Smart Protection. Con questo approccio viene ridotto l'impatto sul sistema e sulla rete del volume sempre maggiore di aggiornamenti delle firme per i sistemi dispositivo. Per informazioni su Smart Scan e su come implementarlo sugli agenti, consultare Tipi di metodi di scansione a pagina 7-8. Damage Cleanup Services Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali) utilizzando un processo completamente automatizzato. Per affrontare le minacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettua le seguenti operazioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia Poiché Damage Cleanup Services viene eseguito in background, non è necessario configurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione. Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare il dispositivo per completare il processo di rimozione di un cavallo di Troia. 1-14 Introduzione di OfficeScan Funzione Reputazione Web Vantaggi La tecnologia di reputazione Web protegge in modo proattivo i computer agente all'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmente pericolosi. La reputazione Web spezza la catena dell'infezione e impedisce il download di codice dannoso. Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrare OfficeScan con Smart Protection Server o con Trend Micro Smart Protection Network. Firewall di OfficeScan Il firewall di OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. È possibile creare regole per filtrare le connessioni in base all'applicazione, all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole a gruppi diversi di utenti. Prevenzione perdita di dati Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite accidentali o intenzionali. Prevenzione perdita di dati consente agli amministratori di: • identificare le risorse digitali da proteggere • Creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio messaggi e-mail e dispositivi esterni • implementare la conformità alle norme vigenti sulla privacy Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli agenti alla ricerca di modifiche insolite al sistema operativo o al software installato. 1-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Il server OfficeScan Il server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischi per la sicurezza e gli aggiornamenti dell'agente. Il server esegue due importanti funzioni: • Installa, controlla e gestisce gli Agenti OfficeScan • Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScan scarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agli agenti. Nota Alcuni componenti vengono scaricati dalle origini Smart Protection. Consultare Origini Smart Protection a pagina 4-6 per ulteriori dettagli. 1-16 Introduzione di OfficeScan Figura 1-1. Funzionamento del server OfficeScan Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in tempo reale tra il server e gli Agenti OfficeScan. Gli agenti sono gestiti da una console Web basata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi punto della rete. Il server comunica con l'agente (e l'agente con il server) attraverso Hypertext Transfer Protocol (HTTP). L'agente OfficeScan L'installazione dell'Agente OfficeScan su ogni dispositivo con sistema operativo Windows consente di proteggere i computer dai rischi per la sicurezza. 1-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 L'Agente OfficeScan invia quindi delle notifiche al server principale dal quale è stato installato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzando lo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi e sullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacce informatiche, l'avvio dell'agente, lo spegnimento dell'agente, l'avvio di una scansione o il completamento di un aggiornamento. Integrazione con i prodotti e i servizi Trend Micro OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente. Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguiti sulle versioni richieste o consigliate. Tabella 1-4. Integrazione di prodotti e servizi con OfficeScan Prodotto/ Servizio 1-18 Descrizione Versione Server ActiveUpdate Fornisce tutti i componenti necessari all'Agente OfficeScan per proteggere gli agenti dalle minacce alla sicurezza Non pertinente Smart Protection Network Fornisce i Servizi di reputazione file e i Servizi di reputazione Web agli agenti. Non pertinente Smart Protection Network è gestito da Trend Micro. Introduzione di OfficeScan Prodotto/ Servizio Smart Protection Server standalone Descrizione Fornisce gli stessi Servizi di reputazione file e Servizi di reputazione Web offerti da Smart Protection Network. Versione • 3.0 • 6.0 SP3 Smart Protection Server standalone è inteso a localizzare il servizio per garantire una maggiore efficienza della rete aziendale. Nota Integrated Smart Protection Server viene installato con il server OfficeScan. Svolge le stesse funzioni del server standalone, ma le sue capacità sono più limitate. Control Manager Deep Discovery Analyzer Una soluzione di gestione software che consente di controllare a livello centrale i programmi antivirus e di protezione dei contenuti, senza tenere conto della piattaforma o dell'ubicazione fisica del programma. Deep Discovery fornisce un monitoraggio globale della rete mediante sandboxing personalizzato e informazioni pertinenti in tempo reale, per consentire il rilevamento degli attacchi, implementare un contenimento rapido e offrire aggiornamenti di sicurezza personalizzati che migliorino tempestivamente la protezione contro ulteriori attacchi. (consigliato) • 6.0 SP2 • 6.0 SP1 • 6.0 • 5.5 SP1 5.1 e versione successiva 1-19 Capitolo 2 Informazioni preliminari su OfficeScan In questo capitolo vengono descritte le istruzioni preliminari per OfficeScan e le impostazioni iniziali per la configurazione. Di seguito sono riportati gli argomenti trattati: • La console Web a pagina 2-2 • Dashboard a pagina 2-5 • Strumento di migrazione del server a pagina 2-32 • Active Directory Integration a pagina 2-36 • Struttura agente OfficeScan a pagina 2-40 • Domini OfficeScan a pagina 2-53 2-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 La console Web La console Web è l'elemento centrale per il monitoraggio di OfficeScan in tutta la rete aziendale. La console ha una serie di impostazioni e valori predefiniti che possono essere configurati in base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologie Internet standard quali JavaScript, CGI, HTML e HTTPS. Nota Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni della console Web a pagina 13-59. Utilizzare la console Web per eseguire le operazioni riportate di seguito: • Gestire gli agenti installati sui computer collegati in rete • Raggruppare gli agenti in domini logici per consentire configurazione e gestione simultanee • Impostare le configurazioni di scansione e avviare la scansione manuale su uno o più computer collegati in rete • Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registri inviati dagli agenti • Configurare i criteri e le notifiche per le infezioni • Delegare operazioni di amministrazione della console Web ad altri amministratori OfficeScan mediante la configurazione di ruoli e account utente • Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza Nota La console Web non è supportata da Windows 8, 8.1, 10 o Windows Server 2012 in modalità interfaccia utente di Windows. 2-2 Informazioni preliminari su OfficeScan Requisiti per l'apertura della console Web Aprire la console Web da un dispositivo della rete che abbia i requisiti riportati di seguito: • Processore Intel ™ Pentium™ da 300 MHz o equivalente • 128 MB di RAM • Almeno 30 MB di spazio disponibile su disco • Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore • Microsoft Internet Explorer™ 8.0 o versione successiva Nota Per la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS. Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, a seconda del tipo di installazione prevista per il server OfficeScan: Tabella 2-1. URL della console Web OfficeScan Tipo di installazione URL Con SSL su un sito predefinito https://<server OfficeScan FQDN o indirizzo IP>/ OfficeScan Con SSL su un sito virtuale https://<server OfficeScan FQDN o indirizzo IP>:<numero di porta HTTP>/OfficeScan Nota Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browser Web e i file della cache del server proxy potrebbero impedire il corretto caricamento della console Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunque server proxy che si trova tra il server OfficeScan e il dispositivo usato per accedere alla console Web. 2-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Account di accesso Durante l'installazione del server OfficeScan il programma crea un account principale (root) e richiede di digitare la password per tale account. Quando si apre la console Web per la prima volta, digitare "root" come nome utente e come password dell'account principale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica per reimpostarla. Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti di accedere alla console Web senza utilizzare l'account principale (root). Quando gli utenti accedono alla console possono utilizzare gli account utente impostati per loro. Per ulteriori informazioni, consultare Role-based Administration (RBA) a pagina 13-3. Il banner della console Web Nell'area del banner nella console Web sono disponibili le seguenti opzioni: Figura 2-1. Area banner della console Web 2-4 • Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possono inviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro • Guida: visualizza la pagina Web della guida in linea. • Altro • Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delle minacce, archivio di Trend Micro per le informazioni relative alle minacce informatiche. Gli esperti Trend Micro sulle minacce pubblicano regolarmente rilevamenti di minacce informatiche, spam, URL dannosi e vulnerabilità. L'Enciclopedia delle minacce illustra inoltre gli attacchi Web di alto profilo e fornisce informazioni correlate. • Contatta Trend Micro: visualizza il sito Web Trend Micro Contatti con informazioni sulle sedi in tutto il mondo. Informazioni preliminari su OfficeScan • Informazioni su: fornisce una panoramica del prodotto, le istruzioni per controllare i dettagli della versione dei componenti e un collegamento a Sistema di supporto intelligente. Per i dettagli, consultare Sistema di supporto intelligente a pagina 16-2. • <nome account>: fare clic sul nome account (ad esempio, root) per modificare i dettagli dell'account, ad esempio la password. • Disconnetti: consente di disconnettersi dalla console Web Dashboard Il Dashboard viene visualizzato quando si apre la console Web OfficeScan o si fa clic su Dashboard nel menu principale. Ciascun account utente della console Web ha una dashboard completamente indipendente. Qualunque modifica alla dashboard di un account utente non riguarda le dashboard di altri account utente. Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzati dipendono dalle autorizzazioni del dominio agente per l'account utente. Se, ad esempio, si assegnano a un account utente autorizzazioni per gestire i domini A e B, le segnalazioni dell'account utente mostrano solo i dati degli agenti che appartengono ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 13-3. La schermata Dashboard contiene: • Sezione dello stato della licenza del prodotto • Widget • Schede 2-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Sezione dello stato della licenza del prodotto Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato delle licenze OfficeScan. Figura 2-2. Sezione dello stato della licenza del prodotto Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze: • • Se si dispone di una licenza per la versione completa: • 60 giorni prima della scadenza della licenza • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei computer utilizzando componenti obsoleti. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Se si dispone di una licenza per la versione di prova: • 14 giorni prima della scadenza della licenza • Alla scadenza della licenza. In questo periodo, OfficeScan disattiva l'aggiornamento dei componenti, la scansione e tutte le funzionalità dell'agente. Se si dispone di un codice di attivazione, rinnovare una licenza accedendo a Amministrazione > Impostazioni > Licenza del prodotto. 2-6 Informazioni preliminari su OfficeScan Barre delle informazioni sul prodotto OfficeScan visualizza una serie di messaggi nella parte superiore della schermata Dashboard che forniscono informazioni aggiuntive per gli amministratori. Le informazioni visualizzate includono: • Service pack o patch più recenti disponibili per OfficeScan Nota Fare clic su Ulteriori informazioni per scaricare la patch dal Centro download Trend Micro (http://downloadcenter.trendmicro.com/index.php?regs=IT). • Nuovi widget disponibili • Notifiche per i contratti di manutenzione quando la data di scadenza del contratto è prossima • Notifiche per le modalità di valutazione • Notifiche di autenticità Nota Se la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio di informazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso e interrompe l'esecuzione degli aggiornamenti. Schede e widget I widget sono i componenti principali della dashboard. I widget forniscono informazioni specifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguire determinate operazioni, quali l'aggiornamento di componenti obsoleti. Le informazioni che i widget visualizzano provengono da: • OfficeScan server e agenti • Soluzioni plug-in e relativi agenti 2-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Trend Micro Smart Protection Network Nota Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulteriori informazioni su Smart Feedback, vedere Smart Feedback a pagina 13-64. Le schede forniscono un contenitore per i widget. Il Dashboard supporta fino a 30 schede. Utilizzo delle schede Gestire le schede effettuando le seguenti operazioni: Tabella 2-2. Operazioni schede Operazione Aggiungere una nuova scheda Passaggi 1. Fare clic sull'icona di aggiunta sulla parte superiore della dashboard. Viene visualizzata una nuova schermata. 2. Inserire le seguenti informazioni. 3. 2-8 • Titolo: il nome della scheda • Layout: scegliere uno dei layout disponibili • Adatta automaticamente: attivare Adatta automaticamente se si seleziona un layout con diverse ") e ciascuna casella conterrà caselle (ad esempio " solo un widget. Adatta automaticamente modifica i widget per adattare le dimensioni a quelle di una casella. Fare clic su Salva. Informazioni preliminari su OfficeScan Operazione Modificare le impostazioni della scheda Passaggi 1. Fare clic su Impostazioni scheda sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 2. Modificare il nome della scheda, il layout e le impostazioni di adattamento automatico. 3. Fare clic su Salva. Spostare una scheda Usare la funzionalità di trascinamento per cambiare la posizione della scheda. Eliminare una scheda Fare clic sull'icona di eliminazione accanto al titolo della scheda. Eliminare una scheda comporta l'eliminazione di tutti i widget della scheda. Utilizzo dei Widget Gestire i widget effettuando le seguenti operazioni: Tabella 2-3. Operazioni widget Operazione Riproduci presentazione scheda Passaggi Fare clic su Riproduci presentazione scheda per spostarsi automaticamente tra le visualizzazioni delle schede. 2-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Operazione Aggiungere un nuovo widget Passaggi 1. Fare clic sulla scheda. 2. Fare clic su Aggiungi widget sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 3. Selezionare i widget da aggiungere. Per un elenco dei widget disponibili, vedere Widget disponibili a pagina 2-12. • Fare clic sulle icone di visualizzazione ( ) nella sezione superiore della schermata per passare da Visualizzazione dettagliata a Visualizzazione di riepilogo. 4. • Le categorie di widget si trovano alla sinistra della schermata. Selezionare una categoria per restringere le selezioni. • Utilizzare la casella di testo per la ricerca sull parte superiore della schermata per cercare un widget specifico. Fare clic su Aggiungi. Spostare un widget Utilizzare la funzionalità di trascinamento per spostare i widget in diverse posizioni all'interno della scheda. Ridimensionare un widget Ridimensionare i widget su di una scheda multicolonna puntando il cursore sul bordo del widget e muovendolo verso destra o sinistra. Modificare il titolo del widget 1. Fare clic sull'icona di modifica ( una nuova schermata. 2. Immettere il nuovo titolo. ). Viene visualizzata Nota Per alcuni widget, quali OfficeScan e Plug-in Mashup, le voci relative ai widget possono essere modificate. 3. 2-10 Fare clic su Salva. Informazioni preliminari su OfficeScan Operazione Passaggi Aggiornare i dati del widget Fare clic sull'icona di aggiornamento ( Eliminare un widget Fare clic sull'icona di eliminazione ( ). ). Schede e widget predefiniti Il Dashboard viene fornito con un set di schede e widget predefiniti. È possibile rinominare o eliminare le schede e i widget. Tabella 2-4. Schede predefinite nel Dashboard Scheda OfficeScan OfficeScan e plug-in Descrizione Widget Questa scheda contiene le stesse informazioni trovate nella schermata Dashboard nelle precedenti versioni di OfficeScan. In questa scheda è possibile visualizzare la protezione dai rischi per la sicurezza globale della rete OfficeScan. Inoltre, è possibile effettuare delle azioni su voci che richiedono un intervento immediato, quali le infezioni o i componenti obsoleti. • Widget Connettività agente antivirus a pagina 2-15 • Widget Rilevamenti dei rischi per la sicurezza a pagina 2-19 • Widget Infezioni a pagina 2-19 • Widget Aggiornamenti agente a pagina 2-22 Questa scheda mostra quali agenti eseguono l'Agente OfficeScan e le soluzioni plug-in. Utilizzare questa scheda per valutare lo stato di sicurezza complessivo degli agenti. Widget OfficeScan e Plug-in Mashup a pagina 2-23 2-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Scheda Smart Protection Network Descrizione Widget Questa scheda contiene informazioni di Trend Micro Smart Protection Network, che fornisce Servizi di reputazione file e Servizi di reputazione Web agli Agenti OfficeScan. • Widget Origini delle minacce principali della reputazione Web a pagina 2-29 • Widget Principali utenti minacciati della reputazione Web a pagina 2-30 • Widget Mappa delle minacce della reputazione file a pagina 2-31 Widget disponibili In questa versione sono disponibili i seguenti widget: Tabella 2-5. Widget disponibili Nome widget Disponibilità Connettività agente e server Disponibilità standard Connettività agente antivirus Disponibilità standard Rilevamenti dei rischi per la sicurezza Disponibilità standard Infezioni Disponibilità standard Per i dettagli, consultare Widget Connettività agente e server a pagina 2-14. Per i dettagli, consultare Widget Connettività agente antivirus a pagina 2-15. Per i dettagli, consultare Widget Rilevamenti dei rischi per la sicurezza a pagina 2-19. Per i dettagli, consultare Widget Infezioni a pagina 2-19. 2-12 Informazioni preliminari su OfficeScan Nome widget Aggiornamenti agente Disponibilità Disponibilità standard Per i dettagli, consultare Widget Aggiornamenti agente a pagina 2-22. OfficeScan e Plug-in Mashup Disponibilità standard ma solo con visualizzazione dei dati sugli Agenti OfficeScan I dati provenienti dalle seguenti soluzioni plug-in sono disponibili successivamente all'attivazione di ciascuna soluzione: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Per i dettagli, consultare Widget OfficeScan e Plug-in Mashup a pagina 2-23. Incidenti di Prevenzione perdita di dati principali Disponibile dopo l'attivazione di Protezione dati OfficeScan Per i dettagli, consultare Widget Incidenti di Prevenzione perdita di dati principali a pagina 2-24. Incidenti di Prevenzione perdita di dati per periodo di tempo Disponibile dopo l'attivazione di Protezione dati OfficeScan Origini delle minacce principali della reputazione Web Disponibilità standard Principali utenti minacciati della reputazione Web Disponibilità standard Mappa delle minacce della reputazione file Disponibilità standard Per i dettagli, consultare Widget Incidenti di Prevenzione perdita di dati per periodo di tempo a pagina 2-26. Per i dettagli, consultare Widget Origini delle minacce principali della reputazione Web a pagina 2-29. Per i dettagli, consultare Widget Principali utenti minacciati della reputazione Web a pagina 2-30. Per i dettagli, consultare Widget Mappa delle minacce della reputazione file a pagina 2-31. 2-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nome widget Eventi di callback C&C Disponibilità Disponibilità standard Per i dettagli, consultare Widget Eventi di callback C&C a pagina 2-27. IDF - Stato di avviso IDF - Stato del computer Disponibile successivamente all'attivazione di Intrusion Defense Firewall. Fare riferimento alla documentazione di IDF per i dettagli relativi a questi widget. IDF - Cronologia eventi della rete IDF - Cronologia eventi del sistema Widget Connettività agente e server Il widget Connettività agente e server visualizza lo stato della connessione di tutti gli agenti con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di visualizzazione ( ). Figura 2-3. Widget Connettività agente e server che visualizza una tabella 2-14 Informazioni preliminari su OfficeScan Widget Connettività agente antivirus Il widget Connettività agente antivirus visualizza lo stato della connessione degli agenti antivirus con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di visualizzazione ( ). Figura 2-4. Widget Connettività agente antivirus che visualizza una tabella Widget Connettività agente antivirus presentato come una tabella La tabella suddivide gli agenti per metodi di scansione. Se il numero degli agenti per un determinato stato è maggiore o uguale a 1, è possibile fare clic sul numero per visualizzarli nella struttura agente. È possibile avviare delle operazioni su tali agenti o modificarne le relative impostazioni. 2-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per visualizzare solo gli agenti che utilizzano un particolare metodo di scansione, fare clic su Tutto, quindi selezionare il metodo di scansione. Figura 2-5. Stato della connessione degli agenti con scansione convenzionale Figura 2-6. Stato della connessione degli agenti con Smart Scan 2-16 Informazioni preliminari su OfficeScan Se si seleziona Smart Scan: • La tabella riporta gli agenti Smart Scan online in base allo stato della connessione con gli Smart Protection Server. Nota Solo gli agenti online possono segnalare lo stato della connessione con Smart Protection Server. Se gli agenti non sono connessi a uno Smart Protection Server, ripristinare la connessione tramite l'esecuzione della procedura descritta in Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-43. • Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia la console del server. • Se sono presenti più Smart Protection Server, fare clic su ALTRO. Viene visualizzata una nuova schermata con tutti gli Smart Protection Server. Figura 2-7. Elenco Smart Protection Server In questa schermata, è possibile: • Visualizzare tutti gli Smart Protection Server a cui si connettono gli agenti e il numero di agenti connessi a ciascun server. Se si fa clic sul numero viene aperta la struttura agente dove è possibile gestire le impostazioni degli agente. 2-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Avviare la console di un server facendo clic sul collegamento del server Widget Connettività agente antivirus presentato come grafico a torta Il grafico a torta visualizza solamente il numero di agenti per ciascuno stato e non li suddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo si ricongiunge, alla restante porzione del grafico. Figura 2-8. Widget Connettività agente antivirus che visualizza un grafico a torta 2-18 Informazioni preliminari su OfficeScan Widget Rilevamenti dei rischi per la sicurezza Il widget Rilevamenti dei rischi per la sicurezza visualizza il numero di rischi per la sicurezza e di dispositivi infetti. Figura 2-9. Widget Rilevamenti dei rischi per la sicurezza Se il numero dei dispositivi è 1 o maggiore, è possibile fare clic sul numero per visualizzare i dispositivi infetti nella struttura agente. È possibile avviare delle operazioni su tali Agenti OfficeScan o dispositivi o modificare le relative impostazioni. Widget Infezioni Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso di infezione. Figura 2-10. Widget Infezioni 2-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 In questo widget è possibile: • Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/ora dell'avviso. • Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazioni sull'avviso di infezione e implementare immediatamente le misure di prevenzione delle infezioni. Per ulteriori informazioni sull'implementazione delle misure di prevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina 7-116. • Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza per visualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di 2-20 Informazioni preliminari su OfficeScan rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata una nuova schermata. Figura 2-11. Schermata Statistiche sui primi 10 rischi per la sicurezza per gli dispositivo collegati in rete Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile: • Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic su un nome di un rischio per la sicurezza. • Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nome del dispositivo. • Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clic su Visualizza in corrispondenza del nome del dispositivo. 2-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimposta conteggio. Widget Aggiornamenti agente Il widget Aggiornamenti agente visualizza i componenti e i programmi che proteggono i dispositivi collegati in rete contro i rischi per la sicurezza. Figura 2-12. Widget Aggiornamenti agente In questo widget è possibile: • Visualizzare la versione attuale di ciascun componente. • Visualizzare il numero di agenti con componenti obsoleti nella colonna Non aggiornato. Se sono presenti agenti che devono essere aggiornati, fare clic sul collegamento numerico per avviare l'aggiornamento. • Per ciascun programma, visualizzare gli agenti che non sono stati aggiornati facendo clic sul collegamento numerico corrispondente al programma. 2-22 Informazioni preliminari su OfficeScan Widget OfficeScan e Plug-in Mashup Il widget OfficeScan e Plug-in Mashup combina i dati degli Agenti OfficeScan e dei programmi di plug-in installati e li visualizza in una struttura agente. Questo widget aiuta a valutare rapidamente la copertura di protezione sugli agenti e riduce il sovraccarico richiesto per la gestione dei programmi di plug-in individuali. Figura 2-13. Widget OfficeScan e Plug-in Mashup Questo widget visualizza i dati per i seguenti programmi di plug-in: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Questi programmi di plug-in devono essere attivati affinché il widget mashup possa visualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamento dei programmi di plug-in. In questo widget è possibile: • Scegliere le colonne visualizzate nella struttura agente. Fare clic sull'icona di ) sull'angolo in alto a destra del widget, quindi selezionare le aggiornamento ( colonne nella schermata visualizzata. 2-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 2-6. Colonne di OfficeScan e Plug-in Mashup Nome colonna Nome computer Descrizione Nome dispositivo Questa colonna è sempre disponibile e non può essere rimossa. Gerarchia dominio Il dominio del dispositivo nella struttura dell'agente OfficeScan Stato della connessione La connettività dell'Agente OfficeScan con il relativo server OfficeScan principale Virus/minacce informatiche Il numero di virus e minacce informatiche rilevati dall'Agente OfficeScan Spyware/Grayware Il numero di spyware e grayware rilevati dall'Agente OfficeScan Supporto VDI Indica se l'dispositivo è una macchina virtuale. Profilo sicurezza IDF Fare riferimento alla documentazione di IDF per i dettagli relativi a queste colonne e ai relativi dati. Firewall IDF Stato IDF DPI IDF • Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, viene visualizzata la struttura dell'agente OfficeScan. Se si fa doppio clic sui dati dei programmi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verrà visualizzata la schermata principale dei programmi di plug-in. • Utilizzare la funzionalità di ricerca per trovare dispositivo individuali. È possibile immettere il nome completo o una parte del nome dell'host. Widget Incidenti di Prevenzione perdita di dati principali Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. 2-24 Informazioni preliminari su OfficeScan Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentemente dall'azione (blocca o ignora). Figura 2-14. Widget Incidenti di Prevenzione perdita di dati principali Per visualizzare i dati: 1. 2. Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Dopo aver selezionato il periodo di tempo, scegliere tra: • Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza • Canale: canali usati per trasmettere risorse digitali con maggiore frequenza • Modello: modelli di risorse digitali che hanno avviato la maggior parte dei rilevamenti • Computer: computer che hanno trasmesso risorse digitali con maggiore frequenza 2-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Questo widget visualizza al massimo 10 utenti, canali, modelli o computer. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. Questo widget traccia il numero di trasmissioni di risorse digitali in un determinato periodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate (consentite). Figura 2-15. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente 2-26 Informazioni preliminari su OfficeScan • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Widget Eventi di callback C&C Il widget Eventi di callback C&C mostra tutte le informazioni sugli eventi di callback C&C, compresa la destinazione dell'attacco e l'indirizzo di callback dell'origine. Gli amministratori possono scegliere di visualizzare le informazioni di callback C&C da un elenco di server C&C specifici. Per selezionare l'origine dell'elenco (Global Intelligence, Virtual Analyzer), fare clic sull'icona di modifica ( ) e selezionare l'elenco dal menu a discesa Origine elenco C&C. Visualizzare i dati di callback C&C selezionando quanto segue: • Host compromesso: visualizza le informazioni C&C più recenti per ciascun dispositivo di destinazione Figura 2-16. Widget Eventi di callback C&C che mostra le informazioni sulla destinazione Tabella 2-7. Informazioni host compromesso Colonna Host compromesso Descrizione Il nome del dispositivo di destinazione dell'attacco C&C 2-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Colonna Descrizione Indirizzo di callback Numero di indirizzi di callback che l'dispositivo ha tentato di contattare Ultimo indirizzo di callback Ultimo indirizzo di callback che l'dispositivo ha tentato di contattare Tentativi di callback Numero di tentativi da parte dell'dispositivo di destinazione di contattare l'indirizzo di callback Nota Fare clic sul collegamento ipertestuale per aprire la schermata Registri dei callback C&C e per visualizzare informazioni più dettagliate. • Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascun indirizzo di callback C&C Figura 2-17. Widget Eventi di callback C&C che mostra le informazioni sull'indirizzo di callback 2-28 Informazioni preliminari su OfficeScan Tabella 2-8. Informazioni sull'indirizzo C&C Colonna Descrizione Indirizzo di callback L'indirizzo di callback C&C originato dalla rete Livello di rischio C&C Livello di rischio dell'indirizzo di callback determinato dall'elenco Global Intelligence o Virtual Analyzer Host compromessi Numero di dispositivo di destinazione dell'indirizzo di callback Ultimo host compromesso Il nome dell'ultimo dispositivo che ha tentato di contattare l'indirizzo di callback C&C Tentativi di callback Numero di tentativi di callback effettuati dalla rete verso l'indirizzo Nota Fare clic sul collegamento ipertestuale per aprire la schermata Registri dei callback C&C e per visualizzare informazioni più dettagliate. Widget Origini delle minacce principali della reputazione Web Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una 2-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. Figura 2-18. Widget Origini delle minacce principali della reputazione Web Widget Principali utenti minacciati della reputazione Web Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla 2-30 Informazioni preliminari su OfficeScan località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. Figura 2-19. Widget Principali utenti minacciati della reputazione Web Widget Mappa delle minacce della reputazione file Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa 2-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. Figura 2-20. Widget Mappa delle minacce della reputazione file Strumento di migrazione del server OfficeScan fornisce lo Strumento di migrazione del server, che consente agli amministratori di copiare le impostazioni OfficeScan dalle versioni precedenti di OfficeScan alla versione corrente. Lo Strumento di migrazione del server esegue la migrazione delle impostazioni seguenti: 2-32 Informazioni preliminari su OfficeScan Funzione Gestione agente Impostazioni migrate • Impostazioni scansione manuale* • Impostazioni scansione pianificata* • Impostazioni scansione in tempo reale* • Impostazioni funzione Esegui scansione* • Impostazioni di reputazione Web* • Impostazioni del monitoraggio del comportamento* • Impostazioni di controllo dispositivo* • Impostazioni di Prevenzione perdita di dati* • Privilegi e altre impostazioni* • Impostazioni aggiuntive del servizio* • Elenco approvati spyware/grayware* Nota Raggruppamento agenti • Lo Strumento di migrazione del server non effettua la migrazione delle directory di backup di Scansione manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione. • Le impostazioni mantengono le configurazioni sia a livello principale sia al livello di dominio. Tutte le impostazioni Nota Le strutture di dominio di Active Directory vengono visualizzate dopo la prima sincronizzazione con Active Directory. Impostazioni globali agente Tutte le impostazioni Posizione dispositivo • Impostazioni di Location Awareness • Indirizzo IP gateway ed elenchi MAC 2-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione Prevenzione perdita di dati Firewall • identificatore di dati • Modelli • Criteri • Profili Manutenzione registri Tutte le impostazioni Origine aggiornamento agente • Origine aggiornamenti agente • Elenco origini di aggiornamento personalizzate Origini Smart Protection Elenco origini Smart Protection personalizzate Notifiche • Impostazioni generali di notifica • Impostazioni notifica amministratore • Impostazioni notifica infezioni • Impostazioni notifica agente Proxy Tutte le impostazioni Agenti inattivi Tutte le impostazioni Gestore della quarantena Tutte le impostazioni Console Web Tutte le impostazioni Impostazioni di ofcscan.ini • [INI_CLIENT_INSTALLPATH_SECTION] WinNT_InstallPath • [INI_REESTABLISH_COMMUNICATION_SECTION]: tutte le impostazioni Impostazioni di ofcserver.ini 2-34 Impostazioni migrate [INI_SERVER_DISK_THRESHOLD]: tutte le impostazioni Informazioni preliminari su OfficeScan Nota • Lo strumento non effettua il backup degli elenchi dell'Agente OfficeScan nel server OfficeScan ma solo delle strutture dei domini. • L'Agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versione precedente del server dell'Agente OfficeScan. Per funzioni che non sono disponibili sulla versione precedente, l'Agente OfficeScan applica le impostazioni predefinite. Utilizzo dello Strumento di migrazione del server Nota Questa versione di OfficeScan supporta le migrazioni da OfficeScan versione 10.0 e successive. Le precedenti versioni di OfficeScan potrebbero non contenere tutte le impostazioni disponibili nell'ultima versione. OfficeScan applica automaticamente le impostazioni predefinite per ogni funzione non migrata nella versione del server OfficeScan precedente. Procedura 1. Nel computer server OfficeScan 11.0 SP1, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\ServerMigrationTool. 2. Copiare lo Strumento di migrazione del server sul computer del server OfficeScan di origine. Importante Per garantire la corretta formattazione di tutti i dati per il nuovo server di destinazione, è necessario utilizzare lo Strumento di migrazione del server di OfficeScan 11.0 SP1 della versione del server OfficeScan. OfficeScan 11.0 SP1 non è compatibile con le versioni precedenti dello Strumento di migrazione del server. 3. Fare doppio clic su ServerMigrationTool.exe per avviare lo Strumento di migrazione del server. Lo Strumento di migrazione del server viene aperto. 2-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 4. Per esportare le impostazioni dal server OfficeScan di origine: a. Specificare la cartella di destinazione utilizzando il pulsante Sfoglia. Nota Il nome predefinito del pacchetto di esportazione è OsceMigrate.zip. b. Fare clic sul pulsante Esporta. Viene visualizzato un messaggio che richiede la conferma dell'operazione. c. 5. Copiare il pacchetto di esportazione nel server OfficeScan di destinazione. Per importare le impostazioni nel server OfficeScan di destinazione: a. Individuare il pacchetto di esportazione utilizzando il pulsante Sfoglia. b. Fare clic su Importa. Viene visualizzato un messaggio di avviso. c. Fare clic su Sì per procedere. Viene visualizzato un messaggio che richiede la conferma dell'operazione. 6. Verificare che il server contenga tutte le impostazioni della versione di OfficeScan precedente. 7. Spostare gli Agenti OfficeScan nel nuovo server. Per ulteriori informazioni sullo spostamento degli Agenti OfficeScan, consultare Spostamento degli agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-62 o Agent Mover a pagina 14-25. Active Directory Integration L'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consente di gestire gli Agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni per la console Web tramite gli account Active Directory e di determinare in quali agenti non 2-36 Informazioni preliminari su OfficeScan è installato il software di protezione. Tutti gli utenti del dominio della rete possono avere accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitato per utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo di autenticazione e la chiave di crittografia convalidano le credenziali degli utenti. L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioni indicate di seguito: • Role-based Administration (RBA): consente di concedere agli utenti responsabilità amministrative specifiche concedendo loro l'accesso alla console del prodotto mediante i rispettivi account Active Directory. Per i dettagli, consultare Role-based Administration (RBA) a pagina 13-3. • Personalizza gruppi di agenti: consente di utilizzare Active Directory o gli indirizzi IP per raggruppare gli agenti in modo manuale e associarli ai domini nella struttura agente OfficeScan. Per i dettagli, consultare Raggruppamento automatico agenti a pagina 2-55. • Dispositivi non gestiti: assicurarsi che i dispositivi della rete che non sono gestiti dal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-73. Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il server OfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-39. Integrazione di Active Directory con OfficeScan Procedura 1. Accedere a Amministrazione > Active Directory > Active Directory Integration. 2. In Domini Active Directory specificare il nome del dominio Active Directory. 3. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazione dei dati con il dominio Active Directory specificato. Le credenziali sono obbligatorie se il server non appartiene al dominio. In caso contrario, le credenziali sono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server non sarà in grado di sincronizzare i dati. 2-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 a. Fare clic su Specificare le credenziali di dominio. b. Nella finestra popup visualizzata, immettere il nome utente e la password. Il nome utente può essere specificato in uno dei seguenti formati: c. • dominio\nome utente • nomeutente@dominio Fare clic su Salva. 4. Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare le credenziali per i domini eventualmente aggiunti. 5. Fare clic sul pulsante ( 6. Specificare le impostazioni di crittografia se sono state specificate le credenziali per i domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominio specificate dall'utente prima di salvarle nel database. Quando OfficeScan sincronizza i dati con uno dei domini specificati, usa una chiave di crittografia per decodificare le credenziali del dominio. ) per eliminare i domini. a. Andare alla sezione Impostazioni di crittografia per le credenziali del dominio. b. Immettere una chiave di crittografia non superiore a 128 caratteri. c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliere un comune formato di file, come .txt. Includere il nome e il percorso completo del file, ad esempio C:\AD_Encryption\EncryptionKey.txt. AVVERTENZA! se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà in grado di sincronizzare i dati con i domini specificati. 7. Fare clic su una delle opzioni riportate di seguito. • 2-38 Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiede una notevole quantità di risorse della rete, è possibile scegliere di salvare solo le impostazioni e di eseguire la sincronizzazione successivamente, ad esempio durante le ore con minore carico di lavoro. Informazioni preliminari su OfficeScan • 8. Salva e sincronizza: salva le impostazioni e sincronizza i dati con i domini Active Directory. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-39. Sincronizzazione dei dati con i domini di Active Directory Sincronizzare i dati con i domini Active Directory regolarmente in modo che la struttura agente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti. Sincronizzazione manuale dei dati con i domini di Active Directory Procedura 1. Accedere a Amministrazione > Active Directory > Active Directory Integration. 2. Verificare che le credenziali dei domini e le impostazioni di crittografia non siano cambiate. 3. Fare clic su Salva e sincronizza. Sincronizzazione automatica dei dati con i domini di Active Directory Procedura 1. Accedere a Amministrazione > Active Directory > Sincronizzazione pianificata. 2. Selezionare Attiva sincronizzazione pianificata di Active Directory. 3. Specificare la pianificazione di sincronizzazione. 2-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan destina alla sincronizzazione di Active Directory con il server OfficeScan. 4. Fare clic su Salva. Struttura agente OfficeScan La struttura agente OfficeScan visualizza tutti gli agenti visualizza tutti gli agenti raggruppati in domini attualmente gestiti dal server. Gli Agenti sono raggruppati in domini per consentire di configurare e gestire contemporaneamente tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. Figura 2-21. OfficeScan Struttura agente 2-40 Informazioni preliminari su OfficeScan Icone della struttura agente Le icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano il tipo di dispositivo e lo stato degli Agenti OfficeScan gestiti da OfficeScan. Tabella 2-9. OfficeScan Icone della struttura agente Icona Descrizione Dominio Root Update agent Agente scansione convenzionale Smart Scan disponibile nell'Agente OfficeScan Smart Scan non disponibile nell'Agente OfficeScan Smart Scan disponibile in Update Agent Smart Scan non disponibile in Update Agent Operazioni generali della struttura Agente Di seguito è riportato un elenco delle operazioni generali possibili quando viene visualizzata la struttura agente: 2-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura • • Per selezionare tutti i domini e tutti gli agenti, fare clic sull'icona del dominio principale ( ). Quando viene selezionata l'icona del dominio principale e si sceglie un'operazione al di sopra della struttura agente, viene visualizzata una schermata per la configurazione delle impostazioni. Nella schermata scegliere le seguenti opzioni generali: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Per selezionare più domini o agenti adiacenti: • Nel pannello situato a destra, selezionare il primo dominio, tenere premuto il tasto MAIUSC e fare clic sull'ultimo dominio o agente dell'intervallo. • Per selezionare un intervallo di domini o agenti non adiacenti, nel pannello situato a destra, tenere premuto il tasto CTRL e fare clic sui domini o agenti che si desidera selezionare. • È possibile cercare un determinato agente, specificando il nome dell'agente nella casella di testo Cerca dispositivo. L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altre opzioni di ricerca, fare clic su Ricerca avanzata. Nota Non è possibile specificare indirizzi IPv6 o IPv4 quando si cercano degli agenti specifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per i dettagli, consultare Opzioni di ricerca avanzate a pagina 2-43. • 2-42 Quando si seleziona un dominio, la tabella della struttura agente si espande e mostra gli agenti appartenenti al dominio e tutte le colonne contenenti Informazioni preliminari su OfficeScan informazioni pertinenti di ciascun agente. Per vedere solo un gruppo di colonne, selezionare un elemento all'interno della visualizzazione della struttura agente. • Visualizza tutto: mostra tutte le colonne • Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi • Visualizzazione antivirus: mostra i componenti dell'antivirus • Visualizzazione anti-spyware: mostra i componenti dell'anti-spyware • Visualizzazione protezione dati: mostra lo stato del modulo Protezione dati negli agenti • Visualizzazione firewall: mostra i componenti del firewall • Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagli agenti (convenzionale o Smart Scan) e i componenti di Smart Protection • Visualizzazione Update Agent : mostra le informazioni su tutti gli Update Agent gestiti dal server OfficeScan • Facendo clic sul nome di una colonna, è possibile ordinare gli agenti sulla base delle informazioni in essa contenute. • La struttura agente può essere aggiornata facendo clic sull'icona di aggiornamento ( • ). Le statistiche relative agli agente vengono visualizzate al di sotto della struttura agente e comprendono informazioni quali il numero totale di agenti, il numero di agenti Smart Scan e il numero di agenti con scansione convenzionale. Opzioni di ricerca avanzate Cerca agenti in base ai criteri seguenti: Procedura • Criteri di base: comprende le informazioni di base su dispositivi, come indirizzo IP, sistema operativo, dominio, indirizzo MAC, metodo di scansione e stato di reputazione Web 2-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • La ricerca in base al segmento IPv4 richiede una porzione di indirizzo IP che inizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti i dispositivi con indirizzi IP contenenti la voce specificata. Se, ad esempio, se si digita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo di indirizzi IP da 10.5.0.0 a 10.5.255.255. • La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso. • La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC in notazione esadecimale, ad esempio 000A1B123C12. • Versione componente: selezionare la casella di controllo accanto al nome del componente, restringere i parametri selezionando Precedente a o Precedente a e incluso e immettere un numero di versione. Per impostazione predefinita viene inserito il numero di versione attuale. • Stato: comprende le impostazioni dell'agente • Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della struttura agente, viene visualizzato un elenco di nomi dei dispositivi che corrispondono ai criteri. Operazioni specifiche della struttura agente La struttura agente viene visualizzata quando si accede ad alcune schermate della console Web. Al di sopra della struttura agente sono disponibili voci di menu specifiche della schermata visualizzata. Queste voci di menu consentono di effettuare operazioni specifiche, quali configurare le impostazioni o avviare operazioni degli agente. Per eseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindi selezionare una voce del menu. La seguente schermata visualizza la struttura agente: • Schermata Gestione agente a pagina 2-45 • Schermata Prevenzione delle infezioni virali a pagina 2-49 • Schermata Selezione agente a pagina 2-50 • Schermata Rollback a pagina 2-50 2-44 Informazioni preliminari su OfficeScan • Schermata Registri dei rischi per la sicurezza a pagina 2-51 Schermata Gestione agente Per visualizzare questa schermata, accedere a Agenti > Gestione agente. Gestire le impostazioni generali dell'agente e visualizzare le informazioni sullo stato relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP e Stato della connessione) nella schermata Gestione agente. Figura 2-22. Schermata Gestione agente La tabella seguente elenca le operazioni che è possibile effettuare: Tabella 2-10. Operazioni Gestione agente Pulsante di menu Stato Operazione Visualizzare le informazioni dettagliate sull'agente. Per i dettagli, consultare Visualizzazione delle informazioni sull'agente OfficeScan a pagina 14-58. 2-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Pulsante di menu Operazioni 2-46 Operazione • Eseguire l'opzione Esegui scansione nei computer agenti. Per i dettagli, consultare Avvio di Esegui scansione a pagina 7-26. • Disinstallare l'agente. Per i dettagli, consultare Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-74. • Ripristinare il rilevamento dei file sospetti. Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45. • Ripristinare i componenti spyware/grayware. Per i dettagli, consultare Ripristino spyware/grayware a pagina 7-54. Informazioni preliminari su OfficeScan Pulsante di menu Impostazioni Operazione • Configurare le impostazioni di scansione. Per ulteriori dettagli, leggere i seguenti argomenti: • Tipi di metodi di scansione a pagina 7-8 • Scansione manuale a pagina 7-19 • Scansione in tempo reale a pagina 7-16 • Scansione pianificata a pagina 7-21 • Esegui scansione a pagina 7-24 • Configurare le impostazioni di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 11-5. • Configurare le impostazioni di connessione sospetta. Per i dettagli, consultare Configurazione delle impostazioni di connessione sospetta a pagina 11-16. • Configurare le impostazioni di Monitoraggio del comportamento. Per i dettagli, consultare Monitoraggio del comportamento a pagina 8-2. • Configurare le impostazioni di Controllo dispositivo. Per i dettagli, consultare Controllo dispositivo a pagina 9-2. • Configurare i criteri di Prevenzione perdita di dati. Per i dettagli, consultare Configurazione dei criteri Prevenzione perdita di dati a pagina 10-48. • Assegnare gli agenti come Update Agent. Per i dettagli, consultare Configurazione di Update Agent a pagina 6-59. • Configurare i privilegi e altre impostazioni dell'agente. Per i dettagli, consultare Configurazione dei privilegi e di altre impostazioni dell'agente a pagina 14-94. • Attivare o disattivare i servizi dell'Agente OfficeScan. Per i dettagli, consultare Servizi dell'agente OfficeScan a pagina 14-7. • Configurare l'elenco di spyware/grayware approvato. Per i dettagli, consultare Elenco Approvati spyware/grayware a pagina 7-52. • Configurare l'elenco Programmi affidabili. Per i dettagli, consultare Configurazione dell'elenco Programmi affidabili a pagina 7-56. • Importare ed esportare le impostazioni dell'agente. Per i dettagli, consultare Importazione ed esportazione delle impostazioni degli agenti a pagina 14-59. 2-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Pulsante di menu Registri Operazione Visualizzare i registri riportati di seguito: • Registri di virus/minacce informatiche (per maggiori dettagli, vedere Visualizzazione dei registri di virus/minacce informatiche a pagina 7-96) • Registri spyware/grayware (per maggiori dettagli, vedere Visualizzazione dei registri di spyware/grayware a pagina 7-104) • Registri del firewall (per maggiori dettagli, vedere Registri del firewall a pagina 12-30) • Registri di reputazione Web (per maggiori dettagli, consultare Registri delle minacce Web a pagina 11-26) • Registri delle connessioni sospette (per maggiori dettagli, consultare Visualizzazione dei registri delle connessioni sospette a pagina 11-29) • Registri dei file sospetti (per maggiori dettagli, consultare Visualizzazione dei file delle connessioni sospette a pagina 7-108) • Registri dei callback C&C (per maggiori dettagli, consultare Visualizzazione dei registri di callback C&C a pagina 11-27.) • Registri di Monitoraggio del comportamento (per maggiori dettagli, vedere Registri di Monitoraggio del comportamento a pagina 8-15) • Registri di Controllo dispositivo (per maggiori dettagli, vedere Registri di controllo dispositivo a pagina 9-18) • Registri DLP (per maggiori dettagli, consultare Registri di Prevenzione perdita di dati a pagina 10-58) • Registri dell'operazione di scansione (per maggiori dettagli, consultare Visualizzazione dei registri dell'operazione di scansione a pagina 7-109) Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-39. Gestione struttura agente 2-48 Gestire la struttura agente. Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-59. Informazioni preliminari su OfficeScan Pulsante di menu Esporta Operazione Esportare un elenco degli agenti in un file .csv (comma-separated value). Schermata Prevenzione delle infezioni virali Per visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezioni virali. Specificare e attivare le impostazioni di prevenzione delle infezioni nella schermata Prevenzione delle infezioni virali. Per i dettagli, consultare Configurazione della prevenzione dei rischi per la sicurezza a pagina 7-115. Figura 2-23. Schermata Prevenzione delle infezioni virali 2-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Schermata Selezione agente Per visualizzare questa schermata, accedere a Aggiornamenti > Agenti > Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi su Seleziona. Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli, consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47. Figura 2-24. Schermata Selezione agente Schermata Rollback Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic su Sincronizza con il server. 2-50 Informazioni preliminari su OfficeScan Eseguire il rollback dei componenti agente nella schermata Rollback. Per i dettagli, consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56. Figura 2-25. Schermata Rollback Schermata Registri dei rischi per la sicurezza Per visualizzare questa schermata, accedere a Registri > Agenti > Rischi per la sicurezza. 2-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza. Figura 2-26. Schermata Registri dei rischi per la sicurezza Eseguire le operazioni riportate di seguito: 1. 2-52 Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli, consultare: • Visualizzazione dei registri di virus/minacce informatiche a pagina 7-96 • Visualizzazione dei registri di spyware/grayware a pagina 7-104 • Visualizzazione dei registri firewall a pagina 12-31 • Visualizzazione dei registri di reputazione Web a pagina 11-26 • Visualizzazione dei registri delle connessioni sospette a pagina 11-29 • Visualizzazione dei file delle connessioni sospette a pagina 7-108 • Visualizzazione dei registri di callback C&C a pagina 11-27 • Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-15 Informazioni preliminari su OfficeScan 2. • Visualizzazione dei registri di controllo dispositivo a pagina 9-19 • Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-58 Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-39. Domini OfficeScan Un dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessa configurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti in domini consente di configurare e gestire tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. Per ulteriori informazioni sul raggruppamento agente, consultare Raggruppamento agenti a pagina 2-53. Raggruppamento agenti Utilizzare Raggruppamento agenti per creare e gestire domini in modo manuale o automatico nella struttura agente OfficeScan. Esistono due modi per raggruppare gli agenti nei domini. Tabella 2-11. Metodi di raggruppamento degli agenti Metodo Manuale Raggruppament o agenti • Dominio NetBIOS • Dominio Active Directory • Dominio DNS Descrizioni Il raggruppamento manuale degli agenti definisce il dominio al quale il nuovo agente installato dovrebbe appartenere. Quando l'agente viene visualizzato nella struttura agente, è possibile spostarlo in un altro dominio o in un altro server OfficeScan. Il raggruppamento manuale degli agenti consente inoltre di creare, gestire e rimuovere domini nella struttura agente. Per i dettagli, consultare Raggruppamento agenti manuale a pagina 2-54. 2-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo Automatici Raggruppament o agenti Gruppi di agenti personalizzati Descrizioni Il raggruppamento automatico degli agenti utilizza delle regole per ordinare gli agenti nella struttura agente. Dopo la definizione delle regole, è possibile accedere alla struttura agente per ordinare gli agenti manualmente o per consentire a OfficeScan di ordinarli automaticamente quando si verificano eventi specifici o a intervalli programmati. Per i dettagli, consultare Raggruppamento automatico agenti a pagina 2-55. Raggruppamento agenti manuale OfficeScan utilizza questa impostazione solo per le installazioni agente da zero. Il programma di installazione controlla il dominio di rete a cui appartiene il dispositivo di destinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScan raggruppa l'agente del dispositivo di destinazione sotto quel dominio e applica ad esso le impostazioni configurate per quel dominio. Se il nome del dominio non è presente, OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto tale dominio, quindi applica le impostazioni della directory principale al dominio e all'agente. Configurazione raggruppamento manuale agenti Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Specificare il metodo di raggruppamento agente: 3. 2-54 • Dominio NetBIOS • Dominio Active Directory • Dominio DNS Fare clic su Salva. Informazioni preliminari su OfficeScan Operazioni successive Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni: • Aggiungere un dominio • Eliminare un dominio o un agente • Rinominare un dominio • Trasferire un singolo agente a un altro dominio Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-59. Raggruppamento automatico agenti Il Raggruppamento automatico agenti utilizza le regole definite dagli indirizzi IP o dai domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo di indirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IP corrispondente a un dominio specifico della struttura agente. Analogamente, se una regola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà agenti appartenenti a un particolare dominio Active Directory in un dominio specifico della struttura agente. Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, in modo che se un agente soddisfa più di una regola, si applicherà quella con la priorità più alta. Configurazione del raggruppamento automatico agenti Procedura 1. Accedere a Agenti > Raggruppamento agenti 2. Accedere alla sezione Raggruppamento agenti e selezionare Personalizza gruppi di agenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare Active Directory oppure Indirizzo IP. 2-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. 6. • Se è stato selezionato Active Directory, consultare le istruzioni per la configurazione in Definizione di una regola di raggruppamento degli agenti in base ai domini Active Directory a pagina 2-57. • Se è stato selezionato Indirizzo IP, consultare le istruzioni per la configurazione in Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP a pagina 2-58. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi: a. Selezionare una regola. b. Fare clic su una freccia sotto la colonna Priorità di gruppo per spostare la regola in alto o in basso nell'elenco. Il numero ID della regola cambia in base alla nuova posizione assegnata. Per utilizzare le regole durante il riordino dell'agente: a. Selezionare le caselle di controllo delle regole da utilizzare. b. Attivare la regola impostando lo Stato su Attivato. Nota Se non viene selezionata la casella di controllo per una regola o se la regola viene disattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella struttura agente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovo dominio, l'agente non si sposterà e rimarrà nel dominio attuale. 7. 8. Specificare una pianificazione di riordino nella sezione Creazione dominio pianificata. a. Selezionare Attiva creazione dominio pianificata. b. Specificare la pianificazione in Creazione dominio pianificata. Scegliere una delle opzioni elencate di seguito. • 2-56 Salva e crea dominio ora: scegliere questa opzione se sono stati specificati nuovi domini in Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP a pagina 2-58, passaggio 7 o in Definizione di una regola di raggruppamento degli agenti in base ai domini Active Directory a pagina 2-57, passaggio 7. Informazioni preliminari su OfficeScan • Salva: scegliere questa opzione se non sono stati specificati nuovi domini o se si desidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione. Nota Il riordino dell'Agente non inizierà dopo il completamento di questo passaggio. Definizione di una regola di raggruppamento degli agenti in base ai domini Active Directory Accertarsi di aver configurato le impostazioni di integrazione di Active Directory prima di eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration a pagina 2-36. Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Accedere alla sezione Raggruppamento agenti e selezionare Crea gruppi di agenti personalizzati per gli agenti OfficeScan esistenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Fare clic su Aggiungi, quindi selezionare Active Directory. Viene visualizzata una nuova schermata. 5. Selezionare Attiva raggruppamento. 6. Specificare un nome per la regola. 7. In Origine di Active Directory, selezionare il domini o i sottodomini di Active Directory. 8. In Struttura agente, selezionare un dominio OfficeScan esistente al quale sono associati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste, attenersi alla procedura riportata di seguito: a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clic sull'icona ( ) per l'aggiunta dei domini. 2-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 9. b. Immettere il nome del dominio nella casella di testo fornita. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. (Facoltativo) Selezionare Duplica la struttura Active Directory nella struttura dell'agente OfficeScan. Questa opzione duplica la gerarchia dei domini Active Directory selezionati nel dominio OfficeScan selezionato. 10. Fare clic su Salva. Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP Creare gruppi agente personalizzati utilizzando gli indirizzi IP di rete per ordinare gli agenti nella struttura di OfficeScan agente. La funzione si rivela utile agli amministratori per organizzare la struttura dell'agente OfficeScan prima della registrazione dell'agente con il server OfficeScan. Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Accedere alla sezione Raggruppamento agenti e selezionare Crea gruppi di agenti personalizzati per gli agenti OfficeScan esistenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Fare clic su Aggiungi e selezionare Indirizzo IP. Viene visualizzata una nuova schermata. 5. Selezionare Attiva raggruppamento. 6. Specificare un nome per il raggruppamento. 7. Specificare una delle seguenti opzioni: • 2-58 Un indirizzo IPv4 o IPv6 singolo Informazioni preliminari su OfficeScan • Un intervallo di indirizzi IPv4 • Una lunghezza e un prefisso IPv6 Nota Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi agente diversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivato nella macchina host dell'agente, l'agente sarà spostato sotto il gruppo IPv4. 8. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP è associato. Se il dominio non esiste, attenersi alla procedura riportata di seguito: a. Posizionare il mouse sopra la struttura agente e fare clic sull'icona per l'aggiunta dei domini. Figura 2-27. Icona per l'aggiunta dei domini 9. b. Digitare il dominio nella casella di testo disponibile. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. Fare clic su Salva. Operazioni di raggruppamento agenti Durante il raggruppamento degli agenti nei domini è possibile effettuare le operazioni riportate di seguito: • Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-60 per ulteriori dettagli. 2-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un agente a pagina 2-60 per ulteriori dettagli. • Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 per ulteriori dettagli. • Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan. Consultare Spostamento degli agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-62 per ulteriori dettagli. Aggiunta di un dominio Procedura 1. Accedere a Agenti > Gestione agente. 2. Fare clic su Gestione struttura agente > Aggiungi dominio. 3. Digitare un nome per il dominio che si desidera aggiungere. 4. Fare clic su Aggiungi. Il nuovo dominio viene visualizzato nella struttura agente. 5. Creare sottodomini (Facoltativo). a. Selezionare il dominio principale. b. Fare clic su Gestione struttura agente > Aggiungi dominio. c. Immettere il nome del sottodominio. Eliminazione di un dominio o di un agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare: 2-60 Informazioni preliminari su OfficeScan • Uno o più domini • Uno, alcuni o tutti gli agenti appartenenti a un dominio 3. Fare clic su Gestione struttura agente > Rimuovi dominio/agente. 4. Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se nel dominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il server OfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto tale dominio la volta successiva che gli agenti si connettono al server OfficeScan. Prima di eliminare il dominio, è possibile effettuare le seguenti operazioni: 5. a. Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini, trascinare gli agenti nei domini di destinazione. b. Elimina tutti gli agenti. Per eliminare un singolo agente, fare clic su Rimuovi dominio/agente. Nota L'eliminazione dell'agente dalla struttura agente non rimuove l'Agente OfficeScan dal dispositivo agente. L'Agente OfficeScan è comunque in grado di effettuare delle operazioni indipendenti dal server quali l'aggiornamento dei componenti. Tuttavia, sul server non è presente alcuna traccia dell'esistenza dell'agente e, per questo motivo, non è possibile implementare configurazioni o inviare notifiche all'agente. Ridenominazione di un dominio Procedura 1. Accedere a Agenti > Gestione agente. 2. Selezionare un dominio nella struttura agente. 3. Fare clic su Gestione struttura agente > Rinomina dominio. 4. Inserire un nuovo nome per un dominio. 5. Fare clic su Rinomina. 2-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Il nuovo dominio viene visualizzato nella struttura agente. Spostamento degli agenti OfficeScan in un altro dominio o server OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare uno, alcuni o tutti gli agenti. 3. Fare clic su Gestione struttura agente > Sposta agente. 4. Per spostare gli agenti a un altro dominio: • Selezionare Sposta gli agenti selezionati in un altro dominio. • Selezionare il dominio. • Applicare le impostazioni del nuovo dominio agli agenti (facoltativo). Suggerimento È inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della struttura agente. 5. 6. 2-62 Per spostare gli agenti a un altro server OfficeScan: • Selezionare Sposta gli agenti selezionati in un altro server OfficeScan. • Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di porta HTTP. Fare clic su Sposta. Capitolo 3 Informazioni preliminari su Protezione dati In questo capitolo vengono descritte le modalità di installazione e di attivazione del modulo Protezione dati. Di seguito sono riportati gli argomenti trattati: • Installazione di Protezione dati a pagina 3-2 • Licenza di Protezione dati a pagina 3-4 • Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6 • Cartella dati forensi e database DLP a pagina 3-9 • Disinstallazione di Protezione dati a pagina 3-15 3-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Installazione di Protezione dati Il modulo Protezione dati comprende le seguenti funzionalità: • Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata di risorse digitali • Controllo dispositivo: Regola l'accesso ai dispositivi esterni Nota La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo che consente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazione USB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di ampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere Controllo dispositivo a pagina 9-2. Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan ma richiedono una licenza separata. Dopo aver installato il server OfficeScan, queste funzionalità sono disponibili, ma non sono operative e non possono essere implementate negli agenti. L'installazione di Protezione dati prevede il download di un file dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata. Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza di Protezione dati per attivarne le funzionalità complete. L'installazione e l'attivazione vengono eseguite da Plug-in Manager. Importante Non è necessario installare il modulo standalone Protezione dati se il software Prevenzione della perdita di dati Trend Micro è già installato e in esecuzione sui dispositivi. Installazione di Protezione dati Procedura 1. 3-2 Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. Informazioni preliminari su Protezione dati 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Download. Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download. Plug-In Manager archivia il file scaricato in <Cartella di installazione del server> \PCCSRV\Download\Product. Nota Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente dopo 24 ore. Per avviare manualmente il download del file da parte di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. 3. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare i registri di aggiornamento server sulla console web di OfficeScan. Nel menu principale, fare clic su Registri > Aggiornamento server. Una volta completato il download del file di Plug-in Manager, Protezione dati OfficeScan viene visualizzato in una nuova schermata. Nota Se Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 15-12. 4. 5. Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa ora o per installarlo in un secondo momento, fare quanto segue: a. Fare clic su Installa in un secondo momento. b. Aprire la schermata Plug-in Manager. c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini. L'installazione viene avviata. 3-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione viene visualizzata la versione di Protezione dati OfficeScan. Licenza di Protezione dati Visualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager. Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza. Attivazione della licenza del Programma plug-in Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, accedere alla sezione dei programmi plug-in e fare clic su Gestione programma. Viene visualizzata la schermata Nuovo codice di attivazione della licenza del prodotto. 3. Digitare o copiare e incollare il codice di attivazione nei campi del testo. 4. Fare clic su Salva. Viene visualizzata la console plug-in. Informazioni sulla visualizzazione e il rinnovo della licenza Procedura 3-4 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, accedere alla sezione dei programmi plug-in e fare clic su Gestione programma. Informazioni preliminari su Protezione dati 3. Fare clic su Visualizza informazioni sulla licenza per visualizzare le informazioni sulla licenza corrente sul sito Web di Trend Micro. 4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata. Opzione Descrizione Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto". Versione Indica se la versione è "Completa" o se si tratta di una "Versione di prova" Nota L'attivazione viene visualizzata come "Completa" sia per la versione completa e sia per la versione di prova. Postazioni Indica quanti dispositivi il programma plug-in è in grado di gestire La licenza scade il Se il programma plug-in prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11, verrà visualizzata la data 31.12.11. Codice di attivazione visualizza il Codice di attivazione Promemoria A seconda della versione della licenza corrente, il plug-in visualizza i promemoria sulla data di scadenza della licenza durante il periodo di proroga (solo nelle versioni complete) oppure quando scade la licenza. Nota La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga di in programma plug-in con un rappresentante Trend Micro. 5. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su Aggiorna informazioni. 6. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codice di attivazione della licenza del prodotto. 3-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per i dettagli, consultare Attivazione della licenza del Programma plug-in a pagina 3-4. Implementazione di Protezione dati negli agenti OfficeScan Implementare il modulo Protezione dati negli Agenti OfficeScan dopo l'attivazione della licenza. Dopo l'implementazione, gli Agenti OfficeScan iniziano a utilizzare Prevenzione perdita di dati e Controllo dispositivo. Importante • Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003, Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effetto negativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazioni del sistema costantemente e adottare le misure necessarie quando si verificano cali di prestazioni. Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultare Servizi dell'agente OfficeScan a pagina 14-7. 3-6 • Se il software Prevenzione perdita di dati Trend Micro è disponibile nel dispositivo, OfficeScan non lo sostituisce con il modulo Protezione dati. • Il modulo Protezione dati viene installato immediatamente negli agenti online. Negli agenti offline e in roaming, il modulo viene installato quando questi diventano online. • Gli utenti devono riavviare i computer per completare l'installazione dei driver di Prevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare. • Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione dei problemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug per il modulo Protezione dati a pagina 10-64. Informazioni preliminari su Protezione dati Implementazione del modulo protezione dati sugli agenti OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, è possibile: 3. • Fare clic sull'icona del dominio principale (root) modulo su tutti gli agenti esistenti e futuri. • Selezionare un dominio specifico per implementare il modulo su tutti gli agenti esistenti e futuri del dominio. • Selezionare un agente specifico per implementare il modulo solo su quell'agente. per implementare il Implementare il modulo in due modi diversi: • Fare clic su Impostazioni > Impostazioni DLP. • Fare clic su Impostazioni > Impostazioni di controllo dispositivo. Nota Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e il modulo Protezione dati è stato implementato correttamente, saranno installati i driver di Prevenzione perdita di dati. Se i driver sono installati correttamente, viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare i dispositivi per terminare l'installazione dei driver. Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemi durante l'installazione dei driver. Se il registro di debug è attivato, controllare i registri di debug per ottenere dettagli sui problemi di installazione dei driver. 4. Viene visualizzato un messaggio che indica il numero di agenti in cui il modulo non è installato. Fare clic su Sì per avviare l’implementazione. 3-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Se si fa clic su No (o se per qualche motivo il modulo non è stato implementato su uno o più agenti), lo stesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni > Impostazioni DLP o su Impostazioni > Impostazioni di controllo dispositivo. Gli Agenti OfficeScan iniziano il download del modulo dal server. 5. 3-8 Controllare se il modulo è stato implementato sugli agenti. a. Selezionare un dominio nella struttura agente. b. Nella visualizzazione della struttura agente, selezionare Visualizzazione protezione dati o Visualizza tutto. c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazione può essere uno dei valori riportati di seguito: • In esecuzione: l'implementazione del modulo è riuscita e le relative funzioni sono state attivate. • Riavvio necessario: i driver di Prevenzione perdita di dati non sono stati installati perché gli utenti non hanno riavviato i rispettivi computer. Se i driver non sono installati, Prevenzione perdita di dati non funziona. • Operazione interrotta: il servizio del modulo non è stato avviato o il dispositivo di destinazione è stato arrestato correttamente. Per avviare il servizio Protezione dati, accedere a Agenti > Gestione agente > Impostazioni > Impostazioni aggiuntive del servizio e attivare i servizi di Protezione dati. • Impossibile eseguire l'installazione: si è verificato un problema durante l'implementazione del modulo sull'agente. È necessario implementare di nuovo il modulo dalla struttura agente. • Impossibile eseguire l'installazione (Prevenzione perdita di dati esiste già): il software Prevenzione perdita di dati Trend Micro esiste già nel dispositivo. OfficeScan non lo sostituirà con il modulo protezione dati. Informazioni preliminari su Protezione dati • Non installato: il modulo non è stato implementato sull'agente. Questo stato viene visualizzato se si sceglie di non implementare il modulo sull'agente o se lo stato dell'agente è Offline o Roaming durante l'implementazione. Cartella dati forensi e database DLP Quando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i dati dell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un file crittografato contenente una copia dei dati sensibili che hanno causato l'incidente e genera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili. OfficeScan crea i file crittografati di dati forensi sulla macchina agente e li carica successivamente in un percorso specifico sul server. Importante • I file crittografati dei dati forensi contengono dati altamente sensibili e gli amministratori devono agire con cautela quando consentono l'accesso a tali file. • OfficeScan, in combinazione con Control Manager, fornisce agli utenti di Control Manager con ruolo di Responsabile della revisione degli incidenti DLP o di Responsabile di conformità DLP la facoltà di accedere ai dati all'interno dei file crittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensi in Control Manager, consultare la guida per l'amministratore di Control Manager 6.0 Patch 2 o versioni successive. Modifica delle impostazioni della cartella e del database dei dati forensi Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazione della cartella dei dati forensi, nonché le dimensioni massime dei file che gli agenti caricano, modificando i file INI di OfficeScan. 3-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 AVVERTENZA! La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti di Prevenzione perdita di dati può causare una disconnessione tra i dati del database e il percorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmente la migrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopo averne modificato il percorso. La seguente tabella delinea le impostazioni del server disponibili nel file del percorso <Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel server OfficeScan. Tabella 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private \ofcserver.ini Obiettivo Attivazione del percorso della cartella di dati forensi definito dall'utente 3-10 Impostazione INI [INI_IDLP_SECTION] EnableUserDefinedUploadFolder Valori 0: disattiva (predefinito) 1: attiva Informazioni preliminari su Protezione dati Obiettivo Configurazion e del percorso della cartella di dati forensi definito dall'utente Impostazione INI [INI_IDLP_SECTION] UserDefinedUploadFolder Nota • Gli amministratori devono attivare l'impostazione EnableUserDefinedUploadFolder prima che questa venga applicata da Prevenzione perdita di dati. • Il percorso predefinito della cartella di dati forensi è: <Cartella di installazione del server> \PCCSRV\Private\DLPForensicData • Attivazione della pulizia dei file di dati forensi Valori Valore predefinito: <Sostituire questo valore con il percorso della cartella definito dal cliente. Ad esempio: C: \VolumeData \OfficeScanDlpFor ensicData> Valore definito dall'utente: deve essere il percorso fisico di un'unità nel server Il percorso della cartella di dati forensi definito dall'utente deve essere un'unità fisica (interna o esterna) sul server. OfficeScan non supporta la mappatura di un percorso di un'unità di rete. [INI_IDLP_SECTION] 0: disattiva ForensicDataPurgeEnable 1: attiva (predefinito) 3-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Obiettivo Configurazion e della frequenza temporale della verifica di pulizia del file di dati forensi Impostazione INI [INI_IDLP_SECTION] ForensicDataPurgeCheckFrequency Nota • • Gli amministratori devono attivare l'impostazione ForensicDataPurgeEnable prima che questa venga applicata da OfficeScan. OfficeScan elimina solamente i file di dati che hanno superato la data di scadenza specificata nell'impostazione ForensicDataExpiredPeriodInDays. 3-12 Configurazion e del periodo di tempo per archiviare i file di dati forensi nel server [INI_IDLP_SECTION] Configurazion e della frequenza temporale della verifica di spazio su disco del file di dati forensi [INI_SERVER_DISK_THRESHOLD] ForensicDataExpiredPeriodInDays Valori 1: con frequenza mensile, il primo giorno del mese alle 00:00 2: con frequenza settimanale (predefinito), ogni domenica alle 00:00 3: con frequenza giornaliera, ogni giorno alle 00:00 4: con frequenza oraria, ogni ora alle HH:00 Valore predefinito (in giorni): 180 Valore minimo: 1 Valore massimo: 3650 MonitorFrequencyInSecond Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato per l'impostazione InformUploadOnDiskFreeSpaceInGb, OfficeScan crea un registro eventi sulla console Web. Valore predefinito (in secondi): 5 Informazioni preliminari su Protezione dati Obiettivo Configurazion e della frequenza di caricamento della verifica di spazio su disco del file di dati forensi Configurazion e del valore dello spazio su disco minimo che genera una notifica di spazio su disco limitato Configurazion e dello spazio minimo disponibile per caricare i file di dati forensi dagli agenti Impostazione INI [INI_SERVER_DISK_THRESHOLD] IsapiCheckCountInRequest Valori Valore predefinito (in numero di file): 200 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato per l'impostazione InformUploadOnDiskFreeSpaceInGb, OfficeScan crea un registro eventi sulla console Web. [INI_SERVER_DISK_THRESHOLD] InformUploadOnDiskFreeSpaceInGb Valore predefinito (in GB): 10 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato, OfficeScan crea un registro eventi sulla console Web. [INI_SERVER_DISK_THRESHOLD] RejectUploadOnDiskFreeSpaceInGb Valore predefinito (in GB): 1 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato, gli agenti OfficeScan non caricano i file dei dati forensi nel server e OfficeScan crea un registro di eventi nella console Web. La seguente tabella delinea le impostazioni dell'Agente OfficeScan disponibili nel file <Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan. 3-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 3-2. Impostazioni dell'Agente dei file di dati forensi in PCCSRV\ofcscan.ini Obiettivo 3-14 Impostazione INI Attivazione del caricamento dei file di dati forensi nel server UploadForensicDataEnable Configurazion e delle dimensioni massime dei file che l'Agente OfficeScan carica nel server UploadForensicDataSizeLimitInMb Configurazion e del periodo di tempo per archiviare i file di dati forensi nell'Agente OfficeScan ForensicDataKeepDays Configurazion e della frequenza con cui l'Agente OfficeScan verifica la connettività del server ForensicDataDelayUploadFrequenceInMinute s Valori 0: disattiva 1: attiva (predefinito) Valore predefinito (in MB): 10 Nota Valore minimo: 1 L'Agente OfficeScan invia al server solo file con dimensioni inferiori a queste. Valore massimo: 2048 Valore predefinito (in giorni): 180 Nota Valore minimo: 1 L'Agente OfficeScan elimina i file di dati forensi che hanno superato la data di scadenza specificata ogni giorno alle 11:00. Valore massimo: 3650 Valore predefinito (in minuti): 5 Valore minimo: 5 Nota Gli Agenti OfficeScan che non sono in grado di caricare i file di dati forensi nel server cercano automaticamente di reinviarli in base all'intervallo di tempo specificato. Valore massimo: 60 Informazioni preliminari su Protezione dati Creazione di un backup di dati forensi In base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delle informazioni dei dati forensi può variare enormemente. Al fine di liberare spazio su disco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella e del database contenenti i dati forensi. Procedura 1. Accedere al percorso della cartella di dati forensi nel server. • Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private \DLPForensicData • Per individuare la cartella di dati forensi personalizzata, vedere Configurazione del percorso della cartella di dati forensi definito dall'utente a pagina 3-11. 2. Copiare la cartella in un nuovo percorso. 3. Per effettuare il backup manuale del database di dati forensi, andare a <Cartella di installazione del server>\PCCSRV\Private. 4. Copiare il file DLPForensicDataTracker.db in un nuovo percorso. Disinstallazione di Protezione dati Se si disinstalla il modulo Protezione dati da Plug-in Manager: • Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registri saranno rimossi dal server OfficeScan. • Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dal modulo Protezione dati vengono rimosse dal server. • Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezione dati completamente, è necessario riavviare i dispositivi agente. • I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti. 3-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi: • Adattatori Bluetooth • Porte COM e LPT • Interfaccia IEEE 1394 • Dispositivi per l\'acquisizione di immagini • Dispositivi a infrarossi • Modem • Scheda PCMCIA • Tasto Stamp • Schede NIC wireless: Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione, attivare la licenza con un Codice di attivazione valido. Disinstallazione di Protezione dati da Plug-in Manager Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Disinstalla. 3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è possibile effettuare altre operazioni. 4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. La Protezione dati di OfficeScan è di nuovo disponibile per l'installazione. 3-16 Parte II Protezione degli Agenti OfficeScan Capitolo 4 Utilizzo di Trend Micro Smart Protection In questo capitolo vengono descritte le soluzioni Trend Micro Smart Protection e le modalità di impostazione dell'ambiente richiesto per il relativo utilizzo. Di seguito sono riportati gli argomenti trattati: • Informazioni su Trend Micro Smart Protection a pagina 4-2 • Servizi Smart Protection a pagina 4-3 • Origini Smart Protection a pagina 4-6 • File Smart Protection Pattern a pagina 4-8 • Impostazione dei servizi Smart Protection a pagina 4-13 • Utilizzo dei servizi Smart Protection a pagina 4-33 4-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Informazioni su Trend Micro Smart Protection Trend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti client cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite da host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agenti leggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gli utenti. Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione e correlazione, le soluzioni Trend Micro Smart Protection riducono al minimo la dipendenza dai download convenzionali dei file di pattern ed eliminano i ritardi normalmente associati agli aggiornamenti desktop. L'esigenza di una nuova soluzione Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni) richiesti per proteggere i dispositivi vengono per la maggior parte distribuiti in base a una pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti. Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/ minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni dei pattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/ minaccia informatica, tale pattern deve nuovamente essere parzialmente o completamente aggiornato e ricaricato sull'agente per garantire protezione continua. Nel corso del tempo, si è verificato un significativo aumento del volume di minacce emergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corso degli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischi per la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezza rappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulle prestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, in generale, sul tempo globale richiesto per offrire una protezione di qualità o sul tempo necessario a garantirla. 4-2 Utilizzo di Trend Micro Smart Protection Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delle minacce, volto a proteggere i clienti Trend Micro dalle minacce poste dal volume di virus/minacce informatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano la tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatiche nell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacce informatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti una migliore protezione contro rischi per la sicurezza emergenti. Servizi Smart Protection Smart Protection include servizi che forniscono firme anti-malware, reputazione Web e database delle minacce che vengono memorizzati nella rete cloud. I servizi Smart Protection includono: • Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero di firme contro le minacce informatiche (in precedenza memorizzate nei computer agente) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazione file a pagina 4-3. • Servizi di reputazione Web: Servizi di reputazione Web consente alle origini Smart Protection locali di ospitare i dati di reputazione degli URL che in precedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicurano un consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o la verifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web a pagina 4-4. • Smart Feedback: Trend Micro continua a raccogliere informazioni inviate in forma anonima dai prodotti Trend Micro in tutto il mondo per essere in grado di individuare nuove minacce in modo proattivo. Per i dettagli, consultare Smart Feedback a pagina 4-4. Servizi di reputazione file I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database "in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono 4-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad elevate prestazioni in termini di disponibilità del contenuto e i server con cache locale permettono che la latenza durante il processo di controllo sia minima. L'architettura cloud-agente offre protezione immediata, elimina la necessità di implementare i pattern e riduce in modo significativo il carico complessivo dell'agente. Gli Agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione file. In questo documento tali agenti sono definiti agenti Smart Scan. Gli Agenti. Gli agenti che non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sono definiti agenti con scansione convenzionale. Gli amministratori di OfficeScan possono configurare tutti gli agenti, o solo alcuni, in modalità Smart Scan. Servizi di reputazione Web Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, la tecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento delle minacce informatiche. Reputazione Web continua quindi a effettuare la scansione dei siti e impedisce agli utenti l'accesso a quelli infetti. Le informazioni di reputazione Web contribuiscono a garantire che le pagine visitate dagli utenti siano sicure e prive di minacce Web quali minacce informatiche, spyware e frodi di phishing volte a indurre gli utenti a fornire informazioni personali. Per aumentare l'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Micro assegna punteggi di reputazione a pagine e collegamenti individuali dei siti anziché classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi sono pericolose e la reputazione può cambiare con il tempo. Gli Agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi di reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad alcuni. Smart Feedback Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra i prodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce. Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ogni 4-4 Utilizzo di Trend Micro Smart Protection singolo cliente aggiorna automaticamente il database completo delle minacce di Trend Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessa minaccia. Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso la vasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezione automatica in tempo reale contro le minacce più recenti e di fornire una migliore sicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco della comunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione della fonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacy delle informazioni personali o professionali è sempre protetta. Esempi di informazioni inviate a Trend Micro: • Checksum dei file • Siti Web visitati • Informazioni sui file, compresi dimensioni e percorsi • Nomi dei file eseguibili È possibile interrompere la partecipazione al programma in qualsiasi momento dalla console Web. Suggerimento Per proteggere i dispositivi non è necessario partecipare al programma Smart Feedback. La partecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Micro consiglia di partecipare al programma Smart Feedback per contribuire a migliorare la protezione complessiva di tutti i clienti Trend Micro. Per ulteriori informazioni su Smart Protection Network, visitare: http://www.trendmicro.it/tecnologia-innovazione/la-nostra-tecnologia/smartprotection-network/ 4-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Origini Smart Protection Trend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle origini OfficeScan e Smart Protection. Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggior parte delle definizioni dei pattern di virus e minacce informatiche. Gli Agenti OfficeScan ospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini Smart Protection se le relative definizioni dei pattern non sono in grado di determinare il rischio del file. Le origini Smart Protection determinano il rischio utilizzando le informazioni di identificazione. Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati di reputazione Web precedentemente disponibili solo attraverso i server host di Trend Micro. L'agente invia query di reputazione Web alle origini Smart Protection per verificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette in correlazione la reputazione di un sito Web con il criterio di reputazione Web applicato sul dispositivo per determinare se l'accesso al sito sarà consentito o bloccato. L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente. Gli Agenti possono connettersi a Trend Micro Smart Protection Network o a Smart Protection Server. Trend Micro™ Smart Protection Network™ Trend Micro™ Smart Protection Network™ è un'infrastruttura per la sicurezza dei contenuti client cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestite da host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio. Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione "in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono alla rete, creando in tal modo un servizio di vigilanza continua in tempo reale. Per ulteriori informazioni su Smart Protection Network, visitare: 4-6 Utilizzo di Trend Micro Smart Protection http://www.trendmicro.it/tecnologia-innovazione/la-nostra-tecnologia/smartprotection-network/ Smart Protection Server Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendali locali. I server locali limitano i servizi Smart Protection alla rete aziendale per una maggiore efficienza. Esistono due tipi di Smart Protection Server: • Integrated Smart Protection Server: il programma di installazione di OfficeScan comprende un Integrated Smart Protection Server che viene installato nello stesso dispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibile gestire le impostazioni di questo server dalla console Web OfficeScan. Il server integrato è destinato a implementazioni di OfficeScan su piccola scala. Per implementazioni più estese, è necessario Smart Protection Server standalone. • Smart Protection Server standalone: Smart Protection Server standalone viene installato su un server VMware o un server Hyper-V. Il server standalone dispone di una console di gestione separata e non è gestito dalla console Web OfficeScan. Confronto delle origini Smart Protection La seguente tabella sottolinea le differenze tra Smart Protection Network e Smart Protection Server. Tabella 4-1. Confronto delle origini Smart Protection Criteri di confronto Disponibilità Smart Protection Server Disponibile per gli agenti interni, ovvero gli agenti che soddisfano i criteri di posizione specificati nella console Web OfficeScan. Trend Micro Smart Protection Network Disponibile principalmente per gli agenti esterni, ovvero gli agenti che non soddisfano i criteri di posizione specificati nella console Web OfficeScan. 4-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Criteri di confronto Smart Protection Server Trend Micro Smart Protection Network Scopo Progettata e finalizzata all'identificazione dei servizi Smart Protection per la rete aziendale al fine di ottimizzare l'efficienza. Un'infrastruttura basata su Internet su scala globale che fornisce servizi Smart Protection agli agenti che non possono accedere direttamente alla loro rete aziendale. Amministrazione Gli amministratori OfficeScan installano e gestiscono queste origini Smart Protection. Trend Micro gestisce questa origine. Origine di aggiornamento dei pattern Server ActiveUpdate di Trend Micro Server ActiveUpdate di Trend Micro Protocolli di connessione Agente HTTP e HTTPS HTTPS File Smart Protection Pattern I file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e i Servizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il server ActiveUpdate di Trend Micro. Smart Scan Agent Pattern Smart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricato dall'origine aggiornamenti degli agenti OfficeScan (il server OfficeScan o un'origine aggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern per gli agenti Smart Scan. 4-8 Utilizzo di Trend Micro Smart Protection Nota Gli agenti Smart Scan sono Agenti OfficeScan che gli amministratori hanno configurato per utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi di reputazione file sono definiti agenti con scansione convenzionale. Gli agenti Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono la scansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischio del file, viene utilizzato un altro pattern: Smart Scan Pattern. Smart Scan Pattern Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini Smart Protection Gli agenti non scaricano lo Smart Scan Pattern. Gli Agenti verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. Elenco siti Web bloccati L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli Agenti OfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco siti Web bloccati. Nota Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad alcuni. Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati di reputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Web applicato sul dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito. 4-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Processo di aggiornamento di Smart Protection Pattern Tutti gli aggiornamenti degli Smart Protection Pattern provengono dal server ActiveUpdate di Trend Micro. Figura 4-1. Processo di aggiornamento dei pattern Utilizzo degli Smart Protection Pattern L'Agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per i rischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern 4-10 Utilizzo di Trend Micro Smart Protection non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco siti Web bloccati quando un utente tenta di accedere a un sito Web. La tecnologia di filtro avanzata consente all'agente di inserire nella cache i risultati della query. In questo modo si elimina la necessità di inviare la stessa query per più di una volta. Gli Agenti che si trovano attualmente nell'Intranet possono connettersi a Smart Protection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati. È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sono stati impostati più Smart Protection Server, gli amministratori possono determinare la priorità di connessione. Suggerimento Installare diversi Smart Protection Server per garantire la continuità della protezione nel caso in cui la connessione a uno Smart Protection Server non sia disponibile. 4-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Gli Agenti attualmente non presenti nella Intranet non possono connettersi a Trend Micro Smart Protection Network per tale operazione. Per connettersi a Smart Protection Network, è necessaria una connessione ad Internet. Figura 4-2. Processo di query Gli Agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezione fornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di query precedenti. La protezione viene ridotta solo quando una nuova query si rende necessaria e l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungere un'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verifica consentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessione all'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo a scansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono stati confermati come minaccia. La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente. 4-12 Utilizzo di Trend Micro Smart Protection Tabella 4-2. Comportamenti di protezione in base alla località Comportamento dei file dei pattern e delle query Posizione Per accedere alla intranet Senza accesso alla Intranet, ma con connessione a Smart Protection Network Senza accesso alla Intranet e senza connessione a Smart Protection Network • File di pattern: gli Agenti scaricano il file Smart Scan Agent Pattern dal server OfficeScan o da un'origine aggiornamenti personalizzata. • File e query di reputazione Web: gli Agenti si connettono a Smart Protection Server per le query. • File di pattern: gli Agenti non scaricano il file Smart Scan Agent Pattern più recente a meno che non sia disponibile una connessione al server OfficeScan o a un'origine aggiornamenti personalizzata. • File e query di reputazione Web: gli Agenti si connettono a Smart Protection Network per le query. • File di pattern: gli Agenti non scaricano il file Smart Scan Agent Pattern più recente a meno che non sia disponibile una connessione al server OfficeScan o a un'origine aggiornamenti personalizzata. • File e query di reputazione Web: gli Agenti non ricevono i risultati delle query e devono affidarsi a Smart Scan Agent Pattern e alla cache che contiene i risultati delle query precedenti. Impostazione dei servizi Smart Protection Prima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazione Web, è necessario assicurarsi che l'ambiente sia stato impostato correttamente. Controllare quanto segue: • Installazione di Smart Protection Server a pagina 4-14 • Gestione di Integrated Smart Protection Server a pagina 4-20 • Elenco delle origini Smart Protection a pagina 4-24 • Impostazioni del proxy di connessione all'agente a pagina 4-32 4-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Installazioni di Trend Micro Network VirusWall a pagina 4-33 Installazione di Smart Protection Server Se il numero degli agenti è minore o uguale a 1.000, è possibile installare Smart Protection Server integrato o standalone. Installare uno Smart Protection Server standalone se il numero degli agenti è superiore a 1.000. Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Gli Agenti che non sono in grado di connettersi a un server particolare tenteranno di connettersi agli altri server impostati. Dato che il server integrato e il server OfficeScan vengono eseguiti nello stesso dispositivo, le prestazioni del dispositivo possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Server standalone come origine Smart Protection principale per gli agenti e il server integrato come supporto di backup. Installazione di Smart Protection Server standalone Per istruzioni sull'installazione e la gestione di Smart Protection Server standalone, consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server. Installazione di Integrated Smart Protection Server Se durante l'installazione del server OfficeScan è stato installato Integrated Smart Protection Server: • Attivare Integrated Smart Protection Server e configurare le impostazioni per il server. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina 4-20. • Se il server integrato e l'Agente OfficeScan si trovano sullo stesso computer server, considerare la possibilità di disattivare il firewall di OfficeScan. Il firewall OfficeScan è destinato a essere utilizzato per il dispositivo agente e può avere un'influenza negativa sulle prestazioni dei server. Per le istruzioni per disattivare il firewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6. 4-14 Utilizzo di Trend Micro Smart Protection Nota Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani della sicurezza. Suggerimento Installare Integrated Smart Protection Server dopo aver completato l'installazione OfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15. Integrated Smart Protection Server Tool Trend Micro OfficeScan Integrated Smart Protection Tool consente agli amministratori di installare o disinstallare Integrated Smart Protection Server al termine dell'installazione del server OfficeScan. La versione corrente di OfficeScan non consente agli amministratori di installare/rimuovere Integrated Smart Protection Server una volta completata l'installazione del server OfficeScan. Questo strumento migliora la flessibilità delle funzionalità di installazione rispetto alle versioni precedenti di OfficeScan. Prima di installare Integrated Smart Protection Server, importare i seguenti elementi sul server OfficeScan 11.0 SP1 aggiornato: • Strutture dei domini • Il livello principale e le impostazioni del livello dei domini seguenti: • Configurazioni di scansione per tutti i tipi di scansione (Manuale, In tempo reale, Pianificata, Esegui scansione) • Impostazioni di reputazione Web • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni di Prevenzione perdita di dati • Privilegi e altre impostazioni • Impostazioni aggiuntive del servizio • Elenco approvati spyware/grayware 4-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Impostazioni globali agente • Posizione dispositivo • Criteri e profili del firewall • Origini Smart Protection • Pianificazione aggiornamento del server • Pianificazione e origine dell'aggiornamento agente • Notifiche • Impostazioni proxy Procedura 1. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione del server>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trova ISPSInstaller.exe. 2. Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti: Tabella 4-3. Opzioni del programma di installazione Comando ISPSInstaller.exe /i Descrizione Installa Integrated Smart Protection Server utilizzando le impostazioni della porta predefinita. Per ulteriori informazioni sulle impostazioni della porta predefinita, consultare la tabella seguente. 4-16 Utilizzo di Trend Micro Smart Protection Comando ISPSInstaller.exe /i /f: [numero porta] /s:[numero porta] /w:[numero porta] Descrizione Installa Integrated Smart Protection Server utilizzando le porte specificate. Nota È possibile configurare le porte solo quando si utilizza un server Web Apache. Dove: /f:[numero porta] rappresenta la porta di • reputazione del file HTTP /s:[numero porta] rappresenta la porta di • reputazione del file HTTPS /w:[numero porta] rappresenta la porta di • reputazione Web Nota Alla porta non specificata viene assegnato automaticamente un valore predefinito. ISPSInstaller.exe /u Disinstalla Integrated Smart Protection Server Tabella 4-4. Porte dei servizi di reputazione dell'Integrated Smart Protection Server Server Web e impostazioni Porte per Servizi di reputazione file HTTP HTTPS (SSL) Porta HTTP per i Servizi di reputazione Web Server Apache Web con SSL attivato 8082 4345 (non configurabile) 5274 (non configurabile) Server Apache Web con SSL disattivato 8082 4345 (non configurabile) 5274 (non configurabile) 4-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Porte per Servizi di reputazione file Server Web e impostazioni 3. HTTP HTTPS (SSL) Porta HTTP per i Servizi di reputazione Web Sito Web predefinito IIS con SSL attivato 80 443 (non configurabile) 80 (non configurabile) Sito Web predefinito IIS con SSL disattivato 80 443 (non configurabile) 80 (non configurabile) Sito Web virtuale IIS con SSL attivato 8080 4343 (configurabile) 8080 (configurabile) Sito Web virtuale IIS con SSL disattivato 8080 4343 (configurabile) 8080 (configurabile) Dopo il completamento dell'installazione, aprire la console Web OfficeScan e verificare quanto segue: • • Aprire Microsoft Management Console (digitando services.msc nel menu Avvia) e verificare che Trend Micro Local Web Classification Server e Trend Micro Smart Scan Server siano elencati con lo stato "Avviato". Aprire Windows Task Manager. Nella scheda Processi, verificare che iCRCService.exe e LWCSService.exe siano in esecuzione, • Nella console Web OfficeScan, verificare che sia visualizzata la voce di menu Amministrazione > Smart Protection > Server integrato. Migliori pratiche per Smart Protection Server Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioni riportate di seguito: • Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate. Suddividere le scansioni in gruppi. • Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Esegui scansione simultaneamente. 4-18 Utilizzo di Trend Micro Smart Protection • Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa 512 Kbps, modificando il file ptngrowth.ini. Personalizzazione di ptngrowth.ini per il server standalone Procedura 1. Aprire il file ptngrowth.ini in /var/tmcss/conf/. 2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: • [COOLDOWN] • ENABLE=1 • MAX_UPDATE_CONNECTION=1 • UPDATE_WAIT_SECOND=360 3. Salvare il file ptngrowth.ini. 4. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia della riga di comando (CLI, Command Line Interface): • service lighttpd restart Personalizzazione di ptngrowth.ini per il server integrato Procedura 1. Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV\WSS\. 2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: • [COOLDOWN] • ENABLE=1 • MAX_UPDATE_CONNECTION=1 4-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • UPDATE_WAIT_SECOND=360 3. Salvare il file ptngrowth.ini. 4. Riavviare il servizio Trend Micro Smart Protection Server. Gestione di Integrated Smart Protection Server Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni: • Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato • Registrazione degli indirizzi del server integrato • Aggiornamento dei componenti del server integrato • Configurazione dell'Elenco URL approvati/bloccati del server integrato Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato Affinché gli agenti siano in grado di inviare query di reputazione Web o di scansione al server integrato, è necessario attivare i Servizi di reputazione file e i Servizi di reputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato di aggiornare i componenti dal server ActiveUpdate. Questi servizi vengono attivati automaticamente se si sceglie di installare il server integrato durante l'installazione del server OfficeScan. Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Server standalone ai quali gli agenti possono inviare le query. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. 4-20 Utilizzo di Trend Micro Smart Protection Registrazione degli Indirizzi del server integrato Gli indirizzi del server integrato sono necessari per configurare l'elenco delle origini Smart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedere Elenco delle origini Smart Protection a pagina 4-24. Quando inviano le query al server integrato, gli agenti identificano il server attraverso uno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. La connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentre quella HTTP richiede un utilizzo di ampiezza di banda inferiore. Quando gli agenti inviano query di reputazione Web, identificano il server integrato dall'indirizzo dei relativi Servizi di reputazione Web. Suggerimento Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo server integrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del server integrato all'elenco delle origini Smart Protection. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Aggiornamento dei componenti del server integrato Il server integrato aggiorna i seguenti componenti: • Smart Scan Pattern: Gli Agenti OfficeScan verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione al server integrato. • Elenco siti Web bloccati: gli Agenti OfficeScan ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Web al server integrato. È possibile aggiornare manualmente tali componenti o configurare una pianificazione di aggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate. 4-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Configurazione dell'Elenco URL approvati/bloccati del server integrato Gli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurare l'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultare Criteri di reputazione Web a pagina 11-5 per ulteriori informazioni). Qualsiasi URL nell'elenco dell'agente verrà automaticamente consentito o bloccato. Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non è presente nell'elenco dell'agente, l'agente invia una query di reputazione Web al server integrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL si trova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica all'agente di consentire o bloccare l'URL. Nota L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati. Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato, importare un elenco da Smart Protection Server standalone. Non è possibile aggiungere manualmente gli URL. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. 4-22 Utilizzo di Trend Micro Smart Protection Configurazione delle impostazioni di Integrated Smart Protection Server Procedura 1. Accedere a Amministrazione > Smart Protection > Server integrato. 2. Selezionare Attiva Servizi di reputazione file. 3. Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare le query di scansione al server integrato. 4. Selezionare Attiva Servizi di reputazione Web. 5. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server. 6. Per aggiornare i componenti del server integrato: • Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Web bloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Il risultato dell'aggiornamento viene visualizzato nella parte superiore della schermata. • Per aggiornare automaticamente il pattern: a. Selezionare Attiva aggiornamenti pianificati. b. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti. c. Selezionare un'origine aggiornamenti in Servizi di reputazione file. Smart Scan Pattern verrà aggiornato da questa origine. d. Selezionare un'origine aggiornamenti in Servizi di reputazione Web. L'Elenco siti Web bloccati verrà aggiornato da questa origine. 4-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota 7. 8. • Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che il server disponga di una connessione a Internet e, se si utilizza un server proxy, verificare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-22 per ulteriori dettagli. • Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. Per configurare l'elenco dei siti approvati/bloccati del server integrato: a. Fare clic su Importa per immettere nell'elenco gli URL del file .csv preformattato. È possibile ottenere il file .csv da uno Smart Protection Server standalone. b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco in un file .csv. Fare clic su Salva. Elenco delle origini Smart Protection Gli Agenti inviano query alle origini Smart Protection quando eseguono la scansione per i rischi sulla sicurezza e per determinare la reputazione di un sito Web. Supporto IPv6 per le origini Smart Protection Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4, come: • 4-24 Smart Protection Server 2.0 (integrato o standalone) Utilizzo di Trend Micro Smart Protection Nota Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. • Trend Micro Smart Protection Network Analogamente, un agente IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dualstack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origini Smart Protection e posizione dispositivo L'origine Smart Protection a cui si connette l'agente dipende dalla posizione del dispositivo agente. Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedere Posizione dispositivo a pagina 14-2. Tabella 4-5. Origini Smart Protection per località Posizione Esterni Origini Smart Protection Gli agenti esterni inviano query di reputazione Web e di scansione a Trend Micro Smart Protection Network. 4-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Posizione Interni Origini Smart Protection Gli agenti interni inviano query di reputazione Web e di scansione a Smart Protection Server o a Trend Micro Smart Protection Network. Se sono stati installati gli Smart Protection Server, configurare l'elenco delle origini di Smart Protection nella console Web OfficeScan. Un agente interno sceglie un server dall'elenco se deve inviare una query. Se l'agente non è in grado di connettersi al primo server, ne sceglie un altro dall'elenco. Suggerimento Assegnare uno Smart Protection Server standalone come origine di scansione principale e il server integrato come backup. In tal modo si riduce il traffico diretto al dispositivo che ospita il server OfficeScan e il server integrato. Inoltre il server standalone è in grado di elaborare un maggior numero di query. È possibile configurare un elenco standard o personalizzato di origini Smart Protection. L'elenco standard è utilizzato da tutti gli agenti interni. L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzo IP di un agente interno è compreso nell'intervallo, l'agente utilizza l'elenco personalizzato. Configurazione dell'elenco standard di Origini Smart Protection Procedura 1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection. 2. Fare clic sulla scheda Agenti interni. 3. Selezionare Utilizza l'elenco standard (per tutti gli agenti interni). 4. Fare clic sul collegamento elenco standard. Viene visualizzata una nuova schermata. 5. 4-26 Fare clic su Aggiungi. Utilizzo di Trend Micro Smart Protection Viene visualizzata una nuova schermata. 6. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a Smart Protection Server. 7. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. a. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che gli agenti utilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto del server per le richieste HTTPS. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Suggerimento Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e accedere a Amministrazione > Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. 8. Selezionare Servizi di reputazione file. Gli agenti inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. a. Immettere la porta di ascolto del server per le richieste HTTP. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. 4-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 9. Fare clic su Salva. La schermata si chiude. 10. Aggiungere altri server ripetendo i passaggi precedenti. 11. Sulla parte superiore della schermata, selezionare Ordine o Casuale. • Ordine: gli agenti scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: gli agenti scelgono i server in modo casuale. Suggerimento Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso dispositivo, le sue prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. 12. Eseguire operazioni varie sulla schermata. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. • Fare clic sul nome del server per effettuare una delle operazioni riportate di seguito: • 4-28 • Per visualizzare o modificare le informazioni del server. • Visualizzare l'indirizzo completo del server per Servizi di reputazione Web o Servizi di reputazione file. Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. Utilizzo di Trend Micro Smart Protection • • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Per eliminare una voce, selezionare la casella di controllo del server e fare clic su Elimina. 13. Fare clic su Salva. La schermata si chiude. 14. Fare clic su Invia una notifica tutti gli agenti. Configurazione degli elenchi personalizzati di Origini Smart Protection Procedura 1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection. 2. Fare clic sulla scheda Agenti interni. 3. Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente. 4. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun server degli elenchi personalizzati è disponibile. 5. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 6. Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, o entrambi. 4-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a Smart Protection Server dual-stack. Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 o a Smart Protection Server dual-stack. Gli agenti con entrambi gli indirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server. 7. 8. Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agenti utilizzeranno per connettersi agli Smart Protection Server. a. Selezionare Utilizza un server proxy per la comunicazione tra l'agente e lo Smart Protection Server. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. c. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli Smart Protection Server. a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a Smart Protection Server. b. 4-30 Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. i. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che gli agenti utilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto del server per le richieste HTTPS. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Utilizzo di Trend Micro Smart Protection Suggerimento Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e accedere a Amministrazione > Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. c. Selezionare Servizi di reputazione file. Gli agenti inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. i. Immettere la porta di ascolto del server per le richieste HTTP. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. d. Fare clic su Aggiungi all'elenco. e. Aggiungere altri server ripetendo i passaggi precedenti. f. Selezionare Ordine o Casuale. • Ordine: gli agenti scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: gli agenti scelgono i server in modo casuale. Suggerimento Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso computer, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. g. Eseguire operazioni varie nella schermata. 4-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. • Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. • 9. • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Per eliminare una voce, fare clic su Elimina ( ). Fare clic su Salva. La schermata si chiude. L'elenco appena aggiunto viene visualizzato come collegamento dell'intervallo IP nella tabella Intervallo IP 10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati. 11. Eseguire operazioni varie nella schermata. • Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindi modificare le impostazioni nella schermata visualizzata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. 12. Fare clic su Invia una notifica tutti gli agenti. Impostazioni del proxy di connessione all'agente Se la connessione a Smart Protection Network richiede l'autenticazione proxy, specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per gli agenti OfficeScan a pagina 14-55. 4-32 Utilizzo di Trend Micro Smart Protection Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durante la connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-53. Impostazioni sulla posizione dell'dispositivo OfficeScan comprende la funzione di Location Awareness in grado di identificare la posizione del computer agente e determinare se l'agente si connette a Smart Protection Network o a Smart Protection Server. In tal modo, gli agenti rimangono protetti indipendentemente dalla loro posizione. Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 14-2. Installazioni di Trend Micro Network VirusWall Se è installato Trend Micro™ Network VirusWall™ Enforcer: • Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build 1013 per Network VirusWall Enforcer 1200). • Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguire l'aggiornamento del motore OPSWAT alla versione 2.5.1017. Utilizzo dei servizi Smart Protection Dopo che l'ambiente Smart Protection è stato impostato correttamente, gli agenti possono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche possibile iniziare a configurare le impostazioni di Smart Feedback. Nota Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione dei servizi Smart Protection a pagina 4-13. Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agenti devono usare un metodo di scansione denominato Smart Scan. Per informazioni su 4-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Smart Scan e su come attivarlo sugli agenti, consultare Tipi di metodi di scansione a pagina 7-8. Per consentire agli Agenti OfficeScan di usare Servizi di reputazione Web, configurare i criteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 11-5. Nota Le impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. A seconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti o configurare impostazioni diverse per i singoli agenti o per gruppi agente. Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina 13-64. 4-34 Capitolo 5 Installazione dell'agente OfficeScan In questo capitolo vengono descritti i requisiti di sistema di OfficeScan e le procedure di installazione dell'Agente OfficeScan. Per ulteriori informazioni sull'aggiornamento dell'Agente OfficeScan, consultare la Guida all'installazione e all'aggiornamento di OfficeScan. Di seguito sono riportati gli argomenti trattati: • Installazioni da zero dell'agent OfficeScan a pagina 5-2 • Considerazioni sull'installazione a pagina 5-2 • Considerazioni sull'implementazione a pagina 5-11 • Migrazione all'agente OfficeScan a pagina 5-66 • Post-installazione a pagina 5-70 • Disinstallazione del Agente OfficeScan a pagina 5-73 5-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Installazioni da zero dell'agent OfficeScan L'Agente OfficeScan può essere installato su computer con piattaforme Microsoft Windows. OfficeScan è compatibile anche con vari prodotti di terze parti. Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e dei prodotti compatibili di terze parti: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Considerazioni sull'installazione Prima di installare gli agenti, valutare le informazioni riportate di seguito. Tabella 5-1. Considerazioni sull'installazione dell'agente Considerazi one Supporto della funzione Windows Alcune funzioni dell'Agente OfficeScan non sono disponibili su determinate piattaforme Windows. Supporto IPv6 L'Agente OfficeScan può essere installato su agenti dual-stack o IPv6 puri. Tuttavia: Indirizzi IP del Agente OfficeScan 5-2 Descrizione • Alcuni sistemi operativi Windows sui quali è possibile installare l'Agente OfficeScan non supportano l'indirizzamento IPv6. • Alcuni metodi di installazione richiedono dei requisiti particolari per installare correttamente l'Agente OfficeScan. Per gli agenti con indirizzi IPv4 e IPv6, è possibile scegliere quale indirizzo IP sarà usato dall'agente per effettuare la registrazione al server. Installazione dell'agente OfficeScan Considerazi one Elenco eccezioni Descrizione assicurarsi che gli elenchi di eccezioni per le funzioni seguenti siano configurati correttamente: • Monitoraggio del comportamento: aggiungere le applicazioni importanti del dispositivo all'elenco Programmi approvati per evitare che tali applicazioni siano bloccate dall'Agente OfficeScan. Per ulteriori informazioni, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 8-7. • Reputazione Web: aggiungere i siti Web considerati sicuri all'elenco URL approvati per evitare che l'Agente OfficeScan blocchi l'accesso ai siti Web. Per ulteriori informazioni, consultare Criteri di reputazione Web a pagina 11-5. Funzioni dell'Agente OfficeScan Le funzioni dell'Agente OfficeScan disponibili nel dispositivo dipendono dal sistema operativo del dispositivo. Tabella 5-2. Funzioni dell'Agente OfficeScan su piattaforme server Sistema operativo Windows Funzione Server 2003 Server 2008/ Server Core 2008 Server 2012/ Server Core 2012 Scansione manuale, scansione in tempo reale e scansione pianificata. Sì Sì Sì Aggiornamento dei componenti (aggiornamento manuale e pianificato) Sì Sì Sì Update Agent Sì Sì Sì 5-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Sistema operativo Windows Server 2003 Server 2008/ Server Core 2008 Reputazione Web Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma è supportato solo il browser Microsoft Edge Damage Cleanup Services Sì Sì Sì Firewall di OfficeScan Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server e Filtro di applicazioni non supportato Monitoraggio del comportamento Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Funzione Protezione automatica dell'Agente per: 5-4 • Chiavi di registro • Processi Server 2012/ Server Core 2012 Sì (64 bit), ma disattivato per impostazione predefinita Installazione dell'agente OfficeScan Sistema operativo Windows Funzione Protezione automatica dell'Agente per: Server 2003 Server 2008/ Server Core 2008 Server 2012/ Server Core 2012 Sì Sì Sì Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita Scansione e-mail POP3 Sì Sì Sì Agente Plug-in Manager Sì Sì Sì Modalità roaming Sì Sì (Server) Sì • Servizi • Protezione file Controllo dispositivo (Servizio prevenzione modifiche non autorizzate) Protezione dati (inclusa protezione dati per controllo dispositivo) Sì (64 bit), ma disattivato per impostazione predefinita No (Server Core) Smart Feedback Sì Sì Sì 5-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 5-3. Funzioni dell'Agente OfficeScan su piattaforme server Sistema operativo Windows Funzione 5-6 XP Vista Windows 7 Windows 8/8.1 Windows 10 Scansione manuale, scansione in tempo reale e scansione pianificata. Sì Sì Sì Sì Sì Aggiornamento dei componenti (aggiornamento manuale e pianificato) Sì Sì Sì Sì Sì Update Agent Sì Sì Sì Sì Sì Reputazione Web Sì Sì Sì Sì, ma è supportata solo la modalità interfaccia utente di Windows Sì Damage Cleanup Services Sì Sì Sì Sì Sì Firewall di OfficeScan Sì Sì Sì Sì, ma non è supportato Filtro di applicazio ni Sì, ma non è supportato Filtro di applicazio ni Installazione dell'agente OfficeScan Sistema operativo Windows Funzione Monitoraggio del comportamento XP Vista Windows 7 Windows 8/8.1 Windows 10 Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Il supporto di Vista a 64 bit richiede SP1 o SP2 Protezione automatica dell'Agente per: • Chiavi di registro • Processi Protezione automatica dell'Agente per: Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Il supporto di Vista a 64 bit richiede SP1 o SP2 Sì Sì Sì Sì Sì Controllo dispositivo Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) (Servizio prevenzione modifiche non autorizzate) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) • Servizi • Protezione file Il supporto di Vista a 64 bit richiede SP1 o SP2 5-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Sistema operativo Windows Funzione XP Vista Windows 7 Windows 8/8.1 Windows 10 Protezione dati Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) (inclusa protezione dati per controllo dispositivo) Sì (32 bit) in modalità desktop Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) in modalità desktop Sì (64 bit) Scansione e-mail POP3 Sì Sì Sì Sì Sì Agente Plug-in Manager Sì Sì Sì Sì Sì Modalità roaming Sì Sì Sì Sì Sì Smart Feedback Sì Sì Sì Sì Sì Installazione dell'Agente OfficeScan e supporto IPv6 In questo argomento vengono illustrate le considerazioni relative all'installazione dell'Agente OfficeScan su agenti dual-stack o IPv6 puri. Sistema operativo L'Agente OfficeScan può essere installato solo sui seguenti sistemi operativi che supportano l'indirizzamento IPv6: 5-8 • Windows Vista™ (tutte le edizioni) • Windows Server 2008 (tutte le edizioni) • Windows 7 (tutte le edizioni) • Windows Server 2012 (tutte le edizioni) Installazione dell'agente OfficeScan • Windows 8/8.1 (tutte le edizioni) • Windows 10 (Home, Pro, Education ed Enterprise Edition) Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Metodi di installazione Per installare l'Agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibile utilizzare tutti i metodi di installazione dell'Agente OfficeScan. Alcuni metodi di installazione richiedono dei requisiti particolari per installare correttamente l'Agente OfficeScan. Non è possibile migrare ServerProtect™ all'Agente OfficeScan con lo strumento di migrazione del server normale ServerProtect in quanto lo strumento non supporta l'indirizzamento IPv6. Tabella 5-4. Metodi di installazione e supporto IPv6 Metodo di installazione Pagina di installazione Web e installazione basata sul browser Requisiti e considerazioni L'URL per la pagina di installazione include il nome host del server OfficeScan o il relativo indirizzo IP. Se si sta effettuando l'installazione su un agente IPv6 puro, il server deve essere dual-stack o IPv6 puro e il relativo nome host o indirizzo IPv6 deve essere incluso nell'URL. Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nella schermata dello stato d'installazione dipende dall'opzione selezionata nella sezione Indirizzo IP preferito di Agenti > Impostazioni globali agente. 5-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo di installazione Requisiti e considerazioni Agent Packager Quando si esegue lo strumento Packager, è necessario scegliere se assegnare i privilegi Update Agent all'agente. Tenere presente che gli Update Agent IPv6 puri possono distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack. Conformità sicurezza, Vulnerability Scanner e installazione remota Un server IPv6 puro non può installare l'Agente OfficeScan su dispositivi IPv4 puri. Analogamente, un server IPv4 puro non può installare l'Agente OfficeScan su dispositivi IPv6 puri. Indirizzi IP dell'agente I server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possono gestire i seguenti Agenti OfficeScan: • I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agenti IPv6 puri. • I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6 assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri. Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al server usando un indirizzo IP. • Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6. • Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4. • Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 o IPv6. È possibile scegliere l'indirizzo IP che verrà utilizzato dagli agenti. Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stack per la registrazione al server Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solo dagli agenti dual-stack. 5-10 Installazione dell'agente OfficeScan Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Indirizzo IP preferito. 3. Scegliere una delle opzioni elencate di seguito. 4. • Solo IPv4: gli agenti utilizzano il proprio indirizzo IPv4 • Prima IPv4, poi IPv6: gli agenti utilizzano prima il proprio indirizzo IPv4 Se l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4, utilizza l'indirizzo IPv6. Se non è possibile effettuare la registrazione con alcun indirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione. • Prima IPv6, poi IPv4: gli agenti utilizzano prima il proprio indirizzo IPv6 Se l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6, utilizza l'indirizzo IPv4. Se non è possibile effettuare la registrazione con alcun indirizzo IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione. Fare clic su Salva. Considerazioni sull'implementazione Questa sezione fornisce un riepilogo dei diversi metodi di installazione dell'Agente OfficeScan disponibili per l'installazione da zero dell'Agente OfficeScan. Tutti i metodi di installazione necessitano dei privilegi di amministratore sui computer di destinazione. Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere le istruzioni riportate in Installazione dell'Agente OfficeScan e supporto IPv6 a pagina 5-8. 5-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 5-5. Considerazioni sull'implementazione per l'installazione Metodo di installazione/ Supporto sistema operativo Pagina di installazione sul Web Considerazioni sull'implementazione Implem entazi one WAN Gestion e centrali zzata Richie de interv ento utente Richi ede risor sa IT Implem entazi one di massa Ampiezza di banda utilizzata No No Sì No No Alto No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento Supportato su tutti i sistemi operativi a eccezione di Windows Server Core 2008 e Windows 8/8.1/ Server 2012/Server Core 2012 in modalità interfaccia utente di Windows Installazioni basate su browser Supporto per tutti i sistemi operativi Nota Non supportato in Windows 8, 8.1 o Windows Server 2012 in modalità interfaccia utente di Windows. 5-12 Installazione dell'agente OfficeScan Metodo di installazione/ Supporto sistema operativo Installazioni basate su UNC Considerazioni sull'implementazione Implem entazi one WAN Gestion e centrali zzata Richie de interv ento utente Richi ede risor sa IT Implem entazi one di massa No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento No Sì No Sì No Alto No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento Supporto per tutti i sistemi operativi Installazioni remote Ampiezza di banda utilizzata Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium • Windows 8/8.1 (versioni base) • Windows 10 Home Edition Impostazione script di accesso Supporto per tutti i sistemi operativi 5-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo di installazione/ Supporto sistema operativo Agent Packager Considerazioni sull'implementazione Implem entazi one WAN Gestion e centrali zzata Richie de interv ento utente Richi ede risor sa IT Implem entazi one di massa No No Sì Sì No Basso, se pianificato Sì Sì Sì/No Sì Sì Basso, se pianificato Sì Sì Sì/No Sì Sì Alto, se le installazioni vengono avviate nello stesso momento No No No Sì No Basso Supporto per tutti i sistemi operativi Agent Packager (pacchetto MSI implementato tramite Microsoft SMS) Ampiezza di banda utilizzata Supporto per tutti i sistemi operativi Agent Packager (pacchetto MSI implementato tramite Active Directory) Supporto per tutti i sistemi operativi Immagine disco dell'agente Supporto per tutti i sistemi operativi 5-14 Installazione dell'agente OfficeScan Metodo di installazione/ Supporto sistema operativo Trend Micro Vulnerability Scanner (TMVS) Considerazioni sull'implementazione Implem entazi one WAN Gestion e centrali zzata Richie de interv ento utente Richi ede risor sa IT Implem entazi one di massa Ampiezza di banda utilizzata No Sì No Sì No Alto Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 8/8.1 (versioni base) • Windows 10 Home Edition 5-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo di installazione/ Supporto sistema operativo Installazioni di conformità sicurezza Considerazioni sull'implementazione Implem entazi one WAN Gestion e centrali zzata Richie de interv ento utente Richi ede risor sa IT Implem entazi one di massa Ampiezza di banda utilizzata No Sì No Sì No Alto Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium • Windows 8/8.1 (versioni base) • Windows 10 Home Edition Installazioni della pagina di installazione sul Web Affinché gli utenti possano installare il programma Agente OfficeScan dalla pagina di installazione Web, il server OfficeScan deve essere installato nei dispositivi che utilizzano una delle piattaforme riportate di seguito: • Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x • Windows Server 2008 con Internet Information Server (IIS) 7.0 5-16 Installazione dell'agente OfficeScan • Windows Server 2008 R2 con Internet Information Server (IIS) 7.5 • Windows Server 2012 con Internet Information Server (IIS) 8.0 Per installare dalla pagina di installazione Web, occorre disporre della configurazione riportata di seguito: • • Internet Explorer con il livello di sicurezza impostato in modo da consentire i controlli ActiveX™. Sono richieste le versioni seguenti: • versione 6.0 con Windows XP e Windows Server 2003 • versione 7.0 con Windows Vista e Windows Server 2008 • versione 8.0 con Windows 7 • versione 10.0 su Windows 8/8.1 e Windows Server 2012 • versione 11.0 con Windows 10 Privilegi di amministratore sul dispositivo Per installare l'Agente OfficeScan dalla pagina di installazione Web, inviare agli utenti le seguenti istruzioni. Per inviare una notifica di installazione tramite messaggio e-mail, vedere Avvio di un'installazione basata sul browser a pagina 5-19. Installazione dalla pagina di installazione Web Procedura 1. Accedere al dispositivo utilizzando un account amministratore integrato. Nota Per le piattaforme Windows 7, 8, 8.1, 10 occorre aver attivato prima l'account di amministratore predefinito. Per impostazione predefinita Windows 7, 8, 8.1 e 10 disattivano l'account di amministratore predefinito. Per ulteriori informazioni, fare riferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/ library/dd744293%28WS.10%29.aspx). 2. Se si effettua l'installazione su dispositivi con Windows XP, Vista, Server 2008, 7, 8, 8.1, 10 or Server 2012, attenersi alla procedura riportata di seguito: 5-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. a. Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (ad esempio https://<nome server OfficeScan>:4343/officescan) all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'icona Siti affidabili e fare clic su Siti. b. Modificare le impostazioni di sicurezza di Internet Explorer e attivare Richiesta di conferma automatica per controlli ActiveX. In Windows XP, per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet > Protezione e fare clic su Livello personalizzato. Aprire una finestra di Internet Explorer e digitare quanto segue: https://<nome server OfficeScan>:<porta>/officescan 4. Fare clic sul collegamento del programma di installazione nella pagina di accesso, per visualizzare le seguenti opzioni di installazione: • Installazione agente basata su browser (solo Internet Explorer): seguire le istruzioni visualizzate sullo schermo in base al sistema operativo. • Installazione agente MSI: scaricare il pacchetto a 32 o a 64 bit in base al sistema operativo e seguire le istruzioni sullo schermo. Nota Quando viene richiesto, consentire l'installazione dei controlli ActiveX. 5. Dopo il completamento dell'installazione, l'icona dell'Agente OfficeScan viene visualizzata nella barra delle applicazioni di Windows. Nota Per ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedere Icone dell'agente OfficeScan a pagina 14-29. Installazione basata su browser Impostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioni per installare l'Agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clic 5-18 Installazione dell'agente OfficeScan sul collegamento per l'installazione dell'Agente OfficeScan contenuto nel messaggio email. Prima di installare gli Agenti OfficeScan: • Verificare i requisiti di installazione degli Agente OfficeScan. • Individuare quali computer della rete non sono attualmente provvisti di protezione contro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito: • Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica la presenza di applicazioni software antivirus installate sui dispositivi in base a un intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultare Utilizzo di Vulnerability Scanner a pagina 5-39. • Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-73. Avvio di un'installazione basata sul browser Procedura 1. Accedere a Agenti > Installazione agente > Basato su browser. 2. Se necessario, modificare la riga dell'oggetto del messaggio e-mail. 3. Fare clic su Crea e-mail. Si apre il programma di posta predefinito. 4. Inviare il messaggio ai destinatari designati. Esecuzione di un'installazione basata su UNC AutoPcc.exe è un programma standalone che installa l'Agente OfficeScan nei dispositivi non protetti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), i Dispositivo devono appartenere al dominio. 5-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura 1. Accedere a Agenti > Installazione agente > Basato su UNC. • Per installare l'Agente OfficeScan su un dispositivo non protetto utilizzando AutoPcc.exe: a. Connettersi al computer server OfficeScan. Accedere al percorso UNC: \\<nome del computer server>\ofcscan b. • Fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare Esegui come amministratore. Per le installazioni desktop in remoto che utilizzano AutoPcc.exe: a. b. Aprire una connessione da desktop remoto (Mstsc.exe) in modalità console. In questo modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0. Accedere alla directory \\<nome del computer server>\ofcscan ed eseguire AutoPcc.exe. Installazione remota dalla console Web OfficeScan È possibile installare in remoto l'Agente OfficeScan su uno o più dispositivi collegati in rete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazione remota sui dispositivi di destinazione. L'installazione remota non installa l'Agente OfficeScan su dispositivi sui quali è già in esecuzione il server OfficeScan. Nota Questo metodo di installazione non può essere adottato sui dispositivi con Windows XP Home, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic e Home Premium Edition (versioni a 32 e a 64 bit) e Windows 8/8.1 (versioni di base a 32 e a 64 bit), Windows 10 Home Edition. Un server IPv6 puro non può installare l'Agente OfficeScan su agenti IPv4 puri. Analogamente, un server IPv4 puro non può installare l'Agente OfficeScan su agenti IPv6 puri. 5-20 Installazione dell'agente OfficeScan Procedura 1. Eseguire le seguenti operazioni di pre-installazione per la propria versione di Windows. • • • Se è installato Windows XP: a. Attivare l'account dell'amministratore di dominio integrato e impostare una password per l'account stesso. b. Nel dispositivo, accedere a Risorse del computer > Strumenti > Opzioni cartella scheda > Visualizza e disattivare Utilizza condivisione file semplice. c. Accedere a Avvia > Programmi > Windows Firewall scheda > Eccezioni e attivare l'eccezione Condivisione file e stampanti. d. Aprire Microsoft Management Console (fare clic su Avvia > Esegui, digitare services.msc) e avviare i servizi Registro remoto e Remote Procedure Call. Quando si installa l'Agente OfficeScan, utilizzare l'account e la password di amministratore integrati. Se è installato Windows Vista: a. Attivare l'account dell'amministratore di dominio integrato e impostare una password per l'account stesso. b. Fare clic su Avvia > Pannello di controllo > Sicurezza > Windows Firewall > Modifica impostazioni. c. Fare clic sulla scheda Eccezioni e attivare l'eccezione Condivisione file e stampanti. d. Aprire Microsoft Management Console (fare clic su Avvia > Esegui, digitare services.msc) e avviare i servizi Registro remoto e Remote Procedure Call. Quando si installa l'Agente OfficeScan, utilizzare l'account e la password di amministratore integrati. Se è in esecuzione Windows 7, Windows 8 (Pro, Enterprise), Windows 8.1, Windows 10 (Pro, Education, Enterprise) o Windows Server 2012: a. Attivare l'account dell'amministratore di dominio integrato e impostare una password per l'account stesso. 5-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 b. Accedere a Avvia > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. c. Attivare le regole Condivisione file e stampanti per “Dominio”, “Privato” e/o “Pubblico” in base all'ambiente di rete. d. Aprire Microsoft Management Console (fare clic su Avvia > Esegui, digitare services.msc) e avviare i servizi Registro remoto e Remote Procedure Call. Quando si installa l'Agente OfficeScan, utilizzare l'account e la password di amministratore integrati. 2. Nella console Web, accedere a Agenti > Installazione agente > Remota. 3. Selezionare i dispositivi di destinazione. • L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete. Per visualizzare i dispositivi in un dominio specifico, fare doppio clic sul nome del dominio. Selezionare un dispositivo, quindi fare clic su Aggiungi. • Se si conosce già il nome del dispositivo specifico di destinazione, immetterlo nel campo Cerca dispositivo nella parte superiore della pagina e premere INVIO. OfficeScan richiede il nome utente e la password del computer di destinazione. Per proseguire utilizzare un nome utente e una password con privilegi di amministratore. 4. Immettere il nome utente e la password e fare clic su Accedi. Nella tabella Dispositivi selezionati viene visualizzato il dispositivo di destinazione. 5. Per aggiungere altri computer, ripetere i passaggi 4 e 3. 6. Quando si è pronti a installare l'Agente OfficeScan sui dispositivi di destinazione, fare clic su Installa. Viene visualizzata una finestra di dialogo di conferma. 7. Fare clic su Sì per confermare l'installazione dell'Agente OfficeScan sui dispositivi di destinazione. Mentre i file di programma vengono copiati su ciascun dispositivo di destinazione, viene visualizzata una schermata di avanzamento. 5-22 Installazione dell'agente OfficeScan Quando OfficeScan ha completato l'installazione in un dispositivo di destinazione, il nome del dispositivo non viene più visualizzato nell'elenco Dispositivi selezionati e viene visualizzato nell'elenco Dispositivi e domini con un segno di spunta rosso. Quando tutti i dispositivi di destinazione sono visualizzati nell'elenco Dispositivi e domini con un segno di spunta rosso, il processo di installazione remota è concluso. Nota Nell'installazione su diversi dispositivi, OfficeScan riporta nei registri tutte le installazioni non completate (per i dettagli, consultare Registri installazioni da zero a pagina 16-16); questo, tuttavia, non rinvia le altre installazioni. Dopo aver fatto clic su Installa, pertanto, non è più necessario supervisionare la procedura di installazione. Per vedere i risultati dell'installazione, controllare i registri al termine dell'operazione. Installazione con Impostazione script di accesso L'Impostazione script di accesso automatizza l'installazione dell'Agente OfficeScan su dispositivi non protetti quando questi accedono alla rete. L'Impostazione script di accesso aggiunge allo script di accesso del server un programma denominato AutoPcc.exe. AutoPcc.exe installa l'Agente OfficeScan su dispositivi non gestiti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script di accesso, i dispositivi devono appartenere al dominio. Installazione dei programmi plug-in AutoPcc.exe installa automaticamente l'Agente OfficeScan su un dispositivo Windows Server 2003 non protetto quando il dispositivo effettua l'accesso al server sul quale sono stati modificati gli script di accesso. AutoPcc.exe, tuttavia, non effettua installazioni automatiche dell'Agente OfficeScan sui computer con Windows Vista, 7, 8, 8.1, 10, Server 2008 e Server 2012. Gli utenti devono collegarsi al computer server, accedere a \ \<nome computer server>\ofcscan, fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare Esegui come amministratore. Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe: 5-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Il dispositivo deve essere eseguito in modalità Mstsc.exe /console. In questo modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0. • Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da tale posizione. Aggiornamenti dei componenti e del programma AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-spyware e di Damage Cleanup Services. Script di Windows Server 2003, 2008 e 2012 Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge un comando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file batch denominato officescan.bat che contiene il comando per eseguire AutoPcc.exe. L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di seguito. \\<Server_name>\ofcscan\autopcc Dove: • <Nome_server> è il nome del dispositivo o l'indirizzo IP del dispositivo server OfficeScan • "ofcscan" è il nome della cartella condivisa di OfficeScan sul server. • "autopcc" è il collegamento al file eseguibile autopcc che installa l'Agente OfficeScan. Posizione dello script di accesso (tramite una directory condivisa mediante accesso di rete): • Windows Server 2003: \\server Windows 2003\unità di sistema\windir\sysvol\domain \scripts\ofcscan.bat • Windows Server 2008: \\server Windows 2008\unità di sistema\windir\sysvol\domain \scripts\ofcscan.bat 5-24 Installazione dell'agente OfficeScan • Windows Server 2012: \\server Windows 2012\unità di sistema\windir\sysvol\domain \scripts\ofcscan.bat Aggiunta di Autopcc.exe allo script di accesso con l'utilizzo di Impostazione script di accesso Procedura 1. Nel dispositivo da cui si esegue l'installazione del server, dal menu Start di Windows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nome server> > Impostazioni script di accesso. Viene caricata l'utilità Impostazione script di accesso. La console visualizza una struttura ad albero con tutti i domini della rete. 2. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo e fare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario e di disporre dei privilegi di amministratore del server. L'Impostazione script di accesso richiede un nome utente e una password. 3. Immettere il nome utente e la password. Fare clic su OK per continuare. Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene i profili degli utenti che si collegano al server. L'elenco Utenti selezionati contiene invece i profili degli utenti di cui si desidera modificare lo script di accesso. 4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elenco Utenti e fare clic su Aggiungi. 5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti. 6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne il nome nell'elenco Utenti selezionati e fare clic su Elimina. 7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto. 8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utenti selezionati, fare clic su Applica. 5-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Viene visualizzato un messaggio in cui viene confermata la corretta modifica degli script di accesso al server. 9. Fare clic su OK. Si ritorna alla schermata iniziale dell'Impostazione script di accesso. 10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4. 11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci. Installazione con Agent Packager Agent Packager crea un pacchetto di installazione che può essere inviato agli utenti con supporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sul proprio dispositivo agente per installare o aggiornare la versione dell'Agente OfficeScan e aggiornare i componenti. Agent Packager risulta particolarmente utile quando si esegue l'implementazione dell'Agente OfficeScan o dei componenti sugli agenti nelle sedi remote con ampiezza di banda ridotta. Gli Agenti OfficeScan installati mediante Agent Packager si collegano al server in cui è stato creato il pacchetto. Requisiti di Agent Packager: • 350 MB di spazio libero su disco • Windows Installer 2.0 (per eseguire un pacchetto MSI) Linee guida per l'implementazione del pacchetto 1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto Agente OfficeScan sui loro dispositivi facendo doppio clic sul file EXE o MSI. Nota Inviare il pacchetto solo agli utenti con Agente OfficeScan che riporta al server la posizione nella quale è stato creato. 5-26 Installazione dell'agente OfficeScan 2. Informare gli utenti che installano il pacchetto EXE su dispositivi con Windows Vista, Server 2008, 7, 8, 8.1, 10 o Server 2012 che è necessario fare clic con il pulsante destro del mouse sul file EXE e selezionare Esegui come amministratore. 3. Se è stato creato un file MSI, per implementare il pacchetto effettuare le operazioni riportate di seguito: • 4. Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di un pacchetto MSI utilizzando Active Directory a pagina 5-31 o Implementazione di un pacchetto MSI utilizzando Microsoft SMS a pagina 5-33. Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'Agente OfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Vista, Server 2008, 7, 8, 8.1, 10 o Server 2012. Linee guida del metodo di scansione per i pacchetti agente Selezionare il metodo di scansione del pacchetto. Consultare Tipi di metodi di scansione a pagina 7-8 per ulteriori dettagli. I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Per ulteriori informazioni sui componenti disponibili per ciascun metodo di scansione, vedere Aggiornamenti dell'agente OfficeScan a pagina 6-30. Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo di scansione leggere le linee guida riportate di seguito. • Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione di OfficeScan, verificare il metodo di scansione del livello del dominio nella console Web. Nella console, accedere a Agenti > Gestione agente, selezionare il dominio della struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. • Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'Agente OfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella console Web, accedere a Agenti > Raggruppamento agenti. • Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory o dominio DNS, verificare il dominio di appartenenza del dispositivo di destinazione. 5-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Se il dominio non esiste, verificare il metodo di scansione del livello root (selezionare l'icona del dominio root ( ) nella struttura agente e fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione). Il metodo di scansione del livello del dominio o del livello principale deve essere coerente con il metodo di scansione del pacchetto. • Se il raggruppamento dell'agente avviene in base ai gruppi agente personalizzati, verificare Priorità di raggruppamento e Origine. Figura 5-1. Riquadro di anteprima Raggruppamento automatico Agente Se il dispositivo di destinazione appartiene a un'origine particolare, verificare la Destinazione corrispondente. La destinazione è il nome del dominio visualizzato nella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansione per quel dominio. • 5-28 Se il pacchetto verrà utilizzato per aggiornare i componenti nell'agente con questa versione di OfficeScan, verificare il metodo di scansione configurato per il dominio della struttura agente a cui appartiene l'agente. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. Installazione dell'agente OfficeScan Creazione di un pacchetto di installazione con l'utilizzo di Agent Packager Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\ClientPackager. 2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe. Viene aperta la console di Agent Packager. 3. Selezionare il tipo di pacchetto che si desidera creare. Tabella 5-6. Tipi di pacchetti agente Tipo pacchetto Descrizione Installazione Selezionare Installazione per creare il pacchetto come file eseguibile. Il pacchetto installa il programma Agente OfficeScan con i componenti attualmente disponibili nel server. Se nel dispositivo di destinazione è installata una versione precedente dell'agente, il file eseguibile consente di aggiornare l'agente. Aggiornamento Selezionare Aggiorna per creare un pacchetto contenente i componenti attualmente disponibili nel server. Il pacchetto viene creato come file eseguibile. Utilizzare questo pacchetto se si verificano problemi con l'aggiornamento dei componenti in un dispositivo agente. MSI Selezionare MSI per creare un pacchetto conforme al formato Microsoft Installer Package. Il pacchetto installa inoltre il programma Agente OfficeScan con i componenti attualmente disponibili nel server. Se nel dispositivo di destinazione è installata una versione precedente dell'agente, il file MSI consente di aggiornare l'agente. 4. Selezionare il sistema operativo per cui si desidera creare il pacchetto. Implementare il pacchetto solo sui dispositivi con questo tipo di sistema operativo. Creare un altro pacchetto da implementare su un altro tipo di sistema operativo. 5. Selezionare il metodo di scansione implementato dal pacchetto agente. 5-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per le linee guida su come selezionare un metodo di scansione, vedere Linee guida del metodo di scansione per i pacchetti agente a pagina 5-27. 6. 7. Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito: • Consenti all'agente di segnalare i propri domini automaticamente: dopo aver installato l'Agente OfficeScan, l'agente invia query al database del server OfficeScan e segnala le impostazioni dei propri domini al server. • Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il server OfficeScan ed elenca i domini attualmente utilizzati nella struttura agente. Nella sezione Opzioni, selezionare tra quelle illustrate di seguito: Opzione Descrizione Modalità invisibile Questa opzione crea un pacchetto che viene installato in background nel dispositivo agente, in modo impercettibile per l'agente e senza che visualizzare la finestra sullo stato dell'installazione. Attivare questa opzione se si intende implementare il pacchetto in remoto sul dispositivo di destinazione. Sovrascrittura forzata con ultima versione Questa opzione sovrascrive le versioni dei componenti dell'agente con le versioni attualmente disponibili nel server. Attivare questa opzione per fare in modo che i componenti del server e dell'agente siano sincronizzati. Disattiva Scansione preliminare (solo installazioni da zero) Se nel dispositivo di destinazione non è installato l'Agente OfficeScan, il pacchetto esegue la scansione del dispositivo per rilevare eventuali rischi per la sicurezza prima di installare l'Agente OfficeScan. Se si è certi che il dispositivo di destinazione non contenga rischi per la sicurezza, è possibile disattivare la scansione preliminare. Se la scansione preliminare è attivata, il programma di installazione esegue la scansione per rilevare virus/minacce informatiche nelle aree del dispositivo più vulnerabili, comprese quelle riportate di seguito: 5-30 • Area boot e la directory boot (per i virus del settore boot) • Cartella Windows • Cartella Programmi Installazione dell'agente OfficeScan 8. In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in grado di implementare. 9. In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto. • Per ulteriori informazioni sui componenti, vedere Programmi e componenti di OfficeScan a pagina 6-2. • Il modulo Protezione dati è disponibile solo se si installa e si attiva la Protezione dati. Per ulteriori informazioni su Protezione dati, vedere Informazioni preliminari su Protezione dati a pagina 3-1. 10. Successivamente a File di origine, assicurarsi che il percorso del file ofcscan.ini sia per cercare il file ofcscan.ini. corretto. Per modificare il percorso, fare clic su Per impostazione predefinita, questo file si trova nella cartella <Cartella di installazione del server>\PCCSRV del server OfficeScan. 11. In File di destinazione, fare clic su e specificare in quale percorso e con quale nome si desidera creare il pacchetto dell'Agente OfficeScan, (ad esempio AgentSetup.exe). 12. Fare clic su Crea. Quando Agent Packager ha completato la creazione del pacchetto, viene visualizzato il messaggio “Creazione pacchetto completata”. Individuare il package nella directory specificata nel passaggio precedente. 13. Implementare il pacchetto. Implementazione di un pacchetto MSI utilizzando Active Directory È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchetto MSI contemporaneamente su diversi dispositivi agente. Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina 5-26. 5-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura 1. Eseguire le operazioni riportate di seguito: • • • 2. 5-32 Per Windows Server 2003 e versioni precedenti: a. Aprire la console di Active Directory b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desidera implementare il pacchetto MSI e fare clic su Proprietà. c. Nella scheda Criterio di gruppo, fare clic su Nuovo. Per Windows Server 2008 e Windows Server 2008 R2: a. Aprire la console Gestione Criteri di gruppo. Fare clic su Start > Pannello di controllo > Strumenti di amministrazione > Gestione Criteri di gruppo. b. Nell'albero della console espandere Oggetti Criteri di gruppo nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di gruppo da modificare. c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor oggetti Criteri di gruppo. Per Windows Server 2012: a. Aprire la console Gestione Criteri di gruppo. Fare clic su Gestione server > Strumenti > Gestione Criteri di gruppo. b. Nell'albero della console espandere Oggetti Criteri di gruppo nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di gruppo da modificare. c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor oggetti Criteri di gruppo. Scegliere tra Configurazione computer e Configurazione utente e aprire le relative Impostazioni software. Installazione dell'agente OfficeScan Suggerimento Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamente indipendentemente da quale utente accede al dispositivo, Trend Micro consiglia di utilizzare la Configurazione computer anziché la Configurazione utente. 3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse su Installazione software, quindi selezionare Nuovo e Pacchetto. 4. Individuare e selezionare il pacchetto MSI. 5. Selezionare un metodo di implementazione e fare clic su OK. • Assegnato: il pacchetto MSI viene automaticamente implementato al successivo accesso dell'utente al dispositivo (se è stata selezionata la Configurazione utente) o al successivo riavvio del dispositivo (se è stata selezionata la Configurazione computer). Questo metodo non richiede alcun intervento da parte dell'utente. • Pubblicato: per eseguire il pacchetto MSI, comunicare all'utente di aprire il Pannello di controllo e la schermata Installazione applicazioni, nonché di selezionare l'opzione per l'aggiunta o l'installazione di programmi nella rete. All'avvio del pacchetto MSI dell'Agente OfficeScan, gli utenti possono procedere con l'installazione dell'Agente OfficeScan. Implementazione di un pacchetto MSI utilizzando Microsoft SMS Se Microsoft BackOffice SMS è installato nel server, è possibile implementare il pacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzioni sulla creazione di un file MSI, vedere Installazione con Agent Packager a pagina 5-26. Prima di implementare il pacchetto sui dispositivi di destinazione, il server SMS deve ottenere il file MSI dal server OfficeScan. • Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo. • Remoto: il server SMS e il server OfficeScan si trovano su dispositivi diversi. 5-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Problemi noti relativi all'installazione con Microsoft SMS: • Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato: “Sconosciuto”. • Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor del programma SMS potrebbe comunque indicare che l'installazione è stata completata. Per istruzioni su come controllare se l'installazione è stata completata correttamente, vedere Post-installazione a pagina 5-70. Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito. Ottenimento del pacchetto localmente Procedura 1. Aprire la console dell'amministratore SMS. 2. Nella scheda Struttura ad albero, fare clic su Pacchetti. 3. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata iniziale della procedura guidata per la creazione del pacchetto. 4. Fare clic su Avanti. Viene visualizzata la schermata Package Definition. 5. Fare clic su Sfoglia. Viene visualizzata la schermata Open. 6. Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindi fare clic su Apri. Il nome del pacchetto MSI viene visualizzato sulla schermata Definizione pacchetto. Il pacchetto visualizza "Agente OfficeScan" e la versione del programma. 7. 5-34 Fare clic su Avanti. Installazione dell'agente OfficeScan Viene visualizzata la schermata Source Files. 8. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine con il nome del pacchetto che viene creato e la directory di origine stessa. 9. Fare clic su Unità locale sul server del sito. 10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI. 11. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. Ottenimento del pacchetto in remoto Procedura 1. Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto di installazione con estensione EXE (non è possibile creare un pacchetto MSI. Consultare Installazione con Agent Packager a pagina 5-26 per ulteriori dettagli. 2. Sul dispositivo sul quale si desidera archiviare il file di origine, creare una cartella condivisa. 3. Aprire la console dell'amministratore SMS. 4. Nella scheda Struttura ad albero, fare clic su Pacchetti. 5. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata iniziale della procedura guidata per la creazione del pacchetto. 6. Fare clic su Avanti. Viene visualizzata la schermata Package Definition. 5-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. Fare clic su Sfoglia. Viene visualizzata la schermata Open. 8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata. 9. Fare clic su Avanti. Viene visualizzata la schermata Source Files. 10. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine. 11. Fare clic su Percorso di rete (nome UNC). 12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (la cartella condivisa creata in precedenza). 13. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. Distribuzione del pacchetto agli dispositivo di destinazione Procedura 1. Nella scheda Struttura ad albero, fare clic su Annunci. 2. Dal menu Azione, fare clic su All Tasks > Distribute Software. Viene visualizzata la schermata Benvenuto della procedura guidata per la distribuzione del software. 3. Fare clic su Avanti. Viene visualizzata la schermata Package. 4. 5-36 Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto di installazione creato. Installazione dell'agente OfficeScan 5. Fare clic su Avanti. Viene visualizzata la schermata Distribution Points. 6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic su Avanti. Viene visualizzata la schermata Advertise a Program. 7. Fare clic su Sì per annunciare il pacchetto di installazione dell'Agente OfficeScan, quindi su Avanti. Viene visualizzata la schermata Advertisement Target. 8. Fare clic su Sfoglia per selezionare i dispositivi di destinazione. Viene visualizzata la schermata Browse Collection. 9. Fare clic su Tutti i sistemi Windows NT. 10. Fare clic su OK. Viene nuovamente visualizzata la schermata Advertisement Target. 11. Fare clic su Avanti. Viene visualizzata la schermata Advertisement Name. 12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clic su Avanti. Viene visualizzata la schermata Advertise to Subcollections. 13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere di annunciare il programma solo ai membri della raccolta specificata oppure anche ai membri delle sottoraccolte. 14. Fare clic su Avanti. Viene visualizzata la schermata Advertisement Schedule. 15. Specificare il momento in cui annunciare il pacchetto di installazione dell'Agente OfficeScan digitando o selezionando la data e l'ora. 5-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Se si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una data specifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data e l'ora nelle caselle di riepilogo Data e ora di scadenza. 16. Fare clic su Avanti. Viene visualizzata la schermata Assign Program. 17. Fare clic su Sì, assegna il programma, quindi su Avanti. Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratore SMS. 18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero il programma Agente OfficeScan) ai dispositivi di destinazione, su ciascun dispositivo di destinazione, viene visualizzata una schermata. Chiedere agli utenti di fare clic su Sì e seguire le istruzioni fornite dalla procedura guidata per installare l'Agente OfficeScan sui loro dispositivi. Installazioni mediante le immagini disco dell'agente La tecnologia delle immagini disco consente di creare un'immagine dell'Agente OfficeScan e di clonarlo su altri computer della rete utilizzando un software per immagini disco. Affinché il server possa identificare i singoli agenti, ogni installazione dell'Agente OfficeScan ha bisogno di un Identificatore univoco globale (GUID). Per creare GUID diversi per ognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe. Creazione di un'immagine disco di un agente OfficeScan Procedura 1. 5-38 Installare l'Agente OfficeScan nel dispositivo. Installazione dell'agente OfficeScan 2. Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin\Utility \ImgSetup in questo dispositivo. 3. Eseguire ImgSetup.exe su questo dispositivo. Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE. 4. Creare un'immagine disco dell'Agente OfficeScan utilizzando il software per l'immagine disco. 5. Riavviare il clone. ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'Agente OfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per il nuovo Agente OfficeScan. AVVERTENZA! Per evitare di avere nel database di OfficeScan due computer con lo stesso nome, modificare manualmente il nome del dispositivo o del dominio relativo all'Agente OfficeScan clonato. Utilizzo di Vulnerability Scanner Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate, di cercare i computer non protetti presenti nella rete e di installare gli Agenti OfficeScan nei computer. Considerazioni sull'utilizzo di Vulnerability Scanner Le considerazioni riportate di seguito possono aiutare a decidere se utilizzare Vulnerability Scanner: • Amministrazione della rete a pagina 5-40 • Topologia e architettura della rete a pagina 5-40 • Specifiche software/hardware a pagina 5-41 5-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Struttura del dominio a pagina 5-41 • Traffico di rete a pagina 5-42 • Dimensioni della rete a pagina 5-42 Amministrazione della rete Tabella 5-7. Amministrazione della rete Installazione Efficacia di Vulnerability Scanner Amministrazione con criteri di protezione rigidi Estremamente efficace. Vulnerability Scanner segnala se in tutti i computer è installato o meno il software antivirus. Le responsabilità amministrative sono distribuite nei vari siti Mediamente efficace Amministrazione centralizzata Mediamente efficace Servizio esterno Mediamente efficace Gli utenti amministrano i propri computer Non efficace. Poiché Vulnerability Scanner esegue la scansione della rete per rilevare le installazioni del software antivirus, non è possibile fare in modo che gli utenti eseguano la scansione dei propri computer. Topologia e architettura della rete Tabella 5-8. Topologia e architettura della rete Installazione 5-40 Efficacia di Vulnerability Scanner Sede unica Estremamente efficace. Vulnerability Scanner consente di eseguire la scansione di un intero segmento IP e di installare l'Agente OfficeScan nella LAN con facilità. Sedi diverse con connessione ad alta velocità Mediamente efficace Installazione dell'agente OfficeScan Installazione Efficacia di Vulnerability Scanner Sedi diverse con connessione a bassa velocità Non efficace. È necessario eseguire Vulnerability Scanner in ciascuna posizione e dirigere l'installazione dell'Agente OfficeScan verso un server OfficeScan locale. Computer remoti e isolati Mediamente efficace Specifiche software/hardware Tabella 5-9. Specifiche software/hardware Installazione Efficacia di Vulnerability Scanner Sistemi operativi basati su Windows NT Estremamente efficace. Vulnerability Scanner è in grado di installare facilmente l'Agente OfficeScan in remoto nei computer con sistema operativo basato su Windows NT. Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è in grado di eseguire l'installazione solo nei computer con sistemi operativi basati su Windows NT. Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essere utilizzato con software di gestione dei desktop. Tuttavia, può essere utile per tenere traccia dell'installazione dell'Agente OfficeScan. Struttura del dominio Tabella 5-10. Struttura del dominio Installazione Microsoft Active Directory Efficacia di Vulnerability Scanner Estremamente efficace. Per consentire l'installazione remota dell'Agente OfficeScan, specificare l'account dell'amministratore del dominio in Vulnerability Scanner. 5-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Installazione Efficacia di Vulnerability Scanner Workgroup Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede un account di dominio Windows per installare l'Agente OfficeScan. Peer-to-peer Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Traffico di rete Tabella 5-11. Traffico di rete Installazione Efficacia di Vulnerability Scanner Connessione LAN Estremamente efficace. 512 Kbps Mediamente efficace Connessione T1 e superiore Mediamente efficace Accesso remoto Non efficace. Il completamento dell'installazione dell'Agente OfficeScan può richiedere molto tempo. Dimensioni della rete Tabella 5-12. Dimensioni della rete Installazione Rete aziendale molto grande 5-42 Efficacia di Vulnerability Scanner Estremamente efficace. Vulnerability Scanner si rivela molto utile con reti di grandi dimensioni per le quali è indispensabile controllare le installazioni dell'Agente OfficeScan. Installazione dell'agente OfficeScan Installazione Piccole e medie imprese Efficacia di Vulnerability Scanner Mediamente efficace. Vulnerability Scanner è utile per installare l'Agente OfficeScan nelle reti di piccole dimensioni. Tuttavia, altri metodi di installazione dell'Agente OfficeScan potrebbero rivelarsi più semplici da implementare. Linee guida per l'installazione dell'Agente OfficeScan con Vulnerability Scanner Vulnerability Scanner non installa l'Agente OfficeScan nei casi indicati di seguito: • Il server OfficeScan o un altro software di sicurezza è installato sulla macchina host di destinazione. • Nel dispositivo remoto è presente Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 Home Premium, Windows 8 (versioni base), Windows 8.1 (versioni base) o Windows 10 Home. Nota È possibile installare l'Agente OfficeScan sulla macchina host di destinazione utilizzando altri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-11. Prima di usare Vulnerability Scanner per installare l'Agente OfficeScan, attenersi alla procedura riportata di seguito: • Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7 (Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise), Windows 8.1 (Pro, Enterprise), Windows 10 (Pro, Education, Enterprise), o Windows Server 2012 (Standard): 1. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. 2. Fare clic su Start > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. 5-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. 4. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". Aprire Microsoft Management Console (fare clic su Start > Esegui e digitare services.msc) e avviare il servizio Remote Registry. Quando si installa l'Agente OfficeScan, utilizzare l'account e la password di amministratore integrati. • Per Windows XP Professional (versione a 32 bit o a 64 bit): 1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella. 2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione file semplice (scelta consigliata). Metodi di scansione di vulnerabilità La scansione di vulnerabilità verifica se nelle macchine host è presente un software di sicurezza e può installare l'Agente OfficeScan nelle macchine non protette. Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità. Tabella 5-13. Metodi di scansione di vulnerabilità Metodo Dettagli Scansione di vulnerabilità manuale Ora gli amministratori possono eseguire scansioni di vulnerabilità su richiesta. Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità su macchine host che richiedono gli indirizzi IP da un server DHCP. Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di ascolto del server DHCP per le richieste DHCP). Se rileva una richiesta DHCP proveniente da una macchina host, la scansione di vulnerabilità viene eseguita sulla macchina. Nota Vulnerability Scanner non rileva le richieste DHCP se partono da Windows Server 2008, Windows 7, Windows 8, Windows 8.1, Windows 10 o Windows Server 2012. 5-44 Installazione dell'agente OfficeScan Metodo Scansione di vulnerabilità pianificata Dettagli Le scansioni pianificate vengono eseguite in base alla pianificazione configurata dagli amministratori. Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'Agente OfficeScan sulle macchine host di destinazione. Lo stato può essere: • Normale: l'Agente OfficeScan è in esecuzione e sta funzionando correttamente • Anomalo: i servizi dell'Agente OfficeScan non sono in esecuzione oppure l'agente non dispone della protezione in tempo reale • Non installato: manca il servizio TMListen oppure l'Agente OfficeScan non è stato installato • Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire la connessione con la macchina host e di determinare lo stato dell'Agente OfficeScan Esecuzione di una scansione di vulnerabilità manuale Procedura 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1, 10 o Server 2012: a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. 5-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Non è possibile avviare lo strumento da Terminal Server. 2. Andare alla sezione Scansione manuale. 3. immettere l'intervallo di indirizzi IP dei computer da controllare. a. Immettere un intervallo di indirizzi IPv4. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack. 4. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 5. Configurare le impostazioni riportate di seguito: Opzione Impostazioni ping Descrizione la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio precedente per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 5-61. 5-46 Installazione dell'agente OfficeScan Opzione Descrizione Metodo per recuperare le descrizioni computer per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Query prodotto Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Metodo per recuperare le descrizioni dei dispositivi a pagina 5-58. Per i dettagli, consultare Query prodotto a pagina 5-55. Impostazioni server OfficeScan Configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'Agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale e le credenziali amministrative usate dall'Agente OfficeScan per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Nota Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43. Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-59. Salva risultati oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-60. 6. Fare clic su OK. 5-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. Fare clic su Avvio. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione manuale. Nota Le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati se nel dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012. 8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Esecuzione di una scansione DHCP Procedura 1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartella: <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS. Tabella 5-14. Impostazioni DHCP nel file TMVS.ini Impostazione Descrizione DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Il valore minimo è 3 e il valore massimo è 100. Il valore predefinito è 8. DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito il controllo del software antivirus nel dispositivo che effettua la richiesta. Il valore minimo è 0 (senza attesa) e il valore massimo è 600. Il valore predefinito è 30. LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva. Vulnerability Scanner invia i risultati della scansione al server OfficeScan. I registri vengono visualizzati nella schermata Registri eventi di sistema nella console Web. 5-48 Installazione dell'agente OfficeScan Impostazione 2. Descrizione OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan. OsceServerPort=x La porta del server Web nel server OfficeScan. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1, 10 o Server 2012: a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota Non è possibile avviare lo strumento da Terminal Server. 3. Nella sezione Scansione manuale, fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 4. Configurare le impostazioni riportate di seguito: Opzione Query prodotto Descrizione Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 5-55. Impostazioni server OfficeScan Configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'Agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di 5-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Opzione Descrizione identificare il server principale e le credenziali amministrative usate dall'Agente OfficeScan per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Nota Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43. Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-59. Salva risultati oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-60. 5. Fare clic su OK. 6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP. Nota La scheda Scansione DHCP non è disponibile nei computer che eseguono Windows Server 2008,Windows 7, Windows 8, Windows 8.1, Windows 10 e Windows Server 2012. 7. Fare clic su Avvio. Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli di vulnerabilità sui computer mano a mano che questi si connettono alla rete. 5-50 Installazione dell'agente OfficeScan 8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Configurazione di una scansione di vulnerabilità pianificata Procedura 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1, 10 o Server 2012: a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota Non è possibile avviare lo strumento da Terminal Server. 2. Andare alla sezione Scansione pianificata. 3. Fare clic su Aggiungi/Modifica. Viene visualizzata la schermata Scansione pianificata. 4. digitare un nome per la scansione di vulnerabilità pianificata. 5. immettere l'intervallo di indirizzi IP dei computer da controllare. a. Immettere un intervallo di indirizzi IPv4. 5-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack. 6. Specificare l'ora di inizio della Pianificazione utilizzando il formato 24 ore, quindi selezionare con quale frequenza si desidera eseguire la scansione. Selezionare una frequenza giornaliera, settimanale o mensile. 7. selezionare le impostazioni di scansione vulnerabilità da usare. a. Se sono state configurate le impostazioni di scansione vulnerabilità manuale e si desidera usarle, selezionare Usa impostazioni correnti. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità manuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina 5-45. b. Se non sono state specificate le impostazioni di scansione vulnerabilità manuale o si desidera usare altre impostazioni, selezionare Modifica impostazioni e fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. 5-52 Configurare le impostazioni riportate di seguito: Installazione dell'agente OfficeScan Impostazioni ping la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio precedente per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 5-61. Metodo per recuperare le descrizioni computer per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Query prodotto Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Metodo per recuperare le descrizioni dei dispositivi a pagina 5-58. Per i dettagli, consultare Query prodotto a pagina 5-55. Impostazioni server OfficeScan Configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'Agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale e le credenziali amministrative usate dall'Agente OfficeScan per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Nota Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43. 5-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-59. Salva risultati oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-60. 8. Fare clic su OK. La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilità pianificata creata viene visualizzata nella sezione Scansione pianificata. Se sono state attivate le notifiche, Vulnerability Scanner invia i risultati della scansione di vulnerabilità pianificata. 9. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic su Esegui ora. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione pianificata. Nota Le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati se nel dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012. 10. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Impostazioni Scansione vulnerabilità Le impostazioni di Scansione vulnerabilità sono configurate da Trend Micro Vulnerability Scanner (TMVS.exe) o dal file TMVS.ini. 5-54 Installazione dell'agente OfficeScan Nota Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug per Vulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 16-3. Query prodotto Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negli agenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti di protezione da parte di Vulnerability Scanner: Tabella 5-15. Prodotti di protezione controllati da Vulnerability Scanner Prodotto Descrizione ServerProtect per Windows Per controllare se SPNTSVC.exe è in esecuzione, Vulnerability Scanner utilizza dispositivo RPC. In tal modo ottiene informazioni quali il sistema operativo e le versioni del motore di scansione virus, del pattern dei virus e dei prodotti. Vulnerability Scanner non è in grado di rilevare il server informazioni di ServerProtect o la console di gestione di ServerProtect. ServerProtect per Linux Se il dispositivo di destinazione non è presente Windows, Vulnerability Scanner tenta di connettersi alla porta 14942 per verificare che ServerProtect per Linux sia installato. Agente OfficeScan Per verificare se l'Agente OfficeScan è installato, Vulnerability Scanner utilizza la porta dell'Agente OfficeScan. Controlla inoltre se il processo TmListen.exe è in esecuzione. Se viene eseguito dalla posizione predefinita, ottiene il numero di porta in modo automatico. Se Vulnerability Scanner viene avviato in un dispositivo diverso dal server OfficeScan, controllare la porta di comunicazione dell'altro dispositivo prima di utilizzarla. PortalProtect™ Per controllare l'installazione del prodotto, Vulnerability Scanner carica la pagina Web http://localhost:port/PortalProtect/ index.html. 5-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Prodotto Descrizione ScanMail™ per Microsoft Exchange™ Per controllare l'installazione di ScanMail, Vulnerability Scanner carica la pagina Web http://ipaddress:port/scanmail.html. Per impostazione predefinita, ScanMail utilizza la porta 16372. Se ScanMail utilizza un numero di porta differente, specificare tale numero. In caso contrario, Vulnerability Scanner non è in grado di rilevare ScanMail. Serie InterScan™ Per controllare l'installazione dei prodotti, Vulnerability Scanner carica la pagina Web di ciascun prodotto. • InterScan Messaging Security Suite 5.x: http:// localhost:port/eManager/cgi-bin/eManager.htm • InterScan eManager 3.x: http://localhost:port/eManager/cgibin/eManager.htm • InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgibin/interscan.dll Trend Micro Internet Security™ (PC-cillin) Per controllare se Trend Micro Internet Security è installato, Vulnerability Scanner utilizza la porta 40116. McAfee VirusScan ePolicy Orchestrator Vulnerability Scanner invia un token speciale alla porta TCP 8081, la porta predefinita di ePolicy Orchestrator per la connessione tra server e agente. Il dispositivo con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Vulnerability Scanner non è in grado di rilevare McAfee VirusScan standalone. Norton Antivirus™ Corporate Edition Vulnerability Scanner invia un token speciale alla porta UDP 2967, la porta predefinita di Norton Antivirus Corporate Edition RTVScan. Il dispositivo con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Poiché Norton Antivirus Corporate Edition comunica tramite UDP, il livello di accuratezza non è garantito. Inoltre il traffico di rete potrebbe influenzare il tempo di attesa UDP. Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati di seguito: • RPC: rileva ServerProtect per NT • UDP: rileva i client Norton AntiVirus Corporate Edition 5-56 Installazione dell'agente OfficeScan • TCP: rileva McAfee VirusScan ePolicy Orchestrator • ICMP: rileva i computer tramite l'invio di pacchetti ICMP • HTTP: rileva gli Agenti OfficeScan • DHCP: se rileva una richiesta DHCP, Vulnerability Scanner controlla se sul dispositivo che invia la richiesta sia già installato un software antivirus. Configurazione delle impostazioni della query del prodotto Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner (TMVS.exe): a. Avviare TMVS.exe. b. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. Andare alla sezione Query prodotto. d. Selezionare i prodotti da esaminare. e. Fare clic su Impostazioni accanto al nome del prodotto e specificare il numero di porta che verrà controllato da Vulnerability Scanner. f. Fare clic su OK. La schermata Impostazioni si chiude. 2. Consente di impostare il numero di computer che verranno contemporaneamente controllati da Vulnerability Scanner per verificare la presenza di software di sicurezza. a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note. 5-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 b. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità manuale, modificare il valore per ThreadNumManual. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumManual=60 se si desidera che Vulnerability Scanner esegua il controllo su 60 computer alla volta. c. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità pianificata, modificare il valore per ThreadNumSchedule. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumSchedule=50 se si desidera che Vulnerability Scanner esegua il controllo su 50 computer alla volta. d. Salvare il file TMVS.ini. Metodo per recuperare le descrizioni dei dispositivi Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, può reperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi di recupero delle informazioni: • Recupero rapido: recupera solo il nome del dispositivo. • Recupero normale: recupera le informazioni sia del dominio che del dispositivo Configurazione delle impostazioni di recupero Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 5-58 Installazione dell'agente OfficeScan 3. Andare alla sezione Metodo per recuperare le descrizioni computer. 4. Selezionare Normale o Rapido. 5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizioni computer quando disponibili. 6. Fare clic su OK. La schermata Impostazioni si chiude. Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Configurazione delle impostazioni di notifica Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Notifica. 4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi o ad altri amministratori nell'organizzazione: a. Selezionare Risultati e-mail all'amministratore di sistema. b. Fare clic su Configura per specificare le impostazioni e-mail. c. Nel campo A immettere l'indirizzo e-mail del destinatario. 5-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 d. Nel campo Da, immettere l'indirizzo e-mail del mittente. e. Nel campo Server SMTP digitare l'indirizzo del server SMTP. ad esempio smtp.azienda.com. Le informazioni sul server SMTP sono obbligatorie. 5. 6. f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppure accettare quello predefinito. g. Fare clic su OK. Per comunicare agli utenti che sui computer non è installato il software di sicurezza: a. Selezionare Visualizza una notifica sui computer non protetti. b. Fare clic su Personalizza per configurare il messaggio di notifica. c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio o accettare il messaggio predefinito. d. Fare clic su OK. Fare clic su OK. La schermata Impostazioni si chiude. Risultati scansione vulnerabilità È possibile configurare Vulnerability Scanner in modo da salvare i risultati della scansione in un file CSV. Configurazione risultati di scansione Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. 5-60 Avviare TMVS.exe. Installazione dell'agente OfficeScan 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Salva risultati. 4. Selezionare Salva automaticamente i risultati in un file CSV. 5. Per cambiare la cartella predefinita in cui salvare il file CSV: 6. a. Fare clic su Sfoglia. b. Selezionare una cartella di destinazione nel dispositivo o nella rete. c. Fare clic su OK. Fare clic su OK. La schermata Impostazioni si chiude. Impostazioni ping Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina di destinazione e verificare il sistema operativo usato. Se queste impostazioni sono disattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallo specificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi il tentativo di eseguire la scansione impiegherà più tempo di quanto previsto. Configurazione delle impostazioni ping Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe): a. Avviare TMVS.exe. b. Fare clic su Impostazioni. 5-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Viene visualizzata la schermata Impostazioni. c. Andare alla sezione delle impostazioni Ping. d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping dei computer della rete per verificarne lo stato. e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi Dimensioni pacchetto e Timeout. f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta del sistema operativo ICMP. Se si seleziona questa opzione, Vulnerability Scanner determina se una macchina host esegue Windows o un altro sistema operativo. Per le macchine host con Windows, Vulnerability Scanner è in grado di identificare la versione di Windows. g. Fare clic su OK. La schermata Impostazioni si chiude. 2. Per impostare il numero di computer che verranno sottoposti contemporaneamente a ping da parte di Vulnerability Scanner: a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note. b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64. Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner effettui il ping su 60 computer alla volta. c. Salvare il file TMVS.ini. Impostazioni server OfficeScan Le impostazioni del server OfficeScan sono usate quando: • 5-62 Vulnerability Scanner è in grado di installare l'Agente OfficeScan su macchine di destinazione non protette. Le impostazioni del server consentono a Vulnerability Installazione dell'agente OfficeScan Scanner di identificare il server principale dell'Agente OfficeScan e le credenziali amministrative da usare per il collegamento alle macchine di destinazione. Nota Alcune condizioni possono impedire l'installazione dell'Agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'Agente OfficeScan con Vulnerability Scanner a pagina 5-43. • Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan. Configurazione impostazioni server OfficeScan Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Impostazioni server OfficeScan. 4. Immettere il nome e il numero della porta del server OfficeScan. 5. Selezionare Installa automaticamente l'agente OfficeScan sui computer non protetti. 6. Per configurare le credenziali amministrative: a. Fare clic su Installa nell'account. b. Nella schermata Informazioni account, digitare un nome utente e una password. c. Fare clic su OK. 5-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. Selezionare Invia registri al server OfficeScan. 8. Fare clic su OK. La schermata Impostazioni si chiude. Installazione con Conformità sicurezza Installare gli Agenti OfficeScan nei computer dei domini della rete oppure installare l'Agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP. Prima di installare l'Agente OfficeScan, tenere presente quando segue: Procedura 1. Prendere nota delle credenziali di accesso di ciascun dispositivo. Durante l'installazione, OfficeScan richiede di specificare le credenziali di accesso. 2. L'Agente OfficeScan non viene installato in un dispositivo nei casi seguenti: 3. 5-64 • Il server OfficeScan è installato nel dispositivo. • Nel dispositivo è in esecuzione Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7 Home Basic, Windows 7 Home Premium, Windows 8 (versioni di base), Windows 8.1 (versioni di base) e Windows 10 Home. Per i computer con tali piattaforme è necessario scegliere un altro metodo di installazione. Consultare Considerazioni sull'implementazione a pagina 5-11 per ulteriori dettagli. Se nel dispositivo di destinazione viene eseguito Windows Vista (Business, Enterprise o Ultimate Edition) Windows 7 (Professional, Enterprise o Ultimate Edition), Windows 8 (Pro, Enterprise), Windows 8.1 (Pro, Enterprise), Windows 10 (Pro, Education, Enterprise) o Windows Server 2012 (Standard), eseguire nel dispositivo la procedura riportata di seguito: a. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. b. Disattivare il firewall di Windows. Installazione dell'agente OfficeScan c. Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". e. Aprire Microsoft Management Console (da Start > Esegui, digitare services.msc) e avviare il servizio Registro remoto. Quando si installa l'Agente OfficeScan, utilizzare l'account e la password di amministratore integrati. 4. Se nel dispositivo sono installati programmi di protezione del dispositivo di Trend Micro o di terzi, verificare se OfficeScan è in grado di disinstallare automaticamente il software e sostituirlo con l'Agente OfficeScan. Per ottenere un elenco del software di protezione del agente che OfficeScan è in grado di disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Per aprire tali file utilizzare un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nel dispositivo di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al processo di disinstallazione del software, potrebbe essere necessario riavviare il dispositivo. Installazione dell'agente OfficeScan Procedura 1. Accedere a Valutazione > Dispositivi non gestiti. 2. Fare clic su Installa in cima alla struttura agente. • Se nel dispositivo è già installata una versione precedente dell'Agente OfficeScan e si fa clic su Installa, l'installazione non viene eseguita e l'agente non viene aggiornato a questa versione. Per aggiornare l'agente, è necessario disattivare un'impostazione. 5-65 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 a. Accedere a Agenti > Gestione agente. b. Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Altre impostazioni. c. Disattivare l'opzione Gli agenti OfficeScan possono aggiornare i componenti, ma non possono aggiornare il programma agente né implementare gli hotfix. 3. Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic su Accesso. OfficeScan avvia l'installazione dell'agente nel dispositivo di destinazione. 4. Visualizzare lo stato dell'installazione. Migrazione all'agente OfficeScan Sostituire il software di protezione dell'agente installato su un dispositivo di destinazione con l'Agente OfficeScan. Migrazione da altro software di protezione dispositivo Quando si installa l'Agente OfficeScan, il programma di installazione esegue il controllo del software di protezione del dispositivo di Trend Micro o di terzi installato nel dispositivo di destinazione. Il programma di installazione è in grado di disinstallare automaticamente il software e di sostituirlo con l'Agente OfficeScan. Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in grado di disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server> \PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nel dispositivo di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al processo di disinstallazione del software, potrebbe essere necessario riavviare il dispositivo. 5-66 Installazione dell'agente OfficeScan Problemi di migrazione dell'agente OfficeScan • Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente ha riscontrato dei problemi nell'uso dell'Agente OfficeScan subito dopo l'installazione, riavviare il dispositivo. • Se il programma di installazione OfficeScan ha eseguito l'installazione dell'Agente OfficeScan senza disinstallare l'altro software di protezione, si verificheranno dei conflitti tra i due software. Disinstallare entrambi i software, quindi installare l'Agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazioni sull'implementazione a pagina 5-11. Migrazione dai normali server ServerProtect Lo strumento di migrazione del server normale ServerProtect™ consente di effettuare la migrazione di computer con server normali Trend Micro ServerProtect all'Agente OfficeScan. Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifiche hardware e software del server OfficeScan. Eseguire lo strumento su computer con Windows Server 2003 e Windows Server 2008. Se la disinstallazione del server normale ServerProtect viene completata, lo strumento installa l'Agente OfficeScan. Consente inoltre di migrare le impostazioni dell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) all'Agente OfficeScan. Durante l'installazione dell'Agente OfficeScan, potrebbe verificarsi il timeout del programma di installazione dell'agente dello strumento di migrazione ed essere visualizzata una notifica per avvisare che l'installazione non è riuscita. Tuttavia, non è detto che l'Agente OfficeScan non sia stato installato correttamente. Verificare l'installazione sul dispositivo agente dalla console Web OfficeScan. La migrazione non riesce nelle seguenti situazioni: • L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione non supporta l'indirizzamento IPv6. • L'agente remoto non è in grado di utilizzare il protocollo NetBIOS. • Le porte 455, 337 e 339 sono bloccate. 5-67 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • L'agente remoto non è in grado di utilizzare il protocollo RPC. • Il servizio Registro remoto s'interrompe. Nota Lo strumento di migrazione del server normale ServerProtect non effettua la disinstallazione dell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallare l'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager. Utilizzo dello strumento di migrazione di server normali ServerProtect Procedura 1. Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV \Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in Cartella di installazione del server>\PCCSRV\Admin. 2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento. Viene visualizzata la console dello strumento di migrazione del server normale ServerProtect. 3. Selezionare il server OfficeScan. Il percorso del server OfficeScan viene visualizzato nel percorso server di OfficeScan. Se il percorso non è quello corretto, fare clic su Sfoglia e selezionare la cartella PCCSRV nella directory di installazione di OfficeScan. Per attivare lo strumento in modo che al successivo utilizzo trovi automaticamente il server OfficeScan, selezionare la casella di controllo Individuazione automatica percorso server (selezionata per impostazione predefinita). 4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtect per i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nella sezione Dispositivo di destinazione: • 5-68 Struttura di rete Windows: visualizza una struttura ad albero dei domini presenti nella rete. Per selezionare i computer che utilizzano questo metodo, fare clic sui domini sui quali effettuare la ricerca dei computer agente. Installazione dell'agente OfficeScan • Nome server informazioni: effettua la ricerca in base al nome server informazioni. Per selezionare i computer con questo metodo, immettere il nome di un server informazioni presente sulla propria rete. Per effettuare la ricerca di diversi server informazioni, inserire un punto e virgola ";" tra i nomi dei server. • Nome server normale certo: effettua la ricerca in base al nome server normale. Per selezionare i computer con questo metodo, immettere il nome di un server normale presente sulla propria rete. Per effettuare la ricerca su diversi server normali, inserire un punto e virgola ";" tra i nomi dei server. • Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Per selezionare i computer con questo metodo, immettere un intervallo di indirizzi IP di classe B nella casella Intervallo IP. Nota Se un server DNS presente in rete non risponde in fase di ricerca degli agenti, anche l'operazione di ricerca non risponde. Attendere il timeout della ricerca. 5. Selezionare Riavvio dopo l'installazione per riavviare automaticamente i computer di destinazione dopo la migrazione. Per completare la migrazione correttamente, è necessario riavviare il computer. Se non si seleziona questa opzione, riavviare il computer manualmente dopo la migrazione. 6. Fare clic su Cerca. I risultati della ricerca vengono visualizzati nella sezione Server normali ServerProtect. 7. 8. Fare clic sui computer per i quali effettuare la migrazione. a. Per selezionare tutti i computer, fare clic su Seleziona tutto. b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto. c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic su Esporta in CSV. Se per accedere ai computer di destinazione sono necessari nome utente e password, effettuare le seguenti operazioni: 5-69 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 a. Selezionare la casella di controllo Usa account/password gruppo. b. Fare clic su Imposta account di accesso. Viene visualizzata la finestra Inserisci informazioni di amministrazione. c. Immettere il nome utente e la password. Nota Per accedere al dispositivo di destinazione, utilizzare l'account di amministratore locale o di dominio. Se si effettua l'accesso senza i necessari privilegi (ad esempio, come "Guest" o "Utente normale"), non sarà possibile effettuare l'installazione. 9. d. Fare clic su OK. e. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri di poter inserire il nome utente e la password nel corso del processo di migrazione nel caso in cui l'accesso risulti impossibile. Fare clic su Migra. 10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare i computer di destinazione dopo la migrazione. Post-installazione Al termine dell'installazione, verificare i seguenti elementi: • Collegamento all'agente OfficeScan a pagina 5-71 • Elenco programmi a pagina 5-71 • Servizi dell'agente OfficeScan a pagina 5-71 • Registri di installazione dell'agente OfficeScan a pagina 5-72 5-70 Installazione dell'agente OfficeScan Collegamento all'agente OfficeScan I collegamenti all'Agente OfficeScan vengono visualizzati nel menu Start di Windows nel dispositivo agente. Figura 5-2. Collegamento all'Agente OfficeScan Elenco programmi Security Agent è incluso nell'elenco Installazione applicazioni del Pannello di controllo del dispositivo agente. Servizi dell'agente OfficeScan I seguenti servizi dell'Agente OfficeScan sono visualizzati in Microsoft Management Console: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) Nota OfficeScan NT Proxy Service non è presente su piattaforme Windows 7/8/8.1/10 o Windows Server 2008 R2/2012. • OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durante l'installazione • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) 5-71 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Framework soluzione client comune Trend Micro (TmCCSF.exe) Registri di installazione dell'agente OfficeScan Il registro di installazione dell'Agente OfficeScan, OFCNT.LOG, si trova nei percorsi riportati di seguito: • %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazione del pacchetto MSI • %temp% per il metodo di installazione con il pacchetto MSI Attività post-installazione consigliate Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni. Aggiornamento dei componenti Per essere sicuri che tutti gli agenti siano dotati della protezione più recente contro i rischi per la sicurezza, aggiornare i componenti degli agenti OfficeScan. È possibile eseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agli utenti di eseguire "Aggiorna ora" dai propri computer. Scansione di prova mediante lo script di prova EICAR L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per la ricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consente di controllare in modo sicuro la corretta installazione e configurazione del software antivirus. Per ulteriori informazioni, visitare il sito Web EICAR: http://www.eicar.org Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo file non è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei software antivirus reagiscono a tale file come se si trattasse di un virus. È possibile utilizzare il file per simulare un'infezione virale e verificare così il corretto funzionamento delle notifiche e-mail e dei registri dei virus. 5-72 Installazione dell'agente OfficeScan AVVERTENZA! Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus. Esecuzione di una scansione di prova Procedura 1. Attivare la scansione in tempo reale sull'agente. 2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testo semplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* 3. Salvare il file denominandolo EICAR.com in una directory temporanea. OfficeScan rileva immediatamente il file. 4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato in un messaggio e-mail e inviarlo ad uno dei computer. Suggerimento Trend Micro consiglia di comprimere il file EICAR utilizzando un software di compressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova. Disinstallazione del Agente OfficeScan Per disinstallare l'Agente OfficeScan dai computer, è possibile procedere in due modi: • Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-74 • Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-76 Se non è possibile disinstallare l'Agente OfficeScan con i metodi illustrati, rimuovere manualmente l'Agente OfficeScan. Per i dettagli, consultare Disinstallazione manuale dell'agente OfficeScan a pagina 5-76. 5-73 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Disinstallazione dell'agente OfficeScan dalla console Web Disinstallare il programma Agente OfficeScan dalla console Web. Per mantenere il dispositivo protetto dai rischi per la sicurezza, eseguire la disinstallazione solo in caso di problemi con il programma, quindi reinstallarlo immediatamente. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Operazioni > Disinstallazione di Agent. 4. Nella schermata Disinstallazione Agent, fare clic su Avvia disinstallazione. Il server invia una notifica agli agenti. 5. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la notifica. ) per a. Fare clic su Seleziona dispositivi non notificati, quindi su Avvia disinstallazione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta. b. Fare clic su Interrompi disinstallazione se si desidera che OfficeScan interrompa l'invio della notifica agli agenti. Gli Agenti che hanno già ricevuto la notifica hanno già avviato il processo di disinstallazione e pertanto ignorano questo comando. Programma di disinstallazione dell'agente OfficeScan Assegnare agli utenti i privilegi per disinstallare il programma Agente OfficeScan e richiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer. In base alla configurazione, la disinstallazione può richiedere o meno una password. Se è richiesta una password, assicurarsi di condividere la password solo con gli utenti che 5-74 Installazione dell'agente OfficeScan devono eseguire il programma di disinstallazione e cambiarla immediatamente se viene divulgata ad altri utenti. Assegnazione dei privilegi di disinstallazione dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Disinstallazione. 5. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionare Consenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta una password, selezionare Richiedi una password per disinstallare l'agente OfficeScan, digitare la password e confermarla. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 5-75 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Esecuzione del Programma di disinstallazione dell'agente OfficeScan Procedura 1. Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScan Agent > Disinstalla l'agente OfficeScan. È inoltre possibile eseguire la procedura riportata di seguito: 2. a. Fare clic su Pannello di controllo > Installazione applicazioni. b. Individuare Trend Micro OfficeScan Agent e fare clic su Cambia. c. Seguire le istruzioni visualizzate. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza una finestra che informa l'utente sul progresso e il completamento della disinstallazione. Per completare la disinstallazione, non è necessario riavviare il dispositivo agente. Disinstallazione manuale dell'agente OfficeScan Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione dell'Agente OfficeScan dalla console Web o dopo aver eseguito il programma di disinstallazione. Procedura 1. Accedere al dispositivo agente mediante un account con privilegi di amministratore. 2. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan presente nella barra delle applicazioni e selezionare Scarica OfficeScan. Se viene richiesta una password, specificare la password per la rimozione, quindi fare clic su OK. 5-76 Installazione dell'agente OfficeScan Nota 3. • In Windows 8, 8.1, 10 e Windows Server 2012, passare alla modalità desktop per rimuovere l'Agente OfficeScan. • Disattivare la password nei computer in cui l'Agente OfficeScan verrà rimosso. Per i dettagli, consultare Configurazione dei privilegi e di altre impostazioni dell'agente a pagina 14-94. Se la password per la rimozione non è stata specificata, utilizzare Microsoft Management Console per interrompere i servizi riportati di seguito: • OfficeScan NT Listener • OfficeScan NT Firewall • Scansione in tempo reale di OfficeScan NT • OfficeScan NT Proxy Service Nota OfficeScan NT Proxy Service non è presente sulle piattaforme Windows 7, 8, 8.1, 10 o Windows Server 2008R2 e 2012. 4. • Servizio prevenzione modifiche non autorizzate di Trend Micro • Framework soluzione client comune Trend Micro Rimuovere il collegamento all'Agente OfficeScan dal menu Start. • In Windows 8, 8.1, 10 e Windows Server 2012: a. passare alla modalità desktop. b. Spostare il puntatore del mouse sull'angolo in basso a destra dello schermo e scegliere Start dal menu visualizzato. Viene visualizzata la schermata Home. c. Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan. d. Fare clic su Rimuovi da Start. 5-77 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • In tutte le altre piattaforme Windows: Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse su Trend Micro OfficeScan Agent, quindi fare clic su Elimina. 5. Aprire l'editor del Registro di sistema (regedit.exe). AVVERTENZA! La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se si apportano modifiche errate al registro di sistema, possono verificarsi seri problemi nel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre una copia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor del registro. 6. Eliminare le chiavi di registro riportate di seguito: • Se nel dispositivo non sono installati altri prodotti Trend Micro: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro • Se nel dispositivo sono installati altri prodotti Trend Micro, eliminare solo le chiavi riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro \OfcWatchDog • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro \PC-cillinNTCorp 5-78 Installazione dell'agente OfficeScan 7. Eliminare i valori o le chiavi di registro riportati di seguito: • • 8. Per sistemi a 32 bit: • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\OfficeScanNT • OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run Per sistemi a 64 bit: • HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft \Windows\CurrentVersion\Uninstall\OfficeScanNT • OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE \SOFTWARE\ Wow6432Node\Microsoft\Windows \CurrentVersion\Run Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati di seguito: • • Percorsi: • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services Chiavi: • NTRtScan • tmcfw • tmcomm • TmFilter • TmListen 5-79 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • tmpfw • TmPreFilter • TmProxy Nota TmProxy non è presente sulle piattaforme Windows 7/8/8.1/10 o Windows Server 2008 R2/2012. • tmtdi Nota tmtdi non è presente sulle piattaforme Windows 8/8.1/10 o Windows Server 2012. 5-80 • VSApiNt • tmlwf (per computer Windows Vista/Server 2008/7/8/8.1/10/Server 2012) • tmwfp (per computer Windows Vista/Server 2008/7/8/8.1/10/Server 2012) • tmactmon • TMBMServer • TMebc • tmevtmgr • tmeevw (per computer Windows 7/8/8.1/10/Server 2008 R2/Server 2012) • tmusa (per computer Windows 7/8/8.1/10/Server 2008 R2/Server 2012) • tmnciesc • tmeext (per Windows XP/2003) Installazione dell'agente OfficeScan 9. Chiudere l'editor del Registro di sistema. 10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic su Sistema. Nota Saltare questo passaggio nei sistemi Windows 8/8.1/10 e Windows Server 2012. 11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi. Nota Saltare questo passaggio nei sistemi Windows 8/8.1/10 e Windows Server 2012. 12. Fare clic su Visualizza > Mostra dispositivi nascosti. Nota Saltare questo passaggio nei sistemi Windows 8/8.1/10 e Windows Server 2012. 13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati di seguito (Windows XP/Vista/7/Server 2003/Server 2008): • tmcomm • tmactmon • tmevtmgr • Trend Micro Filter • Trend Micro PreFilter • Trend Micro TDI Driver • Trend Micro VSAPI NT • Servizio prevenzione modifiche non autorizzate di Trend Micro • Trend Micro WFP Callout Driver (per computer con Windows Vista/Server 2008/7) 5-81 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 14. Per eliminare manualmente i driver di Trend Micro con un editor della riga di comando (solo Windows 8/8.1/10/Server 2012), eseguire i comandi seguenti: • sc delete tmcomm • sc delete tmactmon • sc delete tmevtmgr • sc delete tmfilter • sc delete tmprefilter • sc delete tmwfp • sc delete vsapint • sc delete tmeevw • sc delete tmusa • sc delete tmebc Nota Per essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor da riga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tasto destro del mouse sul file cmd.exe e scegliere Esegui come amministratore). 15. Disinstallare il Driver comune Firewall. 5-82 a. Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic su Proprietà. b. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. c. Nella scheda Generale selezionare Driver comune Firewall di Trend Micro e fare clic su Disinstalla. Installazione dell'agente OfficeScan Nota I seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server 2008/7/8/8.1/10/Server 2012. Per gli agenti che utilizzano tutti gli altri sistemi operativi, passare al punto 15. d. Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà. e. Fare clic su Gestisci connessioni di rete. f. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. g. Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fare clic su Disinstalla. 16. Riavviare il dispositivo agente. 17. Se nel dispositivo non sono installati altri prodotti Trend Micro, eliminare la cartella di installazione di Trend Micro (in genere C:\Programmi\Trend Micro). Nei computer a 64 bit la cartella di installazione è in C:\Programmi (x86)\Trend Micro. 18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelle riportate di seguito: • <Cartella di installazione dell'agente> • La cartella BM nella cartella di installazione Trend Micro (solitamente C: \Programmi\Trend Micro\BM per i sistemi a 32 bit e C:\Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit) 5-83 Capitolo 6 Come mantenere la protezione aggiornata In questo capitolo vengono descritti i componenti e le procedure di aggiornamento di OfficeScan. Di seguito sono riportati gli argomenti trattati: • Programmi e componenti di OfficeScan a pagina 6-2 • Panoramica sugli aggiornamenti a pagina 6-14 • Aggiornamenti server OfficeScan a pagina 6-17 • Aggiornamenti di Integrated Smart Protection Server a pagina 6-30 • Aggiornamenti dell'agente OfficeScan a pagina 6-30 • Update Agent a pagina 6-58 • Riepilogo aggiornamento componenti a pagina 6-67 6-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Programmi e componenti di OfficeScan OfficeScan utilizza i componenti e i programmi per mantenere i computer agente protetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti e programmi aggiornati, eseguire gli aggiornamenti manuali o pianificati. Oltre ai componenti, gli agenti OfficeScan ricevono anche i file di configurazione aggiornati dal server OfficeScan. Gli agenti necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. I componenti sono raggruppati come segue: • Componenti antivirus a pagina 6-2 • Componenti di Damage Cleanup Services a pagina 6-7 • Componenti anti-spyware a pagina 6-7 • Componenti firewall a pagina 6-8 • Componente di Reputazione Web a pagina 6-9 • Componenti monitoraggio del comportamento a pagina 6-9 • Programmi a pagina 6-11 • Componenti Connessioni sospette a pagina 6-13 • Soluzione minaccia browser a pagina 6-13 Componenti antivirus I componenti antivirus sono composti dai pattern, driver e motori seguenti: 6-2 • Pattern antivirus a pagina 6-3 • Motore di scansione virus a pagina 6-4 • Driver scansione dei virus a pagina 6-5 • Pattern IntelliTrap a pagina 6-6 Come mantenere la protezione aggiornata • Pattern eccezioni IntelliTrap a pagina 6-6 • Pattern ispezione memoria a pagina 6-6 Pattern antivirus Il pattern antivirus disponibile nel agente dispositivo dipende dal metodo di scansione utilizzato dall'agente. Per informazioni sui metodi di scansione, vedere Tipi di metodi di scansione a pagina 7-8. Tabella 6-1. Pattern antivirus Metodo di scansione Scansione convenzionale Pattern in uso Il Pattern antivirus contiene informazioni che consentono a OfficeScan di identificare i virus, i malware e le minacce informatiche di tipo misto più recenti. Trend Micro crea e distribuisce nuove versioni del Pattern antivirus più volte a settimana e ogniqualvolta viene scoperto un virus o malware particolarmente dannoso. Trend Micro consiglia di pianificare gli aggiornamenti automatici in modo che vengano effettuati almeno ogni ora; questa è l'impostazione predefinita per tutti i prodotti. 6-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo di scansione Smart Scan Pattern in uso Nella modalità Smart Scan gli Agenti OfficeScan utilizzano due pattern leggeri che vengono integrati per fornire lo stesso livello di protezione dei pattern anti-malware e anti-spyware convenzionali. Un'origine Smart Protection ospita lo Smart Scan Pattern. Questo pattern viene aggiornato ogni ora e contiene la maggior parte delle definizioni dei pattern. Questo pattern non viene scaricato dagli agenti Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. L'origine aggiornamenti dell'agente (il server OfficeScan oppure un'origine aggiornamenti personalizzata) ospita il Pattern agente Smart Scan. Questo pattern viene aggiornato quotidianamente e contiene tutte le altre definizioni dei pattern non disponibili in Smart Scan Pattern. Gli agenti scaricano questo pattern dall'origine aggiornamenti utilizzando gli stessi metodi di download degli altri componenti OfficeScan. Per ulteriori informazioni su Smart Scan Pattern e Smart Scan Agent Pattern, vedere File Smart Protection Pattern a pagina 4-8. Motore di scansione virus Il motore di scansione rappresenta il fulcro di tutti i prodotti Trend Micro e originariamente è stato sviluppato in risposta ai primi virus dei dispositivi basati su file. Il motore di scansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi di Virus e minacce informatiche a pagina 7-2. Il motore di scansione inoltre rileva i virus controllati sviluppati e utilizzati per la ricerca. Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei pattern collaborano per identificare gli elementi riportati di seguito: • Caratteristiche riconoscibili del codice del virus • La posizione precisa del virus all'interno del file OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristina l'integrità del file. 6-4 Come mantenere la protezione aggiornata Aggiornamento del motore di scansione Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su virus o minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre al minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti circostanze: • Implementazione di nuove tecnologie di scansione e rilevamento all'interno del software. • Scoperta di un nuovo virus potenzialmente molto dannoso che il motore di scansione non è in grado di gestire • Miglioramento delle prestazioni di scansione • Aggiunta di formati di file, linguaggi per script, codifica e/o formati di compressione Driver scansione dei virus Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Le operazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sono TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazione in tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delle operazioni degli utenti. Nota Questo componente non viene visualizzato nella console. Per verificare la versione in uso, accedere a vCartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsante destro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione. 6-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Pattern IntelliTrap Pattern IntelliTrap ( Per maggiori dettagli, consultare IntelliTrap a pagina E-7 ). Il pattern rileva i file compressi in tempo reale impacchettati come file eseguibili. Pattern eccezioni IntelliTrap Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati". Pattern ispezione memoria La scansione in tempo reale utilizza il Pattern ispezione memoria per valutare i file compressi eseguibili identificati dal monitoraggio del comportamento. La scansione in tempo reale effettua nei file compressi eseguibili le seguenti azioni: 1. Crea un file di mappatura nella memoria dopo aver verificato il percorso di immagine del processo. Nota L'elenco di esclusione scansione sovrascrive la scansione del file. 2. 6-6 Invia l'ID di processo al Servizio di protezione avanzata che quindi: a. Usa il Motore di scansione virus per effettuare la scansione della memoria. b. Filtra il processo tramite gli elenchi Approvati globali per i file di sistema Windows, i file con firma digitale da origini affidabili e i file sottoposti a test da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non esegue alcuna azione sul medesimo. 3. Dopo aver elaborato la scansione della memoria, il Servizio di protezione avanzata invia i risultati alla Scansione in tempo reale. 4. La Scansione in tempo reale quindi mette in quarantena eventuali minacce informatiche rilevate e interrompe il processo. Come mantenere la protezione aggiornata Componenti di Damage Cleanup Services I componenti di Damage Cleanup Services sono composti dal motore e dal modello seguenti. • Motore di disinfezione virus a pagina 6-7 • Modello disinfezione virus a pagina 6-7 • Driver preliminare cleanup a pagina 6-7 Motore di disinfezione virus Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativi processi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit. Modello disinfezione virus Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus per individuare i file dei cavalli di Troia e i relativi processi per consentire al motore di eliminarli. Driver preliminare cleanup Il driver preliminare cleanup di Trend Micro viene caricato prima dei driver del sistema operativo, consentendo il rilevamento e il blocco dei rootkit di tipo boot. Dopo il caricamento dell'Agente OfficeScan, il driver preliminare cleanup di Trend Micro richiama Damage Cleanup Services per disinfettare il rootkit. Componenti anti-spyware I componenti anti-spyware sono formati dal motore e dai pattern seguenti: • Pattern spyware a pagina 6-8 • Motore di scansione spyware a pagina 6-8 6-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Pattern di monitoraggio attivo spyware a pagina 6-8 Pattern spyware Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli di memoria, nel registro di Windows e nei collegamenti URL. Motore di scansione spyware Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata su spyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit. Pattern di monitoraggio attivo spyware Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo reale di spyware/grayware. Solo gli agenti con scansione convenzionale utilizzano questo pattern. Gli agenti Smart Scan utilizzano Pattern agente Smart Scan per la scansione in tempo reale di spyware/grayware. Se non è possibile determinare il rischio della destinazione della scansione, gli Agenti inviano query di scansione a un'origine Smart Protection. Componenti firewall I componenti Firewall sono composti dal pattern e dal driver seguenti: • Driver comune Firewall a pagina 6-8 • Pattern comune firewall a pagina 6-9 Driver comune Firewall Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire la scansione dei computer agente per rilevare virus di rete. Questo driver supporta piattaforme a 32 bit e a 64 bit. 6-8 Come mantenere la protezione aggiornata Pattern comune firewall Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuare le impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus di rete. Componente di Reputazione Web Il componente di reputazione Web è il Motore Filtro URL. Motore Filtro URL Il motore di filtro URL consente la comunicazione tra OfficeScan e il servizio di filtro URL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL e trasmette a OfficeScan le informazioni sulla valutazione. Componenti monitoraggio del comportamento I componenti del monitoraggio del comportamento sono composti dai pattern, driver e servizi seguenti: • Pattern rilevamento monitoraggio del comportamento a pagina 6-9 • Driver monitoraggio del comportamento a pagina 6-10 • Servizio principale monitoraggio del comportamento a pagina 6-10 • Pattern di configurazione monitoraggio del comportamento a pagina 6-10 • Digital Signature Pattern a pagina 6-10 • Pattern implementazione dei criteri a pagina 6-10 Pattern rilevamento monitoraggio del comportamento Questo pattern contiene le regole per rilevare il comportamento relativo a minacce sospette. 6-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Driver monitoraggio del comportamento Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principale monitoraggio del comportamento per implementare i criteri. Servizio principale monitoraggio del comportamento Questo servizio in modalità utente ha le seguenti funzioni: • Rileva rootkit • Regola l'accesso ai dispositivi esterni • Protegge file, chiavi di registro e servizi Pattern di configurazione monitoraggio del comportamento Driver monitoraggio del comportamento utilizza questo pattern per individuare gli eventi di sistema normali ed escluderli dall'implementazione dei criteri. Digital Signature Pattern Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principale monitoraggio del comportamento per determinare se un programma responsabile di un evento di sistema è sicuro. Pattern implementazione dei criteri Servizio principale monitoraggio del comportamento controlla gli eventi di sistema rispetto ai criteri contenuti in questo pattern. Pattern avvio scansione memoria Monitoraggio del comportamento utilizza il Pattern avvio scansione memoria per identificare possibili minacce dopo il rilevamento delle seguenti operazioni: • 6-10 Azione di scrittura del file Come mantenere la protezione aggiornata • Azione di scrittura del registro • Creazione di un nuovo processo Dopo aver identificato una di queste operazioni, Monitoraggio del comportamento richiama il Pattern ispezione memoria della Scansione in tempo reale per verificare i rischi per la sicurezza. Per ulteriori informazioni sulle operazioni di scansione in tempo reale, consultare Pattern ispezione memoria a pagina 6-6. Programmi OfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti: • Programma Agente OfficeScan a pagina 6-11 • Hotfix, patch e service pack a pagina 6-11 Programma Agente OfficeScan Il programma Agente OfficeScan fornisce una protezione reale contro i rischi per la sicurezza. Hotfix, patch e service pack Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa gli elementi seguenti per risolvere problemi, migliorare le prestazioni del prodotto oppure aggiungere nuove funzionalità: • Hotfix a pagina E-5 • Patch a pagina E-10 • Patch di protezione a pagina E-11 • Service Pack a pagina E-12 6-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Quando questi elementi vengono resi disponibili, l'utente viene informato dal rivenditore o dal fornitore dell'assistenza. Per informazioni sulla pubblicazione di nuovi hotfix, patch e service pack, consultare il sito Web di Trend Micro: http://www.trendmicro.com/download/emea/?lng=it Tutte le pubblicazioni includono un file readme che contiene informazioni su installazione, implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamente il file readme. Cronologia hot fix e patch Quando il server OfficeScan implementa file di hot fix o patch negli Agenti OfficeScan, il programma Agente OfficeScan registra le informazioni su hot fix e patch nell'editor del Registro di sistema. È possibile inviare una query su queste informazioni a più agenti utilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™. Nota Questa funzione non registra hot fix e patch implementate solo nel server. Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1. • Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1 con patch 3.1 o versioni successive registrano le hot fix e le patch installate per la versione 8.0 e le versioni successive. • Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti alla versione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installate per la versione 10.0 e successive. Le informazioni sono memorizzate nelle chiavi riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\ CurrentVersion\HotfixHistory\<Product version> • Per computer con piattaforme di tipo x64: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PCcillinNTCorp\CurrentVersion\HotfixHistory\<Product version> 6-12 Come mantenere la protezione aggiornata Controllare le chiavi riportate di seguito: • Chiave: HotFix_installed Tipo: REG_SZ Valore: <Nome di hot fix o patch> • Chiave: HotfixInstalledNum Tipo: DWORD Valore: <Numero di hot fix o patch> Componenti Connessioni sospette I componenti di Connessioni sospette sono composti dal modello e dall'elenco seguenti: • Elenco IP C&C globale a pagina 6-13 • Pattern regola di pertinenza a pagina 6-13 Elenco IP C&C globale L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C noti. Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete. OfficeScan registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globale per la valutazione. Pattern regola di pertinenza Il servizio Connessioni sospette usa il Pattern regola di pertinenza per individuare per rilevare firme di famiglie di minacce uniche nelle intestazioni nei pacchetti di rete. Soluzione minaccia browser La Soluzione minaccia browser è composta da due modelli: 6-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Pattern prevenzione minaccia browser a pagina 6-14 • Pattern Script Analyzer a pagina 6-14 Pattern prevenzione minaccia browser Il pattern identifica le vulnerabilità più recenti del browser Web e impedisce l'uso di tali vulnerabilità per compromettere il browser Web. Pattern Script Analyzer Il pattern analizza gli script delle pagine Web e identifica gli script dannosi. Panoramica sugli aggiornamenti Tutti gli aggiornamenti dei componenti provengono dal server Trend Micro ActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le origini Smart Protection (Smart Protection Server o Smart Protection Network) scaricano i componenti aggiornati. I download delle origini Smart Protection e del server OfficeScan non si sovrappongono in quanto ciascun server scarica un insieme di componenti specifico. Nota È possibile configurare sia il server OfficeScan che Smart Protection Server in modo che eseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. A tale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per la configurazione di questa origine di aggiornamento, contattare l'assistenza tecnica. Aggiornamento del server OfficeScan e dell'agente OfficeScan Il server OfficeScan scarica la maggior parte dei componenti necessari agli agenti. L'unico componente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini Smart Protection. 6-14 Come mantenere la protezione aggiornata Se il server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamento potrebbe utilizzare una grande quantità di risorse del computer server e influire sulla stabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScan dispone della funzione Update Agent che consente ad alcuni agenti di condividere l'attività di distribuzione degli aggiornamenti agli altri agenti. La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento dei componenti per il server OfficeScan e gli agenti, con consigli per l'utilizzo: Tabella 6-2. Opzioni di aggiornamento Server-Agente Opzione di aggiornament o Descrizione Raccomandazione Server ActiveUpdate > Server > Agente Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate di Trend Micro (o da un'altra origine aggiornamenti) e avvia l'aggiornamento dei componenti sugli agenti. Utilizzare questo metodo se non ci sono sezioni di larghezza di banda ridotta tra il server OfficeScan e gli agenti. Server ActiveUpdate > Server > Update Agent > Agente Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate (o da un'altra origine aggiornamenti) e avvia l'aggiornamento dei componenti sugli agenti. Gli agenti OfficeScan designati come Update Agent segnalano agli altri agenti di aggiornare i componenti. Se ci sono sezioni a larghezza di banda ridotta tra il server OfficeScan e gli agenti, utilizzare questo metodo per bilanciare il carico del traffico nella rete. 6-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Opzione di aggiornament o Server ActiveUpdate > Update Agent > Agente Server ActiveUpdate > Agente Descrizione Raccomandazione Gli Update Agent ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine aggiornamenti) e segnalano agli agenti di aggiornare i componenti. Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento di Update Agent dal server OfficeScan o da un altro Update Agent. OfficeScan Gli agenti ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine aggiornamenti). Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento degli agenti dal server OfficeScan o da altri Update Agent. Nella maggior parte dei casi, gli Update Agent ricevono gli aggiornamenti più velocemente dal server OfficeScan o da altri Update Agent, piuttosto che da un'origine di aggiornamenti esterna. Nella maggior parte dei casi, gli agenti ricevono gli aggiornamenti più velocemente dal server OfficeScan o dagli Update Agent, rispetto a un'origine aggiornamenti esterna. Aggiornamento dell'origine Smart Protection Un'origine Smart Protection (Smart Protection Server o Smart Protection Network) scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. Nota Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini Smart Protection. 6-16 Come mantenere la protezione aggiornata Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle origini Smart Protection. Tabella 6-3. Processo di aggiornamento delle origini Smart Protection Processo di aggiornamento Descrizione Server ActiveUpdate > Smart Protection Network Trend Micro Smart Protection Network riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. Gli agenti Smart Scan che non sono connessi alla rete aziendale inviano query a Trend Micro Smart Protection Network. Server ActiveUpdate > Smart Protection Server Smart Protection Server (integrato o standalone) riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. Gli agenti Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. Smart Protection Network > Smart Protection Server Smart Protection Server (integrato o standalone) riceve gli aggiornamenti da Trend Micro Smart Protection Network. Gli agenti Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. Aggiornamenti server OfficeScan Il server OfficeScan scarica i componenti riportati di seguito e li implementa negli agenti: Tabella 6-4. Componenti scaricati dal server OfficeScan Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Antivirus Smart Scan Agent Pattern No Sì Pattern dei virus Sì No 6-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Pattern IntelliTrap Sì Sì Pattern eccezioni IntelliTrap Sì Sì Pattern ispezione memoria Sì Sì Motore di scansione virus (32 bit) Sì Sì Motore di scansione virus (64 bit) Sì Sì Pattern spyware Sì Sì Pattern di monitoraggio attivo spyware Sì No Motore di scansione spyware (32 bit) Sì Sì Motore di scansione spyware (64 bit) Sì Sì Modello disinfezione virus Sì Sì Motore di disinfezione virus (32-bit) Sì Sì Motore di disinfezione virus (64-bit) Sì Sì Driver preliminare cleanup (32 bit) Sì Sì Driver preliminare cleanup (64 bit) Sì Sì Sì Sì Anti-spyware Damage Cleanup Services Firewall Pattern comune firewall Componenti monitoraggio del comportamento 6-18 Come mantenere la protezione aggiornata Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Pattern rilevamento monitoraggio del comportamento (32 bit) Sì Sì Driver monitoraggio del comportamento a 32 bit Sì Sì Servizio principale monitoraggio del comportamento (32 bit) Sì Sì Pattern rilevamento monitoraggio del comportamento (64 bit) Sì Sì Driver monitoraggio del comportamento a 64 bit Sì Sì Servizio principale monitoraggio del comportamento (64 bit) Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Pattern implementazione dei criteri Sì Sì Digital Signature Pattern Sì Sì Pattern avvio scansione memoria (32 bit) Sì Sì Pattern avvio scansione memoria (64 bit) Sì Sì Elenco IP C&C globale Sì Sì Pattern regola di pertinenza Sì Sì Servizio di avvisi contatti C&C Soluzione minaccia browser 6-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Pattern prevenzione minaccia browser Sì Sì Pattern Script Analyzer Sì Sì Suggerimenti e promemoria per gli aggiornamenti: • Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti. • Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti agenti IPv6 puri. Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. • Trend Micro rilascia regolarmente i file di pattern, in modo da mantenere aggiornata la protezione dell'agente. Poiché i file di pattern sono disponibili regolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione dei componenti che consente un download più rapido dei file di pattern. Consultare Duplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori informazioni. • Se per il collegamento a Internet si utilizza un server proxy, utilizzare le impostazioni proxy corrette per il download degli aggiornamenti. • Nella Dashboard, della console Web, aggiungere il widget Aggiornamenti agente per visualizzare le versioni correnti dei componenti e determinare il numero di agenti con componenti aggiornati e obsoleti. 6-20 Come mantenere la protezione aggiornata Origini aggiornamenti del server OfficeScan Configurare il server OfficeScan per scaricare i componenti dal server ActiveUpdate di Trend Micro o da un'altra origine. È possibile specificare un'altra origine se il server OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per uno scenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-26. Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamente notificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delle impostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico. Se l'aggiornamento di un componente è particolarmente importante, fare in modo che il server invii la notifica agli agenti immediatamente accedendo a Aggiornamenti > Agenti > Aggiornamento manuale. Nota Se non vengono specificate impostazioni di aggiornamento attivate da eventi né una pianificazione delle impostazioni all'interno di Aggiornamenti > Agenti > Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà la notifica agli agenti affinché effettuino l'aggiornamento. Supporto IPv6 per gli aggiornamenti del server OfficeScan Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamento direttamente da origini IPv4 pure, come: • Server ActiveUpdate di Trend Micro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguire l'aggiornamento direttamente da origini personalizzate IPv6 pure. Per consentire a un server di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 6-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Proxy per gli aggiornamenti del server OfficeScan Configurare i programmi server ospitati nel computer server per utilizzare le impostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di Trend Micro. I programmi server comprendono il server OfficeScan e Integrated Smart Protection Server. Configurazione delle impostazioni proxy Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy esterno. 3. Accedere alla sezione Aggiornamenti server OfficeScan. 4. Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motore e licenza. 5. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero di porta. 6. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password. 7. Fare clic su Salva. Configurazione della fonte di aggiornamento server Procedura 1. Accedere a Aggiornamenti > Server > Origine aggiornamenti. 2. Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti. Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessione a Internet e, se si utilizza un server proxy, provare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-22. 6-22 Come mantenere la protezione aggiornata Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. Nota Il server OfficeScan utilizza la duplicazione dei componenti per scaricare i componenti dall'origine di aggiornamento. Consultare Duplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori dettagli. 3. Fare clic su Salva. Duplicazione dei componenti server OfficeScan Quando la versione più recente di un file di pattern completo è disponibile per il download dal server Trend Micro ActiveUpdate, sono disponibili anche 14 pattern incrementali. I pattern incrementali sono versioni ridotte del file di pattern completo che colmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti. Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175 contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (la versione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto i numeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175 contiene i dati presenti nella versione 175 e non presenti nella versione 171. Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScan esegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti in cui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Per informazioni sul modo in cui gli Update Agent eseguono la duplicazione dei componenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-64. La duplicazione dei componenti si applica ai seguenti componenti: • Pattern dei virus • Smart Scan Agent Pattern 6-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Modello disinfezione virus • Pattern eccezioni IntelliTrap • Pattern spyware • Pattern di monitoraggio attivo spyware Scenario di duplicazione dei componenti Per comprendere la duplicazione dei componenti per il server, considerare il seguente scenario: Tabella 6-5. Scenario di duplicazione dei componenti del server Pattern completi sul server OfficeScan Versione corrente: 171 169 167 165 161 159 Versione più recente sul server ActiveUpdate 173.175 171.175 169.175 167.175 165.175 163.175 161.175 159.175 157.175 155.175 153.175 151.175 149.175 147.175 1. Altre versioni disponibili: Il server OfficeScan confronta la versione attuale del pattern completo con la versione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è al massimo 14, il server scarica solo il pattern incrementale per colmare la differenza tra le due versioni. Nota Se la differenza è superiore a 14, il server scarica automaticamente la versione completa del file di pattern e 14 pattern incrementali. Esempio: • 6-24 La differenza tra le versioni 171 e 175 è 2. Questo significa che il server non dispone delle versioni 173 e 175. Come mantenere la protezione aggiornata • 2. Il server scarica il pattern incrementale 171.175. Questo pattern incrementale colma la differenza tra le versioni 171 e 175. Il server integra il pattern incrementale con il pattern completo corrente per generare il pattern completo più recente. Esempio: 3. • Sul server, OfficeScan integra la versione 171 con il pattern incrementale 171.175 per generare la versione 175. • Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente (versione 175). Il server genera pattern incrementali sulla base degli altri pattern completi disponibili sul server. Se il server non genera questi pattern incrementali, gli agenti che non hanno scaricato i pattern incrementali precedenti scaricano automaticamente il file di pattern completo, che genererà poi ulteriore traffico di rete. Esempio: • Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, può generare i seguenti pattern incrementali: 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • Il server non deve utilizzare la versione 171 perché dispone già del pattern incrementale 171.175. • Ora il server dispone di 7 pattern incrementali: 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • 4. Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169, 167, 165, 163, 161). Le versioni precedenti vengono rimosse (159). Il server confronta i pattern incrementali correnti con i pattern incrementali disponibili sul server ActiveUpdate. Il server scarica i pattern incrementali non presenti. Esempio: 6-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Il server ActiveUpdate ha 14 pattern incrementali: 173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175 • Il server OfficeScan ha 7 pattern incrementali: 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • Il server OfficeScan scarica altri 7 pattern incrementali: 173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175 • 5. Ora il server dispone di tutti i pattern incrementali disponibili sul server ActiveUpdate. Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili per gli agenti. Aggiornamenti server OfficeScan isolato Se il server OfficeScan appartiene a una rete completamente isolata da tutte le origini esterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguire l'aggiornamento da un'origine interna che contiene i componenti più recenti. In questo argomento vengono descritte le operazioni necessarie per eseguire l'aggiornamento di un server OfficeScan isolato. Aggiornamento di un server OfficeScan isolato Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte le operazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggi dettagliati di ciascuna operazione. Procedura 1. 6-26 Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager o un'altra macchina host. L'origine aggiornamenti deve disporre di: Come mantenere la protezione aggiornata • Una connessione Internet in modo da poter per scaricare i componenti più recenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet, il solo modo per ottenere i componenti aggiornati necessari le origini aggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelle origini aggiornamenti. • Una connessione funzionante con il server OfficeScan. Se tra il server OfficeScan e le origini aggiornamenti esiste un server proxy, configurare le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-22. • Spazio su disco sufficiente per i componenti scaricati 2. Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli, consultare Origini aggiornamenti del server OfficeScan a pagina 6-21. 3. Identificare i componenti che il server implementa per gli agenti. Per un elenco dei componenti implementabili, vedere Aggiornamenti dell'agente OfficeScan a pagina 6-30. Suggerimento Per provare a determinare se un componente viene implementato sugli agenti accedere alla schermata Riepilogo aggiornamento nella console Web (Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamento per un componente che viene implementato è sempre maggiore dello 0%. 4. Determinare la frequenza di scaricamento dei componenti. I file di pattern vengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia di aggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenza tecnica di notificare gli aggiornamenti importanti. 5. Su un'origine aggiornamenti: a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia in base alla versione OfficeScan. b. Scaricare i seguenti elementi: • Il file server.ini. Questo file contiene informazioni sui componenti più recenti. 6-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • c. I componenti identificati nel passaggio 3. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti. 6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultare Aggiornamento manuale del server OfficeScan a pagina 6-28. 7. Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare i componenti. Metodi di aggiornamento del server OfficeScan I componenti del server OfficeScan possono essere aggiornati manualmente oppure configurando una pianificazione di aggiornamento. Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti. I metodi aggiornamento includono: • Aggiornamento server manuale: quando un aggiornamento è importante, eseguire l'aggiornamento manuale in modo che il server possa ottenere gli aggiornamenti immediatamente. Consultare Aggiornamento manuale del server OfficeScan a pagina 6-28 per ulteriori dettagli. • Aggiornamento server pianificato: il server OfficeScan si connette all'origine aggiornamenti nella data e ora pianificati per ottenere i componenti più recenti. Consultare Pianificazione aggiornamenti per il server OfficeScan a pagina 6-29 per ulteriori dettagli. Aggiornamento manuale del server OfficeScan Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato o aggiornato il server e quando si verifica un'infezione. 6-28 Come mantenere la protezione aggiornata Procedura 1. Accedere a Aggiornamenti > Server > Aggiornamento manuale. 2. Selezionare i componenti da aggiornare. 3. Fare clic su Aggiorna. Il server scarica i componenti aggiornati. Pianificazione aggiornamenti per il server OfficeScan Configurare il server OfficeScan affinché controlli con regolarità l'origine di aggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di norma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è un modo semplice ed efficace per assicurare una protezione continua contro i rischi per la sicurezza. Procedura 1. Accedere a Aggiornamenti > Server > Aggiornamento pianificato. 2. Selezionare Attiva aggiornamento pianificato del server OfficeScan. 3. Selezionare i componenti da aggiornare. 4. Specificare la pianificazione dell'aggiornamento. Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti di OfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallo temporale. 5. Fare clic su Salva. 6-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Registri di aggiornamento del server OfficeScan Verificare i registri di aggiornamento del server per determinare se esistono dei problemi di aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti dei componenti del server OfficeScan. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di aggiornamento Procedura 1. Accedere a Registri > Aggiornamento server. 2. Controllare la colonna Risultato per verificare se alcuni componenti non sono stati aggiornati. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Aggiornamenti di Integrated Smart Protection Server Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern e l'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e come aggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-20. Aggiornamenti dell'agente OfficeScan Per garantire la continua protezione degli agenti contro i più recenti rischi per la sicurezza, è necessario aggiornare regolarmente i componenti dell'agente. 6-30 Come mantenere la protezione aggiornata Prima di aggiornare gli agenti, verificare che la loro origine aggiornamenti (server OfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti più recenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamenti server OfficeScan a pagina 6-17. La seguente tabella comprende un elenco di tutti i componenti implementati dalle origini aggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo di scansione. Tabella 6-6. OfficeScan Componenti implementati sugli Agenti Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Antivirus Smart Scan Agent Pattern No Sì Pattern dei virus Sì No Pattern IntelliTrap Sì Sì Pattern eccezioni IntelliTrap Sì Sì Motore di scansione virus (32 bit) Sì Sì Motore di scansione virus (64 bit) Sì Sì Pattern ispezione memoria Sì Sì Pattern spyware/grayware Sì Sì Pattern di monitoraggio attivo spyware Sì No Motore di scansione spyware/ grayware (32 bit) Sì Sì Motore di scansione spyware/ grayware (64 bit) Sì Sì Anti-spyware 6-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Damage Cleanup Services Modello Damage Cleanup Sì Sì Motore Damage Cleanup (32 bit) Sì Sì Motore Damage Cleanup (64 bit) Sì Sì Driver preliminare cleanup (32 bit) Sì Sì Driver preliminare cleanup (64 bit) Sì Sì Sì Sì Pattern di firewall Sì Sì Driver per firewall (32 bit) Sì Sì Driver per firewall (64 bit) Sì Sì Servizi di reputazione Web Motore Filtro URL Firewall Componenti monitoraggio del comportamento 6-32 Pattern rilevamento monitoraggio del comportamento (32 bit) Sì Sì Driver principale monitoraggio del comportamento (32 bit) Sì Sì Servizio principale monitoraggio del comportamento (32 bit) Sì Sì Pattern rilevamento monitoraggio del comportamento (64 bit) Sì Sì Driver principale monitoraggio del comportamento (64 bit) Sì Sì Come mantenere la protezione aggiornata Distribuzione Agenti con scansione convenzionale Componente Agenti Smart Scan Servizio principale monitoraggio del comportamento (64 bit) Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Pattern implementazione dei criteri Sì Sì Digital Signature Pattern Sì Sì Pattern avvio scansione memoria (32 bit) Sì Sì Pattern avvio scansione memoria (64 bit) Sì Sì Elenco IP C&C globale Sì Sì Pattern regola di pertinenza Sì Sì Pattern prevenzione minaccia browser Sì Sì Pattern Script Analyzer Sì Sì Connessioni sospette Vulnerabilità browser Origini aggiornamenti dell'agente OfficeScan Gli agenti possono ottenere gli aggiornamenti dall'origine aggiornamenti standard (server OfficeScan) o da componenti specifici delle origini aggiornamenti personalizzate, come il server ActiveUpdate di Trend Micro. Per i dettagli, consultare Origine aggiornamenti standard per gli agenti OfficeScan a pagina 6-34 e Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-36. 6-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalle origini aggiornamenti IPv4 pure, come: • Un server OfficeScan IPv4 puro • Un Update Agent IPv4 puro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro Analogamente, un agente IPv4 puro non è in grado di eseguire direttamente l'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6 puro o un Update Agent. Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origine aggiornamenti standard per gli agenti OfficeScan Il server OfficeScan è l'origine aggiornamenti standard per gli agenti. Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup e quindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado di raggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usare questo strumento per creare un pacchetto con i componenti più recenti disponibili sul server, quindi eseguire il pacchetto sugli agenti. Nota L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione al server OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti dell'agente, consultare Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-34. 6-34 Come mantenere la protezione aggiornata Configurazione dell'origine degli aggiornamenti standard per gli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare Origini di aggiornamento standard (aggiorna dal server OfficeScan). 3. Fare clic su Invia una notifica tutti gli agenti. Processo di aggiornamento dell'agente OfficeScan Nota In questo argomento viene illustrato il processo di aggiornamento per gli Agenti OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origine aggiornamenti standard per gli agenti OfficeScan a pagina 6-34. Se gli Agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento è il seguente: 1. L'Agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan. 2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'Agente OfficeScan tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata in Agenti > Gestione agente, Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda) > Impostazioni di aggiornamento. 6-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare gli Agenti OfficeScan in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine degli aggiornamenti dell'agente OfficeScan a pagina 6-40. Origini aggiornamenti personalizzate per gli agenti OfficeScan Oltre che dal server OfficeScan, gli Agenti OfficeScan possono eseguire l'aggiornamento dalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzate contribuiscono a ridurre il traffico degli aggiornamenti dell'Agente OfficeScan diretto al server OfficeScan e consentono agli Agenti OfficeScan che non riescono a connettersi al server OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. Suggerimento Trend Micro consiglia di assegnare alcuni Agenti OfficeScan come Update Agent e poi aggiungerli all'elenco. Configurazione delle origini aggiornamenti personalizzate degli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi. 3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. 6-36 Come mantenere la protezione aggiornata 4. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent se è stato assegnato oppure digitare l'URL di un'origine specifica. Nota Accertarsi che gli Agenti OfficeScan siano in grado di connettersi all'origine aggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamenti deve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti dell'agente, consultare Origini aggiornamenti dell'agente OfficeScan a pagina 6-33. 5. Fare clic su Salva. 6. Eseguire operazioni varie nella schermata. a. Selezionare una delle impostazioni riportate di seguito. Per ulteriori informazioni sul funzionamento di queste impostazioni, vedere Processo di aggiornamento dell'agente OfficeScan a pagina 6-35. • Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan • Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: • Componenti • Impostazioni dominio • Programmi agenti OfficeScan e hot fix b. Se come origine è stato specificato almeno un Update Agent, fare clic su Segnalazione analitica di Update Agent per generare una segnalazione che evidenzi lo stato di aggiornamento degli agenti. Per ulteriori informazioni sulla segnalazione, vedere Segnalazione analitica di Update Agent a pagina 6-66. c. Modificare un'origine aggiornamenti facendo clic sul collegamento dell'intervallo di indirizzi IP. Modificare le impostazioni nella schermata visualizzata e fare clic su Salva. 6-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. d. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella di controllo e facendo clic su Elimina. e. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. È possibile spostare solo un'origine per volta. Fare clic su Invia una notifica tutti gli agenti. Processo di aggiornamento dell'agente OfficeScan Nota In questo argomento viene illustrato il processo di aggiornamento per gli Agenti OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origini aggiornamenti personalizzate per gli Update Agent a pagina 6-62. Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, il processo di aggiornamento prosegue come riportato di seguito: 1. L'Agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco. 2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'Agente OfficeScan utilizza la seconda voce e così via. 3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'Agente OfficeScan controlla le impostazioni seguenti nella schermata Origine aggiornamenti: Tabella 6-7. Altre impostazioni per le origini aggiornamenti personalizzate Impostazione Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan 6-38 Descrizione Se tale impostazione è attivata, gli Update Agent eseguono l'aggiornamento direttamente dal server OfficeScan e ignorano Elenco origini di aggiornamento personalizzate. Se disattivata, gli Update Agent applicano le impostazioni di origine aggiornamenti personalizzata configurate per gli agenti normali. Come mantenere la protezione aggiornata Impostazione Descrizione Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: Componenti Se questa opzione è attivata, l'agente esegue l'aggiornamento dei componenti dal server OfficeScan. Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda) > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. Nota È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare gli agenti in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine degli aggiornamenti dell'agente OfficeScan a pagina 6-40. Impostazioni dominio Se questa opzione è attivata, l'agente esegue l'aggiornamento delle impostazioni a livello di dominio dal server OfficeScan. Programmi agenti OfficeScan e hot fix Se questa impostazione è attivata, l'agente aggiorna i programmi e le hot fix dal server OfficeScan. 6-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 4. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agente interrompe il processo di aggiornamento. Server ActiveUpdate come origine degli aggiornamenti dell'agente OfficeScan Quando gli Agenti OfficeScan sono configurati per scaricare gli aggiornamenti direttamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di pattern per ridurre l'ampiezza di banda utilizzata durante gli aggiornamenti e velocizzare il processo di aggiornamento. I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenza dei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern. Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire agli Agenti OfficeScan di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack che possa convertire gli indirizzi IP, come ad esempio DeleGate. Limitazione dei download dal server ActiveUpdate Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Aggiornamenti. 3. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gli aggiornamenti. Metodi di aggiornamento dell'agente OfficeScan Gli Agenti OfficeScan che eseguono l'aggiornamento dei componenti dal server OfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno dei metodi di aggiornamento riportati di seguito: 6-40 Come mantenere la protezione aggiornata • Aggiornamenti automatici: l'aggiornamento dell'Agente viene eseguito automaticamente quando si verificano alcuni eventi o in base a una pianificazione. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. • Aggiornamenti manuali: quando un aggiornamento è importante, utilizzare l'aggiornamento manuale per notificare immediatamente agli agenti di eseguire l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47. • Aggiornamenti basati su privilegi: gli utenti con privilegi di aggiornamento hanno maggiore controllo sulla modalità di aggiornamento dell'Agente OfficeScan nei propri computer. Per i dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. Aggiornamenti automatici dell'agente OfficeScan La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agli agenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti. Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevono anche i file di configurazione aggiornati. Gli Agenti necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Per specificare la frequenza in base alla quale i file di configurazione vengono applicati agli agenti, vedere il punto 3 Configurazione degli aggiornamenti automatici dell'agente OfficeScan a pagina 6-43. Nota È possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corso dell'aggiornamento automatico. Consultare Proxy per gli aggiornamenti dei componenti dell'agente OfficeScan a pagina 6-52 per ulteriori dettagli. Esistono due tipi di aggiornamenti automatici: • Aggiornamenti provocati da un evento a pagina 6-42 • Aggiornamenti pianificati a pagina 6-43 6-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Aggiornamenti provocati da un evento Il server può notificare agli agenti online di aggiornare i componenti dopo aver effettuato il download di quelli più recenti e agli agenti offline di effettuare l'aggiornamento quando saranno stati riavviati e avranno ristabilito la connessione con il server. Facoltativamente, al termine dell'aggiornamento, sui computer dell'Agente OfficeScan è possibile avviare Esegui scansione (scansione manuale). Tabella 6-8. Opzioni di aggiornamento provocate da un evento Opzione Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente Descrizione Non appena completato un aggiornamento, il server notifica agli agenti di eseguirlo. Gli agenti aggiornati di frequente devono solo scaricare pattern incrementali, riducendo in tal modo il tempo necessario per completare l'aggiornamento (per maggiori dettagli sui pattern incrementali, consultare Duplicazione dei componenti server OfficeScan a pagina 6-23). Tuttavia, gli aggiornamenti frequenti potrebbero incidere negativamente sulle prestazioni del server, soprattutto se molti agenti eseguono l'aggiornamento contemporaneamente. Per includere nell'aggiornamento gli agenti in modalità roaming, selezionare Includi agente in roaming e offline. Per maggiori dettagli sulla modalità roaming, vedere Privilegio di roaming dell'agente OfficeScan a pagina 14-21. 6-42 Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) Se un agente non ha eseguito un aggiornamento, i componenti vengono scaricati non appena questo stabilisce la connessione al server. L'agente potrebbe non eseguire un aggiornamento se è offline o se l'dispositivo dove è installato non è in esecuzione. Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agenti in roaming) Il server invia una notifica agli agenti per l'esecuzione della scansione dopo un'aggiornamento provocato da un evento. Attivare questa opzione se un aggiornamento specifico risponde a un rischio per la sicurezza già diffuso nella rete. Come mantenere la protezione aggiornata Nota Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti al termine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15 minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5 volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server non invierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti quando gli agenti vengono riavviati e ristabiliscono la connessione al server, l'aggiornamento dei componenti avverrà in ogni caso. Aggiornamenti pianificati L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare gli Agenti OfficeScan che dispongono di tale privilegio e tali Agenti OfficeScan potranno eseguire gli aggiornamenti in base alla pianificazione. Nota Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultare Configurazione degli aggiornamenti pianificati dell'agente OfficeScan con NAT a pagina 6-45. Configurazione degli aggiornamenti automatici dell'agente OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico. 2. Selezionare gli eventi per un Aggiornamento provocato da un evento: • Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente • • Includi agenti in roaming e offline Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) 6-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agenti in roaming) Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati da un evento a pagina 6-42. 3. Configurare la pianificazione per l'Aggiornamento pianificato. • Minuto/i o Ora/e L'opzione Aggiorna le configurazioni degli agenti solo una volta al giorno è disponibile quando viene pianificata una frequenza di aggiornamento oraria o basata sui minuti. Il file di configurazione contiene tutte le impostazioni degli agenti OfficeScan configurati utilizzando la console Web Suggerimento Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che le impostazioni di configurazione di OfficeScan cambino con minore frequenza. L'aggiornamento dei file di configurazione effettuato insieme a quello dei componenti, richiede una maggiore ampiezza di banda e aumenta il tempo necessario affinché OfficeScan completi l'aggiornamento. Per questo motivo, Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScan solo una volta al giorno. • Frequenza giornaliera o Frequenza settimanale Specificare l'ora dell'aggiornamento e il periodo di tempo in cui il server OfficeScan notifica agli agenti di aggiornare i componenti. Suggerimento Questa impostazione consente di evitare che tutti gli agenti online si connettano contemporaneamente al server nell'ora di inizio indicata e di ridurre la quantità di traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e il periodo di tempo è di 2 ore, OfficeScan invia la notifica di aggiornamento dei componenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00. 6-44 Come mantenere la protezione aggiornata Nota Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazione sugli agenti selezionati. Per informazioni sull'attivazione degli aggiornamenti pianificati, vedere il passaggio 4 di Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. 4. Fare clic su Salva. OfficeScan non può inviare immediatamente la notifica agli agenti offline. Selezionare Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) per aggiornare gli agenti offline che passano online dopo la scadenza del periodo di tempo. Gli agenti offline che non hanno questa impostazione attivata aggiornano i componenti alla pianificazione successiva o durante un aggiornamento manuale. Configurazione degli aggiornamenti pianificati dell'agente OfficeScan con NAT Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito: • Gli Agenti OfficeScan vengono visualizzati offline nella console Web. • Il server OfficeScan non è in grado di notificare agli agenti le modifiche degli aggiornamenti e della configurazione. Per risolvere questi problemi, implementare i componenti aggiornati e i file di configurazione dal server all'Agente OfficeScan con un aggiornamento pianificato così come descritto di seguito. Procedura • Prima di installare l'Agente OfficeScan sui computer agente: a. Configurare la pianificazione dell'aggiornamento dell'agente nella sezione Aggiornamento pianificato di Aggiornamenti > Agenti > Aggiornamento automatico. 6-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 b. • Concedere agli agenti il privilegio di attivare l'aggiornamento pianificato nella Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > scheda Privilegi > Aggiornamenti dei componenti. Se gli Agenti OfficeScan sono già presenti sui computer agente: a. Concedere agli agenti il privilegio di eseguire la funzione "Aggiorna ora" nella Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > scheda Privilegi > Aggiornamenti dei componenti. b. Chiedere agli utenti di aggiornare manualmente i componenti sul dispositivo agente (fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") per ottenere le impostazioni di configurazione aggiornate. Quando gli Agenti OfficeScan eseguono un aggiornamento, ricevono sia i componenti aggiornati che i file di configurazione. Utilizzo dello Strumento di aggiornamento pianificazione dei domini L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sono applicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti, è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questa operazione, è necessario configurare una pianificazione in base ai domini della struttura agente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio. Nota Non è possibile impostare una pianificazione di aggiornamento per un agente o un sottodominio specifico. La configurazione configurata per il dominio principale si applica a tutti i sottodomini. Procedura 1. 6-46 Registrare i nomi dei domini della struttura agente e le pianificazioni di aggiornamento. Come mantenere la protezione aggiornata 2. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility \DomainScheduledUpdate. 3. Copiare i file seguenti in <Cartella di installazione del server>\PCCSRV: • DomainSetting.ini • dsu_convert.exe 4. Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note. 5. Specificare il dominio della struttura agente e configurare la pianificazione di aggiornamento per il dominio. Ripetere questo passaggio per aggiungere altri domini. Nota Nel file .ini sono fornite istruzioni dettagliate per la configurazione. 6. Salvare DomainSetting.ini. 7. Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV. 8. Immettere il seguente comando e premere Invio. dsuconvert.exe DomainSetting.ini 9. Nella console Web, accedere a Agenti > Impostazioni globali agente. 10. Fare clic su Salva. Aggiornamenti manuali dell'agente OfficeScan Aggiornare manualmente i componenti dell'Agente OfficeScan quando i componenti dell'Agente OfficeScan sono estremamente obsoleti e ogni volta che viene rilevata un'infezione. I componenti dell'Agente OfficeScan diventano estremamente obsoleti quando l'Agente OfficeScan non è in grado di aggiornare i componenti dall'origine aggiornamenti per un periodo di tempo prolungato. Oltre ai componenti, durante l'aggiornamento gli Agenti OfficeScan ricevono automaticamente anche i file di configurazione aggiornati. Gli Agenti OfficeScan 6-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Nota Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degli aggiornamenti manuali (ovvero Aggiorna ora sui dispositivi Agente OfficeScan). Per i dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. Aggiornamento manuale degli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento manuale. 2. Nella parte superiore della schermata vengono visualizzati i componenti attualmente disponibili nel server OfficeScan e la data in cui tali componenti sono stati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che i componenti siano aggiornati. Nota Aggiornare manualmente i componenti obsoleti nel server. Consultare Aggiornamenti manuali dell'agente OfficeScan a pagina 6-47 per ulteriori dettagli. 3. Per aggiornare solo gli agenti con componenti non aggiornati: a. Fare clic su Selezionare agenti con componenti non aggiornati. b. Facoltativamente, selezionare Includi agenti in roaming e offline c. 6-48 • Per aggiornare gli agenti in roaming con connessione attiva sul server. • Per aggiornare gli agenti offline quando passano online. Fare clic su Avvia aggiornamento. Come mantenere la protezione aggiornata Nota Il server cerca gli agenti con componenti di versioni precedenti alle versioni del server e invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato delle notifiche, accedere alla schermata Aggiornamenti > Riepilogo. 4. Per aggiornare gli agenti selezionati: a. Selezionare Seleziona agenti manualmente. b. Fare clic su Seleziona. c. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. d. Fare clic su Avvia aggiornamento componenti. Nota Il server inizia a inviare a ogni agente la notifica del download dei componenti aggiornati. Per controllare lo stato delle notifiche, accedere alla schermata Aggiornamenti > Riepilogo. Configurazione dei privilegi di aggiornamento e altre impostazioni Configurare le impostazioni di aggiornamento e concedere agli utenti agente alcuni privilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamento pianificato. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. ) per 6-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 4. Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nella sezione Aggiorna impostazioni: Opzione Descrizione Gli agenti OfficeScan scaricano gli aggiornamen ti dal server ActiveUpdate di Trend Micro Quando gli aggiornamenti vengono avviati, gli Agenti OfficeScan OfficeScan tentano prima di ottenere gli aggiornamenti dall'origine aggiornamenti specificata nella schermata Aggiornamenti > Agenti > Origine aggiornamenti. Se l'aggiornamento non riesce, gli agenti tentano di eseguirlo dal server OfficeScan. Se si seleziona questa opzione, si consente agli agenti di provare a eseguire l'aggiornamento dal server ActiveUpdate di Trend Micro qualora l'aggiornamento dal server OfficeScan non riesca. Nota Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire agli agenti di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack che possa convertire gli indirizzi IP, come ad esempio DeleGate. Attiva aggiornamen ti pianificati sugli agenti OfficeScan La selezione di questa opzione configura tutti gli Agenti OfficeScan per attivare gli aggiornamenti pianificati come impostazione predefinita. Gli utenti con il privilegio Attiva/ Disattiva aggiornamenti pianificati possono sovrascrivere tale impostazione. Per maggiori dettagli sulla configurazione della pianificazione degli aggiornamenti, vedere Configurazione degli aggiornamenti automatici dell'agente OfficeScan a pagina 6-43. Gli agenti OfficeScan possono aggiornare i componenti, ma non possono aggiornare il programma agente né 6-50 Questa opzione consente agli aggiornamenti dei componenti di proseguire, ma impedisce l'implementazione delle hot fix e l'aggiornamento dell'Agente OfficeScan. Nota La disattivazione di questa opzione potrebbe influire negativamente sulle prestazioni del server, poiché tutti gli agenti si connettono simultaneamente al server per aggiornare o installare una hot fix. Come mantenere la protezione aggiornata Opzione Descrizione implementare gli hot fix. 5. Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezione Aggiornamento dei componenti: Opzione Esecuzione di "Aggiorna ora" Descrizione Gli utenti con questo privilegio possono aggiornare i componenti su richiesta facendo clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella barra delle applicazioni e selezionando Aggiorna ora. Nota Gli utenti dell'Agente OfficeScan possono utilizzare le impostazioni proxy durante l'operazione "Aggiorna ora". Consultare Privilegi di configurazione del proxy per gli agenti a pagina 14-56 per ulteriori dettagli. Attiva/ Disattiva aggiornamen ti pianificati La selezione di questa opzione consente agli utenti dell'Agente OfficeScan di attivare e disattivare gli aggiornamenti pianificati utilizzando il menu di scelta rapida dell'Agente OfficeScan, che è in grado di sovrascrivere l'impostazione Attiva aggiornamenti pianificati. Nota Gli amministratori devono selezionare innanzitutto l'impostazione Attiva aggiornamenti pianificati sugli agenti OfficeScan nella scheda Altre impostazioni prima che la voce di menu venga visualizzata nel menu dell'Agente OfficeScan. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 6-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione dello spazio su disco riservato per gli aggiornamenti degli agenti OfficeScan OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco dell'agente per hot fix, file di pattern, motori di scansione e aggiornamenti dei programmi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Spazio su disco riservato. 3. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti. 4. Selezionare lo quantità di spazio su disco. 5. Fare clic su Salva. Proxy per gli aggiornamenti dei componenti dell'agente OfficeScan Gli Agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamento automatico oppure se dispongono del privilegio di eseguire "Aggiorna ora". 6-52 Come mantenere la protezione aggiornata Tabella 6-9. Impostazioni proxy utilizzate durante gli aggiornamenti dei componenti dell'agente OfficeScan Metodo di aggiornamen to Aggiornamento automatico Impostazioni proxy utilizzate • • Aggiorna ora • • Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-57. Impostazioni proxy interne. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-53. Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-57. Impostazioni proxy configurate dall'utente. È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy. Per i dettagli, consultare Privilegi di configurazione del proxy per gli agenti a pagina 14-56. Utilizzo 1. Per aggiornare i componenti, gli Agenti OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy interne. 3. Se entrambe sono disattivate, gli agenti non utilizzeranno alcuna impostazione proxy. 1. Per aggiornare i componenti, gli Agenti OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy configurare dall'utente. 3. Se entrambe le impostazioni sono disattivate o se le impostazioni proxy automatiche sono disattivare e gli utenti agente non dispongono degli appositi privilegi, gli agenti non utilizzeranno nessun proxy per l'aggiornamento dei componenti. 6-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione delle notifiche di aggiornamento dell'agente OfficeScan OfficeScan notifica agli utenti dell'agente quando si verificano i seguenti eventi relativi all'aggiornamento. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Impostazioni avvisi. 3. Selezionare le seguenti opzioni: • Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da __ giorno/i: viene visualizzata un'icona di avviso sulla barra delle applicazioni di Windows per ricordare agli utenti di aggiornare un pattern dei virus che non è stato aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usare uno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. Questa impostazione viene applicata a tutti gli agenti gestiti dal server. • Visualizza un messaggio di notifica se è necessario un riavvio dell'dispositivo per caricare un driver in modalità kernel: dopo l'installazione di una hot fix o di un pacchetto di aggiornamento che contiene una nuova versione di un driver in modalità kernel, la precedente versione del driver potrebbe essere ancora presente sul dispositivo. L'unico modo per rimuovere la versione precedente e caricare quella nuova è riavviare il dispositivo. Dopo aver riavviato il dispositivo, la nuova versione viene automaticamente installata e non sono necessari altri riavvii. Subito dopo l'installazione della hot fix o del pacchetto di aggiornamento, sul dispositivo agente viene visualizzato un messaggio di notifica. 4. 6-54 Fare clic su Salva. Come mantenere la protezione aggiornata Visualizzazione dei registri di aggiornamenti dell'agente OfficeScan Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi di aggiornamento del pattern antivirus negli agenti. Nota In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern dei virus possono essere inviate dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Procedura 1. Accedere a Registri > Agenti > Aggiornamento componente agente. 2. Per visualizzare il numero di aggiornamenti dell'agente, fare clic su Visualizza nella colonna Avanzamento. Nella schermata Avanzamento aggiornamento componenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minuti e il numero totale di agenti aggiornati. 3. Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic su Visualizza nella colonna Dettagli. 4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Implementazione degli aggiornamenti dell'agente OfficeScan Utilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componenti più recenti. Conformità sicurezza consente di determinare le incoerenze dei componenti tra gli agenti e il server OfficeScan. In genere le incoerenze si verificano quando gli 6-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 agenti non riescono a connettersi al server per aggiornare i componenti. Se l'agente ottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate), è possibile che un componente dell'agente sia più recente rispetto a uno del server. Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-61. Rollback dei componenti per gli agenti OfficeScan Il termine rollback si riferisce all'azione di ripristino della versione precedente del Pattern dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questi componenti non funzionano correttamente, ripristinare le versioni precedenti. OfficeScan conserva la versione attuale e quella precedente del Motore di scansione virus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern. Nota Il rollback è consentito solo per i componenti riportati sopra. OfficeScan utilizza diversi motori di scansione per gli agenti con piattaforme a 32 e 64 bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura di ripristino per tutti i tipi di motore di scansione è identica. Procedura 1. Accedere a Aggiornamenti > Rollback 2. Nella sezione appropriata, fare clic su Sincronizza con il server. 6-56 a. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. b. Fare clic su Rollback c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati o su Indietro per tornare alla schermata Rollback. Come mantenere la protezione aggiornata 3. Se sul server è presente una versione precedente del file di pattern, fare clic su Rollback versioni di server e agenti per effettuare il rollback del file di pattern sia per l'Agente OfficeScan che per il server. Esecuzione di Touch Tool per le hot fix dell'agente OfficeScan Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file con l'indicatore di data e e ora di un altro file o con l'orario di sistema del dispositivo. Se non si riesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente di implementarlo automaticamente. Procedura 1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV \Admin\Utility\Touch. 2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Per sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare entrambi i file nella stessa posizione di Touch Tool. 3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool. 4. Digitare i comandi seguenti: TmTouch.exe <nome file di destinazione> <nome file di origine> Dove: • <nome file destinazione> è il nome dell'hot fix di cui si desidera modificare l'indicatore di data e ora • <nome file origine> è il nome del file di cui si desidera replicare l'indicatore di data e ora 6-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Se non viene specificato un nome del file di origine, lo strumento imposta l'indicatore data e ora del file di destinazione in base all'orario di sistema del dispositivo. Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quello del file di origine. 5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, immettere dir nel prompt dei comandi oppure verificare le proprietà del file in Esplora risorse. Update Agent Per distribuire l'attività di implementazione dei componenti, delle impostazioni di dominio o dei programmi agente e delle hot fix negli Agenti OfficeScan, è necessario impostare alcuni Agenti OfficeScan come Update Agent o come origini aggiornamenti per altri agenti. In questo modo si ha la certezza che gli agenti ricevano tempestivamente gli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al server OfficeScan. Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti è caratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent a ciascuna località. Nota Gli Agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agent ricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli Agenti OfficeScan segnalano il proprio stato al server OfficeScan. Requisiti di sistema per gli Update Agent Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 6-58 Come mantenere la protezione aggiornata Configurazione di Update Agent Il processo di configurazione di Update Agent prevede due operazioni: 1. Assegnare l'Agente OfficeScan come Update Agent per componenti specifici. 2. Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent. Nota Il numero di connessioni agente che un singolo Update Agent può gestire dipende dalle specifiche hardware del dispositivo. Assegnazione degli agenti OfficeScan come Update Agent. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare gli agenti da designare come Update Agent. Nota Non è possibile selezionare l'icona del dominio root, in quanto tale operazione designerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri. Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri. Per consentire a un Update Agent di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 3. Fare clic su Impostazioni > Impostazioni Update Agent. 4. Selezionare gli elementi che Update Agent possono condividere. • Aggiornamento dei componenti • Impostazioni dominio • Programmi agenti OfficeScan e hot fix 6-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. Fare clic su Salva. Specifica degli agenti OfficeScan che eseguono l'aggiornamento da un Update Agent Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi. 3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. 4. Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti. Nota Accertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6. 5. Fare clic su Salva. Origini aggiornamenti per gli Update Agent Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il server OfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origine aggiornamenti dalla schermata Origine aggiornamenti della console Web. Supporto IPv6 per gli Update Agent Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv4 pure, come: 6-60 Come mantenere la protezione aggiornata • Un server OfficeScan IPv4 puro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro: Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origine aggiornamenti standard per gli Update Agent Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gli agenti vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento avviene come riportato di seguito: 1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan. 2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. Suggerimento Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando gli Update Agent eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. 6-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Origini aggiornamenti personalizzate per gli Update Agent Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento da origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate contribuiscono a ridurre il traffico degli aggiornamenti degli agenti verso il server OfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-36 per la procedura per configurare l'elenco. Nota Assicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nella schermata Origine aggiornamenti per gli agenti (Aggiornamenti > Agenti > Origine aggiornamenti) per consentire agli Update Agent di connettersi alle origini di aggiornamento personalizzate. Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue come riportato di seguito: 1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco. 2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza la seconda voce e così via. 3. Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica le seguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: • Componenti: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: 6-62 Come mantenere la protezione aggiornata Nota È possibile eseguire l'aggiornamento dei componenti solo dal server Active Update. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio dal server o dagli Update Agent. 4. • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. • Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. • Programmi agenti OfficeScan e hot fix: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamento standard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notifica all'agente di aggiornare i componenti. Il processo è il seguente: 1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignora l'elenco delle origini di aggiornamento. 2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. 6-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Suggerimento Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando gli Agenti OfficeScan eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. 3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Configurazione dell'origine aggiornamenti per Update Agent Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gli Update Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gli Update Agent. 3. Fare clic su Invia una notifica tutti gli agenti. Duplicazione dei componenti di Update Agent Come il server OfficeScan, anche gli Update Agent utilizzano il metodo della duplicazione per scaricare i componenti. Per informazioni sul modo in cui il server esegue la duplicazione dei componenti, consultare Duplicazione dei componenti server OfficeScan a pagina 6-23. Il processo di duplicazione dei componenti per gli Update Agent è il seguente: 1. 6-64 Update Agent confronta la versione corrente del pattern completo con la versione più recente sull'origine aggiornamenti. Se la differenza tra le due versioni è al massimo 14, Update Agent scarica il pattern incrementale per colmare la differenza tra le due versioni. Come mantenere la protezione aggiornata Nota Se la differenza è superiore a 14, Update Agent scarica automaticamente la versione completa del file di pattern. 2. Update Agent integra il pattern incrementale scaricato con il pattern completo corrente per generare il pattern completo più recente. 3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti. 4. Il pattern completo più recente e tutti i pattern incrementali sono resi disponibili per gli agenti. Metodi di aggiornamento per Update Agent Gli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agenti normali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. È possibile utilizzare lo strumento di configurazione aggiornamento pianificato per attivare e configurare gli aggiornamenti pianificati di un Update Agent installato mediante Agent Packager. Nota Questo strumento non è disponibile se l'Update Agent è stato installato mediante altri metodi di installazione. Consultare Considerazioni sull'implementazione a pagina 5-11 per ulteriori informazioni. Uso dello strumento di configurazione aggiornamento pianificato Procedura 1. Nel dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>. 2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la console dello Strumento di configurazione aggiornamento pianificato. 6-65 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Selezionare Attiva aggiornamento pianificato. 4. Specificare la frequenza e l'orario dell'aggiornamento. 5. Fare clic su Applica. Segnalazione analitica di Update Agent La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura di aggiornamento e determinare quali agenti scaricano aggiornamenti parziali dagli Update Agent e da altre origini aggiornamenti. Nota Questa segnalazione comprende tutti gli Agenti OfficeScan configurati per ricevere aggiornamenti parziali dagli Update Agent. Se l'attività di gestione di uno o più domini è stata delegata ad altri amministratori, essi vedranno anche tutti gli Agenti OfficeScan configurati per ricevere aggiornamenti parziali dagli Update Agent appartenenti ai domini non gestiti da loro. OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (commaseparated value). In questa segnalazione sono contenute le seguenti informazioni: • Agente OfficeScan dispositivo • Indirizzo IP • Percorso della struttura agente • Origine aggiornamenti • Se gli agenti scaricano i seguenti elementi dagli Update Agent: 6-66 • Componenti • Impostazioni dominio • Programmi Agente OfficeScan e hot fix Come mantenere la protezione aggiornata Importante La segnalazione analitica di Update Agent elenca solamente gli Agenti OfficeScan configurati per ricevere aggiornamenti parziali da un Update Agent. Gli Agenti OfficeScan configurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti, impostazioni di dominio, hot fix e programmi dell'Agente OfficeScan) non vengono visualizzati nella segnalazione. Per ulteriori informazioni sulla generazione della segnalazione, vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-36. Riepilogo aggiornamento componenti La console Web fornisce la schermata Riepilogo aggiornamento (accedere a Aggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivo dell'aggiornamento dei componenti e che consente di aggiornare quelli obsoleti. Se è stato attivato l'aggiornamento server pianificato, la schermata informa anche sulla data prevista per il prossimo aggiornamento. Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare la schermata periodicamente. Nota Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server, accedere a Amministrazione > Smart Protection > Server integrato. Stato dell'aggiornamento per gli agenti OfficeScan Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare in questa sezione le seguenti informazioni: • Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento dei componenti. 6-67 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presenti nella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic su Annulla notifica. Componenti Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascun componente scaricato e distribuito dal server OfficeScan. Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimo aggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti con componenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti. 6-68 Capitolo 7 Analisi dei rischi per la sicurezza Questo capitolo descrive come proteggere i dispositivi dai rischi per la sicurezza utilizzando l'analisi basata su file. Di seguito sono riportati gli argomenti trattati: • Informazioni sui rischi per la sicurezza a pagina 7-2 • Tipi di metodi di scansione a pagina 7-8 • Tipi di scansione a pagina 7-15 • Impostazioni comuni a tutti i tipi di scansione a pagina 7-28 • Privilegi scansione e altre impostazioni a pagina 7-57 • Impostazioni globali di scansione a pagina 7-73 • Notifiche sui Rischi per la sicurezza a pagina 7-85 • Registri dei rischi per la sicurezza a pagina 7-95 • Rischi per la sicurezza a pagina 7-110 7-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Informazioni sui rischi per la sicurezza Rischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche, spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere le infezioni, implementando i criteri di prevenzione delle infezioni e isolando i computer infetti fino a quando sono completamente privi di rischi. Le notifiche e i registri contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fosse necessaria un'azione tempestiva. Virus e minacce informatiche Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengono creati di nuovi. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i virus dei dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità, possono causare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web. Tabella 7-1. Tipi di virus/minaccia informatica Tipo di virus/ minaccia informatica 7-2 Descrizione Programma Joke I programmi Joke sono programmi simili ai virus che spesso manipolano l'aspetto degli oggetti sul monitor di un dispositivo. Altri La categoria “Altri” include i virus/malware non classificati come alcun tipo di virus/malware. Packer I packer sono programmi eseguibili di Windows o Linux™ compressi e/o crittografati. Spesso si tratta di cavalli di Troia. La compressione degli eseguibili rende più difficile il rilevamento dei packer da parte dei prodotti antivirus. Analisi dei rischi per la sicurezza Tipo di virus/ minaccia informatica Descrizione Rootkit I rootkit sono programmi o raccolte di programmi che installano ed eseguono un codice su un sistema senza il consenso o la consapevolezza dell'utente finale. Utilizzano un virus stealth per mantenere una presenza costante e non rilevabile sul computer. I rootkit non infettano i computer ma cercano piuttosto di fornire un ambiente non rilevabile per consentire l'esecuzione di un codice dannoso. I rootkit vengono installati sui sistemi tramite social engineering, con l'esecuzione di minacce informatiche o semplicemente accedendo ad un sito Web dannoso. Una volta installato, l'aggressore può virtualmente eseguire qualunque funzione sul sistema, incluso l'accesso remoto, le intercettazioni, operazioni che nascondono i processi, i file, le chiavi di registro e i canali di comunicazione. Virus di prova I virus di prova sono file inerti che agiscono come virus reali e possono essere rilevati dal software di scansione antivirus. I virus di prova, come gli script di prova EICAR, possono essere utilizzati per verificare che l'antivirus installato funzioni correttamente. Cavallo di Troia I programmi cavallo di Troia utilizzano le porte per avere accesso ai computer o ai programmi eseguibili. I cavalli di Troia non sono in grado di riprodursi, ma risiedono nei sistemi per compiere operazioni dannose, ad esempio l'apertura delle porte, per consentire l'ingresso degli hacker. Le soluzioni antivirus tradizionali sono in grado di rilevare e rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già in esecuzione nel sistema. 7-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tipo di virus/ minaccia informatica Virus Virus di rete 7-4 Descrizione I virus sono programmi che si replicano. Per farlo, un virus deve attaccarsi ad altri file di programma che gli consentono di attivarsi quando il programma che lo ospita viene eseguito, inclusi: • Codice dannoso ActiveX: Codice presente nelle pagine Web che eseguono controlli ActiveX™. • Virus del settore boot: Virus che infetta il settore di boot di una partizione o un disco. • File COM ed EXE infettante: Programma eseguibile con estensione .com o .exe. • Codice dannoso Java: Codice virus indipendente dal sistema operativo scritto o incluso in un codice Java™. • Virus da macro: Virus codificato come una macro di applicazione e spesso incluso in un documento. • Virus VBScript, JavaScript o HTML: Virus presente in una pagina Web e scaricato tramite un browser. • Worm: programma (o gruppo di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti ad altri dispositivo, spesso tramite e-mail. Un virus che si diffonde su una rete non è necessariamente un virus di rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm, possono essere considerati virus di rete. In particolare, per moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i file di sistema né modificano i settori boot dei dischi rigidi. Tuttavia, infettano la memoria degli agenti agente dei dispositivi, obbligandoli a invadere la rete di traffico e causando rallentamenti o persino errori nell'intera rete. Poiché i virus di rete rimangono in memoria, spesso non sono rilevabili mediante i tradizionali metodi di scansione I/O dei file. Analisi dei rischi per la sicurezza Tipo di virus/ minaccia informatica Probabile virus/minaccia informatica Descrizione I virus e le minacce informatiche probabili sono file sospetti con alcune caratteristiche di virus o minacce informatiche. Per maggiori dettagli, consultare l'Enciclopedia delle minacce di Trend Micro: http://about-threats.trendmicro.com/it/threatencyclopedia#malware Nota La disinfezione azione non può essere eseguita su un probabile virus/minaccia informatica, ma l'azione di scansione è configurabile. Spyware e grayware Ci sono altre minacce che potrebbero mettere a repentaglio i Dispositivo, oltre ai virus e alle minacce informatiche. Per spyware e grayware si intendono applicazioni o file non classificati come virus o cavalli di Troia ma che possono avere un'influenza negativa sulle prestazioni dei dispositivi della rete e introdurre notevoli rischi per la sicurezza, la riservatezza e causare problemi legali alle organizzazioni. Spesso spyware e grayware attivano una varietà di azioni indesiderate e pericolose come la visualizzazione di irritanti finestre pop-up, la registrazione delle sequenze di tasti premute dall'utente o l'esposizione delle vulnerabilità del dispositivo agli attacchi. Se si trova un'applicazione o un file che OfficeScan non può rilevare come grayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro per un'analisi: http://esupport.trendmicro.com/solution/en-us/1059565.aspx Tipo Spyware Descrizione Raccoglie dati, quali nomi utente e password e li trasmette a terzi. 7-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tipo Descrizione Adware Visualizza delle pubblicità e raccoglie dati, quali le preferenze di navigazione Web in modo da indirizzare pubblicità mirata attraverso un browser Web. Dialer Modifica le impostazioni Internet del dispositivo e può forzare il dispositivo a chiamare numeri telefonici predeterminati attraverso un modem. Si tratta in genere di numeri a pagamento o internazionali che rappresentano un notevole costo per l'organizzazione. Programma Joke Causa un comportamento anomalo del dispositivo come l'apertura e la chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre di dialogo. Strumento per hacker Consente agli hacker di penetrare nel computer. Strumento di accesso remoto Consente agli hacker di accedere al computer in remoto e controllarlo. Applicazione di decifratura delle password Consente agli hacker di decifrare i nomi utente e le password. Altri Altri tipi di programmi potenzialmente dannosi. In che modo spyware e grayware penetrano nelle reti Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utenti scaricano un software legittimo contenente applicazioni grayware all'interno del pacchetto di installazione. La maggior parte dei programmi contiene un contratto di licenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spesso nel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di dati personali, tuttavia molto frequentemente, gli utenti non leggono attentamente il contratto o non comprendono il linguaggio legale. Rischi e minacce potenziali L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguenti problemi: 7-6 Analisi dei rischi per la sicurezza Tabella 7-2. Rischi e minacce potenziali Rischio o minaccia Descrizione Riduzione delle prestazioni del dispositivo per svolgere la loro azione, le applicazioni spyware e grayware utilizzano spesso una quantità considerevole di risorse di memoria del sistema e della CPU. Aumento dei malfunzionamenti del browser Web alcuni tipi di grayware, come ad esempio l'adware, visualizzano informazioni in riquadri o finestre del browser. In base al modo in cui il codice di queste applicazioni interagisce con i processi di sistema, il grayware può bloccare o interrompere il funzionamento del browser o richiedere un riavvio del dispositivo. Riduzione dell'efficienza dell'utente costretto a chiudere frequentemente le finestre pop-up pubblicitarie e affrontare gli effetti negativi dei programmi Joke, l'utente viene spesso distratto dalla propria attività principale. Riduzione della larghezza di banda della rete le applicazioni spyware e grayware spesso trasmettono regolarmente i dati raccolti ad altre applicazioni in esecuzione sulla rete o al di fuori della rete. Perdita di informazioni personali e aziendali non tutti i dati che le applicazioni spyware/grayware raccolgono sono innocui come può esserlo un elenco di pagine Web visitate dall'utente. Spyware e grayware inoltre sono in grado di ottenere le credenziali dell'utente quali quelle di accesso ai conti bancari online e alle reti aziendali. Rischio elevato di responsabilità legali Se le risorse del dispositivo dispositivo nella rete vengono manomesse, gli hacker sono in grado di utilizzare i computer agente per lanciare attacchi o installare spyware e grayware su computer al di fuori della rete. La partecipazione delle risorse di rete a questo tipo di attività potrebbe rendere un'azienda legalmente responsabile di danni causati a terzi. Protezione da spyware/grayware e altre minacce Possono essere prese molte contromisure per evitare l'installazione di spyware e grayware sul dispositivo. Trend Micro consiglia quanto segue: • Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale, Scansione pianificata e Esegui scansione) per individuare e rimuovere file e 7-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 applicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 per ulteriori informazioni. • Istruire gli utenti del agente sulle procedure riportate di seguito: • Leggere il contratto di licenza per l'utente finale (EULA) e la documentazione, forniti con le applicazioni scaricate e installate sui computer. • Fare clic su No in caso di messaggi in cui si richiede l'autorizzazione per scaricare e installare software, a meno che gli utenti agente non siano certi dell'affidabilità sia del creatore del software sia del sito Web. • Ignorare messaggi e-mail di natura commerciale non richiesti (spam), soprattutto se viene richiesto di fare clic su un pulsante o un collegamento. • Configurare le impostazioni del browser Web per assicurare un livello restrittivo di sicurezza. Trend Microconsiglia di fare in modo che il browser Web richieda agli utenti l'autorizzazione prima dell'installazione dei controlli ActiveX. • Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo che Outlook non scarichi automaticamente elementi HTML, come immagini inviate in messaggi spam. • Proibire l'uso di servizi di condivisione di file peer-to-peer. Lo spyware e altre applicazioni grayware potrebbero essere mascherati come altri tipi di file che gli utenti potrebbero scaricare, come file musicali MP3. • Esaminare periodicamente il software installato sui computer dell'agent e cercare applicazioni che possano essere spyware o altro grayware. • Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con le patch più recenti di Microsoft. Per ulteriori dettagli, vedere il sito Web Microsoft. Tipi di metodi di scansione Gli Agenti OfficeScan possono utilizzare uno dei due metodi di scansione quando eseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: Smart Scan e Scansione convenzionale. 7-8 Analisi dei rischi per la sicurezza • Smart Scan In questo documento, gli agenti che utilizzano Smart Scan vengono definiti agenti Smart Scan. Gli agenti Smart Scan utilizzano le scansioni locali e le query in-thecloud fornite da Servizi di reputazione file. • Scansione convenzionale Gli agenti che non utilizzano Smart Scan sono definiti agenti con scansione convenzionale. Un agente con scansione convenzionale archivia tutti i componenti OfficeScan nel dispositivo agente ed esegue la scansione locale di tutti i file. Metodo di scansione predefinito In questa versione di OfficeScan, il metodo di scansione predefinito per una nuova installazione è Smart Scan. Questo significa che se si esegue un'installazione del server OfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gli agenti gestiti dal server utilizzeranno il metodo Smart Scan. Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attiva l'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzeranno ancora il metodo di scansione configurato prima dell'aggiornamento della versione. Ad esempio, se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan e Scansione convenzionale, tutti gli agenti aggiornati che utilizzano Smart Scan continueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano Scansione convenzionale continueranno ad utilizzare quest'ultima. Metodi di scansione a confronto La tabella riportata di seguito consente di confrontare i due metodi di scansione: 7-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 7-3. Confronto tra Scansione convenzionale e Smart Scan Criteri di confronto Scansione convenzionale Smart Scan Disponibilità Disponibile in questa versione di OfficeScan e nelle versioni precedenti di OfficeScan Disponibile a partire da OfficeScan 10 Comportamento della scansione L'agente con scansione convenzionale esegue la scansione nel dispositivo. • L'agente Smart Scan esegue la scansione nel dispositivo locale. • Se l'agente non è in grado di determinare il rischio del file durante la scansione, l'agente verifica il rischio inviando una query di scansione a un'origine Smart Protection. • L'agente memorizza il risultato della query di scansione per migliorare le prestazioni della scansione. Componenti in uso e aggiornati Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Smart Scan Agent Pattern Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Pattern dei virus e Pattern di monitoraggio attivo spyware Origine di aggiornamento tipica Server OfficeScan Server OfficeScan Modifica del metodo di scansione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 7-10 ) per Analisi dei rischi per la sicurezza 3. Fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione. 4. Selezionare Scansione convenzionale oppure Smart Scan. 5. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Passaggio da Smart Scan a Scansione convenzionale Quando gli agenti passano alla scansione convenzionale, tenere presente quanto segue: 1. Numero di agenti che effettuano il passaggio Se il numero di agenti che passa contemporaneamente alla scansione convenzionale è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del server OfficeScan e di Smart Protection Server. Questi server sono in grado di eseguire altre operazioni importanti durante il passaggio degli agenti da un metodo di scansione all'altro. 2. Tempistica Quando si passa di nuovo alla scansione convenzionale, è probabile che gli agenti scarichino la versione completa di Pattern antivirus e Pattern di monitoraggio attivo spyware dal server OfficeScan. Questi file di pattern vengono utilizzati solo dagli agenti con scansione convenzionale. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per nessun agente sono pianificati aggiornamenti dal 7-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare la funzione una volta effettuato il passaggio degli agenti a Smart Scan. 3. Impostazioni della struttura agente Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo agente. Quando si passa alla scansione convenzionale è possibile: • Creare un nuovo dominio della struttura agente e assegnargli la scansione convenzionale come metodo di scansione. Gli agenti trasferiti su questo dominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente, attivare l'impostazione Applica le impostazioni del nuovo dominio agli agenti selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi la scansione convenzionale. Gli agenti Smart Scan che appartengono al dominio passeranno alla scansione convenzionale. • Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare il passaggio alla scansione convenzionale. Nota I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di scansione configurato per i singoli agenti. Passaggio da Scansione convenzionale a Smart Scan Se si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan, assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultare Impostazione dei servizi Smart Protection a pagina 4-13. La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan: 7-12 Analisi dei rischi per la sicurezza Tabella 7-4. Considerazioni sul passaggio a Smart Scan Considerazione Licenza del prodotto Server OfficeScan Dettagli Per utilizzare Smart Scan accertarsi di aver attivato le licenze dei servizi riportati di seguito e che le licenze non siano scadute: • Antivirus • Reputazione Web e anti-spyware Accertarsi che gli agenti siano in grado di connettersi al server OfficeScan. Solo gli agenti online ricevono la notifica del passaggio a Smart Scan. Gli agenti offline ricevono la notifica quando sono online. Gli agenti roaming ricevono la notifica quando sono online oppure, se l'agente possiede privilegi di aggiornamento pianificato, quando viene eseguito un aggiornamento pianificato. Verificare inoltre che il server OfficeScan disponga dei componenti più recenti perché gli agenti Smart Scan devono scaricare Smart Scan Agent Pattern dal server. Per aggiornare i componenti, vedere Aggiornamenti server OfficeScan a pagina 6-17. Numero di agenti che effettuano il passaggio Se il numero di agenti che passa contemporaneamente alla Scansione convenzionale è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del server OfficeScan. Il server OfficeScan è in grado di eseguire altre operazioni importanti durante il passaggio degli agenti da un metodo di scansione all'altro. Tempistica Quando passano a Smart Scan per la prima volta, gli agenti devono scaricare la versione completa di Smart Scan Agent Pattern dal server OfficeScan. Smart Scan Pattern viene utilizzato solo dagli agenti Smart Scan. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per nessun agente sono pianificati aggiornamenti dal server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare la funzione una volta effettuato il passaggio degli agenti a Smart Scan. 7-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Considerazione Impostazioni della struttura agente Dettagli Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo agente. Quando si passa a Smart Scan è possibile: • Creare un nuovo dominio della struttura agente e assegnargli Smart Scan come metodo di scansione. Gli agente trasferiti su questo dominio utilizzano Smart Scan. Quando si trasferisce l'agente, attivare l'impostazione Applica le impostazioni del nuovo dominio agli agenti selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi Smart Scan. Gli agenti con la scansione convenzionale che appartengono al dominio passeranno a Smart Scan. • Selezionare uno o più agenti con scansione convenzionale da un dominio e poi effettuare il passaggio a Smart Scan. Nota I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di scansione configurato per i singoli agenti. 7-14 Analisi dei rischi per la sicurezza Considerazione Supporto IPv6 Dettagli Gli agenti Smart Scan inviano query di scansione alle origini Smart Protection. Un agente Smart Scan IPv6 puro non è in grado di inviare query direttamente alle origini IPv4 pure, come: • Smart Protection Server 2.0 (integrato o standalone) Nota Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. • Trend Micro Smart Protection Network Analogamente, un agente Smart Scan IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire agli agenti Smart Scan di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Tipi di scansione OfficeScan fornisce i seguenti tipi di scansione per proteggere i computer Agente OfficeScan dai rischi per la sicurezza: Tabella 7-5. Tipi di scansione Tipo di scansione Scansione in tempo reale Descrizione Esegue la scansione automatica di un file sul dispositivo quando viene ricevuto, aperto, scaricato, copiato o modificato. Consultare Scansione in tempo reale a pagina 7-16 per ulteriori dettagli. 7-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tipo di scansione Scansione manuale Descrizione Una scansione avviata dall'utente che analizza un file o un insieme di file per iniziativa dell'utente. Consultare Scansione manuale a pagina 7-19 per ulteriori dettagli. Scansione pianificata Esegue la scansione automatica di file sul dispositivo in base alla pianificazione configurata dall'utente finale o dall'amministratore. Consultare Scansione pianificata a pagina 7-21 per ulteriori dettagli. Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in uno o più computer di destinazione. Consultare Esegui scansione a pagina 7-24 per ulteriori dettagli. Scansione in tempo reale La scansione in tempo reale è una scansione continua e costante. Ogni volta che un file viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale analizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rileva rischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. Se OfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informatica probabili, visualizza un messaggio di notifica che indica il nome del file infetto e il rischio per la sicurezza specifico. La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni volta che l'Agente OfficeScan viene avviato. L'Agente OfficeScan tiene traccia di tutte le modifiche ai file o alle cartelle apportate in seguito alla rimozione dell'Agente OfficeScan, eliminando questi file dalla cache. Nota Per modificare il messaggio di notifica, aprire la console Web e accedere a Amministrazione > Notifiche > Agente. 7-16 Analisi dei rischi per la sicurezza Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurare le impostazioni della scansione in tempo reale Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale. 4. Selezionare le seguenti opzioni: • Attiva scansione di virus/minacce informatiche • Attiva scansione spyware/grayware ) per Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. Durante un'infezione virale, per impedire al virus di modificare o eliminare i file e le cartelle nei computer agente, non è possibile disattivare Scansione in tempo reale (se originariamente disattivata, viene attivata automaticamente). 5. 6. Nella scheda Destinazione, configurare le opzioni riportate di seguito: • Attività utente sui file a pagina 7-28 • File da sottoporre a scansione a pagina 7-28 • Impostazioni di scansione a pagina 7-29 Fare clic sulla scheda Azione e configurare le seguenti opzioni: 7-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 7-6. Azioni di scansione Azione Azione di Virus e minacce informatiche Riferimento Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 7-45 • Mostra notifica al rilevamento di probabile spyware/ grayware a pagina 7-45 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Ulteriori azioni di spyware/grayware: • 7. 7-18 Mostra notifica al rilevamento di spyware/grayware a pagina 7-51 Nella scheda Esclusione scansione, configurare le directory, i file e le estensioni da escludere dalla scansione. Analisi dei rischi per la sicurezza Per i dettagli, consultare Esclusioni scansione a pagina 7-32. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Scansione manuale Scansione manuale è un metodo di scansione su richiesta che viene avviato immediatamente dopo l'esecuzione della scansione nella console dell'Agente OfficeScan da parte di un utente. Il tempo necessario per completare la scansione dipende dal numero di file da analizzare e dalle risorse hardware del dispositivo Agente OfficeScan. Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione delle impostazioni della scansione manuale Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione manuale. 4. Nella scheda Destinazione, configurare le opzioni riportate di seguito: ) per 7-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. • File da sottoporre a scansione a pagina 7-28 • Impostazioni di scansione a pagina 7-29 • Uso della CPU a pagina 7-31 Fare clic sulla scheda Azione e configurare le seguenti opzioni: Tabella 7-7. Azioni di scansione Azione Azione di Virus e minacce informatiche Riferimento Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware 6. • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Nella scheda Esclusione scansione, configurare le directory, i file e le estensioni da escludere dalla scansione. Per i dettagli, consultare Esclusioni scansione a pagina 7-32. 7-20 Analisi dei rischi per la sicurezza 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Scansione pianificata Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate. Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, per una più efficiente gestione delle scansioni. Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione delle impostazioni della scansione pianificata Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione pianificata. 4. Selezionare le seguenti opzioni: ) per 7-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Attiva scansione di virus/minacce informatiche • Attiva scansione spyware/grayware Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. 5. 6. 7-22 Nella scheda Destinazione, configurare le opzioni riportate di seguito: • Pianificazione a pagina 7-32 • Attività utente sui file a pagina 7-28 • File da sottoporre a scansione a pagina 7-28 • Impostazioni di scansione a pagina 7-29 Fare clic sulla scheda Azione e configurare le seguenti opzioni: Analisi dei rischi per la sicurezza Tabella 7-8. Azioni di scansione Azione Azione di Virus e minacce informatiche Riferimento Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 7-45 • Mostra notifica al rilevamento di probabile spyware/ grayware a pagina 7-45 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Ulteriori azioni di spyware/grayware: • 7. Mostra notifica al rilevamento di spyware/grayware a pagina 7-51 Nella scheda Esclusione scansione, configurare le directory, i file e le estensioni da escludere dalla scansione. 7-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per i dettagli, consultare Esclusioni scansione a pagina 7-32. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Esegui scansione Esegui scansione viene avviata in remoto dall'amministratore di OfficeScan mediante la console Web e può essere mirata a uno o più computer agente. Configurare e applicare le impostazioni di Esegui scansione a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione delle impostazioni della scansione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni funzione Esegui scansione. 4. Selezionare le seguenti opzioni: • 7-24 Attiva scansione di virus/minacce informatiche ) per Analisi dei rischi per la sicurezza • Attiva scansione spyware/grayware Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. 5. 6. Nella scheda Destinazione, configurare le opzioni riportate di seguito: • File da sottoporre a scansione a pagina 7-28 • Impostazioni di scansione a pagina 7-29 • Uso della CPU a pagina 7-31 Fare clic sulla scheda Azione e configurare le seguenti opzioni: Tabella 7-9. Azioni di scansione Azione Azione di Virus e minacce informatiche Riferimento Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 7-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Azione Azione di spyware/ grayware 7. Riferimento Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Nella scheda Esclusione scansione, configurare le directory, i file e le estensioni da escludere dalla scansione. Per i dettagli, consultare Esclusioni scansione a pagina 7-32. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Avvio di Esegui scansione Avviare Esegui scansione nei computer che si sospetta siano infetti. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Operazioni > Esegui scansione. 4. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviare la scansione, fare clic su Impostazioni. 7-26 ) per Analisi dei rischi per la sicurezza Viene aperta la schermata Impostazioni funzione Esegui scansione. Consultare Esegui scansione a pagina 7-24 per ulteriori dettagli. 5. Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clic su Avvia Esegui scansione. Il server invia una notifica agli agenti. 6. Controllare lo stato della notifica e verificare che tutti gli agenti l'abbiano ricevuta. 7. Fare clic su Seleziona dispositivi non notificati, quindi su Avvia Esegui scansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta. Ad esempio: numero totale di agenti: 50 Tabella 7-10. Scenari di Agente non notificati Agenti notificati (dopo aver fatto clic su "Avvia Esegui scansione") Agenti non notificati Nessuno (tutti i 50 agenti selezionati automaticamente) 35 su 50 agenti 15 agenti Selezione manuale (45 su 50 agenti selezionati) 40 su 45 agenti 5 5 agenti + altri 5 agenti non inclusi nella selezione manuale Selezione della struttura agente 8. Fare clic su Interrompi notifica per chiedere a OfficeScan di interrompere l'invio della notifica agli agenti. Gli agenti che hanno già ricevuto la notifica e che hanno già avviato il processo di scansione ignoreranno questo comando. 9. Per gli agenti che stanno già eseguendo la scansione, fare clic su Interrompi Esegui scansione per richiedere l'interruzione della scansione. 7-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Impostazioni comuni a tutti i tipi di scansione Per ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri di scansione, esclusioni di scansione e operazioni di scansione. Implementare queste impostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server. Parametri di scansione Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributi dei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano la scansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di file dopo averlo scaricato nel dispositivo. Attività utente sui file Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delle opzioni seguenti: • Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdotti nel dispositivo (ad esempio dopo il download di un file) o dei file modificati • Scansione dei file recuperati: esegue la scansione dei file alla loro apertura • Scansione dei file creati/modificati e recuperati Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nel dispositivo viene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimane nella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente lo apre e, se l'utente lo modifica, prima che le modifiche vengano salvate. File da sottoporre a scansione Selezionare una delle opzioni seguenti: • 7-28 Tutti i file validi per la scansione: esegue la scansione di tutti i file Analisi dei rischi per la sicurezza • Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possono potenzialmente nascondere codici dannosi, compresi quelli mascherati da nomi di estensione innocui. Consultare IntelliScan a pagina E-6 per ulteriori dettagli. • File con le seguenti estensioni: esegue solo la scansione dei file con estensione compresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuovere quelle esistenti. Impostazioni di scansione Selezionare una o più opzioni tra quelle elencate di seguito: • Scansione del disco floppy allo spegnimento del sistema: Scansione in tempo reale esegue la scansione del disco floppy per rilevare virus da boot prima dello spegnimento del dispositivo. Ciò impedisce l'esecuzione di virus/minacce informatiche quando un utente riavvia il dispositivo dal disco. • Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascoste del dispositivo durante Scansione manuale. • Esegui scansione unità di rete: esegue la scansione delle cartelle o delle unità di rete mappate nel dispositivo Agente OfficeScan durante Scansione manuale o Scansione in tempo reale. • Esegui la scansione del settore boot del dispositivo di archiviazione USB dopo il collegamento: esegue la scansione automatica del settore boot di un dispositivo di archiviazione USB quando viene collegato con Scansione in tempo reale. • Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibili dopo il collegamento: esegue la scansione automatica di tutti i file di un dispositivo di archiviazione USB quando viene collegato con Scansione in tempo reale. • Varianti di malware in quarantena rilevate nella memoria: Monitoraggio del comportamento effettua la scansione della memoria di sistema per processi sospetti mentre Scansione in tempo reale mappa il processo e ne esegue la scansione per le minacce informatiche. Se è presente una minaccia informatica, Scansione in tempo reale sottopone a quarantena il processo e/o il file. 7-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Per utilizzare questa funzione gli amministratori devono attivare il Servizio prevenzione modifiche non autorizzate e il Servizio di protezione avanzata. • Esegui scansione file compressi: consente a OfficeScan di analizzare il numero specificato di livelli di compressione e ignora tutti i livelli in eccesso. OfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio, se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli, OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compresso contiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file. Nota OfficeScan considera i file Microsoft Office 2007 in formato Office Open XML come file compressi. Office Open XML, il formato file per le applicazioni Office 2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati con queste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, è necessario attivare la scansione dei file compressi. • Esegui scansione oggetti OLE: quando un file contiene più livelli OLE (Object Linking and Embedding), OfficeScan esegue la scansione del numero di livelli specificato e ignora i livelli rimanenti. Tutti gli Agenti OfficeScan gestiti dal server controllano questa impostazione durante le funzioni Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. La scansione per rilevare virus/minacce informatiche e spyware/grayware viene eseguita su ciascun livello. Ad esempio: Si supponga che il numero di livelli specificati sia 2 e che un file abbia un documento Microsoft Word incorporato (primo livello) all'interno del quale è presente un foglio di calcolo Microsoft Excel (secondo livello) che contiene un file .exe (terzo livello). OfficeScan esegue la scansione del documento Word e del foglio di calcolo Excel, ma ignora il file .exe. • 7-30 Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consente di identificare in modo euristico eventuali minacce informatiche controllando che i file Microsoft Office non contengano codice di minaccia. Analisi dei rischi per la sicurezza Nota Il numero di livelli specificato è applicabile a entrambe le opzioni Analizza oggetti OLE e Rileva codice maligno. • Attiva IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibili compressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Consultare IntelliTrap a pagina E-7 per ulteriori dettagli. • Esegui scansione settore boot: esegue la scansione del settore boot del disco rigido del dispositivo agente per rilevare virus/minacce informatiche durante Scansione manuale, Scansione pianificata ed Esegui scansione. Uso della CPU È possibile impostare in OfficeScan una pausa tra una scansione di un file e quella successiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansione pianificata ed Esegui scansione. Selezionare una delle opzioni seguenti: • Alto: nessuna pausa tra le scansioni • Medio: effettua una pausa tra una scansione dei file e quella successiva se il consumo di risorse della CPU è superiore al 50%; in caso contrario, la pausa non viene effettuata. • Basso: effettua una pausa tra una scansione dei file e quella successiva se il consumo di risorse della CPU è superiore al 20%; in caso contrario, la pausa non viene effettuata. Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU è inferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa, riducendo in tal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo, ma le prestazioni del dispositivo non ne risentono in modo sensibile poiché il consumo di CPU è ottimale. Quando il consumo di CPU comincia ad eccedere il valore di soglia, OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando il consumo torna al di sotto del valore di soglia. 7-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue la scansione dei file senza pause. Pianificazione Configurare la frequenza (giornaliera, settimanale o mensile) e l'orario di esecuzione della Scansione pianificata. Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno del mese o della settimana e l'ordine di ricorrenza. • • Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Se si seleziona il 29, 30 o 31 di un mese che non ha tale giorno, OfficeScan esegue la Scansione pianificata l'ultimo giorno del mese. Quindi: • Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (ad eccezione degli anni bisestili) e il 29 di tutti gli altri mesi. • Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraio e il 30 di tutti gli altri mesi. • Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio, il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi. Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimana ricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattro lunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Ad esempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ogni mese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste la quinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza. Esclusioni scansione La configurazione delle esclusioni di scansione consente di migliorare le prestazioni della scansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione della scansione per determinare i file del dispositivo che devono essere esclusi dalla scansione per il rilevamento di virus/minacce informatiche e spyware/grayware. 7-32 Analisi dei rischi per la sicurezza Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di un file negli scenari riportati di seguito: • Il file si trova in una directory specifica (o in una delle sottodirectory). • Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione. • L'estensione del file corrisponde a un'estensione contenuta nell'elenco di esclusione. Suggerimento Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in tempo reale, accedere a: http://esupport.trendmicro.com/solution/en-US/1059770.aspx Eccezioni con caratteri jolly Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratteri jolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione di diversi caratteri. Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del carattere jolly potrebbero comportare l'esclusione dalla scansione delle directory e dei file sbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file) escluderebbe l'intera unità C:\. Tabella 7-11. Esclusioni dalla scansione con caratteri jolly Valore c:\director*\fil \*.txt Esclusi Non esclusi c:\directory\fil\doc.txt c:\directory\file\ c:\directories\fil\files\document.txt c:\directories\files\ c:\directory\file\doc.txt c:\directories\files\document.txt c:\director? \file\*.txt c:\directory\file\doc.txt c:\directories\file\document.txt 7-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Valore c:\director? \file\?.txt Esclusi c:\directory\file\1.txt Non esclusi c:\directory\file\doc.txt c:\directories\file\document.txt \ Tutti gli altri tipi di file nella directory C:\ [] Non supportato Non supportato *.* Non supportato Non supportato c:\*.txt Tutti i file .txt nella directory C: Elenco di esclusione scansione (directory) OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica del computer. È possibile specificare al massimo 256 directory. Nota Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte le relative sottodirectory dalle scansioni. Inoltre è possibile selezionare l'opzione Escludi directory di installazione dei programmi Trend Micro. Se si seleziona questa opzione OfficeScan esclude automaticamente dalla scansione le directory dei seguenti prodotti Trend Micro: • <Cartella di installazione del server> • IM Security • InterScan eManager 3.5x • InterScan Web Security Suite • InterScan Web Protect • InterScan FTP VirusWall • InterScan Web VirusWall • InterScan NSAPI Plug-in 7-34 Analisi dei rischi per la sicurezza • InterScan E-mail VirusWall • ScanMail eManager™ 3.11, 5.1, 5.11, 5.12 • ScanMail for Lotus Notes™ eManager NT • ScanMail™ per Microsoft Exchange Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungere manualmente la directory del prodotto all'elenco di esclusione dalla scansione. Configurare inoltre OfficeScan per escludere le directory di Microsoft Exchange 2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti > Impostazioni globali agente. Se si utilizza Microsoft Exchange 2007 o versioni successive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione. Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: • Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente. Per salvare e implementare le modifiche effettuate all'elenco di esclusione, selezionare una delle altre opzioni. • Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli agenti, OfficeScan visualizza un messaggio di conferma. • Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di esclusione dell'agente, l'agente lo ignorerà. • Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente dall'elenco di esclusione esistente dell'agente, se presenti. Elenco di esclusione scansione (file) OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno dei nomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in un 7-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 determinato percorso del dispositivo, includere il percorso, ad esempio C:\Temp \esempio.jpg. È possibile specificare al massimo 256 file. Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: • Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente. Per salvare e implementare le modifiche effettuate all'elenco di esclusione, selezionare una delle altre opzioni. • Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli agenti, OfficeScan visualizza un messaggio di conferma. • Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di esclusione dell'agente, l'agente lo ignorerà. • Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente dall'elenco di esclusione esistente dell'agente, se presenti. Elenco di esclusione scansione (estensione file) OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a una delle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo 256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione. Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando si specificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti i file le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitare D*. Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un punto interrogativo (?) o un asterisco (*) come carattere jolly. 7-36 Analisi dei rischi per la sicurezza Applica impostazioni di esclusione scansione a tutti i tipi di scansione OfficeScan consente di configurare le impostazioni di esclusione per un tipo di scansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione. Ad esempio: Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computer agente e si rende conto che questi file non rappresentano una minaccia alla sicurezza. Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applica questa impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale, Esegui scansione e Scansione pianificata sono impostate in modo da ignorare i file .jpg. Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione in tempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Ora i file JPG vengono sottoposti a scansione solo con Scansione in tempo reale. Azioni di scansione Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva un rischio per la sicurezza. OfficeScan presenta gruppi di azioni di scansione differenti per virus/minacce informatiche e spyware/grayware. Azioni di scansione di virus/minacce informatiche L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minaccia informatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Ad esempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minaccia informatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) del file infetto. Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacce informatiche a pagina 7-2. Di seguito sono riportate le operazioni di OfficeScan contro virus/minacce informatiche. 7-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 7-12. Azioni di scansione di virus/minacce informatiche Azione Descrizione Elimina OfficeScan elimina il file infetto. Metti in quarantena OfficeScan Rinomina e sposta il file infetto in una directory di quarantena temporanea sul dispositivo agente situato in <Cartella di installazione dell'agente>\Suspect. L'Agente OfficeScan invia i file in quarantena alla directory di quarantena designata. Consultare Directory di quarantena a pagina 7-41 per ulteriori dettagli. La directory di quarantena predefinita si trova sul server OfficeScan, in <Cartella di installazione del server>\PCCSRV\Virus. OfficeScan crittografa i file in quarantena inviati a questa directory. Se occorre ripristinare i file in quarantena, utilizzare Ripristino Files in Quarantena. Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45. Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il file infetto. Se il file non può essere disinfettato, OfficeScan esegue una seconda operazione tra le seguenti: Metti in quarantena, Elimina, Rinomina e Ignora. Per configurare la seconda azione, accedere a Agenti > Gestione agente. Fare clic su Impostazioni > Impostazioni di scansione > {tipo di scansione} scheda > Azione. Questa operazione può essere eseguita su tutti i tipi di minacce informatiche ad eccezione di virus/minacce informatiche probabili. Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti non possono aprire il file rinominato immediatamente ma solo se lo associano a una determinata applicazione. All'apertura del file infetto rinominato, il virus o la minaccia informatica in esso contenuti potrebbero entrare in azione. 7-38 Analisi dei rischi per la sicurezza Azione Descrizione Ignora OfficeScan può utilizzare questa operazione di scansione solo se rileva un tipo di virus durante Scansione manuale, Scansione pianificata ed Esegui scansione. OfficeScan non può utilizzare questa operazione di scansione durante la Scansione in tempo reale perché la mancata esecuzione di un'operazione quando si rileva un tentativo di aprire o eseguire un file infetto consente l'esecuzione del virus o della minaccia. Tutte le altre azioni di scansione possono essere utilizzate. Impedisci l'accesso Questa operazione di scansione può essere eseguita solo durante la scansione in tempo reale. Quando OfficeScan rileva un tentativo di aprire o eseguire un file infetto, blocca immediatamente l'operazione. Gli utenti possono eliminare manualmente il file infetto. Usa ActiveAction Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. La personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce informatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveAction per contrastare questi problemi. ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacce informatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione o se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/ minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction. L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito. • ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è necessario dedicare tempo alla configurazione delle operazioni. • Gli sviluppatori di virus/minacce informatiche modificano costantemente il modo in cui i virus attaccano i computer. Le impostazioni di ActiveAction vengono aggiornate per fornire protezione dalle minacce più recenti e dalle modalità di attacco di virus/minacce informatiche più recenti. Nota ActiveAction non è disponibile per la scansione spyware/grayware. 7-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus e minacce informatiche: Tabella 7-13. Operazioni di scansione consigliate da Trend Micro contro virus e minacce informatiche Tipo di virus/ minaccia informatica Scansione in tempo reale Prima operazione Seconda operazione Scansione manuale/ Scansione pianificata/ Esegui scansione Prima operazione Seconda operazione Programma Joke Metti in quarantena N.D. Metti in quarantena N.D. Programma cavallo di Troia Metti in quarantena N.D. Metti in quarantena N.D. Virus Disinfetta Metti in quarantena Disinfetta Metti in quarantena virus di prova Impedisci l'accesso N.D. Ignora N.D. Packer Metti in quarantena N.D. Metti in quarantena N.D. Altro Disinfetta Metti in quarantena Disinfetta Metti in quarantena Probabile virus/ minaccia informatica Impedisci l'accesso o azione configurata dall'utente N.D. Ignora o azione configurata dall'utente N.D. Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso" durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansione pianificata ed Esegui scansione. Se non si desidera impostare queste azioni come preferite, è possibile modificarle in Quarantena, Elimina o Rinomina. 7-40 Analisi dei rischi per la sicurezza Stessa operazione per tutti i tipi virus o minaccia informatica Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/ minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azione quando rileva probabili virus/minacce informatiche. Azione specifica per ogni tipo di virus o minaccia Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus o minaccia informatica. Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione, ad eccezione di "Disinfetta". Directory di quarantena Se l'azione di un file infetto è "Quarantena", l'Agente OfficeScan crittografa il file e lo trasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente> \SUSPECT e poi invia il file alla directory di quarantena designata. Nota Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, è possibile ripristinarli. Per i dettagli, consultare Ripristino dei file crittografati a pagina 7-46. 7-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Accettare la directory di quarantena predefinita, che si trova nel computer server OfficeScan. La directory è in formato URL e contiene il nome host del server o l'indirizzo IP. • Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gli agenti possano inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo), solo gli agenti IPv4 puri e dual-stack possono inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo), solo gli agenti IPv6 puri e dual-stack possono inviare file in quarantena al server. È anche possibile specificare una directory di quarantena alternativa immettendo il percorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devono essere in grado di connettersi a questa directory alternativa. Ad esempio, la directory alternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da agenti dual-stack e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa, identificando la directory con il corrispondente nome host e specificando la directory con un percorso UNC. Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL, percorso UNC o percorso di file assoluto: Tabella 7-14. Directory di quarantena Directory di quarantena Una directory sul computer server OfficeScan Format o accetta to Esempio Note URL http:// <server osce> Questa è la directory predefinita. Percorso UNC \\<server osce>\ ofcscan\Virus Configurare le impostazioni di questa directory, quali le dimensioni della cartella di quarantena. Per i dettagli, consultare Gestore della quarantena a pagina 13-60. 7-42 Analisi dei rischi per la sicurezza Directory di quarantena Format o accetta to Esempio Note Accertarsi che gli agenti siano in grado di connettersi a questa directory. Se si specifica una directory non valida, l'Agente OfficeScan conserva i file di quarantena nella cartella SUSPECT fino a quando non viene specificata una directory di quarantena valida. Nei registri di virus e minacce informatiche sul server, il risultato della scansione è "Impossibile inviare il file da mettere in quarantena alla cartella in quarantena specificata". Una directory su un altro computer server OfficeScan (se sono presenti altri server OfficeScan nella rete) URL http:// <server2 osce> Percorso UNC \\<server2 osce>\ ofcscan\Virus Un altro dispositivo della rete Percorso UNC \\<nome_ computer> \temp Una diversa directory sull'Agente OfficeScan Percorso assoluto C:\temp Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo "Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. Crea copia di backup prima di disinfettare Se OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire il backup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro. OfficeScan crittografa il file di backup per impedirne l'apertura e lo archivia nella cartella <Cartella di installazione dell'agente>\Backup. Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina 7-46. Damage Cleanup Services Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali). 7-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacce informatiche, in base al tipo di scansione. • Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione, l'Agente OfficeScan avvia prima Damage Cleanup Services, quindi continua con la scansione di virus/minacce informatiche. Durante la scansione di virus/minacce informatiche, l'agente può avviare di nuovo Damage Cleanup Services, se necessario. • Durante Scansione in tempo reale, l'Agente OfficeScan esegue prima la scansione di virus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario. È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services: • • Disinfezione standard: durante la disinfezione standard, l'Agente OfficeScan esegue una delle seguenti azioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'Agente OfficeScan arresta le attività dei software di sicurezza non legittimi, noti anche come falsi antivirus, nonché di alcune varianti rootkit. L'Agente OfficeScan utilizza anche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo le applicazioni che manifestano un comportamento rootkit e da falso antivirus. Nota Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altro numero di falsi allarmi. Damage Cleanup Services non esegue la scansione di virus/minacce informatiche probabili a meno che non si selezioni l'opzione Esegui disinfezione quando viene rilevato probabile virus/minaccia informatica. Selezionare questa opzione solo se l'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso. 7-44 Analisi dei rischi per la sicurezza Ad esempio, se l'Agente OfficeScan rileva probabili virus/minacce informatiche durante Scansione in tempo reale e l'azione è Metti in quarantena, l'Agente OfficeScan prima mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo di disinfezione (standard o avanzata) dipende dalle opzioni selezionate. Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. Mostra notifica al rilevamento di probabile spyware/ grayware Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. Ripristino dei file in quarantena È possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene che il rilevamento non sia stato accurato. La funzione Ripristino quarantena centrale consente di cercare i file nella directory di quarantena ed eseguire una verifica SHA1 per verificare che i file che si desidera ripristinare non siano stati modificati in alcun modo. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare un dominio o un agente. 7-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Fare clic su Operazioni > Ripristino quarantena centrale. Viene visualizzata la schermata Ripristino quarantena centrale. 4. Digitare il nome dei dati che si desidera ripristinare nel campo File/oggetto infetto. 5. Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per la sicurezza e il percorso del file di dati. 6. Fare clic su Cerca. Viene visualizzata la schermata Ripristino quarantena centrale, con i risultati della ricerca. 7. Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio per assicurare che tutti gli Agenti OfficeScan nei domini dove i file sono stati ripristinati aggiungano il file all'elenco di esclusione scansione. Questa operazione assicura che OfficeScan non rilevi il file come minaccia durante le future scansioni. 8. Facoltativamente, digitare il valore SHA1 del file a scopo di verifica. 9. Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina. Suggerimento Per visualizzare i singoli Agenti OfficeScan che ripristinano il file, fare clic sul collegamento nella colonna Dispositivo. 10. Fare clic su Chiudi nella finestra di dialogo di conferma. Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena, vedere Visualizzazione dei registri di ripristino quarantena centrale a pagina 7-103. Ripristino dei file crittografati Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportati di seguito: 7-46 Analisi dei rischi per la sicurezza • Prima di mettere un file in quarantena • Quando si esegue un backup di un file prima di disinfettarlo OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sia necessario recuperare le informazioni in esso contenute. OfficeScan può decodificare e ripristinare i file seguenti: Tabella 7-15. File soggetti a decodifica e ripristino in OfficeScan File Descrizione File in quarantena nel dispositivo agente Questi file si trovano nella cartella <Cartella di installazione dell'agente>\SUSPECT\Backup e vengono automaticamente cancellati dopo 7 giorni. Questi file inoltre vengono caricati nella directory di quarantena nel server OfficeScan. File in quarantena nella directory di quarantena designata Per impostazione predefinita questa directory si trova nel computer server OfficeScan. File crittografati di backup I file di backup dei file infetti disinfettati da OfficeScan. Questi file si trovano nella cartella <Cartella di installazione dell'agente> \Backup. Per ripristinare questi file, gli utenti devono trasferirli nella cartella <Cartella di installazione dell'agente>\SUSPECT\Backup. Per i dettagli, consultare Directory di quarantena a pagina 7-41. OfficeScan esegue il backup e la crittografia dei file prima di disinfettarli solo se si seleziona Esegui backup dei file prima della disinfezione accedendo a Agenti > Gestione agente e facendo clic su Impostazioni > Impostazioni di scansione scheda > {Tipo di scansione} > Azione. AVVERTENZA! Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche ad altri file e computer. Prima di ripristinare il file, isolare il dispositivo trasferire i file importanti del dispositivo in un percorso di backup. 7-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Decodifica e ripristino dei file Procedura • Se il file si trova nel dispositivo Agente OfficeScan: a. Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>. b. Eseguire VSEncode.exe facendo doppio clic sul file o digitando quanto segue nel prompt dei comandi: VSEncode.exe /u Questo parametro apre una schermata contenente un elenco dei file presenti in <Cartella di installazione dell'agente>\SUSPECT\Backup. c. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in grado di ripristinare un solo file alla volta. d. Nella schermata visualizzata specificare la cartella nella quale deve essere ripristinato il file. e. Fare clic su OK. Il file viene ripristinato nella cartella specificata. Nota Se OfficeScan esegue di nuovo la scansione del file subito dopo che è stato ripristinato, è possibile che venga considerato infetto. Per impedire la scansione del file, aggiungerlo all'elenco di esclusione della scansione. Consultare Esclusioni scansione a pagina 7-32 per ulteriori dettagli. f. • Se il file si trova nel server OfficeScan o in una directory di quarantena personalizzata: a. 7-48 Terminato il ripristino dei file, fare clic su Chiudi. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandi e accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility \VSEncrypt. Analisi dei rischi per la sicurezza Se il file si trova in una directory di quarantena personalizzata, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella VSEncrypt nel dispositivo contenente la directory di quarantena personalizzata. b. Creare un file di testo e digitare l'intero percorso dei file da codificare o decodificare. Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare nel file di testo C:\Documenti\Reports\*.*. I file in quarantena nel computer server OfficeScan si trovano in <Cartella di installazione del server>\PCCSRV\Virus. c. Salvare il file di testo con estensione INI o TXT. Ad esempio, salvarlo con il nome ForEncryption.ini nell'unità C:. d. Aprire un prompt dei comandi e andare alla directory in cui si trova la cartella VSEncrypt. e. Digitare il comando riportato di seguito per eseguire VSEncode.exe: VSEncode.exe /d /i <percorso del file INI o TXT> Dove: <percorso del file INI o TXT> è il percorso del file INI o TXT creato (ad esempio C:\ForEncryption.ini). f. Utilizzare gli altri parametri per ottenere comandi diversi. Tabella 7-16. Parametri di ripristino Parametro Descrizione Nessuno (nessun parametro) Codifica i file /d Decodifica i file /debug Creare un registro di debug e salvarlo nel dispositivo. Nel dispositivo Agente OfficeScan, il registro di debug VSEncrypt.log viene creato in <Cartella di installazione dell'agente>. 7-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Parametro Descrizione /o Sovrascrive il file crittografato o decrittografato già esistente /f <nome file>. Codifica o decodifica un solo file /nr Non ripristina il nome del file originale /v Visualizza le informazioni sullo strumento /u Avvia l'interfaccia utente dello strumento /r <Cartella di destinazione> Cartella contenente il file ripristinato /s <Nome del file originale> Il nome del file crittografato originale Ad esempio, è possibile digitare VSEncode [/d] [/debug] per decodificare i file nella cartella Suspect e creare un registro di debug. Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato o codificato nella stessa cartella. Prima di decodificare o codificare un file, accertarsi che il file non sia bloccato. Azioni di scansione spyware/grayware L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che ha rilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche per ciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida per tutti i tipi di spyware/grayware. Ad esempio, quando OfficeScan rileva qualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) delle relative risorse di sistema. Per informazioni sui diversi tipi di virus/minacce informatiche, consultare Spyware e grayware a pagina 7-5. Nota Le azioni di spyware/grayware sono configurabili solo tramite la console Web. La console dell'Agente OfficeScan non consente di accedere a queste impostazioni. 7-50 Analisi dei rischi per la sicurezza Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware. Tabella 7-17. Azioni di scansione spyware/grayware Azione Disinfetta Descrizione OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. Dopo aver effettuato la disinfezione di spyware e grayware, gli Agenti OfficeScan effettuano un backup dei dati relativi a spyware e grayware così da consentirne il ripristino nel caso in cui l'utente li consideri sicuri. Consultare Ripristino spyware/grayware a pagina 7-54 per ulteriori dettagli. Ignora OfficeScan non esegue alcuna operazione sui componenti spyware/ grayware rilevati, ma registra il rilevamento di spyware/grayware. Questa azione può essere utilizzata solo durante Scansione manuale, Scansione pianificata ed Esegui scansione. Durante Scansione in tempo reale, l'azione è "Impedisci l'accesso". OfficeScan non esegue azioni se lo spyware/grayware rilevato non è incluso nell'elenco approvato. Consultare Elenco Approvati spyware/grayware a pagina 7-52 per ulteriori dettagli. Impedisci l'accesso OfficeScan nega all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. Questa azione può essere eseguita solo durante Scansione in tempo reale. Durante Scansione manuale, Scansione pianificata ed Esegui scansione, l'azione è "Ignora". Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. 7-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Elenco Approvati spyware/grayware OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file e le applicazioni che non devono essere considerati spyware o grayware. Quando uno spyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non esegue alcuna azione. Applicare l'elenco approvati a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso elenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. Aggiunta di spyware/grayware già rilevato all'elenco approvati Approvati Procedura 1. Accedere a una delle seguenti sezioni: • Agenti > Gestione agente • Registri > Agenti > Rischi per la sicurezza 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri > Registri di spyware/grayware. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati. 6. Applicare gli spyware/grayware approvati solo ai computer agente selezionati o a determinati domini. 7. Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il server OfficeScan aggiunge gli spyware/grayware all'elenco approvati che si trova in 7-52 ) per Analisi dei rischi per la sicurezza Agenti > Gestione agente > Impostazioni > Elenco Approvati spyware/ grayware. Nota OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elenco approvati. Gestione dell'elenco approvati spyware/grayware Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Elenco Approvati spyware/grayware. 4. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/ grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante la selezione. • 5. ) per Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca. OfficeScan aggiorna la tabella con i nomi che corrispondono alla parola chiave. Fare clic su Aggiungi. Il nome viene aggiunto alla tabella Elenco approvati. 6. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic su Rimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante la selezione. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 7-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScan eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. Scegliere i dati spyware/grayware da ripristinare basandosi sull'orario di backup. Nota Gli utenti Agente OfficeScan non possono avviare il ripristino di spyware/grayware e non ricevono la notifica sui dati di backup che l'agente ha ripristinato. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, aprire un dominio e selezionare un agente. Nota Gli spyware/grayware possono essere ripristinati solo da un agente alla volta. 3. Fare clic su Operazioni > Ripristino spyware/grayware. 4. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic su Visualizza. Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fare clic su Indietro. 7-54 Analisi dei rischi per la sicurezza 5. Selezionare i segmenti di dati che si desidera ripristinare. 6. Fare clic sul pulsante Ripristina. OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo, consultare i registri di ripristino spyware/grayware. Consultare Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-108 per ulteriori dettagli. Gestione dell'esclusione di processi È possibile configurare OfficeScan in modo da non eseguire la scansione dei processi affidabili durante le scansioni in tempo reale e del monitoraggio del comportamento. Dopo aver aggiunto un programma all'elenco Programmi affidabili, OfficeScan non sottopone il programma o i processi avviati dal programma alla scansione in tempo reale. Per migliorare le prestazioni di scansione dei dispositivi, aggiungere i programmi affidabili all'elenco Programmi affidabili. Nota È possibile aggiungere file all'elenco Programmi affidabili se vengono soddisfatti i seguenti requisiti: • Il file non si trova nella directory di sistema di Windows. • Il file contiene una firma digitale valida. Dopo aver aggiunto un programma all'elenco Programmi affidabili, OfficeScan esclude automaticamente il programma dalle scansioni seguenti: • Verifica dei file della scansione in tempo reale • Monitoraggio del comportamento • Scansione dei processi in tempo reale 7-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione dell'elenco Programmi affidabili L'elenco Programmi affidabili esclude i programmi e tutti i processi secondari richiesti dal programma durante i processi di scansione Scansione in tempo reale e Monitoraggio del comportamento. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Elenco Programmi affidabili. 4. Digitare il percorso completo del programma da escludere dall'elenco. 5. Fare clic su Aggiungi all'elenco Programmi affidabili. 6. Per rimuovere un programma dall'elenco, fare clic sull'icona Elimina. 7. Per esportare l'elenco Programmi affidabili, fare clic su Esporta e selezionare una posizione per il file. ) per Nota OfficeScan salva l'elenco in formato CSV. 8. 9. Per importare l'elenco Programmi affidabili, fare clic su Importa e selezionare una posizione per il file. a. Fare clic su Sfoglia... e selezionare la posizione del file CSV. b. Fare clic su Importa. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • 7-56 Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini Analisi dei rischi per la sicurezza futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Privilegi scansione e altre impostazioni Gli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file nei propri computer. I privilegi di scansione consentono agli utenti o all'Agente OfficeScan di effettuare le attività seguenti: • Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansione a pagina 7-57. • Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-60. • Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevare virus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altre impostazioni a pagina 7-66. • L'Agente OfficeScan può usare le impostazioni delle cache per migliorare le proprie prestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni a pagina 7-68. • Gli utenti possono personalizzare l'elenco Programmi affidabili. Per i dettagli, consultare Privilegio per l'elenco Programmi affidabili a pagina 7-72. Privilegi tipo di scansione Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. 7-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Concessione dei privilegi tipo di scansione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Scansioni. 5. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle impostazioni di scansione per l'agente OfficeScan Procedura 1. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella barra delle applicazioni e selezionare Apri console agente OfficeScan. 2. Fare clic su Impostazioni > {Tipo di scansione}. 7-58 Analisi dei rischi per la sicurezza Figura 7-1. Impostazioni di scansione nella console dell'Agente OfficeScan 3. Configurare le impostazioni riportate di seguito: • Impostazioni scansione in tempo reale: attività dell'utente su file, file da sottoporre a scansione, impostazioni di scansione, esclusioni dalla scansione, azioni di scansione • Impostazioni scansione manuale: file da sottoporre a scansione, impostazioni di scansione, uso della CPU, esclusioni dalla scansione, azioni di scansione • Impostazioni scansione pianificata: pianificazione, file da sottoporre a scansione, impostazioni di scansione, uso della CPU, esclusioni dalla scansione, azioni di scansione 7-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 4. Fare clic su OK. Privilegi scansione pianificata e altre impostazioni Se Scansione pianificata è impostata per l'esecuzione sull'agente, gli utenti possono rimandare, ignorare o interrompere la Scansione pianificata. Rimanda scansione pianificata Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le seguenti operazioni: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. La scansione pianificata può essere postposta una sola volta. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. È possibile interrompere e riavviare la scansione pianificata una sola volta. Nota Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15 minuti. Il periodo massimo è 12 ore e 45 minuti. Per modificare la durata del rinvio, accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansione pianificata, modificare l'impostazione Rimanda scansione pianificata fino a __ ore e __ minuti. Salta e interrompi scansione pianificata Questo privilegio consente agli utenti di eseguire le operazioni seguenti: • Salta scansione pianificata prima che venga eseguita • Interrompi scansione pianificata mentre è in corso 7-60 Analisi dei rischi per la sicurezza Nota Gli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anche dopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivo orario di pianificazione. Notifica di privilegio Scansione pianificata Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibile ricordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notifica prima dell'esecuzione di Scansione pianificata. Concessione privilegi scansione pianificata e visualizzazione notifica dei privilegi Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, passare alla sezione Scansioni pianificate. 5. Selezionare le seguenti opzioni: • Rimanda scansione pianificata • Salta e interrompi scansione pianificata ) per 6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni scansione pianificata. 7. Selezionare Visualizza una notifica prima dell'esecuzione della scansione pianificata. Quando questa opzione è attivata, nel dispositivo agente viene visualizzato un messaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata. 7-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Gli utenti vengono informati della pianificazione della scansione (data e ora) e dei loro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare o interrompere la scansione pianificata. Nota È possibile configurare il numero di minuti. Per configurare il numero di minuti, accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansione pianificata, modificare l'impostazione Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Rinviare, ignorare e arrestare la scansione pianificata sull'agente Procedura • Se la scansione pianificata non è stata avviata: a. 7-62 Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella barra delle applicazioni e selezionare Impostazioni scansione pianificata avanzata. Analisi dei rischi per la sicurezza Figura 7-2. Opzione Impostazioni avanzate della scansione Nota Se il messaggio di notifica è attivato ed è impostato in modo da essere visualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non è necessario che gli utenti eseguano questo passaggio. Per ulteriori informazioni sul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina 7-61. b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Postponi scansione di __ ore e __ minuti. • Salta questa scansione pianificata. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>.. 7-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Figura 7-3. Privilegi di Scansione pianificata nel dispositivo Agente OfficeScan • 7-64 Se la scansione pianificata è in corso: a. Fare clic con il pulsante destro del mouse sull'icona dell'Agente OfficeScan nella barra delle applicazioni e selezionare Impostazioni avanzate della scansione pianificata. b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti. • Interrompi scansione. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>.. Analisi dei rischi per la sicurezza Figura 7-4. Privilegi di Scansione pianificata nel dispositivo Agente OfficeScan 7-65 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Privilegi scansione e-mail e altre impostazioni Quando gli agenti dispongono dei privilegi di scansione e-mail, l'opzione Scansione email viene visualizzata nella console dell'Agente OfficeScan. L'opzione Scansione email visualizza Scansione e-mail POP3. Figura 7-5. Impostazioni di scansione e-mail nella console dell'Agente OfficeScan La seguente tabella indica il programma di scansione e-mail POP3. 7-66 Analisi dei rischi per la sicurezza Tabella 7-18. Programmi di scansione e-mail. Dettagli Descrizione Scopo Esegue la scansione dei messaggi e-mail POP3 per rilevare virus o minacce informatiche. Prerequisiti • Prima che gli utenti possano utilizzarlo, gli amministratori devono attivarlo dalla console Web. Nota Per abilitare la scansione e-mail POP3, vedere Concessione dei privilegi scansione e-mail e attivazione di POP3 Mail Scan a pagina 7-67. • È possibile configurare azioni per contrastare virus/ minacce informatiche dalla console dell'Agente OfficeScan, ma non dalla console Web. Tipi di scansione supportati Scansione in tempo reale Risultati scansione • Informazioni sui rischi per sicurezza rilevati disponibili dopo il completamento della scansione. • Risultati di scansione non registrati nella schermata Registri della console dell'Agente OfficeScan • Risultati di scansione non inviati al server. Altri dettagli La scansione viene eseguita quando i messaggi e-mail vengono scaricati dal server di posta POP3. Condivide OfficeScan NT Proxy Service (TMProxy.exe) con la funzione di reputazione Web. Concessione dei privilegi scansione e-mail e attivazione di POP3 Mail Scan Procedura 1. Accedere a Agenti > Gestione agente. 7-67 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. ) per 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Scansione e-mail. 5. Selezionare Visualizza le impostazioni Scansione e-mail nella console agente OfficeScan. 6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni Scansione e-mail POP3.. 7. Selezionare Analizza i messaggi e-mail POP3. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni cache per le scansioni Per migliorare le proprie prestazioni di scansione, l'Agente OfficeScan è in grado di creare la firma digitale e i file di cache per la scansione su richiesta. Quando viene eseguita una scansione su richiesta, l'Agente OfficeScan verifica innanzitutto il file di cache della firma digitale e successivamente il file di cache per la scansione su richiesta per individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti se dalla scansione viene escluso un elevato numero di file. 7-68 Analisi dei rischi per la sicurezza Cache della firma digitale Il file di cache della firma digitale viene utilizzato durante le funzioni Scansione manuale, Scansione pianificata ed Esegui scansione. Gli agenti non eseguono la scansione dei file la cui firma è stata aggiunta al file di cache della firma digitale. L'Agente OfficeScan utilizza lo stesso Digital Signature Pattern utilizzato dal Monitoraggio del comportamento per creare il file di cache della firma digitale. Il Digital Signature Pattern contiene un elenco di file che Trend Micro considera affidabili e che pertanto è possibile escludere dalle scansioni. Nota Monitoraggio del comportamento viene disattivato automaticamente sulle piattaforme server Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vista senza SP1 non è disponibile). Se la cache della firma digitale è attivata, gli Agenti OfficeScan presenti su queste piattaforme scaricano Digital Signature Pattern per utilizzarlo nella cache, senza scaricare gli altri componenti del monitoraggio del comportamento. Gli agenti creano il file di cache della firma digitale in base a una pianificazione, configurabile dalla console Web. Gli agenti eseguono questa operazione per: • Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il file di cache è stato creato • Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema Durante il processo di creazione della cache, gli agenti eseguono un controllo sulle seguenti cartelle per individuare i file affidabili, quindi aggiungono le firme di questi file al file di cache delle firme digitali: • %PROGRAMFILES% • %WINDIR% Il processo di creazione della cache non influisce sulle prestazioni del dispositivo perché gli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sono anche in grado di riprendere l'attività di creazione della cache che per qualche motivo era stata interrotta, ad esempio quando un computer host viene spento oppure quando un adattatore del dispositivo wireless viene scollegato dall'alimentazione. 7-69 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Impostazione cache scansione su richiesta Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale, Scansione pianificata ed Esegui scansione. Gli Agenti OfficeScan non effettuano la scansione dei file le cui cache sono state aggiunte al file di cache della scansione su richiesta. Ogniqualvolta si esegue una scansione, l'Agente OfficeScan verifica le proprietà dei file privi di minacce. Se un file privo di minacce non è stato modificato per un certo periodo di tempo, (è possibile configurare il periodo di tempo), l'Agente OfficeScan aggiunge la cache del file al file di cache della scansione su richiesta. Quando viene eseguita la scansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta. La cache di un file privo di minacce scade entro un determinato numero di giorni (è possibile configurare anche il periodo di tempo). Quando si esegue una scansione durante o dopo la scadenza della cache, l'Agente OfficeScan rimuove la cache scaduta ed esegue la scansione del file per verificare la presenza di minacce. Se il file è privo di minacce e non viene modificato, la cache del file viene aggiunta nuovamente al file di cache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato di recente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione la volta successiva. La cache per il file privo di minacce scade per impedire di escludere dalla scansione i file infetti, così come illustrato nei seguenti esempi: • È possibile che un file di pattern estremamente obsoleto possa aver considerato un file infetto non modificato come file privo di minacce. Se la cache non è scaduta, il file infetto resta nel sistema fino a quando non viene modificato e rilevato da Scansione in tempo reale. • Se un file memorizzato nella cache è stato modificato e Scansione in tempo reale non è operativa durante la modifica del file, la cache deve scadere in modo che il file modificato possa essere sottoposto alla scansione per le minacce. Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipo di scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minore se l'Agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti nel dispositivo durante Scansione manuale. Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache della scansione su richiesta riduce significativamente il tempo di scansione. In un'operazione 7-70 Analisi dei rischi per la sicurezza di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12 minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deve rimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni. Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, al file di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza più estesa, ciò significa che dalla scansione vengono esclusi più file. Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare la cache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguita la scansione successiva. Configurazione impostazioni cache per le scansioni Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni cache per le scansioni. 5. Configurare le impostazioni per la cache della firma digitale. 6. ) per a. Selezionare Attiva cache firma digitale. b. In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agente dovrà creare la cache. Configurare le impostazioni per la cache della scansione su richiesta. a. Selezionare Attiva cache scansione su richiesta. b. In Aggiungi la cache per i file sicuri non modificati per __ giorni, specificare il numero di giorni per i quali un file deve restare inalterato prima di essere memorizzato nella cache. 7-71 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numero massimo di giorni in cui una cache deve restare nel file di cache. Nota Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lo stesso giorno, le cache scadono in modo casuale nell'arco del numero massimo di giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono state aggiunte 500 cache ed il numero massimo di giorni specificato è 10, una parte delle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Il decimo giorno, tutte le cache rimaste scadranno. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Privilegio per l'elenco Programmi affidabili È possibile concedere agli utenti finali il privilegio di configurare OfficeScan in modo da non eseguire la scansione dei processi affidabili durante le scansioni in tempo reale e del monitoraggio del comportamento. Dopo aver aggiunto un programma all'elenco Programmi affidabili, OfficeScan non sottopone il programma o i processi avviati dal programma alla scansione in tempo reale. Per migliorare le prestazioni di scansione dei dispositivi, aggiungere i programmi affidabili all'elenco Programmi affidabili. 7-72 Analisi dei rischi per la sicurezza Concessione delle impostazioni relative all'elenco Programmi affidabili Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Elenco Programmi affidabili. 5. Selezionare Visualizza l'elenco Programmi affidabili nella console dell'agente OfficeScan. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni globali di scansione Le impostazioni globali di scansione possono essere applicate agli agenti in diversi modi. • Un'impostazione di scansione particolare può essere applicata a tutti gli agenti gestiti dal server o solo agli agenti con determinati privilegi di scansione. Ad esempio, se è stato configurato di rinviare la durata di Scansione pianificata, solo gli agenti con tale privilegio utilizzeranno questa impostazione. 7-73 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Un'impostazione di scansione particolare può essere applicata a tutti i tipi di scansione o a uno in particolare. Ad esempio, negli dispositivi in cui sono installati sia il server OfficeScan che l'Agente OfficeScan, è possibile escludere il database del server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solo durante Scansione in tempo reale. • Un'impostazione di scansione particolare può essere applicata alla scansione per rilevare virus/minacce informatiche o a quella per rilevare spyware/grayware oppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durante la scansione per rilevare spyware/grayware. Configurazione delle impostazioni di scansione globali Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili. 3. • Sezione impostazioni di scansione a pagina 7-74 • Sezione Impostazioni scansione pianificata a pagina 7-81 • Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche a pagina 7-84 Fare clic su Salva. Sezione impostazioni di scansione La sezione Impostazioni di scansione delle Impostazioni globali agente consente agli amministratori di configurare quanto segue: • Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan a pagina 7-75 • Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina 7-76 7-74 Analisi dei rischi per la sicurezza • Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-76 • Attiva Scansione differita in operazioni su file a pagina 7-76 • Attivazione della protezione dell'avvio dell'anti-malware preliminare sui dispositivi a pagina 7-77 • Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-77 • Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-78 • Attiva modalità di valutazione a pagina 7-80 • Esegui scansione cookie a pagina 7-81 Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan Quando questa impostazione è attivata, nel menu di scelta rapida di Esplora risorse di tutti gli Agenti OfficeScan gestiti dal server viene aggiunta l'opzione Esegui scansione con OfficeScan. Quando gli utenti fanno clic con il pulsante destro del mouse su un file o una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione, Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacce informatiche e spyware/grayware. Figura 7-6. Opzione Esegui scansione con OfficeScan 7-75 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale Se l'Agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, con Scansione in tempo reale l'Agente OfficeScan non eseguirà la scansione del database del server per rilevare virus/minacce informatiche e spyware/grayware. Suggerimento Attivare questa impostazione per impedire il verificarsi di eventuali danni al database durante la scansione. Escludi cartelle e file del server Microsoft Exchange dalla scansione Se l'Agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nello stesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenti cartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/ grayware: • Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp e BadMail • .\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb, pub1.stm e pub1.edb • .\Exchsrvr\Gruppo di archiviazione Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunte all'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulle esclusioni dalla scansione, visitare il sito Web riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione, vedere Esclusioni scansione a pagina 7-32. Attiva Scansione differita in operazioni su file Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file. OfficeScan consente all'utente di copiare i file, effettuando la scansione dopo il 7-76 Analisi dei rischi per la sicurezza completamento del processo di copia. Tale scansione differita migliora le prestazioni dei processi di copia e scansione. Nota La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713 o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedere Aggiornamento manuale del server OfficeScan a pagina 6-28. Attivazione della protezione dell'avvio dell'anti-malware preliminare sui dispositivi OfficeScan supporta la funzione di avvio dell'anti-malware preliminare (ELAM), inclusa nell'avvio protetto standard, per proteggere i dispositivi in fase di avvio. Gli amministratori possono attivare questa funzione per avviare gli agenti OfficeScan prima degli altri driver del software di terze parti all'avvio dei dispositivi. Questa funzione consente agli agenti OfficeScan di rilevare il malware durante il processo di avvio. Dopo la scansione dei driver del software di terze parti, l'agente OfficeScan indica le informazioni di classificazione dei driver al kernel di sistema. Gli amministratori possono definire le azioni in base alle classificazioni dei driver in Criteri di gruppo di Windows e possono visualizzare i risultati delle scansioni utilizzando Visualizzatore eventi sui dispositivi. Nota La funzione antimalware a esecuzione anticipata è supportata solo in Windows 8, Windows Server 2012 o versioni successive. Configurare le impostazioni di scansione per file compressi di grandi dimensioni Durante la scansione dei file compressi per rilevare virus/minacce informatiche e spyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione, tutti gli Agenti OfficeScan gestiti dal server controllano le impostazioni seguenti: 7-77 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Configura le impostazioni di scansione per file compressi di grandi dimensioni: selezionare questa opzione per attivare la gestione dei file compressi. • Configurare le impostazioni seguenti separatamente per Scansione in tempo reale e per gli altri tipi di scansione (Scansione manuale, Scansione pianificata ed Esegui scansione): • Non esaminare i file presenti in file compressi se la dimensione supera i __ MB: OfficeScan non esegue la scansione dei file che superano questo limite. • Nei file compressi, esamina solo i primi __ file: dopo aver decompresso un file compresso, OfficeScan esegue la scansione del numero di file specificato e ignora gli altri file. Disinfetta/Elimina file infetti all'interno dei file compressi Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'interno dei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i file infetti vengono disinfettati o eliminati dagli agenti. • "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Per verificare l'azione che OfficeScan esegue sui file infetti, accedere a Agenti > Gestione agente > Impostazioni > Impostazioni di scansione > {Tipo di scansione} scheda > Azione. • Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo delle risorse del dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan deve decomprimere il file compresso, disinfettare/eliminare i file infetti all'interno del file compresso e infine comprimere di nuovo il file. • Il formato di file compresso è supportato. OfficeScan supporta solo alcuni formati di file compressi, tra cui ZIP e Office Open XML, che utilizzano tecnologie di compressione ZIP. Office Open XML è il formato predefinito per le applicazioni Microsoft Office 2007 come Excel, PowerPoint e Word. 7-78 Analisi dei rischi per la sicurezza Nota Per un elenco completo dei formati file compressi supportati, contattare l'assistenza tecnica. Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus. Quando Scansione in tempo reale decomprime un file compresso denominato abc.zip e rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc e comprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essere aperto. La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta. Tabella 7-19. Scenari e risultati dei file compressi Stato di "Disinfetta/ Elimina file infetti all'interno dei file compressi" Attivato Disattivata Operazione che OfficeScan deve eseguire Disinfetta o elimina Disinfetta o elimina Formato file compresso Non supportato Ad esempio: def.rar contiene un file infetto 123.doc. Supportato/Non supportato Ad esempio: abc.zip contiene un file infetto 123.doc. Risultato OfficeScan codifica def.rar ma non disinfetta, elimina o esegue altre operazioni su 123.doc. OfficeScan non disinfetta, elimina o esegue altre operazioni su abc.zip e 123.doc. 7-79 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Stato di "Disinfetta/ Elimina file infetti all'interno dei file compressi" Attivato/ Disattivato Operazione che OfficeScan deve eseguire Non disinfettare o eliminare (in altre parole, una delle seguenti: Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) Formato file compresso Supportato/Non supportato Ad esempio: abc.zip contiene un file infetto 123.doc. Risultato OfficeScan esegue l'operazione configurata (Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) su abc.zip, non su 123.doc. Se l'operazione è: Rinomina: OfficeScan rinomina abc.zip in abc.vir, ma non rinomina 123.doc. Metti in quarantena: OfficeScan mette in quarantena abc.zip (123.doc e tutti i file non infetti vengono messi in quarantena). Ignora: OfficeScan non esegue alcuna operazione su abc.zip e 123.doc, ma registra il rilevamento del virus. Impedisci l'accesso: OfficeScan impedisce l'accesso a abc.zip quando è aperto (123.doc e tutti i file non infetti non possono essere aperti). Attiva modalità di valutazione Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spyware e grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione, ma i componenti spyware e grayware non verranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookie e collegamenti. 7-80 Analisi dei rischi per la sicurezza La modalità di valutazione di Trend Micro consente di valutare gli elementi che Trend Micro considera spyware/grayware e di prendere provvedimenti in base alla valutazione. Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per la sicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati. In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione: • Ignora: durante l'utilizzo di Scansione manuale, Scansione pianificata ed Esegui scansione • Impedisci l'accesso: durante l'utilizzo di Scansione in tempo reale Nota La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configurate dall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansione durante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è in modalità di valutazione. Esegui scansione cookie Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per la sicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno la scansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione. Sezione Impostazioni scansione pianificata Le impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agenti impostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado di rilevare virus/minacce informatiche e spyware/grayware. La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansione consente agli amministratori di configurare quanto segue: • Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-82 • Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-82 7-81 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti a pagina 7-83 • Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è inferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-83 • Riprendi una scansione pianificata non effettuata a pagina 7-83 Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansione pianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e per ricordargli i privilegi della scansione pianificata concessi. Il messaggio di notifica può essere attivato o disattivato da Agenti > Gestione agente > Impostazioni > Privilegi e altre impostazioni > Altre impostazioni (scheda) > Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria non viene visualizzato. Rimanda scansione pianificata fino a __ ore e __ minuti Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le operazioni riportate di seguito: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di 12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negli appositi campi. 7-82 Analisi dei rischi per la sicurezza Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti Quando viene superato il periodo di tempo massimo specificato e la scansione non è ancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agli utenti i rischi per la sicurezza rilevati durante la scansione. Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è inferiore a __ % e l'adattatore è scollegato dall'alimentazione All'avvio di Scansione pianificata, OfficeScan ignora immediatamente la scansione se rileva che la durata residua della batteria del dispositivo wireless si sta esaurendo e l'adattatore non è collegato all'alimentazione. Se la durata residua della batteria è limitata ma l'adattatore è collegato all'alimentazione, la scansione prosegue. Riprendi una scansione pianificata non effettuata Quando una scansione pianificata non viene avviata perché OfficeScan non era in esecuzione alla data e all'ora pianificate o se l'utente l'ha interrotta (ad esempio, spegnendo il dispositivo dopo l'inizio della scansione), è possibile specificare quando OfficeScan deve riprendere la scansione. Specificare la scansione pianificata da riavviare: • Riprendi una scansione pianificata interrotta: riprende le scansioni pianificate che l'utente ha interrotto spegnendo il dispositivo • Riprendi una scansione pianificata non effettuata: riprende le scansioni pianificate non effettuate perché il dispositivo non era in esecuzione Specificare quando riprendere la scansione: • Stessa ora giorno successivo: se OfficeScan è in esecuzione esattamente alla stessa ora il giorno successivo, la scansione viene ripresa. • __ minuti dopo l'avvio del dispositivo: OfficeScan riprende la scansione un determinato numero di minuti dopo che l'utente ha acceso il dispositivo. Il numero di minuti è compreso tra 10 e 120. 7-83 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongono dei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-60. Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche La sezione delle Impostazioni di banda del registro virus/minacce informatiche delle Impostazioni globali di scansione consente agli amministratori di configurare: Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 7-84 Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioni derivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo di tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica più volte, compilando rapidamente il registro relativo a virus/minacce informatiche e consumando l'ampiezza di banda quando l'Agente OfficeScan invia le informazioni del registro al server. L'attivazione di questa funzione consente di ridurre il numero di voci di registro relative a virus/minacce informatiche e la quantità di ampiezza di banda utilizzata dagli Agenti OfficeScan quando segnalano le informazioni del registro dei virus al server. Sezione Servizio certificato Safe Software La sezione Servizio Certified Safe Software di Impostazioni globali di scansione consente agli amministratori di configurare: Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus a pagina 7-85 7-84 Analisi dei rischi per la sicurezza Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. Nota Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53) prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli Agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di collegarsi ai datacenter Trend Micro. Notifiche sui Rischi per la sicurezza OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente, altri amministratori OfficeScan e gli utenti Agente OfficeScan sui rischi per la sicurezza rilevati. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-85. Per ulteriori informazioni sulle notifiche inviate agli utenti dell'Agente OfficeScan, consultare Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-92. Notifiche dei rischi per la sicurezza per gli amministratori Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori di OfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quando 7-85 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 l'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto, l'intervento dell'utente. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Tabella 7-20. Tipi di notifiche sui rischi per la sicurezza Tipo Riferimento Virus/minacce informatiche Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-86 Spyware/Grayware Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-86 Trasmissioni di risorse digitali Configurazione delle notifiche di Prevenzione perdita di dati per gli amministratori a pagina 10-54 Callback C&C Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-19 Nota OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-35. Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori Procedura 1. Accedere a Amministrazione > Notifiche > Amministratore. 2. Nella scheda Criteri: a. 7-86 Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware. Analisi dei rischi per la sicurezza b. 3. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/ minacce informatiche e spyware/grayware o solo quando l'azione eseguita contro i rischi per la sicurezza non è riuscita. Nella scheda E-mail: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. È possibile utilizzare il Role-based Administration (RBA) per concedere agli utenti autorizzazioni per il dominio della struttura agente. Se un rilevamento si verifica in un Agente OfficeScan appartenente a un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: Tabella 7-21. Autorizzazioni e domini della struttura agente Ruoli con autorizzazioni per il dominio Dominio A Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Dominio B Account utente con il ruolo Indirizzo email dell'account utente Dominio della struttura agente Se un Agente OfficeScan appartenente al Dominio A rileva un virus, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. 7-87 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Se un Agente OfficeScan appartenente al Dominio B rileva uno spyware, il messaggio e-mail viene inviato a [email protected] e [email protected]. Nota Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi email sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. Tabella 7-22. Variabili token per notifiche dei rischi per la sicurezza Variabile Descrizione Rilevamenti di virus/minacce informatiche 7-88 %v Nome virus/minaccia informatica %s Dispositivo con virus/minacce informatiche %i Indirizzo IP del dispositivo %c Indirizzo MAC del dispositivo %m Dominio del dispositivo %p Posizione di virus/minaccia informatica %y Data e ora del rilevamento virus/minaccia informatica %e Versione motore di scansione virus %r Versione del pattern dei virus %a Azione eseguita per contrastare il rischio per la sicurezza Analisi dei rischi per la sicurezza Variabile %n Descrizione Nome dell'utente che ha effettuato l'accesso nel dispositivo infetto Rilevamenti di spyware/grayware 4. %s Dispositivo con spyware/grayware %i Indirizzo IP del dispositivo %m Dominio del dispositivo %y Data e ora del rilevamento di spyware/grayware %n Nome dell'utente che ha effettuato l'accesso al dispositivo infetto al momento del rilevamento %T Risultato della scansione e presenza di spyware e grayware Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo le variabili token presenti nella seguente tabella per rappresentare i dati nel campo Messaggio. Tabella 7-23. Variabili token per notifiche dei rischi per la sicurezza Variabile Descrizione Rilevamenti di virus/minacce informatiche %v Nome virus/minaccia informatica %s Dispositivo con virus/minacce informatiche %i Indirizzo IP del dispositivo %c Indirizzo MAC del dispositivo 7-89 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Variabile Descrizione %m Dominio del dispositivo %p Posizione di virus/minaccia informatica %y Data e ora del rilevamento virus/minaccia informatica %e Versione motore di scansione virus %r Versione del pattern dei virus %a Azione eseguita per contrastare il rischio per la sicurezza %n Nome dell'utente che ha effettuato l'accesso nel dispositivo infetto Rilevamenti di spyware/grayware 5. 7-90 %s Dispositivo con spyware/grayware %i Indirizzo IP del dispositivo %m Dominio del dispositivo %y Data e ora del rilevamento di spyware/grayware %n Nome dell'utente che ha effettuato l'accesso al dispositivo infetto al momento del rilevamento %T Risultato della scansione e presenza di spyware e grayware %v Nome spyware/grayware %a Azione eseguita per contrastare il rischio per la sicurezza Nella scheda Registro eventi NT: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo le variabili token presenti nella seguente tabella per rappresentare i dati nel campo Messaggio. Analisi dei rischi per la sicurezza Tabella 7-24. Variabili token per notifiche dei rischi per la sicurezza Variabile Descrizione Rilevamenti di virus/minacce informatiche %v Nome virus/minaccia informatica %s Dispositivo con virus/minacce informatiche %i Indirizzo IP del dispositivo %c Indirizzo MAC del dispositivo %m Dominio del dispositivo %p Posizione di virus/minaccia informatica %y Data e ora del rilevamento virus/minaccia informatica %e Versione motore di scansione virus %r Versione del pattern dei virus %a Azione eseguita per contrastare il rischio per la sicurezza %n Nome dell'utente che ha effettuato l'accesso nel dispositivo infetto Rilevamenti di spyware/grayware %s Dispositivo con spyware/grayware %i Indirizzo IP del dispositivo %m Dominio del dispositivo %y Data e ora del rilevamento di spyware/grayware %n Nome dell'utente che ha effettuato l'accesso al dispositivo infetto al momento del rilevamento %T Risultato della scansione e presenza di spyware e grayware %v Nome spyware/grayware %a Azione eseguita per contrastare il rischio per la sicurezza 7-91 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Fare clic su Salva. Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan OfficeScan è in grado di visualizzare i messaggi di notifica sul dispositivo Agente OfficeScan: • Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/ minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se lo si desidera, modificarne il contenuto. • Se il riavvio di un dispositivo agente è necessario per completare la disinfezione dei file infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo la scansione di un rischio per la sicurezza specifico. Con Scansione manuale, Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una volta e solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni della scansione. Tabella 7-25. Tipi di notifiche dell'agente sui rischi per la sicurezza Tipo 7-92 Riferimento Virus/minacce informatiche Configurazione delle notifiche di virus/minacce informatiche a pagina 7-94 Spyware/Grayware Configurazione delle notifiche di spyware/grayware a pagina 7-94 Violazioni del firewall Modifica del contenuto del messaggio di notifica del firewall a pagina 12-30 Violazioni della reputazione Web Modifica delle notifiche di minacce Web a pagina 11-19 Violazioni del controllo dispositivo Modifica delle notifiche di controllo dispositivo a pagina 9-18 Violazione ai criteri di monitoraggio del comportamento Modifica del contenuto del messaggio di notifica a pagina 8-15 Analisi dei rischi per la sicurezza Tipo Riferimento Trasmissioni di risorse digitali Configurazione delle notifiche di Prevenzione perdita di dati per gli agenti a pagina 10-57 Callback C&C Modifica delle notifiche di minacce Web a pagina 11-19 Notifica agli utenti del rilevamento di spyware/grayware e virus/minacce informatiche Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale o su Impostazioni > Impostazioni di scansione > Impostazioni scansione pianificata. 4. Fare clic sulla scheda Operazione. 5. Selezionare le seguenti opzioni: 6. • Visualizza un messaggio di notifica sull'dispositivo agente al rilevamento di virus/minacce informatiche • Visualizza un messaggio di notifica sull'dispositivo agente al rilevamento di probabili virus/minacce informatiche ) per Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 7-93 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle notifiche di virus/minacce informatiche Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Virus/minacce informatiche 3. Configurare le impostazioni di rilevamento. a. b. 4. Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacce informatiche o separare le notifiche in base ai seguenti livelli di gravità: • Alto: l'Agente OfficeScan non è stato in grado di gestire una minaccia informatica grave • Medio: l'Agente OfficeScan non è stato in grado di gestire una minaccia informatica • Basso: l'Agente OfficeScan ha risolto tutte le minacce Accettare o modificare i messaggi predefiniti. Fare clic su Salva. Configurazione delle notifiche di spyware/grayware Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Spyware/grayware. 3. Accettare o modificare il messaggio predefinito. 7-94 Analisi dei rischi per la sicurezza 4. Fare clic su Salva. Notifica del riavvio agli agenti per completare la disinfezione dei file infetti Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica. 5. Selezionare Visualizza un messaggio di notifica se è necessario un riavvio dell'dispositivo per completare la disinfezione dei file infetti. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Registri dei rischi per la sicurezza OfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/grayware e quando ripristina spyware/grayware. 7-95 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di virus/minacce informatiche Quando rileva virus e minacce informatiche, l'Agente OfficeScan genera i registri e li invia al server. Procedura 1. Accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza • Agenti > Gestione agente 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri virus/minacce o su Visualizza registri > Registri virus/minacce. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: 7-96 • Data e ora del rilevamento virus/minaccia informatica • Dispositivo • Minacce alla sicurezza • Origine dell'infezione • File o oggetto infetto • Tipo di scansione che ha rilevato il virus o la minaccia informatica • Risultati scansione ) per Analisi dei rischi per la sicurezza Nota Per ulteriori informazioni sui risultati della scansione, vedere Risultati della scansione antivirus/minacce informatiche a pagina 7-97. 6. • Indirizzo IP • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato al dispositivo al momento del rilevamento Risultati della scansione antivirus/minacce informatiche I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacce informatiche: Tabella 7-26. Risultati scansione Risultato Eliminati In quarantena Disinfettati Descrizione • La prima azione è “Elimina” e il file infetto è stato eliminato. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Elimina” e il file infetto è stato eliminato. • La prima azione è “Metti in quarantena” e il file infetto è stato messo in quarantena. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Metti in quarantena” e il file infetto è stato messo in quarantena. È stato disinfettato un file infetto. 7-97 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Risultato Rinominati Accesso negato Ignorati Ignorato un potenziale rischio per la sicurezza 7-98 Descrizione • La prima azione è “Rinomina” e il file infetto è stato rinominato. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Rinomina” e il file infetto è stato rinominato. • La prima azione è “Impedisci l'accesso” e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Impedisci l'accesso” e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • Probabile virus/minaccia informatica individuato durante Scansione in tempo reale. • La scansione in tempo reale impedisce l'accesso ai file che sono stati infettati da virus boot anche nel caso in cui l'azione di scansione sia impostata su “Disinfetta” (prima azione) e “Metti in quarantena” (seconda azione). Ciò è dovuto al fatto che il tentativo di disinfettare il virus potrebbe danneggiare il Master Boot Record (MBR) del dispositivo infetto. eseguire la scansione manuale per permettere a OfficeScan di disinfettare o mettere in quarantena il file. • La prima azione è “Ignora”. OfficeScan non ha eseguito alcuna azione sul file infetto. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Ignora”, quindi OfficeScan non ha eseguito alcuna azione sul file infetto. Questo risultato di scansione viene visualizzato quando OfficeScan individua un "probabile virus/minaccia informatica" durante Scansione manuale, Scansione pianificata ed Esegui scansione. Per informazioni su probabili virus/minacce informatiche e su come inviare file sospetti a Trend Micro per l'analisi, fare riferimento all'Enciclopedia dei virus online di Trend Micro disponibile alla pagina seguente. Analisi dei rischi per la sicurezza Risultato Descrizione http://www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=POSSIBLE_VIRUS&VSect=Sn Impossibile disinfettare o mettere in quarantena il file “Disinfetta” è la prima azione. “Metti in quarantena” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile disinfettare o eliminare il file “Disinfetta” è la prima azione. “Elimina” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile disinfettare o rinominare il file “Disinfetta” è la prima azione. “Rinomina” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile mettere in quarantena il file/ Impossibile rinominare il file Spiegazione 1. Soluzione: consultare Impossibile mettere in quarantena il file/ Impossibile rinominare il file a pagina 7-99. Soluzione: consultare Impossibile eliminare il file a pagina 7-99. Soluzione: consultare Impossibile mettere in quarantena il file/ Impossibile rinominare il file a pagina 7-99. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potrà metterlo in quarantena o rinominarlo. Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. Spiegazione 2. Il file infetto si trova nella cartella dei file Internet temporanei del dispositivo agente. Poiché il dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà metterlo in quarantena o rinominarlo. Soluzione: nessuna Impossibile eliminare il file Spiegazione 1. 7-99 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Risultato Descrizione Il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione Disinfetta/Elimina file infetti all'interno dei file compressi in Agenti > Impostazioni globali agente è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota Se si attiva questa impostazione, l'utilizzo delle risorse del dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Spiegazione 2. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan lo eliminerà. Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. Spiegazione 3. Il file infetto si trova nella cartella dei file Internet temporanei del dispositivo Agente OfficeScan. Poiché il dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà eliminarlo. Soluzione: nessuna Impossibile inviare il file da mettere in quarantena alla cartella di 7-100 Anche se OfficeScan ha messo correttamente in quarantena un file nella cartella \Suspect del dispositivo Agente OfficeScan, non può inviare il file alla directory di quarantena designata. Analisi dei rischi per la sicurezza Risultato quarantena specificata Descrizione Soluzione Determinare quale tipo di scansione (Scansione manuale, Scansione in tempo reale, Scansione pianificata o Esegui scansione) ha rilevato i virus/minacce informatiche, quindi controllare la directory di quarantena specificata nella scheda Agenti > Gestione agente > Impostazioni > {Tipo di scansione} > Azione. Se la directory di quarantena di trova nel computer server OfficeScan o in un altro computer server OfficeScan: 1. Verificare che l'agente sia in grado di collegarsi al server. 2. Se per indicare la directory di quarantena si utilizza il formato URL: a. Assicurarsi che il nome del dispositivo specificato dopo http:// sia corretto. 3. b. Controllare la dimensione del file infetto. Se questa supera la dimensione massima per i file specificata in Amministrazione > Impostazioni > Gestore della quarantena, modificare l'impostazione adattandola al file. È anche possibile decidere di compiere altri azioni come eliminare il file. c. Verificare la dimensione della directory di quarantena e determinare se ha superato la capacità di cartella specificata in Amministrazione > Impostazioni > Gestore della quarantena. Modificare la capacità della cartella o eliminare manualmente dei file nella directory di quarantena. Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo “Tutti” e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. Verificare inoltre che la directory di quarantena esista e che il percorso UNC sia corretto. Se la directory di quarantena si trova su un altro dispositivo della rete (per questo scenario è consentito solo il percorso UNC): 1. Verificare che l'Agente OfficeScan sia in grado di collegarsi al dispositivo. 7-101 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Risultato Descrizione 2. Assicurarsi che la directory di quarantena sia condivisa per tutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. 3. Verificare che la directory di quarantena esista. 4. Verificare che il percorso UNC sia corretto. Se la directory di quarantena si trova in una directory diversa del dispositivo Agente OfficeScan (per questo scenario è consentito solo il percorso assoluto), verificare che la cartella della directory di quarantena esista. Impossibile disinfettare il file Spiegazione 1. Il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione “Disinfetta/Elimina file infetti all'interno dei file compressi” in Agenti > Impostazioni globali agente è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota Se si attiva questa impostazione, l'utilizzo delle risorse del dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Spiegazione 2. Il file infetto si trova nella cartella dei file Internet temporanei del dispositivo Agente OfficeScan. Poiché il dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà disinfettarlo. Soluzione: nessuna Spiegazione 3. 7-102 Analisi dei rischi per la sicurezza Risultato Descrizione Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni, vedere File non disinfettabili a pagina E-16. Operazione richiesta OfficeScan non riesce a completare l'operazione configurata nel file infetto senza l'intervento dell'utente. Passare il puntatore del mouse sulla colonna Operazione richiesta per visualizzare le seguenti informazioni. • “Operazione richiesta: contattare il supporto per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: contattare l'assistenza per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Disco di ripristino" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: contattare l'assistenza per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: OfficeScan rileva una minaccia in un agente infetto. Riavviare l'dispositivo per completare la disinfezione delle minacce alla sicurezza” • “Operazione richiesta: eseguire una scansione completa del sistema” Visualizzazione dei registri di ripristino quarantena centrale Dopo la disinfezione delle minacce informatiche, gli Agenti OfficeScan effettuano il backup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati di backup ripristinati delle minacce informatiche, sul dispositivo interessato e sui risultati del ripristino. Procedura 1. Accedere a Registri > Agenti > Ripristino quarantena centrale. 7-103 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 2. Selezionare le colonne Completato, Operazione non riuscita e In sospeso per verificare se OfficeScan ha ripristinato correttamente i dati della quarantena. 3. Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate su ciascun dispositivo interessato. Nota Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare di nuovo il file nella schermata Dettagli ripristino quarantena centrale facendo clic su Ripristina tutto. 4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Visualizzazione dei registri di spyware/grayware Quando rileva spyware e grayware, l'Agente OfficeScan genera i registri e li invia al server. Procedura 1. Accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza • Agenti > Gestione agente 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri > Registri di spyware/grayware. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: • 7-104 Data e ora del rilevamento di spyware/grayware ) per Analisi dei rischi per la sicurezza • Il dispositivo interessato • Nome spyware/grayware • Tipo di scansione che ha rilevato il programma spyware/grayware • Dettagli su risultati della scansione spyware/grayware (se l'azione di scansione è riuscita o meno). Consultare Risultati della scansione spyware/grayware a pagina 7-105 per ulteriori dettagli. • Indirizzo IP • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) 6. Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/ grayware. 7. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato al dispositivo al momento del rilevamento Risultati della scansione spyware/grayware I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware: Tabella 7-27. Risultati della scansione spyware/grayware di primo livello Risultato Descrizione Operazione riuscita, non sono necessarie azioni Questo è il risultato di primo livello se l'azioni di scansione è stata completata correttamente. Il risultato di secondo livello può essere uno dei seguenti: • Disinfettati • Accesso negato 7-105 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Risultato Richieste ulteriori azioni Descrizione Questo è il risultato di primo livello se l'azioni di scansione non è stata completata correttamente. I risultati di secondo livello conterranno almeno uno dei seguenti messaggi: • Ignorati • Disinf. spyware/grayware non sicura • La scansione di spyware/grayware è stata interrotta manualmente. Effettuare una scansione completa • Spyware/grayware disinfettato. È necessario riavviare il computer. Riavviare il computer • Impossibile disinfettare spyware/grayware • Risultati scansione spyware/grayware non identificati. Contattare l'assistenza tecnica di Trend Micro Tabella 7-28. Risultati della scansione spyware/grayware di secondo livello Risultato Descrizione Soluzione Disinfettati OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. N.D. Accesso negato OfficeScan ha negato all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. N.D. Ignorati OfficeScan non ha eseguito alcuna operazione, ma ha registrato il rilevamento di spyware e grayware per successive valutazioni. aggiungere spyware/grayware considerati innocui all'Elenco Approvati spyware/grayware. 7-106 Analisi dei rischi per la sicurezza Risultato Descrizione Soluzione Disinf. spyware/ grayware non sicura : questo messaggio viene visualizzato nel caso in cui il motore di scansione spyware tenti di disinfettare ogni singola cartella e siano rispettati i criteri di seguito riportati. Contattare il provider del supporto per ricevere assistenza. • Gli elementi da disinfettare superano i 250 MB. • Il sistema operativo utilizza i file contenuti nella cartella. La cartella potrebbe essere necessaria per il normale funzionamento del sistema. • La cartella è una directory principale (come C: o F:) La scansione di spyware/grayware è stata interrotta manualmente. Effettuare una scansione completa un utente interrompe la scansione prima del completamento. eseguire una scansione manuale e attenderne la conclusione. Spyware/grayware disinfettato. È necessario riavviare il computer. Riavviare il computer OfficeScan ha disinfettato i componenti spyware/grayware, ma per completare l'attività è necessario riavviare il dispositivo. Riavviare il dispositivo immediatamente. Impossibile disinfettare spyware/grayware Sono stati rilevati spyware/grayware su un CD-ROM o un'unità di rete. OfficeScan non è in grado di disinfettare gli spyware/ grayware rilevati in queste posizioni. rimuovere manualmente il file infetto Risultati scansione spyware/grayware non identificati. Contattare l'assistenza tecnica di Trend Micro una nuova versione del motore di scansione spyware fornisce un nuovo risultato della scansione che la configurazione di OfficeScan non è in grado di gestire. contattare l'assistenza tecnica per capire come determinare il nuovo risultato della scansione. 7-107 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Visualizzazione dei registri di ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, gli Agenti OfficeScan eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati di backup di spyware/grayware ripristinati, sul dispositivo interessato e sui risultati del ripristino. Procedura 1. Accedere a Registri > Agenti > Ripristino spyware/grayware. 2. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinato correttamente i dati di spyware e grayware. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Visualizzazione dei file delle connessioni sospette Quando rileva file inclusi nell'elenco dei file sospetti, l'Agente OfficeScan genera i registri e li invia al server. Procedura 1. Accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza • Agenti > Gestione agente 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri dei file sospetti o Visualizza registri > Registri dei file sospetti. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: 7-108 ) per Analisi dei rischi per la sicurezza • Data e ora del rilevamento del file sospetto • Dispositivo • Dominio • Valore hash SHA-1 dell'origine dell'infezione del file • Percorso del file • Tipo di scansione che ha rilevato il file sospetto • Risultati scansione Nota Per ulteriori informazioni sui risultati della scansione, vedere Risultati della scansione antivirus/minacce informatiche a pagina 7-97. • Indirizzo IP Visualizzazione dei registri dell'operazione di scansione Quando si esegue Scansione manuale, Scansione pianificata o Esegui scansione, Agente OfficeScan crea un registro della scansione che contiene informazioni sulla scansione. È possibile visualizzare il registro della scansione accedendo alla console del server OfficeScan o dell'Agente OfficeScan. Per visualizzare i registri dell'operazione di scansione nel server OfficeScan, accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza e fare clic su Visualizza registri > Registri dell'operazione di scansione • Agenti > Gestione agente e fare clic su Registri > Registri dell'operazione di scansione I registri dell'operazione di scansione mostrano le seguenti informazioni: • Data e ora di inizio della scansione di OfficeScan 7-109 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Data e ora di fine della scansione di OfficeScan • Stato della scansione • Completato: la scansione è stata completata normalmente. • Operazione interrotta: la scansione è stata interrotta dall'utente prima del completamento. • Operazione interrotta in modo imprevisto: la scansione è stata interrotta dall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio Scansione in tempo reale di OfficeScan potrebbe essersi interrotto in modo imprevisto oppure l'utente ha forzato il riavvio dell'agente. • Tipo di scansione • Numero di oggetti esaminati • Numero di rilevamenti infetti da virus/minacce informatiche • Numero di rilevamenti spyware/grayware • Versione di Smart Scan Agent Pattern • Versione del pattern dei virus • Versione del pattern spyware Rischi per la sicurezza Un rischio per la sicurezza si presenta quando i rilevamenti di virus/minacce informatiche, spyware/grayware e le sessioni di cartelle condivise superano una determinata soglia in un determinato intervallo di tempo. Esistono vari modi per reagire e contenere un'infezione nella rete, tra i quali: • Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attività sospette • Blocco delle porte e delle cartelle più importanti del dispositivo agente • lnvio di messaggi di avviso di infezione agli agenti 7-110 Analisi dei rischi per la sicurezza • Disinfezione dei dispositivi infetti Notifiche e criteri dei rischi per la sicurezza Configurare OfficeScan per inviare una notifica all'utente e agli amministratori di OfficeScan quando si verificano i seguenti eventi: Tabella 7-29. Tipi di notifiche di infezione sui rischi per la sicurezza Tipo • Virus/minacce informatiche • Spyware/Grayware • Sessione di condivisione delle cartelle Riferimento Configurazione delle notifiche e dei criteri dei rischi per la sicurezza a pagina 7-112 Violazioni del firewall Configurazione delle notifiche e dei criteri di infezione da violazione del firewall a pagina 12-32 Callback C&C Configurazione delle notifiche e dei criteri delle infezioni dei callback C&C a pagina 11-24 • Infezioni di virus/minacce informatiche • Infezioni di spyware/grayware • Infezioni da violazioni del firewall • Infezioni di sessioni di condivisione delle cartelle Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo di rilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamenti nel periodo di rilevamento stabilito. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. 7-111 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezza tramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessioni di cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-35. Configurazione delle notifiche e dei criteri dei rischi per la sicurezza Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri: a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware: b. Specificare il numero di origini uniche dei rilevamenti. c. Specificare il numero di rilevamenti e il periodo di rilevamento per ogni rischio per la sicurezza. Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia la notifica dopo che 10 tipi diversi di virus/minacce informatiche hanno rilevato un totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se un agente rileva 101 virus/minacce informatiche di qualsiasi tipo nell'arco di 5 ore, anche OfficeScan invia una notifica di infezione 3. 7-112 Nella scheda Criteri: a. Andare alla sezione Sessioni di condivisione delle cartelle. b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete. Analisi dei rischi per la sicurezza c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamento del numero per visualizzare i dispositivi con cartelle condivise e i dispositivi con accesso alle cartelle condivise. d. Specificare il numero di sessioni di condivisione cartelle e il periodo di rilevamento. OfficeScan invia un messaggio di notifica quando il numero di sessioni di condivisione cartelle fissato viene superato. 4. Nella scheda E-mail: a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni di spyware/grayware e Infezioni delle sessioni di condivisione delle cartelle. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. Tabella 7-30. Variabili token per le notifiche dei rischi per la sicurezza Variabil e Descrizione Infezioni di virus/minacce informatiche %CV Numero totale di virus/minacce informatiche rilevati %CC Numero totale di dispositivi con virus/minacce informatiche Infezioni di spyware/grayware %CV Numero totale di spyware/grayware rilevati %CC Numero totale di dispositivi con spyware/grayware Infezioni delle sessioni di condivisione delle cartelle %S Numero di sessioni di condivisione delle cartelle 7-113 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Variabil e 5. 6. 7. 7-114 Descrizione %T Totale periodo di durata delle sessioni di condivisione delle cartelle %M Periodo di tempo in minuti e. Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/ grayware da includere nel messaggio e-mail. È possibile includere il nome dell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora del rilevamento, il file infetto, il percorso e il risultato della scansione. f. Accettare o modificare i messaggi di notifica predefiniti. Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-113 per ulteriori dettagli. Nella scheda Registro eventi NT: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 7-30: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-113 per ulteriori dettagli. Fare clic su Salva. Analisi dei rischi per la sicurezza Configurazione della prevenzione dei rischi per la sicurezza Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misure di prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delle impostazioni di prevenzione, poiché eventuali errori di configurazione possono provocare problemi imprevisti nella rete. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurare le impostazioni per il criterio: ) per • Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-117 • Blocco delle porte vulnerabili a pagina 7-118 • Divieto di accesso in scrittura a file e cartelle a pagina 7-119 • Divieto di accesso ai file compressi eseguibili a pagina 7-122 • Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-121 5. Selezionare i criteri da applicare. 6. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Il valore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni di rete prima che il periodo di prevenzione delle infezioni scada. 7-115 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 AVVERTENZA! Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Per bloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo di tempo indeterminato, modificare direttamente le impostazioni del dispositivo e della rete anziché utilizzare OfficeScan. 7. Accettare o modificare il messaggio di notifica predefinito dell'agente. Nota Per configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere a Amministrazione > Notifiche > Infezione. 8. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 9. Nella struttura agente Prevenzione delle infezioni virali, selezionare la colonna Prevenzione delle infezioni virali. Accanto ai dispositivi a cui vengono applicate le misure di prevenzione delle infezioni virali viene visualizzato un segno di spunta. OfficeScan registra i seguenti eventi nei registri eventi di sistema: • Eventi server (avvio della prevenzione delle infezioni virali e notifica agli agenti per l'attivazione della prevenzione delle infezioni virali) • Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali) Criteri per la prevenzione delle infezioni Quando si verificano le infezioni, implementare i seguenti criteri: • Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-117 • Blocco delle porte vulnerabili a pagina 7-118 • Divieto di accesso in scrittura a file e cartelle a pagina 7-119 7-116 Analisi dei rischi per la sicurezza • Divieto di accesso ai file compressi eseguibili a pagina 7-122 • Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-121 Limitazione/Negazione dell'accesso alle cartelle condivise Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivise della rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartelle condivise. Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle, ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisare gli utenti di non condividere le cartelle durante un'infezione oppure implementare di nuovo il criterio per applicarlo alle nuove cartelle condivise. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Limita/impedisci l'accesso alle cartelle condivise. 5. Selezionare una delle opzioni seguenti: ) per • Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise • Impedisci accesso completo Nota l'impostazione di accesso in sola lettura non si applica alle cartelle condivise già configurate per impedire l'accesso completo. 6. Fare clic su Salva. 7-117 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Blocco delle porte vulnerabili Durante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacce informatiche potrebbero utilizzare per accedere ai computer dell'Agente OfficeScan. AVVERTENZA! Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione. Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili. Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare con l'agente per tutta la durata dell'infezione. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Blocco delle porte. 5. Decidere se selezionare l'opzione Blocca porta affidabile. 6. Selezionare le porte da bloccare nella colonna Porte bloccate. a. Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata che si apre, selezionare le porte da bloccare e fare clic su Salva. • 7-118 ) per Tutte le porte (ICMP incluso): blocca tutte le porte eccetto la porta affidabile. Se si desidera bloccare anche la porta affidabile, selezionare la casella di controllo Blocca porta affidabile nella schermata precedente. Analisi dei rischi per la sicurezza 7. • Porte comunemente usate: selezionare almeno un numero di porta da salvare nelle impostazioni per il blocco delle porte di OfficeScan. • Porte dei cavalli di Troia: blocca le porte normalmente utilizzate dai programmi cavalli di Troia. Consultare Porta dei cavalli di Troia a pagina E-14 per ulteriori dettagli. • Un numero o intervallo di porte: è possibile specificare la direzione del traffico da bloccare e alcuni commenti, come il motivo per cui devono essere bloccate le porte specificate. • Protocollo ping (respingi ICMP): fare clic su questa opzione se si desidera soltanto bloccare i pacchetti ICMP, come ad esempio le richieste ping. b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero di porta. c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva. d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accanto al numero di porta e fare clic su Elimina. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 8. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Divieto di accesso in scrittura a file e cartelle I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartelle sui dispositivi host. Durante un'infezione è possibile configurare OfficeScan per impedire a virus/minacce informatiche di modificare o eliminare file e cartelle sui dispositivi Agente OfficeScan. 7-119 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 AVVERTENZA! OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Impedisci accesso alla scrittura di file e cartelle. 5. Inserire il percorso directory. Dopo avere digitato il percorso directory da proteggere, fare clic su Aggiungi. ) per Nota Digitare il percorso assoluto (non quello virtuale) della directory. 6. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i file con determinate estensioni. Per le estensioni dei file, per specificare un'estensione non compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi. 7. Per proteggere file specifici, in File da proteggere, inserire il nome file completo e fare clic su Aggiungi. 8. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 9. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 7-120 Analisi dei rischi per la sicurezza Creazione del trattamento di esclusione reciproca sui file/ processi di minacce informatiche È possibile configurare Prevenzione delle infezioni virali, come protezione contro le minacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorse richieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delle infezioni virali crea esclusioni reciproche su file e processi relazionati alle minacce informatiche note, prevenendone l'accesso a queste risorse. Suggerimento Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di una soluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutex corretti da proteggere durante un'infezione. Nota Il trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche non autorizzate e supporta solo le piattaforme a 32 bit. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/ processi malware. 5. Digitare il nome mutex come protezione contro il campo del testo fornito. ) per Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -. Nota Prevenzione delle infezioni virali supporta il trattamento di esclusione reciproca per un massimo di sei minacce mutex. 7-121 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Divieto di accesso ai file compressi eseguibili Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire la diffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere. È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packer eseguibili supportati. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Impedisci l'accesso a file compressi eseguibili. 5. Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic su Aggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmi packer. ) per Nota È possibile approvare solo l'uso dei file compressi creati dai programmi packer nell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tutti gli altri formati di file compressi eseguibili. 6. 7-122 Fare clic su Salva. Analisi dei rischi per la sicurezza Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Disattivazione della prevenzione delle infezioni Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati o messi in quarantena da OfficeScan, ripristinare le normali impostazioni di rete disattivando la funzione di prevenzione delle infezioni. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni virali. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Ripristina impostazioni. 4. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notifica agli utenti dopo il ripristino delle impostazioni originali. 5. Accettare o modificare il messaggio di notifica predefinito dell'agente. 6. Fare clic su Ripristina impostazioni. ) per Nota Se non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristina automaticamente trascorso il numero di ore specificato in Ripristina automaticamente le normali impostazioni di rete dopo __ ore nella schermata Impostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore. OfficeScan registra i seguenti eventi nei registri eventi di sistema: 7-123 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. 7-124 • Eventi server (avvio della prevenzione delle infezioni virali e notifica agli Agenti OfficeScan per l'attivazione della prevenzione delle infezioni virali) • Evento Agente OfficeScan (attivazione della prevenzione delle infezioni virali) Dopo aver disattivato la prevenzione dalle infezioni virali, effettuare la scansione dei dispositivi di rete per contrastare eventuali rischi per la prevenzione. Capitolo 8 Uso di Monitoraggio del comportamento Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzando la funzione di Monitoraggio del comportamento. Di seguito sono riportati gli argomenti trattati: • Monitoraggio del comportamento a pagina 8-2 • Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-9 • Privilegi di monitoraggio del comportamento a pagina 8-11 • Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-14 • Registri di Monitoraggio del comportamento a pagina 8-15 8-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricerca di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del comportamento protegge gli dispositivo con il Blocco del comportamento malware e il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di eccezioni configurato dall'utente e il servizio Certified Safe software. Importante • Il Monitoraggio del comportamento non supporta le piattaforme Windows XP o Windows 2003 a 64 bit. • Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bit con SP1 o versioni successive. • Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tutte le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di attivare il Monitoraggio del comportamento su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7. Blocco del comportamento malware Il Blocco del comportamento malware offre uno strato necessario di protezione aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso. Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa funzione per garantire un maggior livello di protezione da minacce nuove, sconosciute ed emergenti. Il Blocco del comportamento malware fornisce le seguenti opzioni di scansione dei livelli delle minacce: 8-2 • Minacce note: blocca i comportamenti associati alle minacce note del malware. • Minacce note e potenziali: blocca i comportamenti associati alle minacce note e interviene in caso di comportamenti potenzialmente dannosi. Uso di Monitoraggio del comportamento Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul dispositivo Agente OfficeScan. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-14. Protezione ransomware Protezione ransomware impedisce la modifica o la crittografia non autorizzata dei file sugli Agenti OfficeScan da parte di minacce “ransomware”. Ransomware è un tipo di minaccia informatica che limita l'accesso ai file e che ripristina i file interessati su pagamento. È possibile configurare il monitoraggio del comportamento per rilevare una sequenza specifica di eventi che indichi un attacco ransomware. Quando il monitoraggio del comportamento verifica che i seguenti criteri sono stati soddisfatti, OfficeScan termina e sottopone a quarantena il programma all'origine del problema: 1. Un processo non riconosciuto come sicuro tenta di modificare, eliminare o rinominare tre file in base a un intervallo di tempo specificato. 2. Il processo ha tentato di modificare il tipo di estensione di un file protetto AVVERTENZA! OfficeScan non può recuperare i primi file interessati dal processo ransomware. Nota Per ridurre le possibilità che OfficeScan rilevi un processo sicuro come dannoso, verificare che l'Agente OfficeScan disponga di accesso a Internet per eseguire ulteriori processi di verifica attraverso i server Trend Micro. Monitoraggio degli eventi Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi software e malware non autorizzati. Controlla le aree di sistema alla ricerca di determinati eventi, consentendo agli amministratori di regolare i programmi che attivano questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione 8-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento malware. La tabella seguente contiene l'elenco degli eventi di sistema monitorati. Tabella 8-1. Eventi di sistema controllati Eventi 8-4 Descrizione Duplicazione dei file di sistema Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. Modifica del file Hosts Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga reindirizzato verso siti Web infetti, inesistenti o falsificati. Comportamento sospetto Per comportamento sospetto si può intendere un'azione specifica o una serie di azioni che raramente vengono eseguite da programmi legittimi. I programmi che evidenziano un comportamento sospetto devono essere utilizzati con la massima cautela. Nuovo plug-in per Internet Explorer I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). Modifica delle impostazioni di Internet Explorer Molti virus/minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. Modifica dei criteri di protezione Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema. Caricamento di librerie di programma Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Uso di Monitoraggio del comportamento Eventi Descrizione Modifica della shell Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l’utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. Nuovo servizio I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. Modifica dei file di sistema Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. Modifica dei criteri del firewall I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. Modifica del processo di sistema Molti programmi dannosi eseguono operazioni diverse sui processi incorporati di Windows. Tali operazioni possono comprendere la chiusura o la modifica dei processi in corso. Nuovo programma di avvio Le applicazioni dannose generalmente aggiungono o modificano le voci di avvio automatico del registro Windows per essere eseguite automaticamente ogni volta che viene avviato il computer. Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione configurata per l'evento. La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventi di sistema monitorati. 8-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 8-2. Azioni per eventi di sistema controllati Azione Valuta Descrizione OfficeScan autorizza sempre i programmi associati a un evento ma tiene traccia dell'operazione nei registri ai fini della valutazione. Questa è l'azione predefinita per tutti gli eventi di sistema controllati. Nota Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit. Consenti OfficeScan autorizza sempre i programmi associati a un evento. Chiedi se necessario OfficeScan chiede agli utenti se consentire o negare i programmi associati a un evento e aggiungere i programmi all'elenco di eccezioni Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Il periodo di tempo predefinito è 30 secondi. Per modificare il periodo di tempo, consultare Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-9. Nota Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit. Impedisci OfficeScan blocca sempre i programmi associati a un evento e tiene traccia dell'operazione nei registri.. Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer OfficeScan. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-14. 8-6 Uso di Monitoraggio del comportamento Elenco eccezioni Monitoraggio del comportamento L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che non vengono controllati da Monitoraggio del comportamento. • Programmi approvati: i programmi contenuti in questo elenco possono essere eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione. • Programmi bloccati: i programmi inclusi in questo elenco non possono essere avviati. Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi. Configurare l'elenco di eccezioni dalla console Web. È anche possibile concedere agli utenti il privilegio di configurare il proprio elenco di eccezioni dalla console Agente OfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina 8-11. Configurazione del Blocco del comportamento malware, del Monitoraggio degli eventi e dell'Elenco di Eccezione: Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni del monitoraggio del comportamento. 4. Per attivare Blocco del comportamento malware: a. ) per Selezionare Attiva il Blocco del comportamento malware per minacce note e potenziali e una delle opzioni seguenti: • Minacce note: blocca i comportamenti associati alle minacce informatiche conosciute 8-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • b. Minacce note e potenziali: blocca il comportamento associato alle minacce conosciute e intraprende azioni sul comportamento potenzialmente dannoso Selezionare le funzionalità Protezione ransomware da attivare per proteggersi dalle minacce ransomware. • Proteggi il documento da crittografia o modifiche non autorizzate: interrompe l'eventuale codifica o modifica dei contenuti dei documenti da parte di potenziali minacce ransomware • Blocca i processi comunemente associati a ransomware: blocca i processi associati a minacce ransomware conosciute prima di eventuali codifiche o modifiche dei documenti Per i dettagli, consultare Protezione ransomware a pagina 8-3. 5. Configurare le impostazioni del monitoraggio degli eventi. a. Selezionare Attiva Monitoraggio degli eventi. b. Scegliere gli eventi di sistema da controllare e selezionare un'azione per ciascuno degli eventi selezionati. Per informazioni sugli eventi di sistema controllati e le azioni, vedere Monitoraggio degli eventi a pagina 8-3. 6. Configurare gli elenchi delle eccezioni. a. In Digitare il percorso completo del programma, digitare l'intero percorso del programma da approvare o da bloccare. Separare le diverse voci con un punto e virgola (; b. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco Bloccati. c. Per eliminare dall'elenco un programma bloccato o approvato, fare clic sull'icona del cestino ( ) accanto al programma. Nota OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi bloccati. 8-8 Uso di Monitoraggio del comportamento 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle impostazioni del monitoraggio del comportamento globale OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti con determinati privilegi. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Impostazioni del monitoraggio del comportamento . 3. Configurare le seguenti impostazioni, in base alle necessità: Opzione Autorizza automaticamente il programma se l'utente non risponde entro __ secondi Descrizione Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi e l'azione per un evento di sistema controllato è "Chiedi se necessario". Questa azione chiede all'utente se consentire o negare i programmi associati all'evento. Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Per i dettagli, consultare Monitoraggio degli eventi a pagina 8-3. 8-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Opzione Descrizione Chiedi all'utente prima di eseguire nuovi programmi scaricati tramite HTTP o applicazioni email (escluse piattaforme server) Il Monitoraggio del comportamento, insieme ai Servizi di reputazione Web, verifica la prevalenza di file scaricati tramite le applicazioni e-mail o i canali HTTP. Dopo aver rilevato un file "nuovo", gli amministratori possono scegliere di chiedere conferma agli utenti prima di eseguire il file. Trend Micro classifica un programma come nuovo in base al numero di rilevamenti del file o all'età storica del file determinata da Smart Protection Network. Monitoraggio del comportamento effettua la scansione dei tipi di file seguenti per ciascun canale: • HTTP: esegue la scansione dei file .exe. • Applicazioni e-mail: esegue la scansione dei file .exe e dei file .exe compressi nei file .zip e .rar non crittografati. Nota 4. • Gli amministratori devono attivare i Servizi di reputazione Web sull'agente per consentire a OfficeScan di effettuare la scansione del traffico HTTP prima che venga visualizzata la richiesta. • Per i sistemi Windows 10/7/Vista/XP, questo prompt supporta solo le porte 80, 81 e 8080. • OfficeScan abbina i nomi dei file scaricati tramite applicazioni e-mail durante il processo di esecuzione. Se il nome del file è stato modificato, l'utente non riceve alcun prompt. Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare il Servizio certificato Safe Software, come necessario. Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. 8-10 Uso di Monitoraggio del comportamento Nota Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53) prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli Agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di collegarsi ai datacenter Trend Micro. 5. Fare clic su Salva. Privilegi di monitoraggio del comportamento Se gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzione Monitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella 8-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 console dell'Agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco di eccezioni. Figura 8-1. Opzione Monitoraggio del comportamento nella console dell'Agente OfficeScan 8-12 Uso di Monitoraggio del comportamento Concessione dei privilegi di monitoraggio del comportamento Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio del comportamento. 5. Selezionare Visualizza le impostazioni Monitoraggio del comportamento nella console agente OfficeScan. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 8-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan OfficeScan può visualizzare un messaggio di notifica sul computer Agente OfficeScan subito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivare l'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio. Attivazione dell'invio di messaggi di notifica Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni del monitoraggio del comportamento . 5. Selezionare Visualizza una notifica quando un programma viene bloccato. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 8-14 ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Uso di Monitoraggio del comportamento Modifica del contenuto del messaggio di notifica Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio del comportamento. 3. Modificare il messaggio predefinito nella casella di testo disponibile. 4. Fare clic su Salva. Registri di Monitoraggio del comportamento Gli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi e inviano i registri al server. Un Agente OfficeScan che è sempre in esecuzione raccoglie i registri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di Monitoraggio del comportamento Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. ) per 8-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Fare clic su Registri > Registri di Monitoraggio del comportamento oppure Visualizza registri > Registri di Monitoraggio del comportamento. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: 6. • Data/Ora di rilevamento del processo non autorizzato • Dispositivo in cui il processo non autorizzato è stato rilevato • Dominio del Dispositivo • Violazione, ossia la regola di monitoraggio dell'evento violata dal processo • Azione eseguita al rilevamento della violazione • Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso • Livello di rischio del programma non autorizzato • Programma, ossia il programma non autorizzato • Operazione, ossia l'azione eseguita dal programma non autorizzato • Destinazione, ossia il processo al quale è stato eseguito l'accesso Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Configurazione della pianificazione dell'invio dei registri di Monitoraggio del comportamento: Procedura 1. Accedere a <Cartella di installazione del server>\PCCSRV. 2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini. 3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto ad essa. 8-16 Uso di Monitoraggio del comportamento Il valore predefinito è 3600 secondi e la stringa completa è SendBMLogPeriod=3600. 4. Specificare il valore in secondi. Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in 7200. 5. Salvare il file. 6. Accedere a Agenti > Impostazioni globali agente. 7. Fare clic su Salva senza cambiare le impostazioni. 8. Riavviare l'agente 8-17 Capitolo 9 Utilizzo di Controllo dispositivo Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza utilizzando la funzione di Controllo dispositivo. Di seguito sono riportati gli argomenti trattati: • Controllo dispositivo a pagina 9-2 • Autorizzazioni per dispositivi di archiviazione a pagina 9-4 • Autorizzazioni per dispositivi non di archiviazione a pagina 9-11 • Modifica delle notifiche di controllo dispositivo a pagina 9-18 • Registri di controllo dispositivo a pagina 9-18 9-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agenti esterni. I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare un singolo criterio a tutti gli agenti. Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti nella schermata Località computer (consultare Posizione dispositivo a pagina 14-2) per determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. Importante • Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di attivare il Controllo dispositivo su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7. • Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulteriori informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina 3-4. 9-2 Utilizzo di Controllo dispositivo Tabella 9-1. Dispositivi monitorati dal Servizio prevenzione modifiche non autorizzate Tipo di dispositivo Dispositivi di archiviazione Descrizione del dispositivo CD/DVD Importante Il controllo del dispositivo può limitare l'accesso solo a dispositivi di registrazione CD/DVD che utilizzano il formato Live File System. Alcune applicazioni di terze parti che utilizzano il formato master possono ancora eseguire operazioni di lettura o scrittura anche quando il controllo del dispositivo è attivato. Utilizzare Prevenzione perdita di dati per limitare l'accesso a dispositivi di registrazione CD/DVD che utilizzano qualsiasi tipo di formato. Per i dettagli, consultare Blocco dell'accesso ai supporti di registrazione dati (CD/DVD) a pagina 10-34. Dischi floppy Unità di rete Dispositivi USB di archiviazione Tabella 9-2. Dispositivi monitorati da Prevenzione perdita di dati Tipo di dispositivo Descrizione del dispositivo Dispositivi mobili Dispositivi mobili Dispositivi di archiviazione CD/DVD Dischi floppy Unità di rete Dispositivi USB di archiviazione 9-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tipo di dispositivo Dispositivi non di archiviazione Descrizione del dispositivo Adattatori Bluetooth Porte COM e LPT Interfaccia IEEE 1394 Dispositivi per l\'acquisizione di immagini Dispositivi a infrarossi Modem Scheda PCMCIA Tasto Stamp Schede NIC wireless: Autorizzazioni per dispositivi di archiviazione Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono utilizzate per: • Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare il livello di accesso. • Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione, ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso. La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi di archiviazione. 9-4 Utilizzo di Controllo dispositivo Tabella 9-3. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione Autorizzazioni Accesso completo Modifica File nel dispositivo File in entrata Operazioni consentite: copia, spostamento, apertura, salvataggio, eliminazione, esecuzione Operazioni consentite: salvataggio, spostamento, copia Operazioni consentite: copia, spostamento, apertura, salvataggio, eliminazione Operazioni consentite: salvataggio, spostamento, copia Ciò significa che un file può essere salvato, spostato e copiato nel dispositivo. Operazioni non consentite: esecuzione Lettura ed esecuzione Operazioni consentite: copia, apertura, esecuzione Operazioni non consentite: salvataggio, spostamento, copia Operazioni non consentite: salvataggio, spostamento, eliminazione Lettura Operazioni consentite: copia, apertura Operazioni non consentite: salvataggio, spostamento, copia Operazioni non consentite: salvataggio, spostamento, eliminazione, esecuzione Elenca solo contenuto dispositivo Operazioni non consentite: tutte le operazioni Blocca Operazioni non consentite: tutte le operazioni (disponibile dopo l'attivazione della Protezione dati) Operazioni non consentite: salvataggio, spostamento, copia Il dispositivo e i file che contiene sono visibili all'utente (ad esempio, da Esplora risorse di Windows). Operazioni non consentite: salvataggio, spostamento, copia Il dispositivo e i file che contiene non sono visibili all'utente (ad esempio, da Esplora risorse di Windows). 9-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il file viene eliminato. Suggerimento Il controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per il monitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati da OfficeScan, impostare l'autorizzazione del dispositivo su Blocca per limitare l'accesso a tali dispositivi. Autorizzazioni avanzate per i dispositivi di archiviazione Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per la maggior parte dei dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti: • Modifica • Lettura ed esecuzione • Lettura • Elenca solo contenuto dispositivo È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuni programmi sui dispositivi di archiviazione e sul dispositivo locale. Per definire i programmi, configurare gli elenchi di programmi seguenti. 9-6 Utilizzo di Controllo dispositivo Tabella 9-4. Elenchi di programmi Elenco di programmi Descrizione Valori validi Programmi con accesso in lettura e scrittura ai dispositivi Questo elenco contiene i programmi locali e i programmi dei dispositivi di archiviazione che hanno accesso in lettura e scrittura ai dispositivi. Nome e percorso del programma Un esempio di programma locale è Microsoft Word (winword.exe), di solito installato in C:\\Programmi\\Microsoft Office\ \Office. Se l'autorizzazione per i dispositivi di archiviazione USB è "Elenca solo contenuto dispositivo", ma "C:\\Programmi\\Microsoft Office\\Office\\winword.exe" è incluso nell'elenco: Programmi su dispositivi a cui è consentito eseguire • L'utente avrà accesso in lettura e in scrittura a tutti i file del dispositivo di archiviazione USB a cui Microsoft Word ha accesso. • L'utente può salvare, spostare o copiare un file Microsoft Word sul dispositivo di archiviazione USB. Questo elenco contiene i programmi dei dispositivi di archiviazione che possono essere eseguiti dagli utenti o dal sistema. Ad esempio, per consentire agli utenti di installare il software da un CD, aggiungere a questo elenco il nome e il percorso del programma di installazione, ad esempio "E: \Installer\Setup.exe", Per i dettagli, consultare Specifica di nome e percorso del programma a pagina 9-9. Nome e percorso del programma o provider della firma digitale Per ulteriori dettagli, vedere Specifica di nome e percorso del programma a pagina 9-9 o Specifica di un provider della firma digitale a pagina 9-8. In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi. Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se attivato, richiede agli utenti di specificare un nome utente e una password validi prima 9-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un programma del dispositivo denominato "Password.exe", che è necessario autorizzare affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere accesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificare il nome utente o la password. Ciascun elenco di programmi nell'interfaccia utente può contenere fino a 100 programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere i programmi al file ofcscan.ini, consultare Aggiunta di programmi agli elenchi di controllo dispositivo con ofcscan.ini a pagina 9-16. AVVERTENZA! I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale (root) e sovrascrivono i programmi nei singoli domini e negli agenti. Specifica di un provider della firma digitale Specificare un provider di firma digitale se si ritengono affidabili i programmi del provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile 9-8 Utilizzo di Controllo dispositivo conoscere il provider della firma digitale verificando le proprietà di un programma (ad esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà). Figura 9-1. Provider della firma digitale per il programma Agente OfficeScan (PccNTMon.exe) Specifica di nome e percorso del programma Il nome e il percorso di un programma devono essere composti da un massimo di 259 caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile specificare solo il nome del programma. È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo, come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere multiplo, come un nome di un programma. 9-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly: Tabella 9-5. Uso corretto dei caratteri jolly Esempio Dati corrispondenti ?:\Password.exe Il file "Password.exe" si trova direttamente sotto una qualsiasi unità C:\Programmi\Microsoft\*.exe Qualsiasi file in C:\Programmi che abbia un'estensione di file C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbia un'estensione di file C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3 caratteri che inizi con la lettera "a" e termini con la lettera "c" C:\* Qualsiasi file che si trovi direttamente sotto l'unità C: \Programmi con o senza un'estensione di file Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly: Tabella 9-6. Uso scorretto dei caratteri jolly Esempio ??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. *:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. C:\*\Password.exe I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. C:\?\Password.exe 9-10 Motivo Utilizzo di Controllo dispositivo Autorizzazioni per dispositivi non di archiviazione L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate. Gestione dell'accesso ai dispositivi esterni (Protezione dati attivata) Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo. 4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni. 5. Selezionare Attiva controllo dispositivo. 6. Applicare le impostazioni come indicato di seguito: ) per • Nella scheda Agenti esterni, è possibile applicare le impostazioni agli agenti interni selezionando Applica tutte le impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare le impostazioni agli agenti esterni selezionando Applica tutte le impostazioni agli agenti esterni. Viene visualizzato un messaggio che richiede la conferma dell'operazione. Attendere che il comando di implementazione propaghi le impostazioni a tutti gli agenti. 7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 9-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 8. Configurare le impostazioni per i dispositivi di archiviazione. a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. b. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a questi dispositivi e possono controllare il livello di accesso usando le autorizzazioni. Consultare Configurazione di un elenco Approvati per i dispositivi USB a pagina 9-13. 9. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle autorizzazioni avanzate Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione. Nota Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 9-6. 9-12 Utilizzo di Controllo dispositivo Procedura 1. Fare clic su Notifiche e autorizzazioni avanzate. Viene visualizzata una nuova schermata. 2. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato. 3. Sotto Programmi su dispositivi di archiviazione di cui è consentita l'esecuzione:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi. 4. Selezionare Visualizza un messaggio di notifica sul dispositivo quando OfficeScan rileva un accesso non autorizzato. 5. • L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. • È possibile modificare il messaggio di notifica. Per i dettagli, consultare Modifica delle notifiche di controllo dispositivo a pagina 9-18. Fare clic su Indietro. Configurazione di un elenco Approvati per i dispositivi USB L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco approvati. Procedura 1. Fare clic su Dispositivi approvati. 2. Immettere il fornitore del dispositivo. 9-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Immettere il modello e l'ID di serie del dispositivo. Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. 4. Selezionare l'autorizzazione per ciascun dispositivo. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. 5. Per aggiungere altri dispositivi, fare clic sull'icona (+). 6. Fare clic su < Indietro. Strumento elenco dispositivi Eseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo per eseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza un dispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni sul dispositivo in una finestra del browser. Tali informazioni possono quindi essere utilizzate durante la configurazione delle impostazioni dei dispositivi per la Prevenzione perdita di dati e il Controllo dispositivo. Esecuzione dello Strumento elenco dispositivi Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server a pagina xv>\PCCSRV\Admin\Utility\ListDeviceInfo. 2. Copiare listDeviceInfo.exe nell'dispositivo di destinazione. 3. Sull'dispositivo, eseguire listDeviceInfo.exe. 9-14 Utilizzo di Controllo dispositivo 4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. La Prevenzione predita di dati e il Controllo dispositivo utilizzano le seguenti informazioni: • Fornitore (obbligatorio) • Modello (facoltativo) • ID di serie (facoltativo) Gestione dell'accesso ai dispositivi esterni (Protezione dati non attivata) Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo. 4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agentiinterni. 5. Selezionare Attiva controllo dispositivo. 6. Applicare le impostazioni come indicato di seguito: ) per • Nella scheda Agenti esterni, è possibile applicare le impostazioni agli agenti interni selezionando Applica tutte le impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare le impostazioni agli agenti esterni selezionando Applica tutte le impostazioni agli agenti esterni. Viene visualizzato un messaggio che richiede la conferma dell'operazione. Attendere che il comando di implementazione propaghi le impostazioni a tutti gli agenti. 9-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 8. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. 9. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo di archiviazione è una delle seguenti: Modifica, Lettura ed esecuzione, Lettura o Elenca solo contenuto dispositivo. Consultare Configurazione delle autorizzazioni avanzate a pagina 9-12. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Aggiunta di programmi agli elenchi di controllo dispositivo con ofcscan.ini Nota Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 9-6. Procedura 1. 9-16 Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV. Utilizzo di Controllo dispositivo 2. Aprire il file ofcscan.ini usando un editor di testo. 3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di archiviazione: a. Individuare le righe seguenti: [DAC_APPROVED_LIST] Count=x b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<numero>=<nome e percorso del programma o provider della firma digitale> Ad esempio: [DAC_APPROVED_LIST] Count=3 Item0=C:\Program Files\program.exe Item1=?:\password.exe Item2=Microsoft Corporation 4. Per aggiungere i programmi su dispositivi di archiviazione di cui è consentita l'esecuzione: a. Individuare le righe seguenti: [DAC_EXECUTABLE_LIST] Count=x b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<numero>=<nome e percorso del programma o provider della firma digitale> 9-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Ad esempio: [DAC_EXECUTABLE_LIST] Count=3 Item0=?:\Installer\Setup.exe Item1=E:\*.exe Item2=Trend Micro, Inc. 5. Salvare e chiudere il file ofcscan.ini . 6. Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globali agente. 7. Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti. Modifica delle notifiche di controllo dispositivo I messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazioni del Controllo dispositivo. Se necessario, gli amministratori possono modificare il messaggio di notifica predefinito. Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo 3. Modificare i messaggi predefiniti nella casella di testo disponibile. 4. Fare clic su Salva. Registri di controllo dispositivo Gli Agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi e inviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registri 9-18 Utilizzo di Controllo dispositivo e li invia dopo 1 ora. Qualsiasi agente che è stato riavviato controlla l'ultima volta che i registri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente invia i registri immediatamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di controllo dispositivo Nota I dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi di archiviazione. Gli Agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi non di archiviazione come da configurazione ma non registrano l'operazione. Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizza registri > Registri di controllo dispositivo. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: • Data/Ora di rilevamento dell'accesso non autorizzato • Dispositivo al quale è connesso un dispositivo esterno o è mappata una risorsa di rete • Dominio del dispositivo al quale è connesso un dispositivo esterno o è mappata una risorsa di rete ) per 9-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. 9-20 • Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso • Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui è stato eseguito l'accesso • Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso • Autorizzazioni impostate per la destinazione Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Capitolo 10 Utilizzo di Prevenzione perdita di dati In questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzione perdita di dati Di seguito sono riportati gli argomenti trattati: • Informazioni su Prevenzione perdita di dati (DLP) a pagina 10-2 • Criteri di Prevenzione perdita di dati a pagina 10-3 • Tipi di identificatore di dati a pagina 10-5 • Modelli di Prevenzione perdita di dati a pagina 10-20 • Canali DLP a pagina 10-25 • Azioni di Prevenzione perdita di dati a pagina 10-39 • Eccezioni di Prevenzione perdita di dati a pagina 10-42 • Configurazione dei criteri Prevenzione perdita di dati a pagina 10-48 • Notifiche di Prevenzione perdita di dati a pagina 10-54 • Registri di Prevenzione perdita di dati a pagina 10-58 10-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Informazioni su Prevenzione perdita di dati (DLP) Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esterne di raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metà della storia. Le violazioni dei dati sono diventate di ordinaria amministrazione ed espongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – a persone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito a errori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti, oppure attacchi maligni. Le violazioni dei dati possono: • Danneggiare la reputazione del marchio. • Minare la fiducia del cliente nell'azienda. • Causare spese superflue a copertura dei rimedi e delle multe per violazione della normativa in materia di conformità. • Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furto della proprietà intellettuale. Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggi la protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura di sicurezza. Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite accidentali o intenzionali. Prevenzione perdita di dati consente di: • Identificare le informazioni sensibili che devono essere protette utilizzando gli identificatori di dati. • Creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi esterni. • implementare la conformità alle norme vigenti sulla privacy Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessario essere in grado di rispondere alle domande seguenti: 10-2 Utilizzo di Prevenzione perdita di dati • Quali dati è necessario proteggere dagli utenti non autorizzati? • Dove risiedono i dati sensibili? • Come sono trasmessi i dati sensibili? • Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili? • Quale azione deve essere intrapresa se si verifica una violazione della sicurezza? Queste importanti domande, in genere, riguardano diversi reparti e impiegati che utilizzano i dati sensibili nell'ambito dell'organizzazione. Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibile iniziare a definire gli identificatori di dati e i criteri aziendali. Criteri di Prevenzione perdita di dati OfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. I criteri determinano quali file e dati richiedono una protezione dalla trasmissione non autorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione. Nota OfficeScan non monitora le trasmissioni di dati tra il server e gli Agenti OfficeScan. OfficeScan consente agli amministratori di configurare i criteri per gli Agenti OfficeScan interni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agenti esterni. Gli amministratori possono applicare criteri specifici a gruppi di agenti o a singoli agenti. Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2) per determinare le impostazioni di posizione corretta e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. 10-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione dei criteri Definire i criteri DLP configurando le seguenti impostazioni e implementandole negli agenti selezionati: Tabella 10-1. Impostazioni per la definizione di un criterio DLP Impostazioni Regole Descrizione Una regola DLP è composta da azioni, canali e modelli multipli. Ciascuna regola è un sottoinsieme del criterio DLP che la include. Nota Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”, Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora ulteriormente tale regola/modello. Modelli I modelli DLP combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. La regola DLP viene applicata solo ai file o ai dati che soddisfano una determinata istruzione condizionale. Prevenzione perdita di dati comprende una serie di modelli predefiniti e consente agli amministratori di creare modelli personalizzati. Una regola DLP può contenere uno o più modelli. Prevenzione perdita di dati utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono agli identificatori di dati in un modello, Prevenzione perdita di dati non esegue la verifica in altri modelli. Canali 10-4 I canali sono entità che trasmettono le informazioni sensibili. Prevenzione perdita di dati supporta i comuni canali di trasmissione, come la posta elettronica, i dispositivi di archiviazione rimovibili e le applicazioni di messaggistica istantanea. Utilizzo di Prevenzione perdita di dati Impostazioni Descrizione Azioni Prevenzione perdita di dati esegue una o più azioni quando rileva un tentativo di trasmissione di informazioni sensibili attraverso uno dei canali. Eccezioni Le eccezioni adottano azioni di sovrascrittura nei confronti delle regole DLP configurate. Configurare le eccezioni per gestire destinazioni non monitorate, destinazioni monitorate e scansioni di file compressi. identificatore di dati Prevenzione perdita di dati utilizza gli identificatori di dati per identificare le informazioni sensibili. Gli identificatori di dati includono espressioni, attributi di file e parole chiave che agiscono come elementi di costruzione per i modelli DLP. Tipi di identificatore di dati Le risorse digitali sono i file e i dati che un'organizzazione deve proteggere da trasmissione non autorizzata. Gli amministratori possono definire le risorse digitali utilizzando i seguenti identificatori di dati: • Espressioni: dati con una determinata struttura. Per i dettagli, consultare Espressioni a pagina 10-6. • Attributi dei file: proprietà dei file, come il tipo e le dimensioni dei file. Per i dettagli, consultare Attributi di file a pagina 10-11. • Parole chiave: un elenco di specifiche parole o frasi. Per i dettagli, consultare Parole chiave a pagina 10-14. Nota Gli amministratori non possono eliminare un identificatore di dati utilizzato da un modello DLP. Eliminare il modello prima di eliminare l'identificatore di dati. 10-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Espressioni Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle carte di credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnnnnnn", e questo li rende idonei per il rilevamento basato su espressioni. Gli amministratori possono utilizzare espressioni predefinite e personalizzate. Per i dettagli, consultare Espressioni predefinite a pagina 10-6 e Espressioni personalizzate a pagina 10-7. Espressioni predefinite In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Queste espressioni non possono essere modificate o eliminate. Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche e associazioni dei pattern. Quando Prevenzione perdita di dati individua possibili dati corrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche. Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx. Visualizzazione delle impostazioni per le espressioni predefinite Nota Le espressioni predefinite non possono essere modificate o eliminate. Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic sul nome dell'espressione. 10-6 Utilizzo di Prevenzione perdita di dati 4. Viene visualizzata la schermata delle impostazioni. Espressioni personalizzate Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa le esigenze dell'azienda. Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creare espressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassi errata possono avere un impatto negativo sulle prestazioni. Durante la creazione delle espressioni: • Fare riferimento alle espressioni predefinite per ottenere esempi di espressioni valide. Ad esempio, se si crea un'espressione con una data, fare riferimento alle espressioni con il prefisso "Data". • Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti in PCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE, visitare il seguente sito Web: http://www.pcre.org/ • Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmi o perfezionarle per migliorare i rilevamenti. Gli amministratori possono scegliere tra vari criteri di creazione delle espressioni. Un'espressione deve soddisfare i criteri scelti prima che Prevenzione perdita di dati vi applichi un criterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri, vedere Criteri per le espressioni personalizzate a pagina 10-8. 10-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Criteri per le espressioni personalizzate Tabella 10-2. Opzioni dei criteri per le espressioni personalizzate Criteri Nessuna Regola nessuna Esempio Tutti - Nomi provenienti dall'US Census Bureau (Ufficio del censimento degli Stati Uniti) • Caratteri specifici Un'espressione deve comprendere i caratteri specificati. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. Suffisso Il suffisso si riferisce all'ultimo segmento di un'espressione. Un suffisso deve comprendere i caratteri specificati e contenere un certo numero di caratteri. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. 10-8 Espressione: [^\w]([A-Z][a-z]{1,12} (\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z] {1,12})[^\w] Stati Uniti - Numero di registrazione ABA • Espressione: [^\d]([0123678]\d{8}) [^\d] • Caratteri: 0123456789 • Numero minimo di caratteri: 9 • Numero massimo di caratteri: 9 Tutti - Indirizzo abitazione • Espressione: \D(\d+\s[a-z.]+\s([az]+\s){0,2} (lane|ln|street|st| avenue|ave| road|rd|place|pl| drive|dr|circle| cr|court|ct| boulevard|blvd)\.? [0-9a-z,#\s\.] {0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?) [^\d-] • Caratteri suffisso: 0123456789- • Numero di caratteri: 5 • Numero minimo di caratteri nell'espressione: 25 • Numero massimo di caratteri nell'espressione: 80 Utilizzo di Prevenzione perdita di dati Criteri Regola Esempio Separatore a carattere singolo Un'espressione deve avere due segmenti separati da un carattere. La lunghezza del carattere deve essere 1 byte. Tutti - Indirizzo e-mail • Espressione: [^\w.]([\w\.] {1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5} [a-z\.]{0,10})[^\w.] Inoltre il numero dei caratteri a sinistra del separatore deve essere compreso entro il numero minimo e massimo. Il numero di caratteri a destra del separatore non deve superare il numero massimo. • Separatore: @ • Numero minimo di caratteri a sinistra: 3 • Numero massimo di caratteri a sinistra: 15 • Numero massimo di caratteri a destra: 30 Creazione di un'espressione personalizzata Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Immettere i dati visualizzati. Ad esempio, se si crea un'espressione per i numeri di documenti di identità, immettere un numero di esempio. Questi dati vengono utilizzati solo per riferimento e non vengono visualizzati nel prodotto. 10-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. 8. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i parametri scelti (vedere Criteri per le espressioni personalizzate a pagina 10-8): • nessuna • Caratteri specifici • Suffisso • Separatore a carattere singolo Provare l'espressione su dati effettivi. Ad esempio, se l'espressione si riferisce a un documento di identità, digitare un numero del documento di identità nella casella di testo Dati di prova, fare clic su Prova e verificare i risultati. 9. Se i risultati sono soddisfacenti, fare clic su Salva. Nota Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado di rilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effetto negativo sulle prestazioni. 10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di espressioni personalizzate Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene le espressioni. È possibile generare il file esportando le espressioni dal server a cui si sta accedendo o da un altro server. Nota I file di espressioni .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. 10-10 Utilizzo di Prevenzione perdita di dati Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic su Importa e individuare il file .dat che contiene le espressioni. 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un'espressione da importare esiste già, viene ignorata. 5. Fare clic su Applica a tutti gli agenti. Attributi di file Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributi di file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensioni dei file. Ad esempio, una società di sviluppo software potrebbe voler limitare la condivisione del programma di installazione del software della società al reparto di ricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software. In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare la trasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti, ad eccezione di quello di ricerca e sviluppo. Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nel contesto dell'esempio precedente, anche i programmi di installazione del software di terzi condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare gli attributi di file insieme ad altri identificatori di dati DLP per un rilevamento più mirato dei file sensibili. Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx. 10-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Elenco di attributi di file predefiniti In Prevenzione perdita di dati è incluso un elenco di attributi di file predefiniti. Questo elenco non può essere modificato o eliminato. L'elenco ha delle condizioni incorporate che determinano se il modello deve innescare una violazione dei criteri. Utilizzare l'elenco di attributi di file predefiniti per limitare l'accesso ai supporti di registrazione dati (CD/DVD). Per i dettagli, consultare Blocco dell'accesso ai supporti di registrazione dati (CD/DVD) a pagina 10-34. Creazione di un elenco di attributi di file Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda attributo di file. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Selezionare i tipi di file effettivi preferiti. 7. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file e digitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file con l'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida per specificare le estensioni dei file: • 10-12 Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.) e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta un nome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol e test.pol. Utilizzo di Prevenzione perdita di dati • Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un punto interrogativo (?) per indicare un carattere singolo e un asterisco (*) per indicare due o più caratteri. Vedere gli esempi seguenti: - *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm - *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr - *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp • Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensione in quanto corrispondere a una parte del nome del file o di un'estensione non correlata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg e abc.donor12.pdf. • Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessario aggiungere uno spazio dopo il punto e virgola. 8. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensioni del file devono corrispondere a numeri interi maggiori di zero. 9. Fare clic su Salva. 10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di un elenco di attributi di file Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributi di file dal server a cui si sta accedo o da un altro server. Nota I file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. 10-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda attributo di file. 3. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributi di file. 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di attributi di file da importare esiste già, viene ignorato. 5. Fare clic su Applica a tutti gli agenti. Parole chiave Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiave correlate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi", "gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono essere presenti in un certificato medico. Per impedire la trasmissione di file contenti certificati medici, è possibile usare queste parole chiave in un criterio DLP e configurare Prevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave. È possibile combinare parole di uso comune in modo da formare parole chiave significative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo da formare parole chiave che si trovano nei codici sorgente, come "END-IF", "ENDREAD" e "AT END". È possibile usare parole chiave predefinite e personalizzate. Per i dettagli, consultare Elenchi parole chiave predefinite a pagina 10-14 e Elenchi parole chiave personalizzate a pagina 10-16. Elenchi parole chiave predefinite In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite. Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascun 10-14 Utilizzo di Prevenzione perdita di dati elenco ha delle condizioni incorporate che determinano se il modello deve innescare una violazione dei criteri. Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita di dati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/enus/enterprise/data-protection-reference-documents.aspx. Funzionamento degli elenchi di parole chiave Condizione del numero di parole chiave Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di un determinato numero di parole chiave in un documento prima che l'elenco attivi una violazione. La condizione del numero di parole chiave contiene i seguenti valori: • Tutto: tutte le parole chiave dell'elenco devono essere presenti nel documento. • Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente nel documento. • Numero specifico: nel documento deve essere presente almeno il numero di parole chiave specificato. Se nel documento è presente un numero di parole superiore a quello specificato, Prevenzione perdita di dati attiva una violazione. Condizione di distanza Alcuni elenchi contengono una condizione di “distanza” per determinare se è presente una violazione. la “distanza” indica il numero di caratteri tra il primo carattere di una parola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voce seguente: First Name:_John_ Last Name:_Smith_ La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) e i campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente, Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nel campo “First Name” e "L" nel campo “Last Name” è uguale diciotto (18). 10-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Di seguito viene riportato un esempio che non costituisce una violazione: The first name of our new employee from Switzerland is John. His last name is Smith. In questo esempio, il numero di caratteri tra “f ” nel campo “first name” e “l” nel campo “last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza e non si verifica una violazione. Elenchi parole chiave personalizzate Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiave predefiniti soddisfa le proprie esigenze. Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elenco deve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco ad un criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti: • Qualsiasi parola chiave • Tutte le parole chiave • Tutte le parole chiave comprese tra <x> caratteri • Il punteggio combinato per le parole chiave supera la soglia Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzate a pagina 10-16. Elenchi di parole chiave personalizzate Tabella 10-3. Criteri per un elenco di parole chiave Criteri Regola Qualsiasi parola chiave Un file deve contenere almeno una parola chiave dell'elenco di parole chiave. Tutte le parole chiave Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. 10-16 Utilizzo di Prevenzione perdita di dati Criteri Regola Tutte le parole chiave comprese tra <x> caratteri Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. Inoltre ogni coppia di parole chiave deve essere separata da un massimo di <x> caratteri. Ad esempio, si supponga che le tre parole chiave siano WEB, DISK e USB e che il numero di caratteri specificato sia 20. Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordine DISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (in WEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20 caratteri. I dati seguenti soddisfano i criteri: DISK####WEB############USB I seguenti dati non soddisfano i criteri: DISK*******************WEB****USB (23 caratteri tra "D" e "W") Quando si determina il numero dei caratteri, si tenga presente che un numero basso, quale 10, consente di ottenere tempi di scansione ridotti ma copre un'area relativamente piccola. Ciò riduce le probabilità di rilevamento di dati sensibili, in particolare nei file di grandi dimensioni. A un numero maggiore corrisponde un'area maggiore, ma i tempi di scansione potrebbero essere maggiori. Il punteggio combinato per le parole chiave supera la soglia Un file deve contenere una o più parole chiave dell'elenco di parole chiave. Se viene rilevata solo una parola chiave, il punteggio deve essere maggiore della soglia. Se esistono più parole chiave, il punteggio combinato deve essere maggiore della soglia. Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Una parola o frase riservata, quale "aumento di stipendio" per il reparto Risorse umane, deve avere un punteggio relativamente alto. Parole o frasi che non sono molto rilevanti possono avere un punteggio minore. Quando viene configurata la soglia, occorre considerare i punteggi assegnati alle parole chiave. Ad esempio, se esistono cinque parole chiave e tre hanno una priorità alta, la soglia può essere uguale o minore del punteggio combinato delle tre parole chiave di priorità alta. Ciò significa che il rilevamento di queste tre parole chiave è sufficiente a considerare il file come sensibile. 10-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Creazione di un elenco di parole chiave Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda parola chiave. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i criteri scelti: 7. 8. • Qualsiasi parola chiave • Tutte le parole chiave • Tutte le parole chiave comprese tra <x> caratteri • Il punteggio combinato per le parole chiave supera la soglia Per aggiungere parole chiave all'elenco in modo manuale: a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte e specificare se si applica la distinzione tra maiuscole e minuscole. b. Fare clic su Aggiungi. Per aggiungere parole chiave con l'opzione "importa": Nota Utilizzare questa opzione se è disponibile un file .csv in formato corretto che contiene le parole chiave. È possibile generare il file esportando le parole chiave dal server a cui si sta accedendo o da un altro server. 10-18 Utilizzo di Prevenzione perdita di dati a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave. b. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se una parola chiave da importare esiste già nell'elenco, viene ignorata. 9. Per eliminare le parole chiave, selezionarle e fare clic su Elimina. 10. Per esportare le parole chiave: Nota Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppure per importarle su un altro server. Saranno esportate le parole chiave presenti nell'elenco. Non è possibile esportare singole parole chiave. a. Fare clic sul pulsante Esporta. b. Salvare il file .csv risultante nel percorso desiderato. 11. Fare clic su Salva. 12. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 13. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di un elenco di parole chiave Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parole chiave dal server a cui si sta accedendo o da un altro server. Nota I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. 10-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda parola chiave. 3. Fare clic su Importa e individuare il file .dat che contiene le parole chiave. 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di parole chiave da importare esiste già, viene ignorato. 5. Fare clic su Applica a tutti gli agenti. Modelli di Prevenzione perdita di dati I modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati che soddisfano una determinata istruzione condizionale. Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E deve contenere determinati termini legali (parole chiave) E deve contenere numeri ID (espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterio consente al personale delle Risorse umane di trasmettere il file stampandolo in modo che la copia stampata possa essere firmata da un dipendente. La trasmissione attraverso tutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata. Se sono stati configurati degli identificatori di dati DLP, è possibile creare i propri modelli. È possibile inoltre usare i modelli predefiniti. Per i dettagli, consultare Modelli DLP personalizzati a pagina 10-21 e Modelli DLP predefiniti a pagina 10-21. Nota Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modello dal criterio prima di eliminarlo. 10-20 Utilizzo di Prevenzione perdita di dati Modelli DLP predefiniti Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possono essere utilizzati per conformarsi ai diversi standard normativi. Questi modelli non possono essere modificati o eliminati. • GLBA: Gramm-Leach-Billey Act • HIPAA: Health Insurance Portability and Accountability Act • PCI-DSS: Payment Card Industry Data Security Standard • SB-1386: US Senate Bill 1386 • US PII: United States Personally Identifiable Information Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengono protetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/ enterprise/data-protection-reference-documents.aspx. Modelli DLP personalizzati Creare modelli personalizzati se sono stati configurati identificatori di dati. I modelli combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici, vedere Istruzioni condizionali e operatori logici a pagina 10-21. Istruzioni condizionali e operatori logici Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. Vedere alcuni esempi nella tabella seguente. 10-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 10-4. Esempi di istruzioni condizionali Istruzione condizionale [Identificatore di dati 1] E [Identificatore di dati 2] Eccetto [Identificatore di dati 3] Interpretazione ed esempio Un file deve soddisfare [Identificatore di dati 1] e [Identificatore di dati 2] ma non [Identificatore di dati 3]. Ad esempio: Un file deve essere [un documento Adobe PDF] e deve contenere [un indirizzo e-mail] ma non deve contenere [tutte le parole chiave dell'elenco di parole chiave]. [Identificatore di dati 1] O [Identificatore di dati 2] Il file deve soddisfare la [Identificatore di dati 1] o [Identificatore di dati 2]. Ad esempio: Il file deve essere [un documento Adobe PDF] o [un documento Microsoft Word]. Eccetto [Identificatore di dati 1] Un file non deve soddisfare [Identificatore di dati 1]. Ad esempio: Un file non deve essere [un file multimediale]. Come indicato nell'ultimo esempio della tabella, il primo identificatore di dati nell'istruzione condizionale può avere l'operatore "Eccetto" se un file non deve soddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte dei casi, tuttavia, il primo identificatore di dati non ha un operatore. Creazione di un modello Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP. 2. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 3. 10-22 Inserire un nome per il modello. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: Utilizzo di Prevenzione perdita di dati • ><*^|&?\/ 4. Immettere una descrizione la cui lunghezza non superi i 256 byte. 5. Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi". Durante la selezione delle definizioni: • Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionare gli identificatori di dati. • Utilizzare la funzionalità di ricerca per cercare una definizione specifica. È possibile immettere il nome completo o una parte del nome dell'identificatore di dati. • Ogni modello può comprende al massimo 40 identificatori di dati. 6. Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiungi nuova espressione. Configurare le impostazioni dell'espressione nella schermata visualizzata. 7. Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi su Aggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco di attributi di file nella schermata visualizzata. 8. Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi su Aggiungere nuova parola chiave. Configurare le impostazioni per l'elenco delle keyword nella schermata visualizzata. 9. Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde al numero di volte che un'espressione deve ricorrere prima che Prevenzione perdita di dati la applichi a un criterio. 10. Scegliere un operatore logico per ciascuna definizione. Nota Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedere Istruzioni condizionali e operatori logici a pagina 10-21. 10-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fare clic sull'icona del cestino. 12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se non corrisponde all'istruzione desiderata. 13. Fare clic su Salva. 14. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti. Importazione di modelli Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene i modelli. È possibile generare il file esportando i modelli dal server a cui si sta accedendo o da un altro server. Nota Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di dati associati (precedentemente denominati Definizioni). Prevenzione perdita di dati non può importare i modelli che non dispongono dei relativi identificatori di dati associati. Procedura 1. Accedere a Agenti > Prevenzione perdita di dati > Modelli DLP. 2. Fare clic su Importa e individuare il file .dat che contiene i modelli. 3. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un modello da importare esiste già, viene ignorato. 4. 10-24 Fare clic su Applica a tutti gli agenti. Utilizzo di Prevenzione perdita di dati Canali DLP Gli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScan può monitorare i seguenti canali: • Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocolli di rete, come HTTP e FTP. • Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesse utilizzando le applicazioni locali e le periferiche nel dispositivo. Canali di rete OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete: • Client di posta elettronica • FTP • HTTP e HTTPS • Applicazioni di messaggistica istantanea • Protocollo SMB • Webmail Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito della trasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato, OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori della rete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29. Client di posta elettronica OfficeScan controlla i messaggi trasmessi tramite diversi agenti di posta elettronica. OfficeScan verifica oggetto, corpo e allegati dei messaggi e-mail per rilevare eventuali 10-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 identificatori di dati. Per un elenco degli agenti e-mail supportati, consultare il documento Elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di posta elettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppure blocca il messaggio e-mail. È possibile definire i domini e-mail interni non monitorati e i sottodomini monitorati. • Domini e-mail non monitorati: OfficeScan consente immediatamente la trasmissione dei messaggi e-mail inviati ai domini non monitorati. Nota Le trasmissioni di dati ai domini e-mail non monitorati e ai sottodomini e-mail monitorati in cui l'azione è "Monitoraggio" sono simili perché la trasmissione è consentita. L'unica differenza consiste nel fatto che per i domini e-mail non monitorati, OfficeScan non registra la trasmissione, mentre per i sottodomini e-mail monitorati la trasmissione viene sempre registrata. • Sottodomini e-mail monitorati: quando OfficeScan rileva messaggi trasmessi a un sottodominio monitorato, verifica l'azione per il criterio. In base all'azione, la trasmissione viene consentita o bloccata. Nota Se come canali monitorati si selezionano agenti di posta elettronica, affinché un messaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Al contrario, un messaggio e-mail inviato a un sottodominio monitorato viene monitorato automaticamente, anche se non soddisfa alcun criterio. Specificare i domini usando i seguenti formati; usare la virgola per separare più domini: • Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina • Domini di posta elettronica, come example.com Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il server SMTP di destinazione è presente negli elenchi seguenti: 10-26 Utilizzo di Prevenzione perdita di dati 1. Destinazioni monitorate 2. Destinazioni non monitorate Nota Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-42. 3. Domini di posta elettronica non monitorati 4. Sottodomini e-mail monitorati Questo significa che se un messaggio e-mail viene inviato a un server SMTP presente nell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se il server SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScan verifica gli altri elenchi. Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchi seguenti: 1. Domini di posta elettronica non monitorati 2. Sottodomini e-mail monitorati FTP Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP, controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è stato caricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca il caricamento. Se si configura un criterio che blocca l'upload di file, ricordare quanto segue: • Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare di nuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire che carichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato chiuso il client FTP. Informare gli utenti di questa situazione quando vengono implementati i criteri DLP. • Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTP potrebbe essere eliminato. 10-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx HTTP e HTTPS OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS, OfficeScan controlla i dati prima che vengano crittografati e trasmessi. Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Applicazioni di messaggistica istantanea OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni di messaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengono controllati. Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Quando OfficeScan blocca un messaggio o un file inviato tramite AOL Instant Messenger, MSN, Windows Messenger o Windows Live Messenger, chiude anche l'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non risponde e gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessuna notifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazione quando vengono implementati i criteri DLP. Protocollo SMB OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server Message Block (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire, 10-28 Utilizzo di Prevenzione perdita di dati salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file è o contiene identificatori di dati e poi autorizza oppure blocca l'operazione. Nota L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad esempio, Controllo dispositivo non consente lo spostamento di file su unità di rete mappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Webmail I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. Se OfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere se contengono identificatori di dati. Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Ambito e destinazioni della trasmissione per i canali di rete L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canali di rete che OfficeScan deve monitorare. Per le trasmissioni che devono essere monitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire o bloccare la trasmissione. Per le trasmissioni che non devono essere monitorate, 10-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 OfficeScan non verifica la presenza di identificatori di dati e consente subito la trasmissione. Ambito trasmissione: Tutte le trasmissioni OfficeScan controlla i dati trasmessi all'esterno del computer host. Nota Trend Micro consiglia di scegliere questo ambito per gli agenti esterni. Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterne al computer host, definire quanto segue: • Destinazioni non monitorate: OfficeScan non effettua il monitoraggio dei dati trasmessi a queste destinazioni. Nota Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. • Destinazioni monitorate: Destinazioni specifiche nell'ambito delle destinazioni non monitorate che devono essere monitorate. Le destinazioni monitorate sono: • Facoltative, se sono state definite destinazioni non monitorate. • Non configurabili se non sono state definite le destinazioni non monitorate. Ad esempio: Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda: • Da 10.201.168.1 a 10.201.168.25 Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tutti gli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, è necessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi: 10-30 Utilizzo di Prevenzione perdita di dati Opzione Opzione 1 Opzione 2 Passaggi 1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate. 2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alle destinazioni monitorate. Si presupponga che siano disponibili 3 indirizzi IP, 10.201.168.21-10.201.168.23. Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alle destinazioni non monitorate: • 10.201.168.1-10.201.168.20 • 10.201.168.24-10.201.168.25 Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-42. Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area Network) OfficeScan esegue il monitoraggio dei dati trasmessi a qualsiasi destinazione esterna alla LAN (Local Area Network). Nota Trend Micro consiglia di scegliere questo ambito per gli agenti interni. Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale (indirizzo IP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard: • Classe A: da 10.0.0.0 a 10.255.255.255 • Classe B: da 172.16.0.0 a 172.31.255.255 • Classe C: da 192.168.0.0 a 192.168.255.255 Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue: • Destinazioni non monitorate: Definire destinazioni esterne alla LAN considerate sicure e che quindi non devono essere monitorate. 10-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. • Destinazioni monitorate: Definire le destinazioni interne alla LAN da monitorare. Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-42. Risoluzione dei conflitti Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e le destinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità, in ordine decrescente: • Destinazioni monitorate • Destinazioni non monitorate • Ambito trasmissione Canali di applicazioni e sistemi OfficeScan può monitorare i seguenti canali di applicazioni e sistemi: • Cloud storage services • Supporti di registrazione dati (CD/DVD) • Applicazioni peer-to-peer • Crittografia PGP • Stampante • Dispositivi di archiviazione rimovibili 10-32 Utilizzo di Prevenzione perdita di dati • Software di sincronizzazione (ActiveSync) • Appunti di Windows Cloud Storage Service OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando i cloud storage services. Per un elenco dei cloud storage services supportati, consultare il documento Elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Nota Prevenzione perdita di dati supporta la crittografia sui cloud storage services quando Endpoint Encryption è installato sul dispositivo agente. Supporti di registrazione dati (CD/DVD) OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e di dispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi o software supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione è Blocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati. Se OfficeScan rileva almeno un identificatore di dati, non verrà registrato alcun file, inclusi quelli che non sono identificatori di dati o che non li contengono. OfficeScan può anche impedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utenti che devono riavviare il processo del software o il dispositivo. OfficeScan implementa altre regole di registrazione di CD/DVD: • Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file: .bud .dll .gif .gpd .htm .ico .ini 10-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 .jpg .lnk .sys .ttf .url .xml • Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) non vengono controllati per aumentare le prestazioni. • OfficeScan non controlla i file nelle seguenti directory: *:\autoexec.bat *:\Windows ..\Dati applicazioni ..\Cookies ..\Impostazioni locali ..\ProgramData ..\Programmi ..\Users\*\AppData ..\WINNT • Le immagini ISO create dalle unità e dal software non vengono controllate. Blocco dell'accesso ai supporti di registrazione dati (CD/DVD) Il controllo del dispositivo può limitare l'accesso solo a dispositivi di registrazione CD/DVD che utilizzano il formato Live File System. Alcune applicazioni di terze parti che utilizzano il formato master possono ancora eseguire operazioni di lettura o scrittura anche quando il controllo del dispositivo è attivato. Utilizzare Prevenzione perdita di dati per limitare l'accesso a dispositivi di registrazione CD/DVD che utilizzano qualsiasi tipo di formato. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni DLP. 4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti interni. 10-34 ) per Utilizzo di Prevenzione perdita di dati Nota Se ancora non sono state configurate, configurare le impostazioni della posizione dell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criterio di Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivo a pagina 14-2. 5. Scegliere una delle seguenti opzioni: • Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le impostazioni agli agenti esterni. 6. Nella scheda Regole, fare clic su Aggiungi. 7. Selezionare Attiva questa regola. 8. Specificare un nome per la regola. 9. Fare clic sulla scheda Modello. 10. Selezionare il modello Tutte le estensioni di file dall'elenco e fare clic su Aggiungi. 11. Fare clic sulla scheda Canale. 12. Nella sezione Canali di applicazioni e sistemi, selezionare Supporti di registrazione dati (CD/DVD). 13. Fare clic sulla scheda Operazione. 14. Selezionare l'azione Blocca. 15. Fare clic su Salva. 16. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 10-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Applicazioni peer-to-peer OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer. Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Crittografia PGP OfficeScan controlla i dati che devono essere crittografati dal software di crittografia PGP. OfficeScan controlla i dati prima della crittografia. Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Stampante OfficeScan controlla le operazioni della stampante avviate da varie applicazioni. OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono stati salvati perché a questo punto le informazioni di stampa sono solo state salvate in memoria. 10-36 Utilizzo di Prevenzione perdita di dati Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Dispositivi di archiviazione rimovibili OfficeScan effettua il monitoraggio della trasmissione dei dati verso o all'interno dei dispositivi di memoria rimovibili. Attività correlate alla trasmissione dei dati comprendono: • Creazione di un file nel dispositivo • Copia di un file dal computer host al dispositivo • Chiusura di un file modificato nel dispositivo • Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppure autorizza la trasmissione. Nota • L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo di archiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguita anche se DLP la autorizza. • Prevenzione perdita di dati supporta la crittografia su dispositivi di archiviazione rimovibili quando Endpoint Encryption è installato sul dispositivo agente. Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitano le attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è un processo semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Word 10-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 potrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il quale l'utente salva il file). Se il file contiene un identificatore di dati che non deve essere trasmesso, OfficeScan impedisce il salvataggio del file. Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue innanzitutto il backup del file (se le dimensioni non superano i 75 MB) in %WINDIR% \system32\dgagent\temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato la trasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il file possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia il file di backup nella cartella che contiene il file originale. OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissione dei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base ai fornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi. Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14. Software di sincronizzazione (ActiveSync) OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software di sincronizzazione. Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso la porta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i dati sono identificatori di dati prima di autorizzarne o bloccarne la trasmissione. Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque essere creato un file con lo stesso nome contenente caratteri in formato non corretto nella 10-38 Utilizzo di Prevenzione perdita di dati cartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono state copiate sul dispositivo prima che OfficeScan bloccasse la trasmissione. Appunti di Windows OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirne o bloccarne la trasmissione. OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktop remoto. Il monitoraggio avviene sull'entità con l'Agente OfficeScan. L'Agente OfficeScan su una macchina virtuale VMware, ad esempio, può impedire la trasmissione dei dati degli appunti della macchina virtuale al computer host. Allo stesso modo, un computer host con l'Agente OfficeScan non può copiare i dati degli appunti su un dispositivo a cui si accede da desktop remoto. Azioni di Prevenzione perdita di dati Quando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati, controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azione configurata per il criterio. Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati. Tabella 10-5. Azioni di Prevenzione perdita di dati Azione Descrizione Azioni Ignora Prevenzione perdita di dati consente e registra la trasmissione. Blocca Prevenzione perdita di dati blocca e registra la trasmissione. Ulteriori azioni 10-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Azione Descrizione Notifica all'utente dell'agente Prevenzione perdita di dati visualizza un messaggio di notifica per informare l'utente della trasmissione di dati e se tale operazione è stata bloccata o consentita. Registra dati Indipendentemente dall'azione primaria, Prevenzione perdita di dati registra le informazioni sensibili nella <Cartella di installazione del client>\DLPLite\Forensic. Selezionare questa azione per valutare le informazioni sensibili da contrassegnate da Prevenzione perdita di dati. Le informazioni sensibili registrate possono utilizzare troppo spazio su disco. Quindi, Trend Micro consiglia vivamente di scegliere questa opzione solo per informazioni particolarmente sensibili. 10-40 Utilizzo di Prevenzione perdita di dati Azione Descrizione Crittografa i canali supportati utilizzando la chiave o la password specificata (disponibile solo se Endpoint Encryption è installato) Se Trend Micro Endpoint Encryption è installato insieme all'agente OfficeScan, Prevenzione perdita di dati è in grado di crittografare automaticamente i file prima di consentire all'utente di spostarli in un'altra posizione. Se Endpoint Encryption non è installato, Prevenzione perdita di dati esegue l'azione Blocca sui file. Nota Questa opzione è disponibile solo per i canali dei servizi dei dispositivi di archiviazione rimovibili e della cloud storage, nonché quando viene selezionata l'azione Ignora. Scegliere una delle seguenti chiavi di crittografia o una password fissa: • Chiave utente: questa chiave, denominata anche Chiave locale, è univoca per ciascun utente e consente l'accesso al file crittografato solo all'utente che l'ha creato. • Chiave condivisa: questa chiave fa riferimento alla Chiave di gruppo o alla Chiave aziendale e l'amministratore di Endpoint Encryption configura il tipo mediante PolicyServer MMC. • Password fissa: gli utenti specificano manualmente una password fissa attraverso una richiesta sullo schermo. Endpoint Encryption crea un pacchetto autoestraente a cui gli utenti possono accedere su qualsiasi dispositivo dopo aver fornito la password di decrittografia. Importante • Per poter crittografare i dati, è necessario che il dispositivo di destinazione abbia Endpoint Encryption installato e che l'utente vi abbia eseguito l'accesso. • I file crittografati contenuti in dispositivi USB sono soggetti alla scansione Prevenzione perdita di dati quando gli utenti provano a descrittografarli. La decrittografia di file contenenti dati sensibili in un dispositivo USB attiva il protocollo di crittografia USB, con la conseguenza che il sistema richiede che i dati sensibili vengano nuovamente crittografati. Per evitare che OfficeScan tenti di crittografare di nuovo i dati, spostare i file crittografati in un'unità locale prima di provare ad accedere ai dati. Prevenzione perdita di dati bocca i tentativi10-41 di • caricamento dei file nella cloud storage quando viene utilizzato un client Web. Crittografare i file manualmente prima di caricarli mediante un client Web. Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Azione Giustificazione utente Nota Questa opzione è disponibile solo dopo aver selezionato l'azione Blocca. Descrizione Prevenzione perdita di dati chiede conferma all'utente prima di eseguire l'azione “Blocca”. L'utente può scegliere di sovrascrivere l'azione “Blocca” fornendo una spiegazione del perché sia sicuro ignorare i dati sensibili. Le giustificazioni disponibili sono le seguenti: • Si tratta di un processo aziendale definito. • Il responsabile ha approvato il trasferimento dei dati. • I dati di questo file non sono riservati. • Altro: Gli utenti forniscono una spiegazione alternativa nel campo del testo disponibile. Eccezioni di Prevenzione perdita di dati Le eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'interno del criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte le trasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrisponde a una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente la trasmissione o la scansione, in base al tipo di eccezione. Definizione di destinazioni non monitorate e monitorate Definire le destinazioni non monitorate e monitorate in base all'ambito di trasmissione nella scheda Canale. Per ulteriori informazioni su come definire le destinazioni non monitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte le trasmissioni a pagina 10-30. Per ulteriori informazioni su come definire le destinazioni non monitorate e monitorate per Solo trasmissioni esterne alla LAN (Local Area Network), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area Network) a pagina 10-31. Seguire queste istruzioni quando si definiscono le destinazioni monitorate e non monitorate: 10-42 Utilizzo di Prevenzione perdita di dati 1. Definire ciascuna destinazione secondo: • Indirizzo IP • Nome host • FQDN • Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32 Nota Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR (Classless Inter-Domain Routing). Questo significa che si dovrà immettere semplicemente un numero come 32 invece di 255.255.255.0. 2. Per utilizzare come destinazione canali specifici, includere i numeri di porta predefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, la porta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e la porta 443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dai numeri di porta. 3. È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorare l'intervallo di porte. Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta e intervalli di porte: 4. • 10.1.1.1:80 • host:5-20 • host.domain.com:20 • 10.1.1.1/32:20 Separare le destinazioni con delle virgole. 10-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Regole di decompressione I file inclusi all'interno di file compressi possono essere sottoposti a scansione per individuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzione perdita di dati applica le seguenti regole a un file compresso: • Le dimensioni del file decompresso superano: __ MB (1-512 MB) • I livelli di compressione superano: __ (1-20) • Il numero di file da analizzare supera: __ (1-2000) Regola 1: Dimensioni massime di un file decompresso Un file compresso, una volta decompresso, deve soddisfare il limite specificato. Esempio: il limite è impostato a 20 MB. Scenario 1: se le dimensioni di archive.zip dopo la decompressione sono di 30 MB, nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole non vengono verificate. Scenario 2: se le dimensioni di my_archive.zip dopo la decompressione sono di 10 MB: • Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 e procede con la Regola 3. • Se my_archive.zip contiene file compressi, le dimensioni di tutti i file decompressi devono essere entro il limite. Ad esempio, se my_archive.zip contiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip: = 10 MB dopo la decompressione my_archive.zip \AAA.rar = 25 MB dopo la decompressione \BBB.zip = 3 MB dopo la decompressione \EEE.zip = 1 MB dopo la decompressione \222.zip 10-44 = 2 MB dopo la decompressione Utilizzo di Prevenzione perdita di dati my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in base alla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20 MB. AAA.rar viene ignorato. Regola 2: Numero massimo di livelli di compressione I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione. Ad esempio: my_archive.zip \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è impostato su due livelli: • OfficeScan ignora 333.txt perchè si trova al terzo livello. • OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3: • DDD.txt (nel primo livello) • CCC.xls (nel secondo livello) • 111.pdf (nel secondo livello) Regola 3: Numero massimo di file da sottoporre a scansione OfficeScan esegue la scansione dei file fino al limite specificato.OfficeScan esegue la scansione di file e cartelle prima in ordine numerico e poi alfabetico. Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziati per la scansione: my_archive.zip 10-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non viene controllata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In tal modo, il numero totale di file da anlizzare diventa 5, come indicato di seguito: my_archive.zip \7Folder \FFF.doc \7Folder \GGG.ppt \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file: • FFF.doc • GGG.ppt • CCC.xls • DDD.txt 10-46 Utilizzo di Prevenzione perdita di dati Nota Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati. Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file. Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.exe) vengono contati come file separati. Eventi che innescano le regole di decompressione I seguenti eventi innescano le regole di decompressione: Tabella 10-6. Eventi che innescano le regole di decompressione Un file compresso che deve essere trasmesso corrisponde a un criterio e l'azione per il file compresso è Ignora (trasmetti il file). Ad esempio, per monitorare i file .ZIP trasmessi dagli utenti, è stato definito un attributo di file (.ZIP) e aggiunto a un modello, quindi il modello è stato usato in un criterio e l'azione è stata impostata su Ignora. Nota Se l'azione è Blocca, l'intero file compresso non viene trasmesso e, quindi, non è necessario eseguire la scansione dei file che questo contiene. Un file compresso che deve essere trasmesso non corrisponde a un criterio. In questo caso, OfficeScan applica comunque le regole di decompressione al file compresso per determinare quali file in esso contenuti devono essere sottoposti a scansione per verificare la presenza di risorse digitali e stabilire se l'intero file compresso deve essere trasmesso o meno. Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un file compresso: 10-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissione dell'intero file compresso. • Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole. OfficeScan consente la trasmissione dell'intero file compresso se: • Tutti i file sottoposti a scansione non corrispondono a un criterio. • Tutti i file sottoposti a scansione corrispondono a un criterio e l'azione Ignora. La trasmissione dell'intero file compresso viene bloccata se almeno uno dei file sottoposti a scansione corrisponde a un criterio e l'azione è Blocca. Configurazione dei criteri Prevenzione perdita di dati È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configurato gli identificatori di dati e averli organizzati in modelli. Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessario configurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri di Prevenzione perdita di dati a pagina 10-3. Creazione di un criterio di Prevenzione perdita di dati Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni DLP. 4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti interni. 10-48 ) per Utilizzo di Prevenzione perdita di dati Nota Se ancora non sono state configurate, configurare le impostazioni della posizione dell'agente. Gli agenti utilizzano tali impostazioni per determinare il corretto criterio di Prevenzione perdita di dati da applicare. Per i dettagli, consultare Posizione dispositivo a pagina 14-2. 5. Selezionare Attiva Prevenzione perdita di dati. 6. Scegliere una delle seguenti opzioni: 7. • Nella scheda Agenti esterni, è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le impostazioni agli agenti esterni. Nella scheda Regole, fare clic su Aggiungi. Un criterio può contenere un massimo di 40 regole. 8. Configurare le impostazioni delle regole. Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole di Prevenzione perdita di dati a pagina 10-50. 9. Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezione necessarie. Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedere Eccezioni di Prevenzione perdita di dati a pagina 10-42. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 10-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Creazione di regole di Prevenzione perdita di dati Nota Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”, Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora ulteriormente tale regola/modello. Procedura 1. Selezionare Attiva questa regola. 2. Specificare un nome per la regola. Configurare le impostazioni dei modelli: 3. Fare clic sulla scheda Modello. 4. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi. Quando si selezionano i modelli: • Selezionare più voci facendo clic sui nomi dei modelli che evidenziano il nome. • Usare la funzione di ricerca se si pensa a un modello specifico. È possibile digitare il nome del modello per intero o parziale. Nota Ogni regola può comprendere un massimo di 200 modelli. 5. 10-50 Se il modello che si preferisce utilizzare non si trova nell'elenco Modelli disponibili: Utilizzo di Prevenzione perdita di dati a. Fare clic su Aggiungi nuovo modello. Viene visualizzata la schermata Modelli di Prevenzione perdita di dati. Per istruzioni su come aggiungere i modelli nella schermata Modelli di Prevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 10-20. b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi. Nota OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono alla definizione di un modello, OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine dei modelli nell'elenco. Configurare le impostazioni dei canali: 6. Fare clic sulla scheda Canale. 7. Selezionare i canali per la regola. Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 10-25 e Canali di applicazioni e sistemi a pagina 10-32. 8. Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione: • Tutte le trasmissioni • Solo trasmissioni esterne alla LAN (Local Area Network) Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29 per maggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazioni dipendono dall'ambito della trasmissione e su come definire le destinazioni correttamente. 9. Se si seleziona Client di posta elettronica: a. Fare clic su Eccezioni. b. Specificare domini di posta elettronica interni monitorati e non monitorati. Per maggiori dettagli sui domini di posta elettronica monitorati e non monitorati, vedere Client di posta elettronica a pagina 10-25. 10-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 10. Se si seleziona Dispositivi di archiviazione rimovibili: a. Fare clic su Eccezioni. b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarli in base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi. L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco approvati. c. Per aggiungere altri dispositivi, fare clic sull'icona (+). Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14. Configurare le impostazioni delle azioni: 11. Fare clic sulla scheda Operazione. 12. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulteriori informazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a pagina 10-39. Nota Prevenzione perdita di dati supporta solo la crittografia dei dati sensibili su dispositivi rimovibili e cloud storage services. Prevenzione perdita di dati esegue l'azione “Ignora” senza crittografia su tutti i canali in cui la crittografia non è supportata. Per poter crittografare i dati, è necessario che il dispositivo di destinazione abbia Endpoint Encryption installato e che l'utente vi abbia eseguito l'accesso. 10-52 Utilizzo di Prevenzione perdita di dati 13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic su Salva. Importazione, esportazione e copia delle regole DLP Gli amministratori possono importare le regole precedentemente definite, contenute in un file .dat adeguatamente formattato, o esportare l'elenco delle regole DLP configurate. Con la copia di una regola DLP, l'amministratore può modificare i contenuti di una regola precedentemente definita per risparmiare tempo. La seguente tabella descrive in che modo opera una funzione. Tabella 10-7. Funzioni di importazione, esportazione e copia per le regole DLP Funzione Descrizione Importa L'importazione di un elenco di regole aggiunge regole non esistenti all'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora le regole che esistono già nell'elenco di destinazione. Prevenzione perdita di dati gestisce tutte le impostazioni preconfigurate per ciascuna regola, incluso lo stato di attivato o disattivato. Esporta Con l'esportazione di un elenco di regole si ottiene l'elenco completo in un file .dat che gli amministratori possono importare e implementare in altri domini o agenti. Prevenzione perdita di dati salva tutte le impostazioni delle regole sulla base della configurazione corrente. Nota Copia • Gli amministratori devono salvare o applicare eventuali regole nuove o modificate prima di esportare l'elenco. • Prevenzione perdita di dati non esporta nessuna eccezione configurata per il criterio ma solo le impostazioni configurate per ciascuna regola. Con la copia di una regola viene creata una replica esatta delle impostazioni di configurazione correnti per la regola. Gli amministratori devono digitare un nuovo nome per la regola e possono effettuare modifiche di configurazione necessarie per la nuova regola. 10-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Notifiche di Prevenzione perdita di dati OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare gli amministratori di OfficeScan e gli utenti dell'agente sulle trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche di Prevenzione perdita di dati per gli amministratori a pagina 10-54. Per ulteriori informazioni sulle notifiche inviate agli utenti dell'agente, consultare Notifiche di Prevenzione perdita di dati per gli utenti dell'agente a pagina 10-57. Notifiche di Prevenzione perdita di dati per gli amministratori Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notifica quando viene rilevata la trasmissione di risorse digitali o quando la trasmissione viene bloccata. OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare gli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali. Nota OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-35. Configurazione delle notifiche di Prevenzione perdita di dati per gli amministratori Procedura 1. 10-54 Accedere a Amministrazione > Notifiche > Amministratore. Utilizzo di Prevenzione perdita di dati 2. 3. Sulla scheda Criteri: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Specificare se inviare le notifiche per il rilevamento della trasmissione delle risorse digitali o solo quando la trasmissione è bloccata. Sulla scheda E-mail: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. Utilizzare il Role-based Administration (RBA) per concedere agli utenti autorizzazioni per il dominio della struttura agente. Se la trasmissione avviene in un agente appartenente a un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: Tabella 10-8. Autorizzazioni e domini della struttura agente Ruoli con autorizzazioni per il dominio Dominio A Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Dominio B Account utente con il ruolo Indirizzo email dell'account utente Dominio della struttura agente Se qualsiasi Agente OfficeScan appartenente al Dominio A rileva una trasmissione di risorse digitali, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. 10-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva la trasmissione, il messaggio e-mail viene inviato a [email protected] e [email protected]. Nota Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Usare solo variabili token per rappresentare i dati nei campi Oggetto e Messaggio. Tabella 10-9. Variabili token per le notifiche di Prevenzione perdita di dati Variabile 4. 10-56 Descrizione %USER% L'utente che accede al dispositivo quando la trasmissione viene rilevata %COMPUTER% Dispositivo in cui è stata rilevata la trasmissione %DOMAIN% Dominio del dispositivo %DATETIME% Data e ora di rilevamento della trasmissione %CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione %TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento %RULE% Il nome della regola che ha attivato l'incidente. Sulla scheda Trap SNMP: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante trap SNMP. Utilizzo di Prevenzione perdita di dati c. 5. 6. Accettare o modificare il messaggio predefinito. Utilizzare variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina 10-56 per ulteriori dettagli. Sulla scheda Registro eventi NT: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina 10-56 per ulteriori dettagli. Fare clic su Salva. Notifiche di Prevenzione perdita di dati per gli utenti dell'agente OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agente immediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali. Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata o consentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio di Prevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazione dei criteri Prevenzione perdita di dati a pagina 10-48. Configurazione delle notifiche di Prevenzione perdita di dati per gli agenti Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali 10-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Accettare o modificare il messaggio predefinito. 4. Fare clic su Salva. Registri di Prevenzione perdita di dati Gli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e inviano immediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprova dopo 5 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di Prevenzione perdita di dati Procedura 1. Accedere a Agenti > Gestione agente o Registri > Agenti > Rischi per la sicurezza. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizza registri > Registri DLP. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: 10-58 ) per Utilizzo di Prevenzione perdita di dati Tabella 10-10. Informazioni del registro Prevenzione perdita di dati Colonna Descrizione Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registrato l'incidente Utente Il nome utente che ha effettuato l'accesso al dispositivo Dispositivo Il nome del dispositivo in cui Prevenzione perdita di dati ha rilevato la trasmissione Dominio Il dominio del dispositivo IP L'indirizzo IP del dispositivo Nome regola I nomi delle regole che hanno generato l'incidente. Nota I criteri creati in una versione precedente di OfficeScan visualizzano come nome predefinito LEGACY_DLP_Policy. Canale Il canale attraverso il quale si è verificata la trasmissione Processo Il processo che ha facilitato la trasmissione di una risorsa digitale (il processo dipende dal canale) Per i dettagli, consultare Processi per canale a pagina 10-60. Origine L'origine del file contenente la risorsa digitale o il canale (se non è presente alcuna risorsa disponibile) Destinazione La destinazione designata del file contenente la risorsa digitale o il canale (se non è disponibile alcuna risorsa ) Azione L'azione eseguita sulla trasmissione Dettagli Un collegamento che include ulteriori informazioni sulla trasmissione Per i dettagli, consultare Dettagli del registro per Prevenzione della perdita di dati a pagina 10-62. 10-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Processi per canale La tabella seguente contiene un elenco dei processi che vengono visualizzati nella colonna Processo dei registri di Prevenzione perdita di dati. Tabella 10-11. Processi per canale Canale Software di sincronizzazione (ActiveSync) Processo Il percorso completo e il nome del processo del software di sincronizzazione. Esempio: C:\Windows\system32\WUDFHost.exe Supporto di registrazione dati (CD/DVD) Percorso completo e nome di processo del supporto di registrazione dati Esempio: C:\Windows\Explorer.exe Appunti di Windows Non pertinente Client di posta elettronica - Lotus Notes Percorso completo e nome di processo di Lotus Notes Esempio: C:\Program Files\IBM\Lotus\Notes\nlnotes.exe Client di posta elettronica Microsoft Outlook Percorso completo e nome di processo di Microsoft Outlook Esempio: C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE 10-60 Utilizzo di Prevenzione perdita di dati Canale Client di posta elettronica - Tutti i client che usano il protocollo SMTP Processo Percorso completo e nome di processo del client di posta elettronica Esempio: C:\Programmi\Mozilla Thunderbird\thunderbird.exe Dispositivi di archiviazione rimovibili Nome di processo dell'applicazione che ha trasmesso i dati al dispositivo di archiviazione oppure all'interno dello stesso Esempio: explorer.exe FTP Percorso completo e nome di processo del client FTP Esempio: D:\Programmi\FileZilla FTP Client\filezilla.exe HTTP "Applicazione HTTP" HTTPS Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Internet Explorer\iexplore.exe Applicazione IM Percorso completo e nome di processo dell'applicazione di messaggistica istantanea Esempio: C:\Program Files\Skype\Phone\Skype.exe Applicazione di messaggistica istantanea - MSN • Percorso completo e nome di processo di MSN Esempio: C:\Programmi\Windows Live\Messenger\ msnmsgr.exe • "Applicazione HTTP" se i dati sono trasmessi da una finestra di chat 10-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Canale Applicazione peerto-peer Processo Percorso completo e nome di processo dell'applicazione peer-topeer Esempio: D:\Program Files\BitTorrent\bittorrent.exe Crittografia PGP Percorso completo e nome di processo del software di crittografia PGP Esempio: C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe Stampante Percorso completo e nome di processo dell'applicazione che ha avviato un'operazione della stampante Esempio: C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui è stato effettuato l'accesso ai file condivisi (copia o creazione di un nuovo file) Esempio: C:\Windows\Explorer.exe Webmail (modalità HTTP) "Applicazione HTTP" Webmail (modalità HTTPS) Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Mozilla Firefox\firefox.exe Dettagli del registro per Prevenzione della perdita di dati La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza dati aggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano in base al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente. 10-62 Utilizzo di Prevenzione perdita di dati Nella seguente tabella sono riporta i dati che vengono visualizzati. Tabella 10-12. Dettagli del registro per Prevenzione della perdita di dati Dettagli Descrizione Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registrato l'incidente ID violazione L'ID univoco dell'incidente Utente Il nome utente che ha effettuato l'accesso al dispositivo Dispositivo Il nome del dispositivo in cui Prevenzione perdita di dati ha rilevato la trasmissione Dominio Il dominio del dispositivo IP L'indirizzo IP del dispositivo Canale Il canale attraverso il quale si è verificata la trasmissione Processo Il processo che ha facilitato la trasmissione di una risorsa digitale (il processo dipende dal canale) Per i dettagli, consultare Processi per canale a pagina 10-60. Origine L'origine del file contenente la risorsa digitale o il canale (se non è presente alcuna risorsa disponibile) Mittente e-mail L'indirizzo e-mail dal quale la trasmissione proviene Oggetto e-mail La riga dell'oggetto del messaggio e-mail contenente la risorsa digitale Destinatario e-mail Gli indirizzi e-mail di destinazione del messaggio e-mail URL L'URL di un sito Web o di una pagina Web Utente FTP Il nome utente usato per accedere al server FTP Classe file Il tipo di file nel quale Prevenzione perdita di dati ha rilevato la risorsa digitale 10-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Dettagli Regola/Modello Descrizione Un elenco di nomi di regole e modelli esatti che hanno attivato il rilevamento Nota Ciascuna regola contiene modelli multipli che hanno generato l'incidente. I nomi dei modelli multipli sono separati dalle virgole. Azione L'azione eseguita sulla trasmissione Motivo giustificazione utente Il motivo fornito dall'utente per il trasferimento continuo di dati sensibili Attivazione del registro di debug per il modulo Protezione dati Procedura 1. Richiedere il file logger.cfg all'assistenza tecnica. 2. Aggiungere i seguenti dati in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro \PC-cillinNTCorp\DlpLite (per i sistemi a 32 bit) o HKEY_LOCAL_MACHINE \SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\DlpLite (per i sistemi a 64 bit): • Tipo: stringa • Nome: debugcfg • Valore: C:\Log\logger.cfg 3. Creare una cartella denominata “Log” nella directory C:\ 4. Copiare logger.cfg nella cartella “Log”. 5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivo della console Web per avviare la raccolta dei registri. 10-64 Utilizzo di Prevenzione perdita di dati Nota Per disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nella chiave di registro e riavviare il dispositivo. 10-65 Capitolo 11 Protezione dei computer dalle minacce Web In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan per proteggere la rete e i computer dalle minacce Web. Di seguito sono riportati gli argomenti trattati: • Minacce Web a pagina 11-2 • Servizi di avvisi contatti Command & Control a pagina 11-2 • Reputazione Web a pagina 11-4 • Criteri di reputazione Web a pagina 11-5 • Servizio di connessione sospetta a pagina 11-14 • Notifiche di minacce Web per utenti agente a pagina 11-18 • Notifiche di callback C&C per gli amministratori a pagina 11-19 • Infezioni dei callback C&C a pagina 11-23 • Registri delle minacce Web a pagina 11-26 11-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Minacce Web Le minacce Web comprendono un'ampia gamma di minacce che hanno origine su Internet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano una combinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori di minacce Web modificano, ad esempio, in modo continuo la versione o la variante di una minaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Web anziché sul dispositivo infetto, l'autore della minaccia modifica continuamente il suo codice affinché non venga rilevata. Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spyware sono noti come criminali informatici. Le minacce Web consentono a questi individui di perseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo di lucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità. Il dispositivo infetto può essere utilizzato per un attacco di phishing o per altre attività volte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima di insicurezza generale nei confronti delle transazioni via Internet e la conseguente perdita di fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo è impossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro. Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchi Denial-of-Service distribuiti o abuso di annunci "pay-per-click". Servizi di avvisi contatti Command & Control I Servizi di avvisi contatti Trend Micro Command & Control (C&C) forniscono funzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minacce costanti e attacchi mirati avanzati. I Servizi di avvisi contatti C&C sono integrati con i Servizi di reputazione Web che determinano l'azione eseguita sugli indirizzi di callback rilevati in base al livello di sicurezza della reputazione Web. L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando il Motore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasi canale di rete. Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web, consultare Configurazione dei Criteri di reputazione Web a pagina 11-5. 11-2 Protezione dei computer dalle minacce Web Tabella 11-1. Caratteristiche dei servizi di avvisi contatti C&C Funzione Descrizione Elenco Global Intelligence Trend Micro Smart Protection Network compila l'elenco Global Intelligence da origini di tutto il mondo e verifica e valuta il livello di rischio di ciascun indirizzo di callback C&C I servizi di reputazione Web utilizzano l'elenco Global Intelligence insieme ai punteggi di reputazione per i siti Web dannosi al fine di fornire una maggiore sicurezza dalle minacce avanzate. Il livello di sicurezza della reputazione Web determina l'azione eseguita sui siti Web dannosi o sui server C&C in base ai livelli di rischio assegnati. Elenco Virtual Analyzer Gli Smart Protection Server possono essere integrati con Virtual Analyzer per ottenere l'elenco dei server Virtual Analyzer C&C. Virtual Analyzer valuta i potenziali rischi in un ambiente protetto e, utilizzando euristica avanzata e metodi di verifica dei comportamenti, assegna un livello di rischio alle minacce analizzate. Virtual Analyzer popola l'elenco Virtual Analyzer con le minacce che tentano di connettersi a un possibile server C&C. L'elenco Virtual Analyzer è altamente specifico per ciascuna azienda e offre una difesa più personalizzata dagli attacchi mirati. OfficeScan recupera l'elenco da Virtual Analyzer ed è in grado di valutare tutte le possibili minacce C&C attraverso l'elenco Global Intelligence e quello Virtual Analyzer locale. Per ulteriori informazioni sulla connessione degli elenchi di oggetti sospetti di Virtual Analyzer, consultare Configurazione delle impostazioni dell'elenco di oggetti sospetti a pagina 13-32. Servizio di connessione sospetta Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti dall'utente e controlla il comportamento delle connessioni che i dispositivi stabiliscono con i potenziali server C&C. Per i dettagli, consultare Servizio di connessione sospetta a pagina 11-14. Notifiche amministratore Gli amministratori possono scegliere di ricevere notifiche dettagliate e personalizzabili una volta rilevato un callback C&C. Per i dettagli, consultare Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-19. 11-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Funzione Notifiche agente Descrizione Gli amministratori possono scegliere di inviare notifiche dettagliate e personalizzabili agli utenti finali una volta rilevato un callback C&C in un dispositivo. Per i dettagli, consultare Notifiche di avvisi contatti C&C per gli utenti degli agenti a pagina 11-22. Notifiche di infezione Gli amministratori possono personalizzare le notifiche di infezione specifiche degli eventi di callback C&C e specificare se l'infezione avviene in un solo dispositivo o nell'intera rete. Per i dettagli, consultare Infezioni dei callback C&C a pagina 11-23. Registri di callback C&C I registri forniscono informazioni dettagliate relative a tutti gli eventi di callback C&C. Per i dettagli, consultare Visualizzazione dei registri di callback C&C a pagina 11-27. Reputazione Web La tecnologia di reputazione Web tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento delle minacce informatiche. I siti sono continuamente sottoposti a scansione e l'accesso ai siti infetti viene bloccato. Gli Agenti OfficeScan inviano query alle origini Smart Protection per determinare la reputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sito Web è correlata al criterio di reputazione Web specifico applicato sul dispositivo. A seconda del criterio utilizzato, l'Agente OfficeScan blocca o consente l'accesso a un sito Web. Nota Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini Smart Protection a pagina 4-24. 11-4 Protezione dei computer dalle minacce Web Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri o pericolosi. Quando l'Agente OfficeScan rileva un accesso a tali siti Web, consente o blocca automaticamente l'accesso e non invia altre query alle origini Smart Protection. Criteri di reputazione Web I criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a un sito Web. È possibile configurare i criteri per gli agenti interni ed esterni. Gli amministratori di OfficeScan in genere configurano criteri più rigidi per gli agenti esterni. I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare un singolo criterio a tutti gli agenti. Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2) per determinare la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. Configurazione dei Criteri di reputazione Web Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed è necessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali per l'autenticazione del server proxy. Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per gli agenti OfficeScan a pagina 14-55. Procedura 1. Accedere a Agenti > Gestione agente. 2. Selezionare le destinazioni nella struttura agente. • Per configurare un criterio per gli agenti con Windows XP, Vista, 7, 8, 8.1 o 10, selezionare l'icona del dominio root ( ), domini specifici o agenti. 11-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Quando si seleziona un dominio root o domini specifici, l'impostazione verrà applicata solo agli agenti con Windows XP, Vista, 7, 8, 8.1 o 10. Non verrà applicata agli agenti con Windows Server 2003, Windows Server 2008 o Windows Server 2012, anche se appartengono ai domini. • Per configurare un criterio per gli agenti con Windows Server 2003, Windows Server 2008 o Windows Server 2012, selezionare un agente specifico. 3. Fare clic su Impostazioni > Impostazioni di reputazione Web. 4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti interni. Suggerimento Configurare le impostazioni della posizione agente se non sono state già configurate. Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi e applicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizione dispositivo a pagina 14-2. 5. Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. I sistemi operativi elencati nella schermata variano in base alle destinazioni selezionate nel passaggio 1. Suggerimento Trend Micro consiglia di disattivare la reputazione Web per gli agenti interni nel caso in cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazione Web, come InterScan Web Security Virtual Appliance. Quando un criterio di reputazione Web è attivato: 11-6 • Gli agenti esterni inviano query di reputazione Web a Smart Protection Network. • Gli agenti interni inviano query di reputazione Web a: Protezione dei computer dalle minacce Web 6. • Gli Smart Protection Server se l'opzione Invia query a Smart Protection Server è attivata. Per ulteriori informazioni su questa opzione, vedere il passaggio 7. • Gli Smart Protection Network se l'opzione Invia query a Smart Protection Server è attivata. Selezionare Attiva valutazione. Nota In modalità di valutazione, gli agenti consentono l'accesso a tutti i siti Web, ma registrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazione fosse disattivata. La modalità di valutazione fornita da Trend Micro consente di valutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, ad esempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati. 7. Selezionare Verifica URL HTTPS. Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web. Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro, accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siti compromessi, anche quelli con certificati validi, possono ospitare minacce informatiche e sottrarre informazioni personali. Inoltre, i certificati sono relativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione di server Web dannosi che utilizzano HTTPS. Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi o dannosi che usano HTTPS. OfficeScan è in grado di monitorare il traffico HTTPS sui seguenti browser: 11-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 11-2. Browser supportati per il traffico HTTPS Browser Microsoft Internet Explorer 11-8 Versione • 6 con SP2 o successivo • 7.x • 8.x • 9.x • 10.x • 11.x Microsoft Edge N.D. Mozilla Firefox 3.5 o versioni successive Chrome N.D. Protezione dei computer dalle minacce Web Importante • La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1, Windows 10 o Windows 2012 in modalità desktop. • Dopo aver attivato la scansione HTTPS per la prima volta negli Agenti OfficeScan, è necessario che gli utenti attivino il componente aggiuntivo necessario nel browser prima che la scansione HTTPS sia operativa. • Firefox Per gli Agenti OfficeScan con Windows 7, 8, 8.1, 10, Server 2008 R2 o Server 2012, gli utenti devono attivare il componente aggiuntivo Trend Micro Osprey Firefox Extension 2.0.0.1077 nella finestra popup del browser (o nella schermata Componenti aggiuntivi > Estensioni). Per gli Agenti OfficeScan con Windows XP, Vista, Server 2003 o Server 2008 gli utenti devono attivare il componente aggiuntivo Trend Micro NSC Firefox Extension 5.82.0.1092 nella finestra popup del browser (o nella schermata Componenti aggiuntivi > Estensioni). • Internet Explorer 9, 10 e 11 Per gli Agenti OfficeScan con Windows 7, 8, 8.1, 10, Server 2008 R2 o Server 2012, gli utenti devono attivare il componente aggiuntivo Trend Micro Osprey Plugin Class nella finestra popup del browser. Per gli Agenti OfficeScan con Windows XP, Vista, Server 2003 o Server 2008, gli utenti devono attivare il componente aggiuntivo TmIEPlugInBHO Class nella finestra popup del browser. Per informazioni sulla configurazione delle impostazioni di Internet Explorer per la reputazione Web, consultare i seguenti articoli della Knowledge Base: 8. • http://esupport.trendmicro.com/solution/en-us/1060643.aspx • http://esupport.trendmicro.com/solution/en-us/1095350.aspx Selezionare Esegui scansione solo delle porte HTTP comuni per limitare la scansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Per impostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tutte le porte. 11-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Non supportato in Windows 7, 8, 8.1, 10 o Windows Server 2008 R2, 2012 o piattaforme successive. 9. Selezionare Invia query a Smart Protection Server se si desidera che gli agenti interni inviino query di reputazione Web agli Smart Protection Server. • Se si attiva questa opzione: • Gli agenti fanno riferimento all'elenco delle origini Smart Protection per determinare a quale Smart Protection Server connettersi. Per ulteriori informazioni sull'elenco delle origini Smart Protection, consultare Elenco delle origini Smart Protection a pagina 4-24. • 11-10 • Accertarsi che gli Smart Protection Server siano disponibili. Se nessuno Smart Protection Server è disponibile, gli agenti non inviano query a Smart Protection Network. Le sole origini rimanenti di dati di reputazione Web per gli agenti sono gli elenchi di URL approvati e bloccati (configurati nel passaggio 10). • Se si desidera che gli agenti si connettano agli Smart Protection Server tramite un server proxy, specificare le impostazioni del proxy nella scheda Amministrazione > Impostazioni > Proxy > Proxy interno. • Aggiornare gli Smart Protection Server regolarmente in modo da mantenere aggiornata la protezione. • Gli agenti non bloccano i siti Web non testati. Gli Smart Protection Server non memorizzano i dati di reputazione Web per questi siti Web. Se si disattiva questa opzione: • Gli agenti inviano query di reputazione Web a Smart Protection Network. I computer agente devono essere dotati di una connessione Internet per poter inviare query correttamente. • Se la connessione a Smart Protection Network richiede l'autenticazione del server proxy, specificare le credenziali di autenticazione in Amministrazione > Impostazioni > Proxy > Proxy esterno (scheda) > Connessione dell'agente OfficeScan con i server Trend Micro. Protezione dei computer dalle minacce Web • Gli agenti bloccheranno i siti Web non testati se si seleziona Blocca le pagine che non sono state testate da Trend Micro nel passaggio 11. 10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto, Medio o Basso Nota I livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a un URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan blocca solo gli URL considerati come minaccia Web. Impostando il livello di sicurezza più elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità di falsi allarmi. 11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nel passaggio 9, è possibile selezionare Blocca le pagine che non sono state testate da Trend Micro. Nota Anche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza, gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove o poco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma si impedisce anche l'accesso alle pagine sicure. 12. Selezionare Blocca le pagine che contengono script dannosi per identificare vulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minacce comprometta il browser Web. OfficeScan utilizza sia il pattern Prevenzione minaccia browser sia il pattern Script Analyzer, per identificare e bloccare le pagine Web prima di esporre il sistema. 11-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 11-3. Browser supportati per Prevenzione minaccia browser Browser Microsoft Internet Explorer Versione • 7.x • 8.x • 9.x • 10.x • 11.x Importante Per usare la funzione Prevenzione minaccia browser, è necessario abilitare il Servizio di protezione avanzata. Per attivare il Servizio di protezione avanzata, accedere a Agenti > Gestione agente e fare clic su Impostazioni > Impostazioni aggiuntive del servizio. Dopo avere attivato per la prima volta la funzione Prevenzione minaccia browser su Agenti OfficeScan, gli utenti devono attivare il componente aggiuntivo richiesto nel browser prima che Prevenzione minaccia browser sia operativo. Per gli Agenti OfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare il componente aggiuntivo Trend Micro IE Protection nella finestra popup del browser. 13. Configurare gli elenchi approvati e bloccati. Nota L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati. Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenti consentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degli URL bloccati. a. Selezionare Attiva elenco approvati/bloccati. b. Immettere un URL. È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL. Ad esempio: 11-12 Protezione dei computer dalle minacce Web • Se si immette www.trendmicro.com/*, tutte le pagine del sito Web Trend Micro saranno approvate. • Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasi sottodominio di trendmicro.com saranno approvate. È possibile immettere URL che contengono indirizzi IP. Se un URL contiene un indirizzo IPv6, racchiudere l'indirizzo tra parentesi. c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco Bloccati. d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. Importante Reputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchi Approvati e Bloccati. 14. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito in Valuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di query della reputazione Web di Trend Micro. 15. Selezionare se consentire che l'Agente OfficeScan invii i registri di reputazione Web al server. Consentire agli agenti di inviare i registri se si desidera analizzare gli URL che vengono bloccati da OfficeScan ed eseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso. 16. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 11-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Servizio di connessione sospetta Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti dall'utente e controlla il comportamento delle connessioni che i dispositivi stabiliscono con i potenziali server C&C. • Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono un ulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IP specifici. Configurare questi elenchi quando si desidera consentire l'accesso a un indirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a un indirizzo che può rappresentare un rischio per la sicurezza. Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-15. • L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C confermati da Trend Micro. Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospetta registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globale per la valutazione. Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, consultare Configurazione delle impostazioni di connessione sospetta a pagina 11-16. • Dopo aver rilevato la minaccia informatica sui dispositivi tramite il pattern regola di pertinenza corrispondente sui pacchetti di rete, il Servizio di connessione sospetta può effettuare ulteriori ricerche sul comportamento della connessione, per determinare se si è verificato un callback C&C. Dopo aver individuato un callback C&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettare l'origine della connessione utilizzando la tecnologia GeneriClean. Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-16. 11-14 Protezione dei computer dalle minacce Web Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4. Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntive del servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli, consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8. Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente Gli amministratori possono configurare OfficeScan per consentire, bloccare o registrare tutte le connessioni tra agenti e indirizzi IP C&C definiti dall'utente. Nota Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Accedere alla sezione Impostazioni connessione sospetta. 3. Fare clic su Modifica elenco IP definito dall'utente. 4. Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gli indirizzi IP che si desidera monitorare. Suggerimento È possibile configurare OfficeScan solo per registrare le connessioni effettuate verso gli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo le connessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-16. a. Fare clic su Aggiungi. b. Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP, l'intervallo dell'indirizzo IP o l'indirizzo IPv4 e la subnet mask per l'OfficeScan da monitorare. 11-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 c. Fare clic su Salva. 5. Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accanto all'indirizzo e fare clic su Elimina. 6. Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermata Impostazioni globali agente. Configurazione delle impostazioni di connessione sospetta OfficeScan è in grado di registrare tutte le connessioni effettuate tra agenti e indirizzi nell'elenco IP C&C globale. La schermata impostazioni di connessione sospetta consente effettivamente la registrazione ma permette ancora di accedere agli indirizzi IP configurati nell'elenco di indirizzi IP bloccati definito dall'utente OfficeScan è inoltre in grado di monitorare le connessioni che possono essere risultato di un botnet o di un'altra minaccia informatica. Dopo aver rilevato una minaccia informatica, OfficeScan può tentare di eliminare l'infezione. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di connessione sospetta. ) per Viene visualizzata la schermata Impostazioni di connessione sospetta. 4. Attivare l'impostazione Registra connessioni di rete effettuate agli indirizzi nell'elenco IP C&C globale per monitorare le connessioni effettuate sui server C&C confermati di Trend Micro. • 11-16 Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IP bloccati definito dall'utente, attivare l'impostazione Registra e consenti l'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente. Protezione dei computer dalle minacce Web Nota È necessario attivare il registro della connessione di rete prima che OfficeScan consenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per ulteriori informazioni sull'elenco IP C&C globale, consultare Servizio di connessione sospetta a pagina 11-14. 5. Attivare l'impostazione Registra connessioni mediante l'impronta di rete della minaccia per eseguire la corrispondenza di pattern sulle intestazioni dei pacchetti. OfficeScan registra tutte le connessioni effettuate dai pacchetti con le intestazioni che corrispondono alle minacce informatiche con l'uso del pattern regola di pertinenza. • Per consentire a OfficeScan di disinfettare le connessioni effettuate sui server C&C, attivare l'impostazione Disinfetta connessioni sospette quando viene rilevato un callback C&C. OfficeScan usa GeneriClean per disinfettare le minacce informatiche e interrompere la connessione al server C&C. Nota È necessario attivare Registra connessioni mediante l'impronta di rete della minaccia prima che OfficeScan tenti di disinfettare le connessioni effettuate sui server C&C rilevate dalla corrispondenza della struttura dei pacchetti. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 11-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Notifiche di minacce Web per utenti agente OfficeScan può visualizzare un messaggio di notifica sul dispositivo Agente OfficeScan subito dopo aver bloccato un URL che viola un criterio di reputazione Web. È necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto di tale messaggio. Attivazione del messaggio di notifica di minacce Web Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni. 5. Nella sezione Impostazioni di reputazione Web, selezionare Visualizza una notifica quando un sito Web viene bloccato. 6. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica quando un callback C&C viene rilevato. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 11-18 ) per • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Protezione dei computer dalle minacce Web Modifica delle notifiche di minacce Web Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web da modificare: • Violazioni della reputazione Web • Callback C&C 3. Modificare il messaggio predefinito nella casella di testo disponibile. 4. Fare clic su Salva. Notifiche di callback C&C per gli amministratori OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Configurazione delle notifiche di callback C&C per gli amministratori Procedura 1. Accedere a Amministrazione > Notifiche > Amministratore. 2. Sulla scheda Criteri: a. Accedere alla sezione Callback C&C. 11-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 b. 3. Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C (l'azione può essere bloccata o registrata) o solo quando il livello di rischio dell'indirizzo di callback è Alto. Sulla scheda E-mail: a. Accedere alla sezione Callback C&C. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. Utilizzare il Role-based Administration (RBA) per concedere agli utenti autorizzazioni per il dominio della struttura agente. Se la trasmissione avviene in un agente appartenente a un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: Tabella 11-4. Autorizzazioni e domini della struttura agente Ruoli con autorizzazioni per il dominio Dominio A Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Dominio B Account utente con il ruolo Indirizzo email dell'account utente Dominio della struttura agente Se un Agente OfficeScan appartenente al Dominio A rileva un callback C&C, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se qualsiasi Agente OfficeScan appartenente al Dominio B rileva il callback C&C, il messaggio e-mail viene inviato a [email protected] e [email protected]. 11-20 Protezione dei computer dalle minacce Web Nota Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Utilizzare le variabili token per rappresentare i dati nei campi Oggetto e Messaggio. Tabella 11-5. Variabili token per le notifiche dei callback C&C Variabile 4. Descrizione %CLIENTCOMPU TER% Il dispositivo di destinazione che ha inviato il callback %IP% L'indirizzo IP del dispositivo di destinazione %DOMAIN% Dominio del computer %DATETIME% Data e ora di rilevamento della trasmissione %CALLBACKADD RESS% L'indirizzo di callback del server C&C %CNCRISKLEVE L% Il livello di rischio del server C&C %CNCLISTSOUR CE% Indica l'elenco delle origini di C&C %ACTION% Operazione eseguita Sulla scheda Trap SNMP: a. Accedere alla sezione Callback C&C. b. Selezionare Attiva notifica mediante trap SNMP. 11-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 c. 5. 6. Accettare o modificare il messaggio predefinito. Utilizzare variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili token per le notifiche dei callback C&C a pagina 11-21 per ulteriori dettagli. Sulla scheda Registro eventi NT: a. Accedere alla sezione Callback C&C. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili token per le notifiche dei callback C&C a pagina 11-21 per ulteriori dettagli. Fare clic su Salva. Notifiche di avvisi contatti C&C per gli utenti degli agenti OfficeScan può visualizzare un messaggio di notifica sui computer Agente OfficeScan subito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto del messaggio Attivazione del messaggio di notifica di callback C&C Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni. 11-22 ) per Protezione dei computer dalle minacce Web 5. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica quando un callback C&C viene rilevato. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Modifica delle notifiche di callback C&C Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Callback C&C. 3. Modificare il messaggio predefinito nella casella di testo disponibile. 4. Fare clic su Salva. Infezioni dei callback C&C Definire un'infezione dei callback C&C per numero, origine e livello di rischio dei callback. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica in base alle diverse esigenze. 11-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite posta elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-35. Configurazione delle notifiche e dei criteri delle infezioni dei callback C&C Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri, configurare le opzioni riportate di seguito: Opzione Descrizione Stesso host compromesso Selezionare per definire un'infezione basata sui rilevamenti di callback per dispositivo Livello di rischio C&C Specificare se generare un'infezione in tutti i callback C&C o solo sulle origini ad alto rischio Azione Selezionare tra Qualsiasi azione, Registrata o Bloccata Rilevamenti Indicare il numero di rilevamenti richiesto che definisce un'infezione Periodo di tempo Indicare il numero di ore entro il quale deve avvenire il numero di rilevamenti Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. 3. Nella scheda E-mail: a. 11-24 Accedere alla sezione Callback C&C. Protezione dei computer dalle minacce Web b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare variabili token per rappresentare i dati nel campo Oggetto e Messaggio. Tabella 11-6. Variabili token per le notifiche dei callback C&C Variabile e. 4. 5. 6. Descrizione %C Numero di registri dei callback C&C %T Periodo di tempo di accumulo dei registri dei callback C&C Selezionare le informazioni aggiuntive disponibili sui callback C&C da includere nel messaggio e-mail. Fare clic sulla scheda Trap SNMP: a. Accedere alla sezione Callback C&C. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-6: Variabili token per le notifiche dei callback C&C a pagina 11-25 per ulteriori dettagli. Nella scheda Registro eventi NT: a. Accedere alla sezione Callback C&C. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-6: Variabili token per le notifiche dei callback C&C a pagina 11-25 per ulteriori dettagli. Fare clic su Salva. 11-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Registri delle minacce Web Configurare gli agenti esterni e interni in modo che inviino i registri di reputazione Web al server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioni appropriate per gli URL considerati sicuri, consentire tale operazione. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di reputazione Web Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri reputazione Web o su Registri > Registri reputazione Web. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: Elemento 11-26 Descrizione Data/Ora Ora del rilevamento Dispositivo L'dispositivo su cui si è verificato il rilevamento Dominio Il dominio dell'dispositivo oggetto del rilevamento URL L'URL bloccato dai servizi di reputazione Web Livello di rischio Il livello di rischio dell'URL ) per Protezione dei computer dalle minacce Web Elemento Descrizione Descrizione Una descrizione della minaccia per la sicurezza Processo Il processo tramite il quale è stato tentato il contatto (path\application_name) Azione L'azione eseguita sul rilevamento 6. Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungi all'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati. 7. Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. Visualizzazione dei registri di callback C&C Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri dei callback C&C o Registri > Registri dei callback C&C. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: Elemento ) per Descrizione Data/Ora Ora del rilevamento Utente L'utente ha effettuato l'accesso all'ora del rilevamento Host compromesso L'dispositivo origine del callback 11-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Elemento 6. Descrizione Indirizzo IP L'indirizzo IP dell'host compromesso Dominio Il dominio dell'dispositivo oggetto del rilevamento Indirizzo di callback L'indirizzo a cui l'dispositivo ha inviato il callback Origine elenco C&C L'origine dell'elenco C&C che ha identificato il server C&C Livello di rischio C&C Il livello di rischio del server C&C Protocollo Il protocollo Internet usato per la trasmissione Processo Il processo che ha avviato la trasmissione (path \application_name) Azione L'azione eseguita sul callback Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clic sul pulsante Aggiungi a elenco reputazione Web approvati per aggiungere l'indirizzo all'elenco reputazione Web approvati. Nota OfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per i rilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&C Virtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvati C&C definito dall'utente. Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-15. 7. 11-28 Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. Protezione dei computer dalle minacce Web Visualizzazione dei registri delle connessioni sospette Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri delle connessioni sospette oppure Registri > Registri delle connessioni sospette. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: Elemento ) per Descrizione Data/Ora Ora del rilevamento Dispositivo L'dispositivo su cui si è verificato il rilevamento Dominio Il dominio dell'dispositivo oggetto del rilevamento Processo Il processo che ha avviato la trasmissione (path \application_name) IP locale e porta L'indirizzo IP e il numero di porta dell'dispositivo di origine IP remoto e porta L'indirizzo IP e il numero di porta dell'dispositivo di destinazione Risultato Il risultato dell'azione effettuata Rilevato da L'origine dell'elenco C&C che ha identificato il server C&C Direzione del traffico La direzione della trasmissione 11-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. 11-30 Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. Capitolo 12 Utilizzo del firewall di OfficeScan In questo capitolo vengono descritte le configurazioni e le funzioni del firewall OfficeScan. Di seguito sono riportati gli argomenti trattati: • Informazioni sul Firewall di OfficeScan a pagina 12-2 • Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6 • Criteri e profili del firewall a pagina 12-8 • Privilegi firewall a pagina 12-24 • Impostazioni firewall globali a pagina 12-26 • Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan a pagina 12-29 • Registri del firewall a pagina 12-30 • Infezioni da violazione del firewall a pagina 12-32 • Test del firewall OfficeScan a pagina 12-33 12-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Informazioni sul Firewall di OfficeScan Il firewall di OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection" e alle scansioni di virus della rete a elevate prestazioni. Con la console di gestione centrale, è possibile creare regole per filtrare le connessioni per applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a gruppi diversi di utenti. Nota È possibile attivare, configurare e utilizzare il firewall di OfficeScan su dispositivi di Windows XP sui quali è stato attivato Windows Firewall. Per fare questo, tuttavia, è necessario gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare la documentazione Microsoft. Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito: • Filtraggio del traffico a pagina 12-2 • Filtro di applicazioni a pagina 12-3 • Elenco software sicuro certificato a pagina 12-3 • Scansione dei virus di rete a pagina 12-4 • Profili e criteri personalizzabili a pagina 12-4 • Stateful Inspection a pagina 12-4 • Sistema di rilevamento anti-intrusione a pagina 12-4 • Monitoraggio delle infezioni di violazione del firewall a pagina 12-6 • Privilegi firewall dell'agente OfficeScan a pagina 12-6 Filtraggio del traffico Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri: 12-2 Utilizzo del firewall di OfficeScan • Direzione (in entrata/in uscita) • Protocollo (TCP/UDP/ICMP/ICMPv6) • Porte di destinazione • dispositivi di origine e destinazione Filtro di applicazioni Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni, consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai criteri impostati dall'amministratore. Nota OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8, Windows 8.1, Windows 10 e Windows Server 2012. OfficeScan consente o impedisce il traffico di tutte le applicazioni sui dispositivi con tali piattaforme. Elenco software sicuro certificato L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete. Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro. Nota Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. 12-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Scansione dei virus di rete Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per i dettagli, consultare Virus e minacce informatiche a pagina 7-2. Profili e criteri personalizzabili Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili, che poi potranno essere implementati negli Agenti OfficeScan specificati. Questo costituisce un metodo molto personalizzabile di organizzare e configurare le impostazioni del firewall per gli agenti. Stateful Inspection Il firewall di OfficeScan è di tipo Stateful Inspection: ovvero, controlla tutte le connessioni dell'Agente OfficeScan e registra tutti gli stati di connessione. È in grado di identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno e individuare le interruzioni in una connessione normale. L'uso efficace del firewall, quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e il filtro dei pacchetti che passano attraverso il firewall. Sistema di rilevamento anti-intrusione Il firewall OfficeScan include anche un sistema di rilevamento anti-intrusione (IDS). Se attivato, IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco al Agente OfficeScan. Il firewall OfficeScan consente di evitare le seguenti intrusioni note: Intrusione frammento troppo grande 12-4 Descrizione Attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto TCP/UDP di dimensioni eccessive sul dispositivo di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sul dispositivo, causando il blocco o il riavvio del dispositivo. Utilizzo del firewall di OfficeScan Intrusione Descrizione Ping of Death Attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto ICMP/ICMPv6 di dimensioni eccessive sul dispositivo di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sul dispositivo, causando il blocco o il riavvio del dispositivo. conflitto ARP Tipo di attacco in cui un hacker invia una richiesta ARP (Address Resolution Protocol) a un dispositivo di destinazione utilizzando lo stesso indirizzo IP come origine e come destinazione. Il dispositivo oggetto dell'attacco comincia a inviare continuamente una risposta ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco del sistema. flooding SYN Attacco DoS (Denial of Service) in cui un programma invia al dispositivo più pacchetti di sincronizzazione (SYN) TCP, causando un invio continuo di risposte di riconoscimento della sincronizzazione (SYN/ACK) da parte del dispositivo. Ciò può esaurire la memoria del dispositivo e causare guasti del dispositivo. frammenti sovrapposti In modo analogo al teardrop, questo attacco DoS (Denial of Service) invia al dispositivo frammenti TCP sovrapposti. Questo causa la sovrascrittura delle informazioni di intestazione del primo frammento TCP che potrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbe consentire l'accesso ai successivi frammenti contenenti il codice maligno permettendo loro di raggiungere il dispositivo di destinazione. Teardrop Questo attacco DoS (Denial of Service) simile all'attacco a frammenti sovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno del secondo o di altri frammenti IP può causare il blocco del sistema operativo del dispositivo ricevente nel momento in cui tenta di riassemblare i frammenti. attacco frammento minuscolo Tipo di attacco in cui un frammento TCP di dimensioni minime forza le informazioni di intestazione del primo pacchetto TCP all'interno del frammento successivo. In questo modo potrebbero essere ignorati i frammenti successivi che potrebbero contenere dati dannosi. 12-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Intrusione Descrizione IGMP frammentato Attacco DoS (Denial of Service) che invia pacchetti IGMP frammentati a un dispositivo di destinazione ,che non riesce a elaborarli correttamente. Ciò può bloccare il dispositivo o rallentarne le attività. attacco LAND Tipo di attacco che invia al dispositivo pacchetti di sincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e come destinazione facendo in modo che il dispositivo invii la risposta di riconoscimento della sincronizzazione (SYN/ ACK) a se stesso. Ciò può bloccare il dispositivo o rallentarne le attività. Monitoraggio delle infezioni di violazione del firewall Quando le violazioni del firewall superano determinate soglie che potrebbero far pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a specifici destinatari. Privilegi firewall dell'agente OfficeScan È possibile concedere agli utenti dell'Agente OfficeScan le autorizzazioni necessarie per visualizzare le impostazioni del firewall nella console dell'Agente OfficeScan. nonché quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il messaggio di notifica della violazione del firewall. Attivazione o disattivazione del Frewall di OfficeScan Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare o disattivare il firewall OfficeScan. Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulle prestazioni, in particolare sulle piattaforme del server (Windows Server 2003, Windows Server 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall. 12-6 Utilizzo del firewall di OfficeScan Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo per proteggere gli agente da intrusioni, leggere prima le linee guida e le istruzioni in Servizi dell'agente OfficeScan a pagina 14-7. È possibile attivare o disattivare il firewall su tutti i dispositivi Agente OfficeScan o solo su alcuni. Attivazione o disattivazione del firewall di OfficeScan sui dispositivi selezionati Per attivare o disattivare il firewall nella console Web, utilizzare uno dei metodi seguenti. Metodo Procedura Creare un nuovo criterio e applicarlo agli Agenti OfficeScan 1. Creare un nuovo criterio per attivare o disattivare il firewall. Per istruzioni sulla creazione di un nuovo criterio, vedere Aggiunta o modifica di un criterio firewall a pagina 12-11. 2. Applicare il criterio agli Agenti OfficeScan. Attivare o disattivare il servizio del firewall dalla console Web. Per la procedura dettagliata, vedere Servizi dell'agente OfficeScan a pagina 14-7. Nota La disattivazione del servizio del firewall disattiva automaticamente tutti i criteri del firewall sugli agenti selezionati. Per attivare o disattivare il firewall nel dispositivi selezionato, utilizzare uno dei metodi seguenti. Metodo Attivazione/ Disattivazione del driver del firewall Procedura 1. Aprire le Proprietà delle Connessioni di rete Windows. 2. Selezionare o deselezionare la casella di controllo Driver comune Firewall Trend Micro nella scheda di rete. 12-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Metodo Attivazione/ Disattivazione del servizio del firewall Procedura 1. Aprire il prompt dei comandi e digitare services.msc. 2. Avviare o interrompere OfficeScan NT Firewall da Microsoft Management Console (MMC). Attivazione o disattivazione del firewall di OfficeScan su tutti i dispositivi Procedura 1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto. 2. Andare alla sezione Servizi aggiuntivi. 3. Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fare clic su Attiva o Disattiva. Criteri e profili del firewall Il firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodi di protezione dei dispositivi collegati in rete. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri e i profili di domini specifici. Suggerimento Installazioni di più firewall sullo stesso dispositivo possono produrre risultati inaspettati. Prima di implementare e attivare il firewall di OfficeScan, è opportuno disinstallare altri firewall basati su software presenti sugli Agenti OfficeScan. Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguenti operazioni: 12-8 Utilizzo del firewall di OfficeScan 1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza che blocca o consente il traffico sui dispositivi collegati in rete e attiva le funzioni del firewall. 2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli Agenti OfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, è possibile specificare gli agenti e consentire o bloccare determinati tipi di traffico indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. È possibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agenti tramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modo che gli agenti possano accedere al server Web. 3. Creare e assegnare dei profili agli Agenti OfficeScan. Un profilo di firewall comprende una serie di attributi agente ed è associato a un criterio. Quando un agente corrisponde agli attributi specificati nel profilo, il criterio a esso associato viene attivato. Criteri firewall I criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete non specificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewall vengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall. OfficeScan comprende una serie di criteri predefiniti che è possibile modificare o eliminare. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri di domini specifici. Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall. 12-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 12-1. Criteri del firewall predefiniti Nome criterio Livello di sicurez za Imposta zioni Agente Eccezioni Uso consigliato Tutti i tipi di accesso Basso Attiva firewall Nessuna Da utilizzare per consentire agli agenti un accesso illimitato alla rete Porte di comunicazione per Trend Micro Control Manager Basso Attiva firewall Permette tutto il traffico TCP/UDP in entrata e in uscita tramite le porte 80 e 10319 Da utilizzare per gli agenti sui quali è installato un MCP Agent Console ScanMail per Microsoft Exchange Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 16372 Da utilizzare quando gli agenti devono accedere alla console ScanMail Console InterScan Messaging Security Suite (IMSS) Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 80 Da utilizzare quando gli agenti devono accedere alla console IMSS Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, creare nuovi criteri. Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri del firewall nella console Web. Configurazione dell'elenco dei criteri del firewall Procedura 1. 12-10 Accedere a Agenti > Firewall > Criteri. Utilizzo del firewall di OfficeScan 2. Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. Per modificare un criterio esistente, fare clic sul nome del criterio. Viene visualizzata la schermata per la configurazione del criterio. Consultare Aggiunta o modifica di un criterio firewall a pagina 12-11 per ulteriori informazioni. 3. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 4. Per modificare il modello di eccezione del firewall, fare clic su Modifica modello di eccezione. Consultare Modifica del modello di eccezione del firewall a pagina 12-14 per ulteriori informazioni. Viene visualizzato l'editor del modello di eccezione. Aggiunta o modifica di un criterio firewall Per ciascun criterio, configurare le impostazioni riportate di seguito: • Livello di sicurezza: impostazione generale che blocca o consente tutto il traffico in entrata e/o in uscita nel dispositivo Agente OfficeScan. • Caratteristiche del firewall: specificare se attivare o disattivare il firewall di OfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica di violazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema di rilevamento anti-intrusione a pagina 12-4. • Elenco software sicuro certificato: specificare se consentire alle applicazioni sicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato a pagina 12-3 per ulteriori informazioni su Elenco software sicuro certificato. • Elenco eccezioni al criterio: elenco di eccezioni configurabili che bloccano o consentono vari tipi di traffico di rete 12-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Aggiunta di un criterio del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. 3. Inserire un nome per il criterio. 4. Selezionare un livello di sicurezza. Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametri delle eccezioni ai criteri del firewall. 5. Selezionare le funzioni del firewall da utilizzare per il criterio. • Quando il firewall blocca un pacchetto in uscita, viene visualizzato un messaggio di notifica di violazione del firewall. Per modificare il messaggio, vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 12-30. • Se l'amministratore attiva tutte le funzioni del firewall e concede agli utenti dell'Agente OfficeScan il privilegio di configurazione delle impostazioni del firewall, gli utenti possono attivare o disattivare le funzionalità, nonché modificare le impostazioni del firewall nella console dell'Agente OfficeScan. AVVERTENZA! Non è possibile utilizzare la console Web OfficeScan per sovrascrivere le impostazioni della console dell'Agente OfficeScan configurate dall'utente. 12-12 • Se non si attivano queste funzioni, le impostazioni del firewall configurate dalla console Web OfficeScan vengono visualizzate in Elenco schede di rete nella console dell'Agente OfficeScan. • Le informazioni che si trovano in Impostazioni nella scheda Firewall della console dell'Agente OfficeScan corrispondono sempre alle impostazioni configurate nella console dell'Agente OfficeScan e non a quelle della console Web del server. Utilizzo del firewall di OfficeScan 6. Attiva l'elenco software sicuro certificato globale o locale. Nota Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. 7. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteri qui incluse si basano sul modello di eccezione del firewall. Consultare Modifica del modello di eccezione del firewall a pagina 12-14 per ulteriori dettagli. • Per modificare un'eccezione ai criteri esistente fare clic sul nome dell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata. Nota L'eccezione modificata si applica solo al criterio da creare. Se si desidera rendere permanente la modifica all'eccezione, è necessario apportare la stessa modifica all'eccezione nel modello di eccezione del firewall. • Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre. Nota Anche l'eccezione ai criteri si applica solo al criterio da creare. Per applicare questa eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elenco delle eccezioni criteri nel modello di eccezione del firewall. 8. Fare clic su Salva. Modifica di di un criterio del firewall esistente Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su un criterio. 12-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. 4. Modificare gli elementi riportati di seguito: • Nome criterio • Livello di sicurezza • Funzioni firewall da utilizzare per il criterio • Stato dell'elenco Servizio Certified Safe Software • Eccezioni ai criteri del firewall da includere nei criteri • Modificare un'eccezione esistente (fare clic sul nome dell'eccezione e modificare le impostazioni nella pagina che si apre) • Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre. Fare clic su Salva per applicare le modifiche ai criteri esistenti. Modifica del modello di eccezione del firewall Il modello di eccezione del firewall contiene eccezioni dei criteri che possono essere configurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di porta e agli indirizzi IP del dispositivo Agente OfficeScan. Una volta creata un'eccezione ai criteri, modificare i criteri a cui si applica l'eccezione. Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione: • Restrittiva Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentono tutto il traffico di rete. Un esempio di utilizzo di eccezione restrittiva dei criteri è il blocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio le porte utilizzate in genere dai cavalli di Troia. • Permissiva Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccano tutto il traffico di rete. Ad esempio, è possibile consentire agli Agenti OfficeScan di accedere solo al server OfficeScan e a un server Web. In questo caso, è necessario consentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con il 12-14 Utilizzo del firewall di OfficeScan server OfficeScan) e dalla porta che l'Agente OfficeScan utilizza per la comunicazione HTTP. Porta di ascolto dell'Agente OfficeScan: Agenti > Gestione agente > Stato. Il numero di porta è reperibile in Informazioni di base. Porta di ascolto del server: Amministrazione > Impostazioni > Connessione agente. Il numero di porta è reperibile in Impostazioni connessione agente. OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che è possibile modificare o eliminare. Tabella 12-2. Eccezioni predefinite ai criteri del firewall Nome eccezione Azion e Protocollo Porta Direzione DNS Consen ti TCP/UDP 53 In entrata e in uscita NetBIOS Consen ti TCP/UDP 137, 138, 139, 445 In entrata e in uscita HTTPS Consen ti TCP 443 In entrata e in uscita HTTP Consen ti TCP 80 In entrata e in uscita Telnet Consen ti TCP 23 In entrata e in uscita SMTP Consen ti TCP 25 In entrata e in uscita FTP Consen ti TCP 21 In entrata e in uscita POP3 Consen ti TCP 110 In entrata e in uscita LDAP Consen ti TCP/UDP 389 In entrata e in uscita 12-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezione predefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IP degli agenti. L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versione precedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni, aggiungerla manualmente. Aggiunta di un'eccezione dei criteri del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su Aggiungi. 4. Digitare un nome per l'eccezione ai criteri. 5. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazioni oppure specificare il percorso o le chiavi del registro di sistema delle applicazioni. Nota Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione non supporta i caratteri jolly. 6. Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare o consentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione del traffico (traffico di rete in entrata o in uscita sul dispositivo Agente OfficeScan). 7. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6. 8. Specificare le porte del dispositivo Agente OfficeScan sulle quali effettuare l'azione. 9. Selezionare gli indirizzi IP del dispositivo Agente OfficeScan da includere nell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in entrata e in uscita) e si immette l'indirizzo IP di un singolo dispositivo nella rete, 12-16 Utilizzo del firewall di OfficeScan qualsiasi Agente OfficeScan con questa eccezione tra i criteri non potrà inviare o ricevere dati da tale indirizzo IP. • Tutti gli indirizzi IP: include tutti gli indirizzi IP • Indirizzo IP singolo: immettere un nome host oppure un indirizzo IPv4 o IPv6. • Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 o IPv6. • Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzo IPv6. • Subnet mask: immettere un indirizzo IPv4 e la relativa subnet mask. 10. Fare clic su Salva. Modifica di un'eccezione dei criteri del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su un criterio di eccezione. 4. Modificare gli elementi riportati di seguito: • Nome eccezione ai criteri • Tipo, nome o percorso dell'applicazione • Operazione che OfficeScan deve effettuare su traffico di rete e direzione del traffico • Tipo di protocollo di rete • Numeri di porta relativi all'eccezione • Indirizzi IP del dispositivo Agente OfficeScan 12-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. Fare clic su Salva. Salvataggio delle impostazioni dell'elenco eccezioni al criterio Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su una delle opzioni di salvataggio riportate di seguito: • Salva modifiche al modello: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello solo ai criteri creati in futuro, non a quelli esistenti. • Salva e applica ai criteri esistenti: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello a criteri esistenti e futuri. Profili firewall I profili del firewall sono flessibili in quanto consentono di scegliere quali attributi un singolo agente o un gruppo di agenti deve avere affinché il criterio venga applicato. Creare ruoli utente che permettano di creare, configurare o eliminare i profili di specifici domini. Gli utenti con account di amministratore integrato o con le autorizzazioni per la gestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo Agente OfficeScan con le impostazioni del server. I profili comprendono i seguenti elementi: • Criterio associato: ogni profilo utilizza un singolo criterio • Attributi dell'agente: il criterio associato viene applicato agli Agenti OfficeScan che dispongono di almeno uno degli attributi riportati di seguito. 12-18 Utilizzo del firewall di OfficeScan • Indirizzo IP: un indirizzo IP specifico dell'Agente OfficeScan OfficeScan, un indirizzo IP compreso in un determinato intervallo di indirizzi IP o un indirizzo IP appartenente a una subnet specifica • Dominio: un dominio OfficeScan specifico al quale appartiene l'Agente OfficeScan • Dispositivo: l'Agente OfficeScan con un nome di dispositivo specifico • Piattaforma: una piattaforma specifica utilizzata da qualsiasi Agente OfficeScan • Nome accesso: un dispositivi Agente OfficeScan a cui degli utenti specifici hanno effettuato l'accesso • Descrizione NIC: un dispositivo Agente OfficeScan con una specifica descrizione NIC • Stato della connessione agente: se l'Agente OfficeScan è online oppure offline Nota L'Agente OfficeScan è online se è in grado di connettersi al server OfficeScan o a uno dei server di riferimento, mentre è offline se non è in grado di connettersi ad alcun server. OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" che utilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo profilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall predefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato attuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella console Web. Gestire l'elenco dei profili e implementare tutti i profili sugli Agenti OfficeScan. Gli Agenti OfficeScan archiviano tutti i profili del firewall nel dispositivo agente. 12-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione dell'elenco profili del firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Gli utenti che utilizzano l'account di amministratore integrato o gli utenti con le autorizzazioni per la gestione completa, possono facoltativamente attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo dell'Agente OfficeScan con le impostazioni del server. 3. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profilo esistente, selezionare il nome del profilo. Viene visualizzata la schermata per la configurazione del profilo. Per ulteriori informazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 12-22. 4. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 5. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controllo accanto al profilo da spostare e fare clic su Sposta su o Sposta giù. OfficeScan applica i profili del firewall agli Agenti OfficeScan nell'ordine in cui i profili compaiono nell'elenco dei profili. Ad esempio, se l'agente corrisponde al primo profilo, OfficeScan applica le azioni configurate per tale profilo all'agente. OfficeScan ignora gli altri profili configurati per l'agente. Suggerimento Più esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare in cima un criterio creato per un unico agente, seguito da quelli relativi a un intervallo di agenti, a un dominio di rete e a tutti gli agenti. 6. 12-20 Per gestire i server di riferimento, fare clic su Modifica elenco server di riferimento. Quando si applicano i profili del firewall, i server di riferimento sono dispositivi che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivo nella rete può essere un server di riferimento (per ulteriori informazioni, consultare Server di riferimento a pagina 13-33). Quando si attivano i server di riferimento, OfficeScan parte dai seguenti presupposti: Utilizzo del firewall di OfficeScan • Gli Agenti OfficeScan collegati a server di riferimento sono online, anche se gli agenti non possono comunicare con il server OfficeScan. • I profili del firewall applicati agli Agenti OfficeScan online vengono applicati anche agli Agenti OfficeScan collegati a server di riferimento. Nota Solo gli utenti con account di amministratore predefinito o quelli con autorizzazioni di gestione completa possono visualizzare e configurare l'elenco dei server di riferimento. 7. 8. Per salvare le impostazioni correnti e assegnare i profili agli Agenti OfficeScan: a. Decidere se attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte le impostazioni del firewall configurate dall'utente. b. Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profili presenti nell'elenco di profili a tutti gli Agenti OfficeScan. Per verificare di aver assegnato i profili agli Agenti OfficeScan: a. Accedere a Agenti > Gestione agente. Nella casella di riepilogo a discesa disponibile nella visualizzazione della struttura agente, selezionare Visualizzazione firewall. b. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura agente. Se i criteri associati al profilo consentono di utilizzare il sistema IDS (Intrusion Detection System), è presente un segno di spunta verde anche nella colonna IDS. c. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura agente. 12-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Aggiunta e modifica di un profilo firewall I dispositivi Agente OfficeScan possono richiedere livelli diversi di protezione. I profili del firewall consentono di specificare i dispositivi agente ai quali si applica un criterio associato. In linea di massima, per ogni criterio in uso è necessario un profilo. Aggiunta di un profilo di firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Fare clic su Aggiungi. 3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il profilo sugli Agenti OfficeScan. 4. Inserire un nome per identificare il profilo e una descrizione opzionale. 5. Specificare un criterio per questo profilo. 6. Specificare i dispositivi agente a cui OfficeScan deve applicare il criterio. Selezionare i dispositivi in base ai seguenti criteri: • Indirizzo IP • Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare i domini. Nota Solo gli utenti con autorizzazioni complete per i domini possono selezionarli. 12-22 • Nome dispositivo: fare clic sul pulsante per aprire la struttura agente e selezionare i dispositivi Agente OfficeScan. • Piattaforma • Nome accesso • Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri jolly. Utilizzo del firewall di OfficeScan Suggerimento Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. • 7. Stato della connessione dell'agente Fare clic su Salva. Modifica di un profilo di firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Fare clic su un profilo. 3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare questo profilo sugli Agenti OfficeScan. Modificare gli elementi riportati di seguito: • Nome profilo e descrizione • Criterio assegnato al profilo • Agente OfficeScan Dispositivi agente OfficeScan, in base ai seguenti criteri: • Indirizzo IP • Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare i domini. • Nome dispositivo: fare clic sul pulsante per aprire la struttura agente e selezionare i dispositivi agente. • Piattaforma • Nome accesso 12-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri jolly. Suggerimento Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. • 4. Stato connessione agente Fare clic su Salva. Privilegi firewall Consentono agli utenti di configurare le proprie impostazioni del firewall. Le impostazioni configurate dagli utenti hanno la precedenza sulle impostazioni implementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistema rilevamento anti-intrusione (IDS), ma questo viene attivato nel server OfficeScan, IDS rimane disattivato nel dispositivo Agente OfficeScan. Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall. Tabella 12-3. Privilegi firewall Privilegio Visualizza le impostazioni del firewall nella console agente OfficeScan 12-24 Descrizione L'opzione Firewall visualizza tutte le impostazioni del firewall nell'Agente OfficeScan. Utilizzo del firewall di OfficeScan Privilegio Descrizione Consenti agli utenti di attivare/ disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection", alla scansione antivirus della rete a elevate prestazioni e all'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare il firewall e le relative funzioni, è necessario avvertirli di non disattivare il firewall per un periodo di tempo prolungato per evitare di esporre il dispositivo a intrusioni e attacchi di hacker. Consenti agli agenti di inviare i registri di firewall al server OfficeScan Selezionare questa opzione per analizzare il traffico bloccato e consentito dal firewall OfficeScan. Se non si concedono agli utenti tali privilegi, le impostazioni del firewall configurate dalla console Web del server OfficeScan vengono visualizzate in Elenco schede di rete nella console dell'Agente OfficeScan. Per ulteriori informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-30. Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro in Agenti > Impostazioni globali agente. Andare alla sezione Impostazioni firewall. La pianificazione si applica solamente agli agenti con privilegio di invio del registro del firewall. Per le istruzioni, vedere Impostazioni firewall globali a pagina 12-26. Concessione dei privilegi firewall Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi firewall. 5. Selezionare le seguenti opzioni: ) per 12-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. • Visualizza la scheda Firewall nella console agente OfficeScan a pagina 12-24 • Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento antiintrusione e il messaggio di notifica di violazione del firewall a pagina 12-25 • Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina 12-25 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni firewall globali Le impostazioni globali del firewall possono essere applicate agli Agenti OfficeScan in diversi modi. • Una determinata impostazione del firewall può essere applicata a tutti gli agenti gestiti dal server. • Un'impostazione può essere applicata solo agli Agenti OfficeScan con determinati privilegi per il firewall. Ad esempio, la pianificazione di invio dei registri del firewall si applica solo agli Agenti OfficeScan che hanno il privilegio di inviare registri al server. Attivare le impostazioni globali seguenti, in base alle necessità. • Invia i registri del firewall al server È possibile concedere a determinati Agenti OfficeScan il privilegio di inviare registri del firewall al server OfficeScan. Configurare la pianificazione per l'invio del 12-26 Utilizzo del firewall di OfficeScan registro. Solo gli agenti con privilegi per inviare registri del firewall potranno usare questa pianificazione. Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati, consultare Privilegi firewall a pagina 12-24. • Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema Attivare l'Agente OfficeScan per aggiornare il Driver comune Firewall solo dopo il riavvio del dispositivo Agente OfficeScan. Attivare questa opzione per impedire che si verifichino interruzioni (ad esempio la disconnessione temporanea dalla rete) per il dispositivo agente quando viene aggiornato Driver comune Firewall durante l'aggiornamento dell'agente. • Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall Quando viene attivata questa opzione, gli Agenti OfficeScan inviano i conteggi dei registri del firewall al server OfficeScan a intervalli di un'ora. Per ulteriori informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-30. OfficeScan utilizza i conteggi dei registri e i criteri delle infezioni da violazione del firewall per determinare la possibilità di un'infezione da violazione del firewall. In caso di infezione, OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan. • Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare il Servizio certificato Safe Software, come necessario. Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. 12-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Assicurarsi che le impostazioni proxy degli Agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy dell'Agente OfficeScan a pagina 14-53) prima di attivare il Servizio Certified Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli Agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual-stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli Agenti OfficeScan di collegarsi ai datacenter Trend Micro. Configurazione delle impostazioni firewall globali Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione seguente e configurare le impostazioni: Tabella 12-4. Impostazioni firewall globali Sezione Impostazioni del firewall 3. 12-28 Impostazioni • Invia i registri del firewall al server a pagina 12-26 • Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema a pagina 12-27 Conteggio registro firewall Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall a pagina 12-27 Impostazioni di Certified Safe Software Attiva il servizio Certified Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus a pagina 12-27 Fare clic su Salva. Utilizzo del firewall di OfficeScan Notifiche di violazione del firewall per gli utenti dell'agente OfficeScan OfficeScan può visualizzare un messaggio di notifica sugli agenti subito dopo che il firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall. Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica. Nota È anche possibile attivare la notifica quando si configura un particolare criterio del firewall. Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina 12-11. Concessione agli utenti del privilegio di attivare/ disattivare il messaggio di notifica Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi firewall. 5. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • ) per Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini 12-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Modifica del contenuto del messaggio di notifica del firewall Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni del firewall 3. Modificare i messaggi predefiniti nella casella di testo disponibile. 4. Fare clic su Salva. Registri del firewall I registri del firewall disponibili nel server vengono inviati dagli Agenti OfficeScan che dispongono dei privilegi per tale invio. Concedere questo privilegio ad agenti specifici per monitorare e analizzare il traffico nei dispositivi che il firewall di OfficeScan blocca. Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 12-24. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. 12-30 Utilizzo del firewall di OfficeScan Visualizzazione dei registri firewall Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri del firewall o su Visualizza registri > Registri del firewall. 4. Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agli agenti. Prima di procedere al passaggio successivo, attendere il tempo necessario per consentire agli agenti di inviare i registri del firewall. 5. Specificare i parametri del registro e fare clic su Visualizza registri. 6. Visualizzare i registri. I registri contengono le seguenti informazioni: ) per • Data e ora del rilevamento della violazione del firewall • Dispositivo in cui si è verificata la violazione del firewall • Dominio del dispositivo in cui si è verificata la violazione del firewall • Indirizzo IP host remoto • Indirizzo IP host locale • Protocollo • Numero di porta • Direzione: indica se la violazione dei criteri del firewall è stata effettuata dal traffico in entrata (ricezione) o in uscita (invio) • Processo: il programma eseguibile o il servizio in esecuzione sul dispositivo che ha causato la violazione del firewall • Descrizione: specifica il rischio alla protezione reale (quali virus di rete o attacchi IDS) o la violazione dei criteri del firewall 12-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 7. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Infezioni da violazione del firewall Definire i parametri di un'infezione da violazione del firewall in base al numero di violazioni del firewall e al periodo di rilevamento. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica in base alle diverse esigenze. Nota OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-35. Configurazione delle notifiche e dei criteri di infezione da violazione del firewall Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri: 12-32 a. Andare alla sezione Violazioni del firewall. b. Selezionare Controlla le violazioni del firewall negli agenti OfficeScan. c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri dei virus di rete. d. Specificare un periodo di rilevamento. Utilizzo del firewall di OfficeScan Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia un messaggio di notifica quando il numero di registri viene superato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall, 100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia la notifica quando il server riceve 301 registri in 3 ore. 3. Nella scheda E-mail: a. Andare alla sezione Infezioni da violazioni del firewall. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. Tabella 12-5. Variabili token per notifiche di infezione da violazione del firewall Variabile 4. Descrizione %A Tipo di registro superato %C Numero di registri di violazione del firewall %T Totale periodo di durata dei registri di violazione del firewall Fare clic su Salva. Test del firewall OfficeScan Per avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un test su un Agente OfficeScan o un gruppo di Agenti OfficeScan. 12-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 AVVERTENZA! Eseguire il test delle impostazioni del programma Agente OfficeScan solo in un ambiente controllato. Non eseguire test su dispositivi collegati alla rete o a Internet. Questa operazione potrebbe esporre i dispositivi Agente OfficeScan a virus, attacchi di hacker e altri rischi. Procedura 1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché vengano bloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire la connessione dell'Agente OfficeScan a Internet, effettuare le operazioni riportate di seguito: a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico in entrata e in uscita). b. Selezionare Invia una notifica agli utenti quando si verifica una violazione del firewall. c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS). 2. Creare e salvare un profilo per il test, selezionando gli agenti su cui si desiderano controllare le funzioni del firewall. Associare i criteri del test al profilo del test. 3. Fare clic su Assegna profilo agli utenti. 4. Verificare l'implementazione. 12-34 a. Fare clic su Agenti > Gestione agente. b. Selezionare il dominio a cui appartiene l'agente. c. Selezionare Visualizzazione firewall dalla visualizzazione della struttura agente. d. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura agente. Se è stato attivato il Sistema rilevamento anti-intrusione per l'agente, verificare che sia presente un segno di spunta verde anche nella colonna IDS. e. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura agente. Utilizzo del firewall di OfficeScan 5. Eseguire il test del firewall nel dispositivo agente tentando di inviare o ricevere il tipo di traffico configurato nei criteri. 6. Per eseguire il test di un criterio configurato per evitare che l'agente acceda a Internet, aprire un browser Web sul dispositivo agente. Se OfficeScan è stato configurato per visualizzare un messaggio di notifica per le violazioni del firewall, il messaggio viene visualizzato sul dispositivo agente quando si verifica una violazione del traffico in uscita. 12-35 Parte III Gestione degli agenti e del server OfficeScan Capitolo 13 Gestione del server OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione del server OfficeScan. Di seguito sono riportati gli argomenti trattati: • Role-based Administration (RBA) a pagina 13-3 • Trend Micro Control Manager a pagina 13-24 • Impostazioni elenco oggetti sospetti a pagina 13-31 • Server di riferimento a pagina 13-33 • Impostazioni notifica amministratore a pagina 13-35 • Registri eventi di sistema a pagina 13-38 • Gestione dei registri a pagina 13-39 • Licenze a pagina 13-43 • OfficeScan Database Backup a pagina 13-46 • Strumento di migrazione SQL Server a pagina 13-47 • Impostazioni connessione agente/server Web OfficeScan a pagina 13-52 • Comunicazione agente server a pagina 13-53 13-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Password della console Web a pagina 13-59 • Impostazioni della console Web a pagina 13-59 • Gestore della quarantena a pagina 13-60 • Server Tuner a pagina 13-61 • Smart Feedback a pagina 13-64 13-2 Gestione del server OfficeScan Role-based Administration (RBA) Utilizzare la Role-based Administration per garantire e controllare l'accesso alla console Web OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propria organizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegi di console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioni necessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accesso alla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibile concedere ai non amministratori l'accesso alla console Web in modalità "sola lettura". A ciascun utente (amministratore o non amministratore) viene assegnato un ruolo specifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono alla console Web utilizzando gli account utente personalizzati o gli account Active Directory. Role-based Administration comprende le operazioni riportate di seguito: 1. Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 13-3. 2. Configurare gli account utente e assegnare un ruolo particolare a ciascun account utente. Per maggiori dettagli, consultare Account utente a pagina 13-13. Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema. Vengono registrate le attività riportate di seguito: • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (l'utente viene disconnesso automaticamente) Ruoli utente Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruolo viene assegnata un'autorizzazione per ciascuna voce di menu. Assegnare le autorizzazioni per i seguenti elementi: • Autorizzazioni per le voci di menu a pagina 13-4 13-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Tipi di voci di menu a pagina 13-4 • Voci di menu per server e agenti a pagina 13-5 • Voci menu per domini gestiti a pagina 13-8 Autorizzazioni per le voci di menu Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu. L'autorizzazione per una voce di menu può essere: • Configura: consente l'accesso completo a una voce di menu. Gli utenti sono in grado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzare i dati di una voce di menu. • Visualizza: consente agli utenti di visualizzare soltanto le impostazioni, le operazioni e i dati di una voce di menu. • Nessun accesso: la voce di menu viene nascosta. Tipi di voci di menu Sono disponibili due tipi di voci di menu configurabili per i ruoli utenti OfficeScan. Tabella 13-1. Tipi di voci di menu Tipo Voci di menu per server/agenti Ambito • Dati, operazioni e impostazioni del server • Dati, operazioni e impostazioni globali dell'agente Per un elenco completo delle voci di menu disponibili, vedere Voci di menu per server e agenti a pagina 13-5. Voci menu per domini gestiti Dati, operazioni e impostazioni granulari dell'agente disponibili al di fuori della struttura agente Per un elenco completo delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 13-8. 13-4 Gestione del server OfficeScan Voci di menu per server e agenti Nella seguente tabella sono riportate le voci di menu per server/agenti. Nota Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programma plug-in aggiuntivo viene visualizzato nella voce di menu Plug-in. Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu Plug-in. Tabella 13-2. Voci menu Agenti Voce di menu di primo livello Agenti Voce di menu • Gestione agente • Raggruppamento agenti • Impostazioni globali agente • Posizione dispositivo • Prevenzione perdita di dati • Verifica connessione • Prevenzione delle infezioni virali 13-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 13-3. Voci menu Registri Voce di menu di primo livello Registri Voce di menu • Agenti • Rischi per la sicurezza • Aggiornamento componente agente • Aggiornamenti server • Eventi di sistema • Manutenzione registri Tabella 13-4. Voci menu Aggiornamenti Voce di menu di primo livello Aggiornamenti Voce di menu Server Agenti Rollback Voce di menu secondario • Aggiornamento pianificato • Aggiornamento manuale • Origine aggiornamenti • Aggiornamento automatico • Origine aggiornamenti N.D. Tabella 13-5. Voci menu Amministrazione Voce di menu di primo livello Amministrazion e 13-6 Voce di menu Gestione account Voce di menu secondario • Account utente • Ruoli utente Gestione del server OfficeScan Voce di menu di primo livello Voce di menu Voce di menu secondario Nota Solo gli utenti che utilizzano l'account di amministratore integrato possono accedere ad Account utente e Ruoli utente. Smart Protection Active Directory Notifiche Impostazioni • Origini Smart Protection • Server integrato • Smart Feedback • Active Directory Integration • Sincronizzazione pianificata • Impostazioni generali • Infezione • Agente • Proxy • Connessione agente • Agenti inattivi • Gestore della quarantena • Licenza del prodotto • Control Manager • Console Web • Database Backup • Elenco oggetti sospetti 13-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Voci menu per domini gestiti Nella seguente tabella sono riportate le voci di menu per i domini gestiti. Tabella 13-6. Voce di menu Dashboard Voce di menu principale Dashboard Voce di menu N.D. Nota Tutti gli utenti possono accedere a questa pagina, indipendentemente dall'autorizzazione. Tabella 13-7. Voci menu Valutazione Voce di menu di primo livello Valutazione Voce di menu Conformità sicurezza Dispositivi non gestiti Voce di menu secondario • Segnalazione manuale • Segnalazione pianificata N.D. Tabella 13-8. Voci menu Agenti Voce di menu di primo livello Agenti Voce di menu Firewall Installazione agente 13-8 Voce di menu secondario • Criteri • Profili • Basato su browser • Remota Gestione del server OfficeScan Tabella 13-9. Voci menu Registri Voce di menu di primo livello Registri Voce di menu Agenti Voce di menu secondario • Verifica connessione • Ripristino quarantena centrale • Ripristino spyware/grayware Tabella 13-10. Voci menu Aggiornamenti Voce di menu di primo livello Aggiornamenti Voce di menu Voce di menu secondario Riepilogo N.D. Agenti Aggiornamento manuale Tabella 13-11. Voci menu Amministrazione Voce di menu di primo livello Amministrazion e Voce di menu Notifiche Voce di menu secondario Amministratore Ruoli utente integrati OfficeScan comprende una serie di ruoli utente integrati che non possono essere modificati o eliminati. I ruoli integrati sono riportati di seguito: 13-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 13-12. Ruoli utente integrati Nome ruolo Amministratore Descrizione È possibile concedere questo ruolo agli utenti o amministratori di OfficeScan che hanno una buona conoscenza di OfficeScan. Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tutte le voci di menu. Nota Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu Plug-in. Utente ospite È possibile concedere questo ruolo agli utenti che desiderano visualizzare la console Web per riferimento. • • Gli utenti con questo ruolo non hanno accesso alle voci di menu seguenti: • Plug-in • Amministrazione > Gestione account > Ruoli utente • Amministrazione > Gestione account > Account utente Gli utenti con accesso di visualizzazione a tutte le altre voci di menu. Utente esperto Trend Questo ruolo è disponibile solamente se si esegue l'aggiornamento della versione da OfficeScan 10. (ruolo solo aggiornamento) Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" in OfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione "Configura" per tutti i domini della struttura agente, ma non hanno accesso alle nuove funzioni di questa versione. Ruoli personalizzati Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruoli personalizzati. 13-10 Gestione del server OfficeScan Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzano l'account principale (root) creato durante l'installazione di OfficeScan possono creare ruoli utente personalizzati ed assegnare tali ruoli agli account utente. Aggiunta di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruolo esistente, selezionare il ruolo esistente e fare clic su Copia. Viene visualizzata una nuova schermata. 3. Immettere il nome del ruolo e, se lo si desidera, una descrizione. 4. Fare clic su Voci menu per server/agenti e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu per server e agenti a pagina 13-5. 5. Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 13-8. 6. Fare clic su Salva. Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente. Modifica di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Fare clic sul nome del ruolo. Viene visualizzata una nuova schermata. 13-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. 4. Modificare una delle voci riportate di seguito: • Descrizione • Autorizzazioni ruolo • Voci menu per server/agenti • Voci menu per domini gestiti Fare clic su Salva. Eliminazione di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Selezionare la casella di controllo accanto al ruolo. 3. Fare clic su Elimina. Nota Non è possibile eliminare un ruolo se è assegnato ad almeno un account utente. Importazione o esportazione di regole personalizzate Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Per esportare i ruoli personalizzati in un file .dat: 13-12 a. Selezionare i ruoli e fare clic su Esporta. b. Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare il file .dat per importare i ruoli personalizzati in quel server. Gestione del server OfficeScan Nota È possibile esportare i ruoli solo tra server con la stessa versione. 3. 4. Per esportare i ruoli personalizzati in un file .csv: a. Selezionare i ruoli e fare clic su Esporta impostazioni ruolo. b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e le autorizzazioni per i ruoli selezionati. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e si desidera importarli nel server OfficeScan attuale, fare clic su Importa e individuare il file .dat contenente i ruoli personalizzati. • Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa un ruolo con lo stesso nome. • È possibile importare i ruoli solo tra server con la stessa versione. • Ruolo importato da un altro server OfficeScan: • Conserva le autorizzazioni per le voci di menu per server/agenti e le voci di menu per i domini gestiti. • Applica le autorizzazioni predefinite per le voci di menu di gestione degli agenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci di menu di gestione degli agenti, quindi riapplicarle al ruolo che è stato importato. Account utente Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruolo utente determina le voci di menu della console Web che un utente può visualizzare o configurare. Durante l'installazione del server OfficeScan, il programma di installazione crea un account integrato denominato "root" (account principale). Gli utenti che accedono utilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non è consentito eliminare l'account principale (root) ma è possibile modificare i dettagli 13-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 dell'account quali la password e il nome completo oppure la descrizione dell'account. Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenza tecnica per reimpostarla. Aggiungere account personalizzati o account Active Directory. Tutti gli account utente vengono visualizzati nell'elenco Account utente della console Web. Assegnare le autorizzazioni agli account utenti per visualizzare o configurare le impostazioni, le operazioni e i dati dettagliati dell'agente che sono disponibili nella struttura agente. Per un elenco completo delle voci di menu della struttura agente disponibili, consultare Voci di menu di Gestione agente a pagina 13-14. Nota Dopo l'aggiornamento del server OfficeScan, è necessario modificare gli account personalizzati e attivare manualmente tutte le nuove funzionalità nella schermata Passaggio 3 Definire l'ambito della struttura agente per gli account personalizzati aggiunti precedentemente. Per ulteriori informazioni sulle autorizzazioni, vedere Definizione delle autorizzazioni per i domini a pagina 13-19. Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On". La funzione SSO (Single Sign-On) consente agli utenti di accedere alla console Web di OfficeScan dalla console di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedura riportata di seguito. Voci di menu di Gestione agente La seguente tabella elenca le voci di menu di Gestione agente. Nota Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. 13-14 Gestione del server OfficeScan Tabella 13-13. Voci di menu di Gestione agente Voce di menu principale Menu secondari Stato N.D. Operazioni • Esegui scansione • Disinstallazione dell'agente • Ripristino quarantena centrale • Ripristino spyware/grayware • Impostazioni di scansione Impostazioni • Metodi di scansione • Impostazioni scansione manuale • Impostazioni scansione in tempo reale • Impostazioni scansione pianificata • Impostazioni funzione Esegui scansione • Impostazioni di reputazione Web • Impostazioni connessione sospetta • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni DLP • Impostazioni Update Agent • Privilegi e altre impostazioni • Impostazioni aggiuntive del servizio • Elenco Approvati spyware/grayware • Elenco Programmi affidabili • Esporta impostazioni • Importa impostazioni 13-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Voce di menu principale Registri Gestione struttura agente Esporta Menu secondari • Registri di virus/minacce informatiche • Registri di spyware/grayware • Registri del firewall • Registri di reputazione Web • Registri delle connessioni sospette • Registri dei file sospetti • Registri di callback C&C • Registri di Monitoraggio del comportamento • Registri di controllo dispositivo • Registri di Prevenzione perdita di dati • Registri dell'operazione di scansione • Elimina registri • Aggiungi dominio • Rinomina dominio • Sposta agente • Rimuovi dominio/agente N.D. Aggiunta di un account personalizzato Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare clic su Aggiungi. Viene visualizzata la schermata Fase 1 Informazioni utente. 13-16 Gestione del server OfficeScan 3. Selezionare Attiva questo account. 4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo. Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a pagina 13-10. 5. Digitare il nome utente, la descrizione, la password e la password di conferma. Importante Impossibile utilizzare il nome utente come password dell'account. Immettere una password diversa dal nome utente. 6. Digitare un indirizzo e-mail per l'account. Nota OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano il destinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-85. 7. Fare clic su Avanti. Viene visualizzata la schermata Fase 2 Controllo dominio agente. 8. Definire l'ambito della struttura agente selezionando il dominio principale (root) oppure uno o più domini nella struttura agente. A questo punto sono stati definiti solo i domini. Il livello di accesso ai domini selezionati viene definito nella Fase 10. 9. Fare clic su Avanti. Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente. 10. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu di Gestione agente a pagina 13-14. L'ambito della struttura agente configurato nella fase 8 determina il livello di autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione. 13-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 L'ambito della struttura agente può essere il dominio principale (root) (tutti gli agenti) oppure i domini specifici della struttura agente. Tabella 13-14. Voci di menu di gestione degli agenti e ambito della struttura agente Criteri Ambito della struttura agente Dominio root Domini specifici Autorizzazione per le voci di menu Configura, Visualizza o Nessun accesso Configura, Visualizza o Nessun accesso Destinazione Dominio principale (root) (tutti gli agenti) o domini specifici Solo domini selezionati È possibile, ad esempio, concedere a un ruolo l'autorizzazione "Configura" per la voce di menu "Operazioni" della struttura agente. Se la destinazione è il dominio principale (root), l'utente può avviare le operazioni su tutti gli agenti. Se le destinazioni sono i domini A e B, le operazioni possono essere avviate soltanto sugli agenti dei domini A e B. È possibile, ad esempio, concedere a un ruolo l'autorizzazione "Configura" per la voce di menu "Impostazioni" della struttura agente. Ciò significa che l'utente può implementare le impostazioni, ma solo verso gli agenti nei domini selezionati. La struttura agente verrà visualizzata solo se l'autorizzazione alla voce di menu Gestione agente in "Voci menu per server/agenti" è "Visualizza". 13-18 • Se viene selezionata la casella di controllo in Configura, la casella di controllo in Visualizza viene configurata automaticamente. • Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun accesso". • Se si configurano autorizzazioni per un dominio specifico, è possibile copiare le autorizzazioni su altri domini facendo clic su Copiare le impostazioni del dominio selezionato negli altri domini. Gestione del server OfficeScan 11. Fare clic su Fine. 12. Inviare i dettagli dell'account all'utente. Definizione delle autorizzazioni per i domini Quando si definiscono le autorizzazioni per i domini, OfficeScan applica automaticamente le autorizzazioni di un dominio principale a tutti i sottodomini che gestisce. Un sottodominio non può avere meno autorizzazioni del suo dominio principale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione per visualizzare e configurare tutti gli agenti gestiti da OfficeScan (il dominio “Server OfficeScan”), le autorizzazioni per i sottodomini devono consentire all'amministratore di sistema di accedere a queste funzioni di configurazione. Se si rimuove un'autorizzazione da un sottodominio, l'amministratore di sistema non avrà le autorizzazioni complete per la configurazione di tutti gli agenti. Per la procedura seguente, la struttura del dominio è come segue: Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare e configurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltanto l'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire la procedura seguente. Tabella 13-15. Autorizzazioni per l'account utente “Chris” Dominio Autorizzazioni desiderate Server OfficeScan Nessuna autorizzazione particolare Manager Visualizza registri 13-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Dominio Dipendenti Autorizzazioni desiderate Visualizza e configura operazioni Visualizza e configura registri Visualizza impostazioni: Vendite Nessuna autorizzazione particolare Procedura 1. Accedere alla schermata Account utente: Fase 3 Definire il menu della struttura agente. 2. Fare clic sul dominio “Server OfficeScan”. 3. Deselezionare tutte le caselle di controllo Visualizza e Configura. Nota Il dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti i relativi sottodomini nella schermata Account utente: Fase 2 Controllo dominio agente. 4. Fare clic sul dominio “Vendite”. 5. Deselezionare tutte le caselle di controllo Visualizza e Configura. Nota Il dominio “Vendite” viene visualizzato solo se viene selezionato nella schermata Account utente: Fase 2 Controllo dominio agente. 6. Fare clic sul dominio “Manager”. 7. Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controllo Visualizza e Configura. 8. Fare clic sul dominio “Dipendenti”. 9. Selezionare una delle seguenti voci di menu per Chris: 13-20 Gestione del server OfficeScan • Operazioni: visualizza e configura • Registri: visualizza e configura • Impostazioni: visualizza Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio “Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”. Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”, OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio “Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoi sottodomini. Modifica di un account personalizzato Nota Dopo l'aggiornamento del server OfficeScan, è necessario modificare gli account personalizzati e attivare manualmente tutte le nuove funzionalità nella schermata Passaggio 3 Definire l'ambito della struttura agente per gli account personalizzati aggiunti precedentemente. Per ulteriori informazioni sulle autorizzazioni, vedere Definizione delle autorizzazioni per i domini a pagina 13-19. Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare sull'account dell'utente. 3. Attivare o disattivare l'account utilizzando la relativa casella di controllo. 4. Modificare gli elementi riportati di seguito: • Ruolo • Descrizione • Password 13-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Durante la modifica di un account, non è possibile reimmettere la password configurata in precedenza. Per continuare a utilizzare la password configurata in precedenza, non modificare il campo Password. • Indirizzo e-mail 5. Fare clic su Avanti. 6. Definire l'ambito della struttura Agente. 7. Fare clic su Avanti. 8. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu di Gestione agente a pagina 13-14. 9. Fare clic su Fine. 10. Inviare i dettagli del nuovo account all'utente. Aggiunta di gruppi o account Active Directory Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare clic su Aggiungi. Viene visualizzata la schermata Fase 1 Informazioni utente. 3. Selezionare Attiva questo account. 4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo. Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a pagina 13-10. 13-22 Gestione del server OfficeScan 5. Selezionare Utente o gruppo Active Directory. 6. Cercare un account (nome utente o gruppo) specificando il nome utente e il dominio di appartenenza. Nota Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly, specificare il nome di account completo. OfficeScan non restituisce alcun risultato se i nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti di domini". 7. Quando OfficeScan trova un account valido, il nome dell'account viene visualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostare l'account in Utenti e gruppi selezionati. Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a un gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno due gruppi e i ruoli dei due gruppi sono diversi: 8. • Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a tale impostazione, viene applicata l'autorizzazione di livello più alto. • Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad esempio, l'utente Mario Rossi accede con i ruoli seguenti: amministratore, utente esperto. Fare clic su Avanti. Viene visualizzata la schermata Fase 2 Controllo dominio agente. 9. Definire l'ambito della struttura Agente. 10. Fare clic su Avanti. Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente. 11. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu di Gestione agente a pagina 13-14. 13-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 12. Fare clic su Fine. 13. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome di dominio e password. Trend Micro Control Manager Trend Micro™ Control Manager™ è una console di gestione centralizzata che consente di gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di file e di desktop aziendale. La console di gestione basata su Web di Control Manager costituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete. Control Manager consente agli amministratori di sistema di monitorare ed emettere rapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus. Gli amministratori di sistema possono scaricare e implementare i componenti attraverso la rete e così essere sicuri di disporre di una protezione coerente e aggiornata. Control Manager consente aggiornamenti manuali e pianificati e la possibilità di configurare e amministrare i prodotti individualmente o in gruppi per una maggiore flessibilità. Integrazione di Control Manager in questa versione di OfficeScan Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione di OfficeScan per la gestione dei server OfficeScan da Control Manager. • Creazione, gestione e implementazione di criteri antivirus per Prevenzione perdita di dati e Controllo dispositivo di OfficeScan e assegnazione di privilegi direttamente agli Agenti OfficeScan dalla console di Control Manager. La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0. 13-24 Gestione del server OfficeScan Tabella 13-16. Tipi di gestione dei criteri OfficeScan in Control Manager Tipo di criterio Impostazioni dell'agente e antivirus OfficeScan Protezione dati Caratteristiche • Impostazioni aggiuntive del servizio • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni scansione manuale • Privilegi e altre impostazioni • Impostazioni scansione in tempo reale • Elenco Approvati spyware/grayware • Metodi di scansione • Impostazioni funzione Esegui scansione • Impostazioni scansione pianificata • Impostazioni connessione sospetta • Impostazioni Update Agent • Impostazioni di reputazione Web Impostazioni dei criteri Prevenzione perdita di dati Nota Gestione delle autorizzazioni di Controllo dispositivo per Protezione dati nei criteri degli agenti OfficeScan. • Replicare le impostazioni riportate di seguito da un server OfficeScan a un altro utilizzando la console di Control Manager: • Tipi di identificatore di dati a pagina 10-5 13-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Modelli di Prevenzione perdita di dati a pagina 10-20 Nota Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata la licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione della licenza. Versioni di Control Manager supportate Questa versione di OfficeScan supporta le seguenti versioni di Control Manager. Tabella 13-17. Versioni di Control Manager supportate Versione di Control Manager Server OfficeScan 6.0 o versioni successive 5.5 SP1 Dual-stack Sì Sì IPv4 puro Sì Sì IPv6 puro Sì No Nota Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1. Per dettagli sugli indirizzi IP che il server OfficeScan e gli Agenti OfficeScan segnalano a Control Manager, consultare Schermate che visualizzano gli indirizzi IP a pagina A-7. Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Manager per consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Micro all'indirizzo seguente: http://downloadcenter.trendmicro.com/index.php?regs=IT Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurare le impostazioni per OfficeScan nella console di gestione di Control Manager. Per 13-26 Gestione del server OfficeScan informazioni sulla gestione dei server OfficeScan, consultare la documentazione di Control Manager. Registrare OfficeScan al servizio Control Manager Procedura 1. Accedere a Amministrazione > Impostazioni > Control Manager. 2. Specificare il nome di entità visualizzato, che corrisponde al nome del server OfficeScan visualizzato in Control Manager. Per impostazione predefinita il nome di entità visualizzato comprende il nome host del computer server e il nome di questo prodotto (ad esempio, Server01_OSCE). Nota In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite Control Manager vengono definiti "entità". 3. Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numero di porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi in modo più sicuro con HTTPS. • Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager o l'indirizzo IP (IPv4 o IPv6, se disponibile). • Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv4. • Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv6. Nota Solo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6. 4. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nome utente e password. 13-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare le seguenti impostazioni proxy: • Protocollo proxy • FQDN del server o porta e indirizzo IPv4/IPv6 • ID utente e password per l'autenticazione del server proxy 6. Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali o bidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta. 7. Per verificare che OfficeScan si colleghi al server Control Manager in base alle impostazioni specificate, fare clic su Test di connessione. Se il tentativo di connessione è riuscito, fare clic su Registra. 8. Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzato un messaggio che chiede all'utente di usare il server Control Manager come origini aggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OK per usare il server Control Manager come origine aggiornamenti di Integrated Smart Protection Server o Annulla per continuare a usare l'origine aggiornamenti corrente (per impostazione predefinita, il server ActiveUpdate). 9. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clic su Impostazioni di aggiornamento dopo aver modificato le impostazioni per notificare le modifiche al server Control Manager. Nota Se il server Control Manager è connesso a Deep Discovery, il processo automatico di sottoscrizione inizia dopo il completamento della registrazione. Per ulteriori informazioni, consultare Impostazioni elenco oggetti sospetti a pagina 13-31. 10. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clic su Annulla registrazione. 13-28 Gestione del server OfficeScan Verifica dello stato di OfficeScan nella console di gestione Control Manager Procedura 1. Aprire la console di gestione Control Manager. Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire un browser Web e immettere: https://<nome server Control Manager>/Webapp/login.aspx dove <nome server Control Manager> è l'indirizzo IP o il nome host del server Control Manager 2. Nel menu principale fare clic su Directory > Prodotti. 3. Nella struttura visualizzata, andare alla cartella [server Control Manager] > Cartella locale > Nuova entità. 4. Controllare che venga visualizzata l'icona del server OfficeScan. Strumento di esportazione dei criteri Lo Strumento di esportazione dei criteri del server di Trend Micro OfficeScan consente agli amministratori di esportare le impostazioni dei criteri OfficeScan supportati da Control Manager 6.0 o versioni successive. Gli amministratori inoltre si servono dello strumento di importazione di Control Manager per importare i criteri. Lo strumento di esportazione dei criteri supporta OfficeScan 10.6 Service Pack 1 e versioni successive. • Impostazioni scansione in tempo reale • Impostazione del monitoraggio del comportamento • Impostazioni scansione pianificata • Impostazioni di controllo dispositivo • Impostazioni scansione manuale • Impostazioni di Prevenzione perdita di dati 13-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Impostazioni funzione Esegui scansione • Privilegi e altre impostazioni • Impostazioni Update Agent • Impostazioni aggiuntive del servizio • Impostazioni di reputazione Web • Elenco approvati spyware/grayware • Metodo di scansione • Impostazioni connessione sospetta Utilizzo dello strumento di esportazione dei criteri Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\PolicyExportTool. 2. Fare doppio clic su PolicyExportTool.exe per avviare lo Strumento di esportazione dei criteri. Viene aperta una schermata CLI (Command Line Interface, interfaccia della linea di comando) e lo Strumento di esportazione dei criteri avvia l'esportazione delle impostazioni. Lo strumento crea due cartelle (PolicyClient e PolicyDLP) nella cartella PolicyExportTool che contiene le impostazioni esportate. 3. Copiare le due cartelle nella cartella di installazione di Control Manager. 4. Eseguire lo Strumento di importazione dei criteri nel server Control Manager. Per ulteriori informazioni riguardanti lo Strumento di importazione dei criteri, consultare il Readme dello Strumento di importazione dei criteri nel server Control Manager (Cartella_installazione_TMCM\WebUI\WebApp\widget\common\tool \PolicyImport\). 13-30 Gestione del server OfficeScan Nota Lo Strumento di esportazione dei criteri non esporta gli identificatori di dati o i modelli DLP personalizzati. Gli amministratori che necessitano di esportare gli identificatori di dati personalizzati e dei modelli DLP possono eseguire l'esportazione manuale dalla console OfficeScan, quindi importare manualmente il file utilizzando la console Control Manager. Impostazioni elenco oggetti sospetti Gli oggetti sospetti sono elementi digitali risultanti da un'analisi effettuata dai prodotti Trend Micro Deep Discovery o da altre origini. OfficeScan è in grado di sincronizzare gli oggetti sospetti e di recuperare le azioni eseguite su tali oggetti da un Control Manager 6.0 SP3 connesso a Deep Discovery o da una versione successiva del server. Dopo aver effettuato la sottoscrizione a Control Manager, selezionare i tipi di oggetti sospetti per monitorare i callback C&C o i possibili attacchi mirati identificati dagli agenti nella rete. Gli oggetti sospetti comprendono: • Elenco URL sospetti • Elenco IP sospetti • Elenco file sospetti 13-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Da OfficeScan 10.6 alla versione 11.0, l'origine primaria degli oggetti sospetti è Deep Discovery Analyzer. A partire da OfficeScan 11.0 SP1, l'origine primaria è Control Manager 6.0 SP3, che offre un processo di gestione e trattamento degli oggetti sospetti più solido. Se è stata effettuata la sottoscrizione di OfficeScan a Deep Discovery Analyzer, è disponibile solo l'elenco URL sospetti. Dopo aver annullato la sottoscrizione di OfficeScan a Deep Discovery Analyzer, non è possibile effettuarla di nuovo. Per sincronizzare gli oggetti sospetti, è necessario effettuare la sottoscrizione di OfficeScan a un Control Manager connesso a Deep Discovery. Per ulteriori informazioni sul modo in cui Control Manager gestisce gli oggetti sospetti, consultare Connected Threat Defense Primer all'indirizzo: http://docs.trendmicro.com/all/ent/tmcm/v6.0-sp3/en-us/tmcm_6.0_sp3_ctd_primer/ ctd_primer.pdf. Configurazione delle impostazioni dell'elenco di oggetti sospetti Durante la registrazione di OfficeScan nel Control Manager, quest'ultimo implementa una chiave API su OfficeScan per avviare il processo di sottoscrizione. Per attivare il processo di sottoscrizione automatico, verificare la corretta configurazione delle impostazioni richieste e la connessione di Control Manager a Deep Discovery con l'amministratore di Control Manager. Per dettagli sulla registrazione a un server Control Manager, consultare Registrare OfficeScan al servizio Control Manager a pagina 13-27. Procedura 1. Accedere a Amministrazione > Impostazioni > Elenco oggetti sospetti. 2. Selezionare l'elenco da attivare negli agenti. 13-32 • Elenco URL sospetti • Elenco IP sospetti (disponibile solo quando si sottoscrive al server Control Manager registrato) Gestione del server OfficeScan • Elenco file sospetti (disponibile solo quando si sottoscrive al server Control Manager registrato) Gli amministratori sono in grado di sincronizzare manualmente gli elenchi di oggetti sospetti in qualsiasi momento facendo clic sul pulsante Sincronizza adesso. 3. 4. Nella sezione Impostazioni di Update Agent, specificare il momento in cui gli agenti aggiornano gli elenchi di oggetti sospetti. • Invia una notifica agli agenti OfficeScan in base alla pianificazione dell'aggiornamento del componente dell'agente: gli Agenti OfficeScan aggiornano gli elenchi di oggetti sospetti in base alla pianificazione di aggiornamento corrente. • Invia automaticamente una notifica agli agenti OfficeScan dopo l'aggiornamento dell'elenco di oggetti sospetti nel server: gli Agenti OfficeScan aggiornano automaticamente gli elenchi di oggetti sospetti dopo che il server OfficeScan riceve gli elenchi aggiornati. Fare clic su Salva. Server di riferimento Uno dei modi in cui l'Agente OfficeScan determina quale criterio o profilo utilizzare consiste nella verifica dello stato della connessione con il server OfficeScan. Se un Agente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersi con il server, lo stato dell'agente diventa offline. L'agente applica quindi un criterio o un profilo destinato agli agenti esterni. I server di riferimento risolvono questo problema. Un Agente OfficeScan che perde la connessione con il server OfficeScan proverà a collegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con un server di riferimento, applica il profilo o il criterio per gli agenti interni. Criteri e profili gestiti dai server di riferimento includono: • Profili firewall 13-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Criteri di reputazione Web • Criteri di protezione dati • Criteri di controllo dispositivo È necessario ricordare quanto segue: • Assegnare come server di riferimento computer con funzionalità server, come un server Web, un server SQL o un server FTP. È possibile specificare un massimo di 320 server di riferimento. • Gli Agenti OfficeScan si collegano al primo server dell'elenco dei server di riferimento. Se il collegamento non riesce, l'agente prova a collegarsi al server successivo dell'elenco. • Gli Agenti OfficeScan utilizzano i server di riferimento per determinare le impostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio del comportamento, Controllo dispositivo, profili di firewall, criterio di reputazione Web). I server di riferimento non gestiscono gli agenti né implementano aggiornamenti e impostazioni agente. Il server OfficeScan esegue queste operazioni. • Un Agente OfficeScan non è in grado di inviare registri ai server di riferimento o utilizzare i server come origini aggiornamenti. Gestione dell'elenco server di riferimento Procedura 1. Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo. 2. In base alla schermata visualizzata, attenersi alle seguenti istruzioni. 13-34 • Nella schermata Profili firewall per gli agenti, fare clic su Modifica elenco server di riferimento. • Nella schermata Posizione dispositivo, fare clic su Elenco server di riferimento. Gestione del server OfficeScan 3. Selezionare Attiva l'elenco server di riferimento. 4. Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi. a. b. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully Qualified Domain Name) del dispositivo, ad esempio: • computer.nomerete • 12.10.10.10 • ilmiocomputer.dominio.com Inserire la porta attraverso la quale gli agenti comunicano con il dispositivo. Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul server di riferimento. Nota Per specificare un altro numero di porta per lo stesso server di riferimento, ripetere i passaggi 2a e 2b. L'Agente OfficeScan utilizza il primo numero di porta dell'elenco e, se la connessione non riesce, passa al numero di porta successivo. c. Fare clic su Salva. 5. Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nome del dispositivo. Modificare il nome o la porta del dispositivo e fare clic su Salva. 6. Per rimuovere un dispositivo dall'elenco, selezionare il nome del dispositivo e fare clic su Elimina. 7. Per consentire ai dispositivi di agire come server di riferimento, fare clic su Assegna agli agenti. Impostazioni notifica amministratore Configurare le impostazioni di notifica per l'amministratore per consentire a OfficeScan di inviare notifiche tramite e-mail e trap SNMP. OfficeScan è anche in grado di inviare 13-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 notifiche tramite il registro eventi di Windows NT, ma per questo canale di notifica non ci sono impostazioni configurate. OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quando rileva: Tabella 13-18. Rilevamenti che determinano l'invio di notifiche all'amministratore Canali di notifica Rilevamenti E-mail Trap SNMP Registri eventi di Windows NT Virus e minacce informatiche Sì Sì Sì Spyware e grayware Sì Sì Sì Trasmissioni di risorse digitali Sì Sì Sì Callback C&C Sì Sì Sì Infezioni da spyware e minacce informatiche Sì Sì Sì Infezioni da spyware e grayware Sì Sì Sì Infezioni da violazione del firewall Sì No No Infezioni delle sessioni di condivisione delle cartelle Sì No No Configurazione delle impostazioni di notifica generali Procedura 1. Accedere a Amministrazione > Notifiche > Impostazioni generali. 2. Configurare le impostazioni di notifica e-mail 13-36 Gestione del server OfficeScan a. Specificare l'indirizzo IPv4/IPv6 o il nome del dispositivo nel campo Server SMTP. b. Specificare un numero di porta compreso tra 1 e 65535. c. Specificare un indirizzo e-mail. Se si desidera attivare l'ESMTP nel passaggio successivo, specificare un indirizzo e-mail valido. 3. 4. d. Facoltativamente, attivare ESMTP. e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nel campo Da. f. Scegliere un metodo per autenticare l'agente nel server: • Accesso: la funzione di accesso è una vecchia versione di Mail User Agent. Il server e l'agente usano entrambi BASE64 per l'autenticazione del nome utente e della password. • Testo semplice: il testo semplice è il più facile, ma anche il meno sicuro perché il nome utente e la password vengono inviati come una stringa e codificati come BASE64 prima di essere inviati tramite Internet. • CRAM-MD5: CRAM-MD5 utilizza una combinazione di un meccanismo di autenticazione con risposta e di un algoritmo Message Digest 5 crittografato per scambiare e autenticare le informazioni. Configurare le impostazioni di notifica mediante trap SNMP. a. Specificare l'indirizzo IPv4/IPv6 o il nome del dispositivo nel campo Indirizzo IP del server. b. Specificare un nome community difficile da indovinare. Fare clic su Salva. 13-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Registri eventi di sistema OfficeScan trascrive nei registri gli eventi correlati al programma server, come ad esempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i servizi OfficeScan funzionino correttamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri degli eventi di sistema Procedura 1. Accedere a Registri > Eventi di sistema. 2. Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScan registra i seguenti eventi: Tabella 13-19. Registri eventi di sistema Tipo di registro Servizio principale OfficeScan e server database Prevenzione delle infezioni virali Database backup 13-38 Eventi • Servizio principale avviato • Servizio principale interrotto correttamente • Servizio principale interrotto correttamente • Prevenzione delle infezioni attivata • Prevenzione delle infezioni disattivata • Numero di sessioni di cartelle condivise negli ultimi <numero di minuti> • Backup del database riuscito • Backup del database non riuscito Gestione del server OfficeScan Tipo di registro Accesso alla console Web basato sui ruoli Autenticazione del server 3. Eventi • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (utente automaticamente disconnesso) • L'Agente OfficeScan ha ricevuto comandi non validi dal server • Certificato di autenticazione non valido o scaduto Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Gestione dei registri OfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per la sicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare i criteri di protezione della propria organizzazione e di identificare gli Agenti OfficeScan esposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di controllare la connessione agente-server e di verificare che gli aggiornamenti dei componenti siano stati completati. OfficeScan utilizza inoltre un meccanismo centralizzato di verifica dell'orario per garantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previene le incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale che possono generare confusione nell'analisi dei registri. Nota OfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degli aggiornamenti del server e degli eventi di sistema. Il server OfficeScan riceve i seguenti registri dagli Agenti OfficeScan: 13-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Visualizzazione dei registri di virus/minacce informatiche a pagina 7-96 • Visualizzazione dei registri di spyware/grayware a pagina 7-104 • Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-108 • Visualizzazione dei registri firewall a pagina 12-31 • Visualizzazione dei registri di reputazione Web a pagina 11-26 • Visualizzazione dei registri delle connessioni sospette a pagina 11-29 • Visualizzazione dei file delle connessioni sospette a pagina 7-108 • Visualizzazione dei registri di callback C&C a pagina 11-27 • Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-15 • Visualizzazione dei registri di controllo dispositivo a pagina 9-19 • Visualizzazione dei registri dell'operazione di scansione a pagina 7-109 • Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-58 • Visualizzazione dei registri di aggiornamenti dell'agente OfficeScan a pagina 6-55 • Visualizzazione dei registri di verifica connessione a pagina 14-48 Il server OfficeScan genera i seguenti registri: • Registri di aggiornamento del server OfficeScan a pagina 6-30 • Registri eventi di sistema a pagina 13-38 I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli Agenti OfficeScan: • Registri eventi di Windows a pagina 16-23 • Registri del server OfficeScan a pagina 16-3 • Registri dell'agente OfficeScan a pagina 16-15 13-40 Gestione del server OfficeScan Manutenzione registri Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli dalla console Web. Eliminazione dei registri in base alla pianificazione Procedura 1. Accedere a Registri > Manutenzione registri. 2. Selezionare Attiva eliminazione pianificata dei registri. 3. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, ad eccezione dei registri di debug, possono essere eliminati in base ad una pianificazione. Per i registri di debug, disattivare la registrazione di debug per interrompere la raccolta dei registri. Nota Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15. 4. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. 5. Specificare la frequenza e l'ora di eliminazione dei registri. 6. Fare clic su Salva. 13-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Eliminazione manuale dei registri Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Eseguire una delle operazioni riportate di seguito. 4. 13-42 ) per • Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic su Elimina registri. • Se si accede alla schermata Gestione agente, fare clic su Registri > Elimina registri. Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo i seguenti registri: • Registri di Monitoraggio del comportamento • Registri di callback C&C • Registri di Prevenzione perdita di dati • Registri di controllo dispositivo • Registri del firewall • Registri di spyware/grayware • Registri dell'operazione di scansione • Registri delle connessioni sospette • Registri dei file sospetti • Registri di virus/minacce informatiche • Registri di reputazione Web Gestione del server OfficeScan Nota Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15. 5. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. 6. Fare clic su Elimina. Licenze Tramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenza OfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte del servizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni. Nota Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto Virtual Desktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate e gestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza di Protezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 14-81. Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazione online Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScan di connettersi al server per la registrazione, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Visualizzazione delle informazioni sulla Licenza del prodotto Procedura 1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto. 13-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 2. Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore della schermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze: Tabella 13-20. Promemoria per le licenze Tipo di licenza Versione completa Versione di prova 3. 13-44 Promemoria • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei dispositivi, ma con componenti non aggiornati. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Alla scadenza della licenza. Durante questo periodo, OfficeScan disattiva l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei dispositivi, ma con componenti non aggiornati. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenza contiene le seguenti informazioni: • Servizi: include tutti i servizi della licenza OfficeScan • Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periodo di proroga". Se un servizio prevede diverse licenze e almeno una di queste è ancora attiva, lo stato di tale servizio sarà "Attivato". • Versione: indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007 e 30/06/2008, verrà visualizzata la data 30/06/2008. Gestione del server OfficeScan Nota Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà "N.D.". 4. OfficeScan consente di attivare diverse licenze per un servizio di licenza. Per visualizzare tutte le licenze relative a un servizio (sia quelle attive che quelle scadute), fare clic sul nome del servizio stesso. Attivazione o rinnovo della licenza Procedura 1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto. 2. Fare clic sul nome del servizio di licenza. 3. Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic su Nuovo codice di attivazione. 4. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su Salva. Nota Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sulla chiave di registrazione e sul codice di attivazione, contattare un rappresentante Trend Micro. 5. Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiorna informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il nuovo stato del servizio. Questa schermata contiene anche un collegamento al sito Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla propria licenza. 13-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 OfficeScan Database Backup Il database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese le impostazioni e i privilegi di scansione. Qualora il database del server dovesse subire un danno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manuale del database in qualsiasi momento oppure configurare una pianificazione per il backup. Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alla deframmentazione del database e ripara eventuali danni al file dell'indice. Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Per ulteriori informazioni, consultare Registri eventi di sistema a pagina 13-38. Suggerimento Trend Micro consiglia di configurare una pianificazione per il backup automatico. Si consiglia di effettuare il backup del database durante ore non di punta quando il traffico del server è ridotto. AVVERTENZA! Non eseguire il backup con altri strumenti o software. Configurare il backup del database solo dalla console Web OfficeScan. Backup del database di OfficeScan Procedura 1. Accedere a Amministrazione > Impostazioni > Database Backup. 2. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste, selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completo della directory, ad esempio C:\OfficeScan\DatabaseBackup. Per impostazione predefinita, OfficeScan salva la copia di backup nella seguente directory:<Cartella di installazione del server>\DBBackup 13-46 Gestione del server OfficeScan Nota OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartella indica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS. OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente le cartelle precedenti. 3. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserire un nome account adeguato e la password corrispondente. Accertarsi che l'account disponga dei privilegi di scrittura sul computer. 4. Per configurare una pianificazione per il backup: a. Selezionare Attiva pianificazione di Database Backup. b. Specificare la frequenza e l'orario del backup. c. Per eseguire il backup del database e salvare le modifiche apportate, fare clic su Esegui backup. Per salvare soltanto senza eseguire il backup del database, fare clic su Salva. Ripristino dei file di backup database Procedura 1. Interrompere il servizio principale OfficeScan. 2. Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV \HTTPDB con i file di backup. 3. Riavviare il servizio principale OfficeScan. Strumento di migrazione SQL Server Gli amministratori possono eseguire la migrazione del database OfficeScan esistente dallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento di 13-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 migrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta le seguenti migrazioni di database: • Database OfficeScan CodeBase al nuovo database SQL Server Express • Database OfficeScan CodeBase al database SQL Server preesistente • Database OfficeScan SQL (precedentemente migrato) che è stato spostato in un'altra posizione Utilizzo dello strumento di migrazione SQL Server Lo Strumento di migrazione SQL Server esegue la migrazione del database CodeBase esistente al database SQL utilizzando SQL Server 2008 R2 SP2 Express. Suggerimento Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server il database SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo lo Strumento di migrazione SQL Server e selezionare Passare a un database OfficeScan SQL esistente per usare l'altro SQL Server. Importante Prima di eseguire lo Strumento di migrazione SQL Server su Windows Server 2008 o versioni successive con le credenziali di autenticazione Windows dell'utente del dominio: • Controllo dell'accesso degli utenti deve essere attivato • Non è possibile eseguire il Servizio principale OfficeScan utilizzando l'account utente del dominio utilizzato per accedere a SQL Server Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SQL. 2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe. La console di Strumento di migrazione del server SLQ viene aperta. 13-48 Gestione del server OfficeScan 3. Scegliere il tipo di migrazione: Opzione Installare un nuovo SQL Server 2008 R2 SP2 Express ed eseguire la migrazione del database OfficeScan Descrizione Installa automaticamente SQL Server 2008 R2 SP2 Express ed esegue la migrazione del database OfficeScan esistente su un nuovo database SQL Nota OfficeScan assegna automaticamente la porta 1433 a SQL Server. 4. Eseguire la migrazione del database OfficeScan su un SQL Server esistente Esegue la migrazione del database OfficeScan esistente su un nuovo database SQL, su un SQL Server esistente Passa a un database OfficeScan SQL esistente Modifica le impostazioni di configurazione OfficeScan per selezionare un database SQL OfficeScan esistente su un SQL Server esistente Specificare il nome server nel modo seguente: • Per le nuove installazioni SQL: <nome host o indirizzo IP di SQL Server> \<nome istanza> • Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQL Server>,<numero_porta>\<nome istanza> • Quando si passa a un database OfficeScan SQL esistente: <nome host o indirizzo IP di SQL Server>,<numero_porta>\<nome istanza> Importante OfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQL Server si installa. Quando viene effettuata la migrazione verso un database o un SQL Server esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan su SQL Server. 5. Fornire le credenziali di autenticazione per il database SQL Server. 13-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Importante Quando si usa l'Account Windows per accedere al server: • • 6. Per un account di amministratore di dominio predefinito: • Formato Nome utente: nome_dominio\amministratore • I requisiti per l'account sono i seguenti: • Gruppi: “gruppo di amministratori” • Ruoli utente: “Accedi come servizio” e “Accedi come processo batch” • Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner” Per un account utente di dominio: • Formato Nome utente: nome_dominio\nome_utente • I requisiti per l'account sono i seguenti: • Gruppi: “gruppo di amministratori” e “amministratori di dominio” • Ruoli utente: “Accedi come servizio” e “Accedi come processo batch” • Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner” Per le installazioni SQL Server nuove, digitare una nuova password e confermare. Nota Le password devono soddisfare i requisiti minimi di complessità elencati di seguito: 7. 13-50 a. Lunghezza minima: 6 caratteri b. Devono contenere almeno 3 dei seguenti elementi: • Lettere maiuscole: A - Z • Lettere minuscole: a - z • Numeri: 0 - 9 • Caratteri speciali: !@#$^*?_~-();.+: Specificare il Nome database OfficeScan su SQL Server. Gestione del server OfficeScan Quando viene effettuata la migrazione del database CodeBase OfficeScan verso un nuovo database SQL, OfficeScan crea automaticamente il nuovo database, con il nome. 8. Eseguire, facoltativamente, le operazioni riportate di seguito: • Fare clic su Test di connessione per verificare le credenziali di autenticazione per l'SQL Server o il database esistente. • Fare clic su Avviso non disponibile database SQL… per configurare le impostazioni di notifica del database SQL. Per i dettagli, consultare Configurazione di Avviso non disponibile database SQL a pagina 13-51. 9. Per applicare le modifiche della configurazione, fare clic su Avvia. Configurazione di Avviso non disponibile database SQL OfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventa non disponibile. AVVERTENZA! OfficeScan interrompe automaticamente tutti i servizi quando il database diventa non disponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, a eseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile. Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SQL. 2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe. La console di Strumento di migrazione del server SLQ viene aperta. 3. Fare clic su Avviso non disponibile database SQL…. La schermata di Avviso non disponibile per SQL Server viene aperta. 13-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 4. Digitare gli indirizzi e-mail dei destinatari dell'avviso. Separare le diverse voci con un punto e virgola (;). 5. Modificare Oggetto e Messaggio in base alle esigenze. OfficeScan offre le seguenti variabili token: Tabella 13-21. Token di Avviso non disponibile database SQL Varia bile 6. Descrizione %x Il nome dell'istanza SQL Server OfficeScan %s Il nome del server OfficeScan infetto Fare clic su OK. Impostazioni connessione agente/server Web OfficeScan Nel corso dell'installazione del server OfficeScan, il programma di installazione imposta automaticamente un server Web (server IIS o Apache Web) che consente ai computer della rete di collegarsi al server OfficeScan. Configurare il server Web a cui si collegheranno gli agenti dispositivo collegati in rete. Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla console di gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modifica manualmente l'indirizzo IP del server per i computer in rete o se si assegna al server un indirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative al server. AVVERTENZA! La modifica delle impostazioni di connessione può determinare la perdita permanente della connessione tra il server e gli agenti e rende necessaria una nuova implementazione degli Agenti OfficeScan. 13-52 Gestione del server OfficeScan Configurazione delle impostazioni di connessione Procedura 1. Accedere a Amministrazione > Impostazioni > Connessione agente. 2. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta del server Web. Nota Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza per comunicare con gli Agenti OfficeScan. 3. Fare clic su Salva. Comunicazione agente server È possibile configurare OfficeScan in modo da garantire che tutte le comunicazioni tra il server e gli agenti siano valide. OfficeScan offre funzionalità di crittografia di chiave pubblica avanzate per proteggere tutte le comunicazioni tra il server e gli agenti. Per i dettagli sulle funzionalità di protezione della comunicazione, consultare le sezioni seguenti: • Autenticazione delle comunicazioni avviate dal server a pagina 13-53 • Crittografia avanzata della comunicazione agente-server a pagina 13-58 Autenticazione delle comunicazioni avviate dal server OfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che il server OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il server detiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agenti usano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dal server e siano valide. Gli agenti rispondono se la verifica è corretta. 13-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota OfficeScan non autentica le comunicazioni che gli agenti avviano nel server. Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durante l'installazione del server OfficeScan, il programma di installazione ripristina il certificato nell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication Certificate Manager per gestire le chiavi e i certificati Trend Micro. Quando si decide di usare una singola chiave di autenticazione per tutti i server OfficeScan, tenere presente quanto segue: • L'implementazione di un singolo certificato è una prassi comune per tutti i livelli di sicurezza standard. Questo approccio compensa il livello di sicurezza di un'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi. • L'implementazione di più certificati sui server OfficeScan fornisce il livello di sicurezza massimo. Questo approccio aumenta la gestione necessaria quando le chiavi dei certificati scadono e devono essere ridistribuite sui server. Importante Prima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per il certificato esistente. Una volta completata la nuova installazione, importare la copia del certificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan e gli Agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificato durante l'installazione del server, gli Agenti OfficeScan non riescono ad autenticare le comunicazioni del server perché utilizzano ancora il vecchio certificato, che non esiste più. Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione e dell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina 13-55. Configurazione dell'autenticazione delle comunicazioni avviate dal server Procedura 1. Sul server OfficeScan, accedere a <Cartella_installazione_server\PCCSRV e aprire ofcscan.ini con un editor di testo. 13-54 Gestione del server OfficeScan 2. Aggiungere o modificare la stringa di testo SGNF nella sezione [Global Settings]. Per attivare l'autenticazione: SGNF=1 Per disattivare l'autenticazione: SGNF=0 Nota OfficeScan attivare l'autenticazione per impostazione predefinita. Aggiungere la chiave SGNF al file ofcscan.ini solo se si desidera disattivare questa funzione. 3. Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clic su Salva per implementare le impostazioni in tutti gli agenti. Uso di Authentication Certificate Manager Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubbliche scadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per un periodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agenti eseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificato scaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il server implementa quindi la chiave pubblica più recente sugli agenti. Quando vengono configurati i certificati, ricordare quanto segue: • Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate. • Scegliere una password complessa e registrarla per riferimenti futuri. Importante Quando si usa lo strumento Authentication Certificate Manager, sono necessari i seguenti requisiti: • L'utente deve avere i privilegi di amministratore • Lo strumento è in grado di gestire solo i certificati che si trovano sul dispositivo locale 13-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Procedura 1. Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in <Cartella di installazione del server>\PCCSRV\Admin\Utility\CertificateManager. 2. Eseguire uno dei seguenti comandi: Comando Esempio Descrizione CertificateMana ger.exe -c [Password_Backu p] CertificateMana ger.exe -c strongpassword Genera un nuovo certificato Trend Micro e sostituisce il certificato esistente CertificateMana ger.exe -b [Password] [Percorso certificato] CertificateMana ger.exe -b strongpassword D:\Test \TrendMicro.zip Esegue il backup di tutti i certificati Trend Micro emessi dal server OfficeScan corrente Nota Nota Il certificato è in formato ZIP. 13-56 Effettuare il backup per ripristinare il certificato su un server OfficeScan. Nota Il certificato è in formato ZIP. CertificateMana ger.exe -r [Password] [Percorso certificato] Effettuare questa operazione se il certificato esistente è scaduto o se è passato a parti non autorizzate. Effettuando il backup dei certificati del server OfficeScan consente di usarli se è necessario reinstallare il server OfficeScan. CertificateMana ger.exe -r strongpassword D:\Test \TrendMicro.zip Ripristina tutti i certificati Trend Micro sul server Effettuare tale operazione per ripristinare il certificato su un server OfficeScan reinstallato. Gestione del server OfficeScan Comando Esempio CertificateMana ger.exe -e [Percorso certificato] CertificateMana ger.exe -e <Cartella_insta llazione_agente >\OfcNTCer.dat Descrizione Esporta la chiave pubblica dell'Agente OfficeScan associata al certificato attualmente utilizzato Effettuare tale operazione se la chiave pubblica utilizzata dagli agenti viene danneggiata. Copiare il file .dat nella cartella principale dell'agente, sovrascrivendo il file esistente. Importante Il percorso del file del certificato nell'Agente OfficeScan deve essere: <Cartella_installazione_agente> \OfcNTCer.dat CertificateMana ger.exe -i [Password] [Percorso certificato] CertificateMana ger.exe -i strongpassword D:\Test \OfcNTCer.pfx Importa un certificato Trend Micro nell'archivio dei certificati CertificateMana ger.exe -l D: \Test \MismatchedAgen tList.csv Elenca gli agenti (in formato CSV) che stanno usando un certificato non corrispondente Nota Il nome predefinito del file del certificato è: OfcNTCer.pfx CertificateMana ger.exe -l [Percorso CSV] 13-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Crittografia avanzata della comunicazione agente-server OfficeScan offre la crittografia avanzata della comunicazione tra server e agenti utilizzando l'Advanced Encryption Standard (AES) 256, in conformità alle normative governative. Importante OfficeScan supporta la crittografia AES-256 solo su server e agenti con OfficeScan 11.0 SP1 o versioni successive e Plug-in Manager 2.2 o versioni successive. AVVERTENZA! Verificare di aver aggiornato tutti gli Agenti OfficeScan gestiti dal server alla versione 11.0 SP1 prima di attivare la crittografia AES-256. Le versioni precedenti dell'Agente OfficeScan potrebbero non essere in grado di decrittografare la comunicazione crittografata con AES-256. L'attivazione della crittografia AES-256 su versioni precedenti dell'Agente OfficeScan potrebbe comportare la totale perdita della comunicazione con il server OfficeScan durante l'utilizzo di un server proxy. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Comunicazione agente-server. 3. Fare clic sul pulsante Modifica accanto a Crittografia AES-256 per la comunicazione tra il server e gli agenti OfficeScan. Viene visualizzato un messaggio. 4. Fare clic su Verifica versioni per confermare di aver aggiornato tutti gli agenti a OfficeScan 11.0 SP1 o versioni successive. 5. Fare clic su OK. 13-58 Gestione del server OfficeScan Password della console Web La schermata per la gestione della password della console Web (o la password per l'account principale (root) creato durante l'installazione del server OfficeScan) è disponibile solo se il computer server non dispone delle risorse necessarie per utilizzare l'RBA (Role-based Administration). Ad esempio se sul computer server è installato Windows Server 2003 e Authorization Manager Runtime non è installato, la schermata non è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata e la password può essere gestita modificando l'account principale (root) nella schermata Account utente. Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica per ottenere istruzioni su come accedere alla console Web. Impostazioni della console Web Utilizzare la schermata Impostazioni della console Web per effettuare le operazioni riportate di seguito: • Configurare il server OfficeScan per l'aggiornamento periodico della dashboard Riepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30 secondi. Il numero di secondi deve essere compreso tra 10 e 300. • Specificare le impostazioni di timeout della console Web. Per impostazione predefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30 minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e 60. Configurazione delle impostazioni della console Web Procedura 1. Accedere a Amministrazione > Impostazioni > Console Web. 2. Selezionare Attiva aggiornamento automatico e selezionare l'intervallo di aggiornamento. 13-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Selezionare Attiva disconnessione automatica dalla console Web e selezionare l'intervallo di timeout. 4. Fare clic su Salva. Gestore della quarantena Quando l'Agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è la messa in quarantena, il file infetto viene crittografato e quindi spostato nella cartella di quarantena locale in <Cartella di installazione dell'agente>\SUSPECT. Dopo aver spostato il file nella directory di quarantena locale, l'Agente OfficeScan lo invia alla directory di quarantena designata. Specificare la directory in Agenti > Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > Azione. I file nella directory di quarantena vengono crittografati per evitare che infettino altri file. Consultare Directory di quarantena a pagina 7-41 per ulteriori informazioni. Se la directory di quarantena designata si trova nel computer server OfficeScan, modificare le impostazioni della directory di quarantena dalla console Web. Il server memorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV\Virus. Nota Se per qualche motivo (come ad esempio un problema di connessione), l'Agente OfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il file crittografato rimane nella cartella di quarantena dell'Agente OfficeScan. L'Agente OfficeScan tenta un nuovo invio del file al successivo collegamento al server OfficeScan. Configurazione delle impostazioni della directory di quarantena Procedura 1. 13-60 Accedere a Amministrazione > Impostazioni > Gestore della quarantena. Gestione del server OfficeScan 2. Accettare o modificare la capacità predefinita della cartella di quarantena e le dimensioni massime di un file infetto che OfficeScan è in grado di mettere in quarantena. In questa schermata vengono visualizzati i valori predefiniti. 3. Fare clic su Salva impostazioni di quarantena. 4. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Elimina tutti i file in quarantena. Server Tuner Server Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando dei parametri per le seguenti problematiche prestazionali relative al server: • Download Quando il numero di Agenti OfficeScan (compresi gli Update Agent) che richiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sul server, il server sposta la richiesta di aggiornamento dell'agente in una coda ed elabora le richieste quando le risorse diventano disponibili. Dopo che l'agente ha aggiornato correttamente i componenti dal server OfficeScan, invia una notifica al server sul completamento dell'aggiornamento. Impostare il numero massimo di minuti per i quali il server OfficeScan deve attendere la notifica di aggiornamento dall'agente. Impostare anche il numero massimo di tentativi che il server deve effettuare per richiedere all'agente di eseguire un aggiornamento e di applicare le nuove impostazioni di configurazione. Il server effettua nuovi tentativi soltanto se non riceve notifiche dall'agente. • Buffer Quando il server OfficeScan riceve più richieste dagli Agenti OfficeScan come, ad esempio, la richiesta di eseguire un aggiornamento, il server elabora il numero massimo di richieste possibili, spostando le richieste restanti in un buffer. Il server elabora quindi le richieste salvate nel buffer una per volta, man mano che si rendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, ad esempio, le richieste di aggiornamento dell'agente, e per i report dei registri dell'agente. 13-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Traffico di rete La quantità di traffico della rete varia nel corso della giornata. Per controllare il flusso del traffico di rete verso il server OfficeScan e verso altre origini aggiornamenti, specificare il numero di Agenti OfficeScan che possono essere aggiornati contemporaneamente in un determinato orario. Server Tuner richiede il seguente file: SvrTune.exe Esecuzione di Server Tuner Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SvrTune. 2. Fare doppio clic su SvrTune.exe per avviare Server Tuner. Si apre la console di Server Tuner. 3. 13-62 Nella sezione Download modificare le seguenti impostazioni: • Timeout per client: digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento dagli agenti. Se l'agente non risponde entro questo intervallo, il server OfficeScan non considera l'agente come dotato di componenti aggiornati. Quando si verifica il timeout su un agente notificato, si rende disponibile lo spazio per un altro agente in attesa di notifica. • Timeout per Update Agent: digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento da un Update Agent. Quando si verifica il timeout su un agente notificato, si rende disponibile lo spazio per un altro agente in attesa di notifica. • Numero tentativi: digitare il numero massimo di tentativi che il server OfficeScan deve effettuare per richiedere a un agente di eseguire un aggiornamento o di applicare nuove impostazioni di configurazione. • Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScan deve attendere tra un tentativo di notifica e quello successivo. Gestione del server OfficeScan 4. 5. Nella sezione Traffico di rete, modificare le seguenti impostazioni: • Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato normale. • Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato minimo. • Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato massimo. • Numero massimo connessioni client: digitare il numero massimo di client che possono simultaneamente aggiornare i componenti da "altra origine aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di client per ciascuno dei periodi di tempo. Quando viene raggiunto il numero massimo di connessioni, gli Agenti OfficeScan possono aggiornare i componenti soltanto dopo la chiusura di una connessione in corso dell'agente (a causa del completamento dell'aggiornamento o del fatto che la risposta dell'agente ha raggiunto il valore di timeout specificato nel campo Timeout per client o Timeout per Update Agent). Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principale OfficeScan. Nota Viene riavviato soltanto il servizio, non il computer. 6. Selezionare una delle opzioni di riavvio seguenti: • fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio. Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio. • Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare il servizio. Per fare in modo che le impostazioni abbiano effetto, riavviare il servizio principale OfficeScan o riavviare il computer su cui è installato il server OfficeScan. 13-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Smart Feedback Trend Micro Smart Feedback condivide le informazioni sulle minacce anonime con Smart Protection Network, consentendo a Trend Micro di identificare e trattare rapidamente le nuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramite questa console. Partecipazione al programma Smart Feedback Procedura 1. Accedere a Amministrazione > Smart Protection > Smart Feedback. 2. Fare clic su Attiva Trend Micro Smart Feedback. 3. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare un valore nel campo Settore. 4. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degli Agenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file di programma sospetti. Nota I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati solo per eseguire le analisi delle minacce. 5. Per configurare i criteri per l'invio del feedback, selezionare il numero di rilevamenti effettuati nel periodo di tempo specificato che generano il feedback. 6. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan per inviare feedback e ridurre le interruzioni della rete. 7. Fare clic su Salva. 13-64 Capitolo 14 Gestione dell'agente OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione dell'Agente OfficeScan. Di seguito sono riportati gli argomenti trattati: • Posizione dispositivo a pagina 14-2 • Gestione del programma agente OfficeScan a pagina 14-6 • Connessione agente server a pagina 14-29 • Impostazioni proxy dell'Agente OfficeScan a pagina 14-53 • Visualizzazione delle informazioni sull'agente OfficeScan a pagina 14-58 • Importazione ed esportazione delle impostazioni degli agenti a pagina 14-59 • Conformità sicurezza a pagina 14-60 • Supporto Trend Micro Virtual Desktop a pagina 14-78 • Impostazioni globali agente a pagina 14-92 • Configurazione dei privilegi e di altre impostazioni dell'agente a pagina 14-94 14-1 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Posizione dispositivo OfficeScan fornisce una funzione di Location Awareness in grado di determinare se la posizione dell'Agente OfficeScan è interna o esterna. Location Awareness viene utilizzata nelle seguenti funzioni e servizi di OfficeScan: Tabella 14-1. Funzioni e servizi che usano Location Awareness Funzione/ Servizio Servizi di reputazione Web Descrizione La posizione dell'Agente OfficeScan determina il criterio di reputazione Web che sarà applicato dall'Agente OfficeScan. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri di reputazione Web, vedere Criteri di reputazione Web a pagina 11-5. Servizi di reputazione file Per gli agenti che usano Smart Scan, la posizione dell'Agente OfficeScan stabilisce l'origine Smart Protection a cui gli agenti inviano query di scansione. Gli Agenti OfficeScan esterni inviano query di scansione a Smart Protection Network mentre gli agenti interni inviano le query alle origini definite nell'elenco delle origini Smart Protection. Per ulteriori informazioni sulle origini Smart Protection, vedere Origini Smart Protection a pagina 4-6. Prevenzione perdita di dati La posizione dell'Agente OfficeScan determina il criterio di Prevenzione perdita di dati applicato dall'agente. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri Prevenzione perdita di dati, vedere Criteri di Prevenzione perdita di dati a pagina 10-3. Controllo dispositivo La posizione dell'Agente OfficeScan determina il criterio di controllo dispositivo che sarà applicato dall'agente. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri di Controllo dispositivo, vedere Controllo dispositivo a pagina 9-2. 14-2 Gestione dell'agente OfficeScan Criteri di località Specificare se il percorso si basa sull'indirizzo IP del gateway del dispositivo Agente OfficeScan o sullo stato della connessione dell'Agente OfficeScan con il server OfficeScan o un server di riferimento. • Stato della connessione agente: se l'Agente OfficeScan può collegarsi al server OfficeScan o a uno dei server di riferimento assegnati della intranet, la posizione del dispositivo è interna. Inoltre, se un dispositivo al di fuori della rete aziendale è in grado di stabilire una connessione al server OfficeScan o al server di riferimento, anche quella posizione è interna. Se non si applica nessuna di queste condizioni, la posizione del dispositivo è esterna. • Indirizzo MAC e IP gateway: se l'indirizzo IP gateway del dispositivo Agente OfficeScan corrisponde a un indirizzo IP gateway specificato nella schermata Posizione dispositivo, la posizione del dispositivo è interna. Altrimenti, la posizione del dispositivo è esterna. Configurazione delle impostazioni della località Procedura 1. Accedere a Agenti > Posizione dispositivo. 2. Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IP e MAC del gateway. 3. Se si sceglie Stato della connessione agente, occorre decidere se utilizzare un server di riferimento. Consultare Server di riferimento a pagina 13-33 per ulteriori dettagli. a. Se non viene specificato un server di riferimento, l'Agente OfficeScan verifica lo stato della connessione con il server OfficeScan quando si verificano gli eventi seguenti: • L'Agente OfficeScan passa dalla modalità roaming a quella normale (online/offline) e viceversa. 14-3 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 b. 4. • L'Agente OfficeScan passa da un metodo di scansione a un altro. Consultare Tipi di metodi di scansione a pagina 7-8 per ulteriori dettagli. • L'Agente OfficeScan rileva una variazione di indirizzo IP nel dispositivo. • L'Agente OfficeScan viene riavviato. • Il server avvia una verifica della connessione. Consultare Icone dell'agente OfficeScan a pagina 14-29 per ulteriori dettagli. • I parametri della località di reputazione Web vengono modificati durante l'applicazione delle impostazioni globali • I criteri di difesa dalle infezioni non vengono più applicati e vengono ripristinate le impostazioni precedenti all'infezione. Quando si specifica un server di riferimento, se la connessione al server OfficeScan non riesce, l'Agente OfficeScan verifica lo stato della connessione prima con il server OfficeScan, poi con il server di riferimento. L'Agente OfficeScan verifica lo stato della connessione ogni ora e quando si verificano gli eventi sopra citati. Se si seleziona l'indirizzo IP e MAC del gateway: a. Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo. b. Inserire l'indirizzo MAC. c. Fare clic su Aggiungi. Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizzi MAC appartenenti all'indirizzo IP specificato. d. Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway che si desidera aggiungere. e. Utilizzare lo strumento Utilità di importazione impostazioni gateway per importare un elenco delle impostazioni del gateway. Consultare Utilità di importazione impostazioni gateway a pagina 14-5 per ulteriori dettagli. 14-4 Gestione dell'agente OfficeScan 5. Fare clic su Salva. Utilità di importazione impostazioni gateway OfficeScan verifica la posizione del dispositivo per determinare il criterio di reputazione Web da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con cui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gateway del dispositivo. Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppure utilizzare l'Utilità di importazione impostazioni gateway per importare un elenco di impostazioni del gateway nella schermata Posizione dispositivo. Uso dell'utilità di importazione impostazioni gateway Procedura 1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway. In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo). Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096. Ad esempio: 10.1.111.222,00:17:31:06:e6:e7 2001:0db7:85a3:0000:0000:8a2e:0370:7334 10.1.111.224,00:17:31:06:e6:e7 2. Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin \Utility\GatewaySettingsImporter e fare doppio clic su GSImporter.exe. Nota Non è possibile eseguire lo strumento Utilità di importazione impostazioni gateway dai servizi terminal. 14-5 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. Nella schermata Utilità di importazione impostazioni gateway, trovare il file creato al passaggio 1 e fare clic su Importa. 4. Fare clic su OK. Le impostazioni del gateway vengono visualizzate nella schermata Posizione dispositivo e il server OfficeScan implementa le impostazioni negli Agenti OfficeScan. 5. Per eliminare tutte le voci, fare clic su Cancella tutto. Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizione dispositivo. 6. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare il nome e il tipo di file. Gestione del programma agente OfficeScan I seguenti argomenti illustrano modi per gestire e proteggere il programma Agente OfficeScan: • Servizi dell'agente OfficeScan a pagina 14-7 • Riavvia Servizio Agente OfficeScan a pagina 14-12 • Protezione automatica dell'agente OfficeScan a pagina 14-13 • Sicurezza dell'Agente OfficeScan a pagina 14-17 • Restrizione di accesso alla console dell'agente OfficeScan a pagina 14-19 • Rimozione e sblocco dell'agente OfficeScan a pagina 14-20 • Privilegio di roaming dell'agente OfficeScan a pagina 14-21 • Agent Mover a pagina 14-25 • Agenti OfficeScan inattivi a pagina 14-28 14-6 Gestione dell'agente OfficeScan Servizi dell'agente OfficeScan L'Agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibile visualizzare lo stato di questi servizi da Microsoft Management Console. Tabella 14-2. Servizi dell'agente OfficeScan Servizio Funzioni controllate Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) • Monitoraggio del comportamento • Controllo dispositivo • Servizio Certified Safe Software OfficeScan NT Firewall (TmPfw.exe) Firewall di OfficeScan Servizio Protezione dati OfficeScan (dsagent.exe) • Prevenzione perdita di dati • Controllo dispositivo OfficeScan NT Listener (tmlisten.exe) Comunicazione tra l'Agente OfficeScan e il server OfficeScan OfficeScan NT Proxy Service (TmProxy.exe) • Reputazione Web • Scansione e-mail POP3 Scansione in tempo reale OfficeScanNT (ntrtscan.exe) • Scansione in tempo reale • Scansione pianificata • Scansione manuale/Esegui scansione Framework soluzione client comune OfficeScan (TmCCSF.exe) Servizio di protezione avanzata • Prevenzione minaccia browser • Scansione memoria I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllo possono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguono applicazioni a elevato utilizzo delle risorse del sistema: • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) 14-7 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • OfficeScan NT Firewall (TmPfw.exe) • Servizio Protezione dati OfficeScan (dsagent.exe) Per questo motivo, per impostazione predefinita questi servizi sono disattivati sulle piattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server 2012). Se si desidera attivare questi servizi: • Tenere costantemente sotto controllo le prestazioni del sistema e prendere gli opportuni provvedimenti se si nota un calo delle prestazioni. • Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni a elevato utilizzo delle risorse del sistema dai criteri di monitoraggio del comportamento. È possibile utilizzare uno strumento di ottimizzazione delle prestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema. Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 14-10. Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delle prestazioni. Attivazione o disattivazione dei servizi dell'agente dalla console Web Procedura 1. Accedere a Agenti > Gestione agente. 2. Per gli Agenti OfficeScan con sistemi operativi Windows XP, Vista, 7, 8, 8.1 o 10: a. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. Nota Quando si seleziona un dominio root o domini specifici, l'impostazione sarà applicata soltanto agli agenti con Windows XP, Vista, 7, 8, 8.1 o 10. L'impostazione non sarà applicata agli agenti che eseguono piattaforme Windows Server anche se fanno parte dei domini. 14-8 Gestione dell'agente OfficeScan b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: d. 3. • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio di connessione sospetta • Servizio Protezione dati • Servizio di protezione avanzata Fare clic su Salva per applicare le impostazioni ai domini. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti Windows XP/Vista/7/8/8.1/10 esistente e ai nuovi agenti aggiunti a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti Windows XP/Vista/7/8/8.1/10 aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Per gli Agenti OfficeScan con Windows Server 2003, Windows Server 2008 o Windows Server 2012: a. Selezionare un singolo agente nella struttura agente. b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio di connessione sospetta • Servizio Protezione dati 14-9 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • d. Servizio di protezione avanzata Fare clic su Salva. Uso di Trend Micro Performance Tuning Tool Procedura 1. Scaricare Trend Micro Performance Tuning Tool da: http://esupport.trendmicro.com/solution/en-us/1056425.aspx 2. Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe. 3. Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nella stessa cartella di TMBMCLI.dll. 4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionare Esegui come amministratore. 5. Leggere e accettare il contratto per l'utente finale e fare clic su OK. 6. Fare clic su Analizza. 14-10 Gestione dell'agente OfficeScan Figura 14-1. Processo a elevato utilizzo delle risorse del sistema evidenziato Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. I processi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso. 7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sul ). pulsante Aggiungi a elenco eccezioni (consenti) ( 8. Controllare se le prestazioni del sistema o dell'applicazione migliorano. 9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsante Rimuovi da elenco eccezioni ( ). 10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito: a. Prendere nota del nome dell'applicazione. b. Fare clic su Interrompi. c. Fare clic sul pulsante Genera segnalazione ( ) e salvare il file .xml. 14-11 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 d. Esaminare le applicazioni identificate come in conflitto e aggiungerle all'elenco eccezioni del monitoraggio del comportamento. Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 8-7. Riavvia Servizio Agente OfficeScan OfficeScan riavvia i servizi dell'Agente OfficeScan che improvvisamente non rispondono senza essere stati interrotti da un processo di sistema normale. Per ulteriori informazioni sui servizi dell'agente, consultare Servizi dell'agente OfficeScan a pagina 14-7. Configurare le impostazioni necessarie per consentire il riavvio dei servizi dell'Agente OfficeScan. Configurazione delle impostazioni del servizio di riavvio Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Riavvia Servizio OfficeScan. 3. Selezionare Riavvia automaticamente il servizio agente OfficeScan se viene interrotto in modo imprevisto. 4. Configurare gli elementi riportati di seguito. 14-12 • Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti) che deve trascorrere prima che OfficeScan riavvii un servizio. • Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte: specificare il numero massimo di tentativi di riavvio del servizio. Se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, riavviarlo manualmente. • Reimposta il conteggio dei riavvii non riusciti dopo _ ora/e: se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScan attende alcune ore prima di azzerare il conteggio dei riavvii non Gestione dell'agente OfficeScan riusciti. Se un servizio rimane interrotto dopo il numero di ore specificato, OfficeScan riavvia il servizio. Protezione automatica dell'agente OfficeScan La protezione automatica dell'Agente OfficeScan consente all'Agente OfficeScan di proteggere i processi e le altre risorse necessarie per il corretto funzionamento. La protezione automatica dell'Agente OfficeScan contribuisce a impedire i tentativi di programmi o di utenti di disattivare la protezione contro le minacce informatiche. La protezione automatica dell'Agente OfficeScan fornisce le seguenti opzioni: • Proteggi i servizi dell'agente OfficeScan a pagina 14-14 • Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 14-15 • Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16 • Proteggi i processi dell'agente OfficeScan a pagina 14-16 Configurazione delle impostazioni di protezione automatica dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezione automatica dell'agente OfficeScan. 5. Attivare le seguenti opzioni: • ) per Proteggi i servizi dell'agente OfficeScan a pagina 14-14 14-13 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. • Proteggi i file nella cartella d'installazione dell'agent OfficeScan a pagina 14-15 • Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16 • Proteggi i processi dell'agente OfficeScan a pagina 14-16 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Proteggi i servizi dell'agente OfficeScan OfficeScan blocca tutti i tentativi di interrompere i servizi dell'Agente OfficeScan: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) • OfficeScan NT Firewall (TmPfw.exe) • Servizio Protezione dati OfficeScan (dsagent.exe) • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) Nota Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti di terzi sui dispositivi. Se si verifica questo problema, è possibile disattivare temporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi. 14-14 Gestione dell'agente OfficeScan • Framework soluzione client comune Trend Micro (TmCCSF.exe) Proteggi i file nella cartella d'installazione dell'agent OfficeScan Per impedire ad altri programmi e anche all'utente di modificare o eliminare i file dell'Agente OfficeScan, OfficeScan offre diverse funzionalità di protezione avanzate. Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agente OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione dell'agente> principale: • Tutti i file con firma digitale con estensione .exe, .dll e .sys • Alcuni file senza firma digitale, compresi i seguenti: • bspatch.exe • OfceSCV.dll • bzip2.exe • OFCESCVPack.exe • INETWH32.dll • patchbld.dll • libcurl.dll • patchw32.dll • libeay32.dll • patchw64.dll • libMsgUtilExt.mt.dll • PiReg.exe • msvcm80.dll • ssleay32.dll • MSVCP60.DLL • Tmeng.dll • msvcp80.dll • TMNotify.dll • msvcr80.dll • zlibwapi.dll Dopo aver attivato Proteggi i file nella cartella d'installazione dell'agente OfficeScan e Scansione in tempo reale per rilevare minacce virus/malware, OfficeScan esegue le operazioni seguenti: • Verifica l'integrità dei file prima di aprire i file .exe nella cartella d'installazione Durante gli aggiornamenti di ActiveUpdate, OfficeScan verifica che l'emittente del file che ha attivato l'aggiornamento sia Trend Micro. Se l'emittente non viene riconosciuto come Trend Micro e ActiveUpdate non è in grado di sostituire il file 14-15 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 non corretto, OfficeScan registra l'incidente nei registri eventi di Windows e blocca l'aggiornamento. • Impedisce l'hijack delle DLL Alcuni sviluppatori di malware copiano i file delle librerie di collegamento dinamico (DLL) nella cartella d'installazione dell'Agente OfficeScan o nella cartella del monitoraggio del comportamento, allo scopo di caricare questi file prima del caricamento dell'agente. Questi file tentano di interrompere la protezione offerta da OfficeScan. Per impedire la copia dei file manomessi nelle cartelle dell'Agente OfficeScan, OfficeScan impedisce la copia dei file nella cartella d'installazione e in quella del monitoraggio del comportamento. • Impedisce il blocco dei file utilizzando l'impostazione “SHARE:NONE” in Windows Proteggi le chiavi di registro dell'agente OfficeScan OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nelle chiavi e sottochiavi di registro riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp \CurrentVersion • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP Proteggi i processi dell'agente OfficeScan OfficeScan blocca tutti i tentativi di terminare i processi riportati nella tabella seguente: Processo TmListen.exe 14-16 Descrizione riceve comandi e notifiche dal server OfficeScan e facilita la comunicazione dall'Agente OfficeScan al server Gestione dell'agente OfficeScan Processo Descrizione NTRtScan.exe esegue la scansione in tempo reale, pianificata e manuale sugli Agenti OfficeScan TmProxy.exe esegue la scansione del traffico di rete prima di passarlo all'applicazione di destinazione TmPfw.exe fornisce funzioni di firewall a livello di pacchetti, scansione di virus di rete e rilevamento intrusioni TMBMSRV.exe regola l'accesso ai dispositivi di memorizzazione esterni e impedisce le modiche non autorizzate alle chiavi di registro e ai processi DSAgent.exe effettua il monitoraggio della trasmissione dei dati sensibili e controlla l'accesso ai dispositivi PccNTMon.exe questo processo è responsabile dell'avvio della console dell'Agente OfficeScan TmCCSF.exe: esegue Prevenzione minaccia browser e la scansione della memoria OfficeScan può proteggere anche dall'aggiunta di processi nei Criteri restrizione software di Microsoft. I Criteri restrizione software impediscono l'esecuzione delle applicazioni elencate sul dispositivo. Per impedire l'aggiunta di processi OfficeScan nell'elenco dei Criteri restrizione software: 1. Attivare Proteggi i processi dell'agente OfficeScan. 2. Attivare il Servizio prevenzione modifiche non autorizzate. Per i dettagli, consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8. Sicurezza dell'Agente OfficeScan Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utenti alla directory di installazione dell'Agente OfficeScan e alle impostazioni di registro. 14-17 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Controllo dell'accesso alla directory di installazione e alle chiavi di registro dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Impostazioni di sicurezza agente. 5. Selezionare una delle autorizzazioni di accesso riportate di seguito: ) per • Alto: la directory di installazione dell'Agente OfficeScan eredita i diritti della cartella Programmi e le voci di registro dell'Agente OfficeScan ereditano le autorizzazioni della chiave HKLM\Software. Per la maggior parte delle configurazioni Active Directory, questo limita automaticamente gli utenti "normali" (senza privilegi di amministratore) all'accesso in sola lettura. • Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti "Tutti") tutti i diritti alla directory del programma Agente OfficeScan e alle voci di registro dell'Agente OfficeScan. Nota Le impostazioni di protezione automatica dell'agente OfficeScan hanno la priorità sulle impostazioni di sicurezza agente OfficeScan. Gli Agenti OfficeScan configurati con entrambe le impostazioni applicano per prime le impostazioni di protezione automatica dell'agente OfficeScan. Ad esempio, se si imposta Impostazioni di sicurezza agente OfficeScan su Normale e si attiva la protezione dei file nelle impostazioni di protezione automatica dell'agente OfficeScan, le impostazioni di Protezione automatica dell'agente OfficeScan impediscono agli utenti di modificare i file dell'Agente OfficeScan con estensioni .exe, .dll, .ptn o .sys. 14-18 Gestione dell'agente OfficeScan 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Restrizione di accesso alla console dell'agente OfficeScan Questa impostazione disattiva l'accesso alla console dell'Agente OfficeScan dalla barra delle applicazioni o dal menu Start di Windows. L'unico modo in cui gli utenti possono accedere alla console dell'Agente OfficeScan è facendo doppio clic su PccNTMon.exe nella cartella <Cartella di installazione dell'agente>. Dopo aver configurato questa impostazione, caricare di nuovo l'Agente OfficeScan per applicarla. Questa impostazione non disattiva l'Agente OfficeScan. L'Agente OfficeScan è attivo in background e continua a fornire protezione contro i rischi per la sicurezza. Restrizione dell'accesso alla console dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione di accesso agente OfficeScan. ) per 14-19 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. Selezionare Impedisce agli utenti di accedere alla console agente OfficeScan dalla barra delle applicazioni o dal menu Start di Windows. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Rimozione e sblocco dell'agente OfficeScan Il privilegio di rimozione e sblocco dell'Agente OfficeScan consente agli utenti di interrompere l'Agente OfficeScan o di accedere alle funzioni avanzate della console Web con o senza password. Concessione del privilegio di rimozione e sblocco dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca. 5. Per consentire la rimozione dell'Agente OfficeScan senza una password, selezionare Password non richiesta. 14-20 ) per Gestione dell'agente OfficeScan • 6. Se è necessaria una password, selezionare Richiedi una password, digitare la password e confermarla. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Privilegio di roaming dell'agente OfficeScan Concedere a determinati utenti il privilegio di roaming dell'Agente OfficeScan se eventi agente server interferiscono con le operazioni degli utenti. Ad esempio, un utente che fa spesso presentazioni può attivare la modalità roaming prima di iniziare una presentazione per impedire al server OfficeScan di implementare le impostazioni dell'Agente OfficeScan e di avviare le scansioni sull'Agente OfficeScan. Se gli Agenti OfficeScan sono in modalità roaming: • Gli agenti OfficeScan non inviano registri al server OfficeScan, neppure se è presente una connessione funzionante tra il server e gli agenti. • Il server OfficeScan non avvia operazioni né implementa le impostazioni dell'Agente OfficeScan sugli agenti, neppure se è presente una connessione funzionante tra il server e gli agenti. • Gli agenti OfficeScan aggiornano i componenti se sono in grado connettersi a una delle rispettive origini degli aggiornamenti. Le origini sono il server OfficeScan, gli Update Agents oppure un origine di aggiornamento personalizzata. I seguenti eventi attivano un aggiornamento sugli agenti in roaming: 14-21 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • L'utente esegue un aggiornamento manuale. • Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivare l'aggiornamento automatico dell'agente sugli agenti in roaming. Per i dettagli, consultare Disattivazione dell'aggiornamento automatico dell'agente negli agenti in roaming a pagina 14-23. • Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegi richiesti possono eseguire aggiornamenti pianificati. È possibile revocare questo privilegio in qualsiasi momento. Per i dettagli, consultare Revoca dei privilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming a pagina 14-23. Assegnazione dei privilegi di roaming dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Roaming. 5. Selezionare Attiva modalità roaming. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • 14-22 ) per Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. Gestione dell'agente OfficeScan • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Disattivazione dell'aggiornamento automatico dell'agente negli agenti in roaming Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico. 2. Passare alla sezione Aggiornamento provocato da un evento. 3. Disattivare Includi agenti in roaming e offline. Nota Questa opzione viene disattivata automaticamente se si disattiva Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente. Revoca dei privilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, fare clic sull'icona del dominio root ( domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Aggiornamenti dei componenti. 5. Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati. ) oppure selezionare 14-23 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Fare clic su Salva. Configurazione della lingua dell'agente OfficeScan È possibile configurare tutti gli Agenti OfficeScan da visualizzare utilizzando le impostazioni della lingua del server OfficeScan oppure quelle della lingua dell'utente collegato localmente. Dopo aver installato o aggiornato il programma Agente OfficeScan, l'agente applica le impostazioni della lingua configurate nella schermata Impostazioni globali. Per impostazione predefinita, se l'Agente OfficeScan non supporta le impostazioni della lingua dell'utente collegato, la lingua viene impostata su quella del server OfficeScan. Configurazione delle impostazioni di lingua dell'agente OfficeScan Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Configurazione lingua agente. 3. Specificare il modo in cui l'Agente OfficeScan applica le impostazioni di lingua: • Impostazioni di lingua locali nel dispositivo: viene visualizzato l'Agente OfficeScan utilizzando le impostazioni di lingua dell'utente che ha effettuato l'accesso. Nota Se l'Agente OfficeScan non supporta le impostazioni di lingua dell'utente che ha effettuato l'accesso, l'agente applica la lingua del server OfficeScan. Se il dispositivo non supporta la lingua del server OfficeScan, il testo viene visualizzato in inglese. • 14-24 Lingua del server OfficeScan: viene visualizzato l'Agente OfficeScan utilizzando la lingua del server OfficeScan. Gestione dell'agente OfficeScan Nota Se il dispositivo non supporta la lingua del server OfficeScan, il testo viene visualizzato in inglese. 4. Fare clic su Salva. Agent Mover Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento Agent Mover per trasferire gli Agenti OfficeScan da un server OfficeScan a un altro. Questo strumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo server OfficeScan alla rete, si desidera trasferire gli Agenti OfficeScan esistenti sul nuovo server. Nota I due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostare un Agente OfficeScan con una versione precedente in un server della versione corrente, la versione dell'Agente OfficeScan sarà aggiornata automaticamente. Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questo strumento. Esecuzione di Agent Mover Procedura 1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV \Admin\Utility\IpXfer. 2. Copiare IpXfer.exe nel dispositivo Agente OfficeScan. Se il dispositivo Agente OfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe. 3. Nel dispositivo Agente OfficeScan, aprire un prompt dei comandi e accedere alla cartella nella quale è stato copiato il file eseguibile. 4. Eseguire Agent Mover utilizzando la sintassi riportata di seguito. 14-25 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 <nome file eseguibile> -s <nome server> -p <porta di ascolto del server> -c <porta di ascolto dell'agente> -d <dominio o gerarchia dominio> Tabella 14-3. Parametri di Agent Mover Parametro 14-26 Spiegazione <nome file eseguibile> IpXfer.exe oppure IpXfer_x64.exe -s <nome server> Il nome del server OfficeScan di destinazione (il server in cui verrà trasferito l'Agente OfficeScan) -p <porta di ascolto del server> La porta di ascolto (o porta affidabile) del server OfficeScan di destinazione. Per visualizzare la porta di ascolto della console Web OfficeScan, fare clic su Amministrazione > Impostazioni > Connessione agente nel menu principale. -c <porta di ascolto dell'agente> Il numero della porta usata dal dispositivo Agente OfficeScan per comunicare con il server -d <dominio o gerarchia dominio> Il dominio o sottodominio della struttura agente in cui viene raggruppato agente. La gerarchia di domini deve indicare il sottodominio. Gestione dell'agente OfficeScan Parametro -e <nome file e posizione del certificato> Spiegazione Importa un nuovo certificato di autenticazione per l'Agente OfficeScan durante il processo di spostamento. Se non viene usato questo parametro, l'Agente OfficeScan recupera automaticamente il certificato di autenticazione corrente dal suo server di gestione nuovo. Nota La posizione predefinita del certificato nel server OfficeScan è: <Cartella di installazione del server>\PCCSRV\Pccnt \Common\OfcNTCer.dat. Quando viene usato un certificato da un'origine diversa da OfficeScan, assicurarsi che certificato sia in formato DER (Distinguished Encoding Rules). Esempi: ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo di lavoro\Gruppo01 5. Per confermare che ora l'Agente OfficeScan invia le notifiche all'altro server, effettuare le seguenti operazioni: a. Nel dispositivo Agente OfficeScan, fare clic con il pulsante destro del mouse sull'icona del programma Agente OfficeScan nella barra delle applicazioni. b. Selezionare Versioni componenti. c. Verificare il server OfficeScan a cui fa riferimento l'Agente OfficeScan nel campo Nome server/porta. 14-27 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Se l'Agente OfficeScan non viene visualizzato nella struttura agente del nuovo server OfficeScan che lo gestisce, riavviare il servizio principale del server (ofservice.exe). Agenti OfficeScan inattivi Se si utilizza il programma di disinstallazione dell'Agente OfficeScan per rimuovere un programma Agente OfficeScan dai dispositivi, il programma invia automaticamente una notifica al server. Quando il server riceve questa notifica, l'icona dell'Agente OfficeScan viene rimossa dalla struttura agente per indicare che l'agente non esiste più. Se tuttavia l'Agente OfficeScan viene rimosso con altri metodi, ad esempio riformattando il disco rigido del dispositivo oppure eliminando manualmente i file dell'Agente OfficeScan, OfficeScan non ne rileva la rimozione e l'Agente OfficeScan viene quindi visualizzato come inattivo. Se un utente rimuove o disattiva l'Agente OfficeScan per un periodo di tempo prolungato, anche il server visualizza l'Agente OfficeScan come inattivo. Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurare OfficeScan in modo da rimuovere automaticamente gli agenti inattivi dalla struttura agente. Rimozione automatica degli agenti inattivi Procedura 1. Accedere a Amministrazione > Impostazioni > Agenti inattivi. 2. Selezionare Attiva rimozione automatica degli agenti inattivi. 3. Selezionare il numero di giorni che devono trascorrere prima che OfficeScan consideri inattivo un Agente OfficeScan. 4. Fare clic su Salva. 14-28 Gestione dell'agente OfficeScan Connessione agente server L'Agente OfficeScan deve mantenere una connessione continua al server principale in modo da poter aggiornare i componenti, ricevere le notifiche e applicare tempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano come controllare lo stato della connessione dell'Agente OfficeScan e risolvere i problemi di connessione: • Indirizzi IP dell'agente a pagina 5-10 • Icone dell'agente OfficeScan a pagina 14-29 • Verifica della connessione agente server a pagina 14-47 • Registri di verifica connessione a pagina 14-48 • Agenti non raggiungibili a pagina 14-49 Icone dell'agente OfficeScan L'icona dell'Agente OfficeScan presente nella barra delle applicazioni offre suggerimenti visivi che indicano lo stato corrente dell'Agente OfficeScan e chiedono agli utenti di eseguire determinate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguenti suggerimenti visivi. 14-29 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 14-4. Stato dell'Agente OfficeScan indicato dall'icona dell'Agente OfficeScan Stato dell'agen te Connession e dell'agente al server OfficeScan Descrizione Suggerimento visivo Gli agenti online sono connessi al server OfficeScan. Il server può avviare operazioni e implementare impostazioni su questi agenti L'icona contiene un simbolo che somiglia a un battito cardiaco (Heartbeat). Gli agenti offline vengono disconnessi dal server OfficeScan. Il server non è in grado di gestire questi agenti. Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. L'icona contiene un simbolo che somiglia alla perdita di un battito cardiaco (Hearbeat). Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Un agente può essere offline anche se è connesso alla rete. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-43. Gli agenti in roaming possono essere in grado di comunicare con il server OfficeScan oppure no. L'icona contiene i simboli del desktop e del segnale. Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Per ulteriori informazioni sugli agenti in roaming, consultare Privilegio di roaming dell'agente OfficeScan a pagina 14-21. 14-30 Gestione dell'agente OfficeScan Stato dell'agen te Disponibilità di origini Smart Protection Descrizione Suggerimento visivo Le origini Smart Protection comprendono gli Smart Protection Server e Trend Micro Smart Protection Network. L'icona comprende un segno di spunta se è disponibile un'origine Smart Protection. Gli agenti con scansione convenzionale si collegano alle origini Smart Protection per le query di reputazione Web. Se non sono disponibili origini Smart Protection e l'agente sta tentando di stabilire la connessione alle origini, l'icona comprende una barra di avanzamento. Gli agenti Smart Scan si collegano alle origini Smart Protection per le query di scansione e reputazione Web. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-43. Per gli agenti con scansione convenzionale, non viene visualizzato alcun segno di spunta né alcuna barra di avanzamento se la reputazione Web è stata disattivata nell'agente. 14-31 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Stato dell'agen te Stato servizio scansione in tempo reale Descrizione OfficeScan utilizza il servizio di scansione in tempo reale non solo per la scansione in tempo reale, ma anche per la scansione manuale e pianificata. Il servizio deve essere funzionante per evitare di esporre l'agente a rischi per la sicurezza. Suggerimento visivo Se il servizio scansione in tempo reale è funzionante, tutta l'icona è ombreggiata di colore blu. Due tonalità di blu vengono utilizzate per indicare il metodo di scansione dell'agente. • Per la scansione convenzionale: • Per Smart Scan: Se il servizio scansione in tempo reale è stato disattivato o non è funzionante, l'intera icona è ombreggiata di colore rosso. Due tonalità di rosso vengono utilizzate per indicare il metodo di scansione dell'agente. • Per la scansione convenzionale: • Per Smart Scan: Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-43. 14-32 Gestione dell'agente OfficeScan Stato dell'agen te Stato scansione in tempo reale Descrizione La scansione in tempo reale offre la protezione proattiva effettuando la scansione dei file per identificare rischi per la sicurezza mentre vengono creati, modificati o recuperati. Suggerimento visivo Non ci sono suggerimenti visivi se è abilitata la scansione in tempo reale. Se la scansione in tempo reale è disabilitata, l'intera icona è circondata da un cerchio rosso e contiene una linea diagonale rossa. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-43. Stato aggiorname nto pattern Gli agenti devono aggiornare il pattern regolarmente per proteggere l'agente dalle minacce più recenti. Non ci sono suggerimenti visivi se il pattern è aggiornato o leggermente non aggiornato. L'icona comprende un punto esclamativo se il pattern è obsoleto. Significa che il pattern non è stato aggiornato recentemente. Per ulteriori informazioni sulle modalità di aggiornamento degli agenti, consultare Aggiornamenti dell'agente OfficeScan a pagina 6-30. Stato della licenza di prova di reputazione del server OfficeScan Gli agenti online sono connessi a un server OfficeScan che sta utilizzando una licenza di prova scaduta. Questa icona indica che la licenza di prova nel server OfficeScan è scaduta. 14-33 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Icone Smart Scan Quando gli Agenti OfficeScan usano la scansione Smart Scan, viene visualizzata una delle icone elencate di seguito. Tabella 14-5. Icone Smart Scan Icona 14-34 Connessio ne al server OfficeSca n Disponibilità di origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Online Disponibili Funzionante Attivato Online Disponibili Funzionante Disattivato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Offline Disponibili Funzionante Attivato Offline Disponibili Funzionante Disattivata Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Gestione dell'agente OfficeScan Icona Connessio ne al server OfficeSca n Disponibilità di origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Roaming Disponibili Funzionante Attivato Roaming Disponibili Funzionante Disattivata Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Icone scansione convenzionale Quando gli Agenti OfficeScan usano la scansione convenzionale, viene visualizzata una delle seguenti icone. 14-35 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Tabella 14-6. Icone scansione convenzionale Icona 14-36 Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Online Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Attivato Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Online Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Disattivata Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Obsoleto Gestione dell'agente OfficeScan Icona Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Attivato Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto 14-37 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Icona 14-38 Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Offline Disponibili Funzionante Disattivata Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Disattivata Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Obsoleto Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Gestione dell'agente OfficeScan Icona Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Roaming Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Attivato Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Roaming Disponibili Funzionante Disattivata Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Disattivata Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivata Obsoleto 14-39 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Icona 14-40 Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Aggiornato o leggermente non aggiornato Gestione dell'agente OfficeScan Icona Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Aggiornato o leggermente non aggiornato 14-41 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Icona 14-42 Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Aggiornato o leggermente non aggiornato Gestione dell'agente OfficeScan Icona Connes sione al server OfficeS can Servizi di reputazione Web forniti dalle origini Smart Protection Servizio scansione in tempo reale Scansione in tempo reale Pattern dei virus Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivata Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan Se l'icona dell'Agente OfficeScan indica una delle seguenti condizioni, eseguire le azioni necessarie: Condizione Il file di pattern non è stato aggiornato recentemente Descrizione Gli utenti dell'Agente OfficeScan devono aggiornare i componenti. Dalla console Web, configurare le impostazioni di aggiornamento dei componenti in Aggiornamenti > Agenti > Aggiornamento automatico oppure concedere agli utenti il privilegio di aggiornamento in Agenti > Gestione agente > Impostazioni > Privilegi altre impostazioni > scheda Privilegi > Aggiornamenti dei componenti. 14-43 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Condizione Descrizione Servizio scansione in tempo reale è stato disattivato o non è funzionante Se Servizio scansione in tempo reale (Scansione in tempo reale OfficeScan NT) è stato disattivato o non è funzionante, gli utenti devono avviare il servizio manualmente da Microsoft Management Console. Scansione in tempo reale disattivata Attivare la scansione in tempo reale dalla console Web (Agenti > Gestione agente > Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale). La scansione in tempo reale è stata disattivata e l'Agente OfficeScan è in modalità roaming. Gli utenti devono disattivare la modalità roaming. Dopo aver disattivato la modalità roaming, attivare la scansione in tempo reale dalla console Web. L'Agente OfficeScan è connesso alla rete ma risulta offline. Verificare la connessione tramite la console Web (Agenti > Verifica connessione), quindi controllare i registri di verifica della connessione (Registri > Agenti > Registri di verifica connessione). Se dopo la verifica, l'Agente OfficeScan è ancora offline: 14-44 1. Se lo stato della connessione è offline sia nel server che nell'Agente OfficeScan, verificare la connessione di rete. 2. Se lo stato della connessione dell'Agente OfficeScan è offline ma online sul server, il nome di dominio del server potrebbe essere stato modificato e l'Agente OfficeScan continua a collegarsi al server usando il nome di dominio (se è stato selezionato il nome di dominio durante l'installazione del server). Registrare il nome di dominio del server OfficeScan nel server DNS o WINS o aggiungere il nome di dominio e le informazioni IP nei file "host" della cartella <Cartella Windows> \system32\drivers\ecc. del dispositivo agente. 3. Se lo stato della connessione dell'Agente OfficeScan è online ma offline sul server, verificare le impostazioni del firewall OfficeScan. Il firewall potrebbe bloccare la comunicazione dal server all'agente, ma consentire quella dall'agente al server. 4. Se lo stato della connessione dell'Agente OfficeScan è online ma offline sul server, è possibile che l'indirizzo IP dell'Agente OfficeScan sia stato modificato, ma che il suo stato non sia Gestione dell'agente OfficeScan Condizione Descrizione aggiornato sul server (ad esempio, al caricamento dell'agente). Provare a implementare di nuovo l'Agente OfficeScan. Origini Smart Protection non disponibili Se l'agente perde la connessione alle origini Smart Protection, effettuare queste operazioni: 1. 2. 3. 4. Nella console Web, accedere alla schermata Posizione dispositivo (Agenti > Posizione dispositivo) e controllare se sono state configurate correttamente le seguenti impostazioni della posizione del dispositivo: • Server di riferimento e numeri di porta • Indirizzi IP gateway Nella console Web, accedere alla schermata Origine Smart Protection (Amministrazione > Smart Protection > Origini Smart Protection) quindi effettuare le seguenti operazioni: a. Verificare se le impostazioni dello Smart Protection Server nell'elenco standard o personalizzato delle origini sono corrette. b. Verificare se la connessione ai server riesce. c. Fare clic su Invia una notifica tutti gli agenti dopo aver configurato l'elenco delle origini. Verificare che i seguenti file di configurazione presenti in Smart Protection Server e nell'Agente OfficeScan siano sincronizzati: • sscfg.ini • ssnotify.ini Aprire l'editor del Registro di sistema e verificare che l'agente sia connesso alla rete aziendale. Chiave: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\iCRC Scan\Scan Server 14-45 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Condizione Descrizione • Se LocationProfile=1, l'Agente OfficeScan è connesso alla rete e dovrebbe essere in grado di collegarsi a Smart Protection Server. • Se LocationProfile=2, l'Agente OfficeScan non è connesso alla rete e dovrebbe connettersi a Smart Protection Network. Da Internet Explorer, verificare se il dispositivo Agente OfficeScan è in grado di accedere alle pagine Web su Internet. 5. Verificare le impostazioni del proxy interno ed esterno utilizzate per connettersi a Smart Protection Network e agli Smart Protection Server. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-53 e Proxy esterno per gli agenti OfficeScan a pagina 14-55. 6. Per gli agenti con scansione convenzionale che eseguono Windows XP, Vista, Server 2003 e Server 2008, verificare che OfficeScan NT Proxy Service (TmProxy.exe) sia in esecuzione. Se questo servizio viene interrotto, gli agenti non sono in grado di connettersi alle origini Smart Protection per la reputazione Web. Per gli agenti con scansione convenzionale che eseguono Windows 7, Server 2012 e versioni successive, verificare che il driver tmusa sia in esecuzione. Se questo driver viene interrotto, gli agenti non sono in grado di connettersi alle origini Smart Protection per la reputazione Web. 14-46 Gestione dell'agente OfficeScan Verifica della connessione agente server Lo stato della connessione dell'agente con il server OfficeScan viene visualizzato nella struttura agente della console Web OfficeScan. Figura 14-2. Nella struttura agente viene visualizzato lo stato della connessione dell'agente con il server OfficeScan Alcune condizioni potrebbero impedire alla struttura agente di visualizzare correttamente lo stato della connessione dell'agente. Se, ad esempio, il cavo di rete del dispositivo agente viene involontariamente scollegato, l'agente non sarà in grado di notificare al server di essere offline. Questo agente verrà pertanto visualizzato ancora come online nella struttura agente. Verificare la connessione agente server manualmente o eseguire la verifica pianificata mediante OfficeScan. Non è possibile verificare lo stato della connessione di domini o agenti specifici dopo averli selezionati. OfficeScan verifica lo stato della connessione di tutti gli agenti registrati. Verifica delle connessioni agente-server Procedura 1. Accedere a Agenti > Verifica connessione. 2. Per verificare la connessione agente-server manualmente, accedere alla scheda Verifica manuale e fare clic su Verifica ora. 14-47 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 3. 4. Per verificare la connessione agente-server automaticamente, accedere alla scheda Verifica pianificata. a. Selezionare Attiva la verifica pianificata. b. Selezionare la frequenza e l'ora di inizio della verifica. c. Fare clic su Salva per salvare la pianificazione della verifica. Controllare la struttura agente per verificare lo stato o visualizzare i registri di verifica della connessione. Registri di verifica connessione OfficeScan mantiene dei registri di verifica della connessione per consentire di determinare se il server OfficeScan è in grado di comunicare con tutti gli agenti registrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica della connessione agente server dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-39. Visualizzazione dei registri di verifica connessione Procedura 1. Accedere a Registri > Agenti > Registri di verifica connessione. 2. I risultati della verifica della connessione sono contenuti all'interno della colonna Stato. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. 14-48 Gestione dell'agente OfficeScan Agenti non raggiungibili Gli Agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti di rete dietro un gateway NAT, sono quasi sempre offline perché il server non riesce a stabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in grado di inviare notifiche agli agenti per: • Scaricare la versione più recente dei componenti. • Applicare le impostazioni dell'agente configurate dalla console Web. Ad esempio, quando si modifica la frequenza della Scansione pianificata dalla console Web, il server invia immediatamente una notifica agli agenti per applicare la nuova impostazione. Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attività tempestivamente. Eseguono queste attività solo quando si connettono al server, ovvero quando: • Eseguono la registrazione sul server dopo l'installazione. • Eseguono il riavvio o il ricaricamento. Questo evento non si verifica frequentemente e in genere richiede l'intervento dell'utente. • L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questo evento non si verifica frequentemente. Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettività degli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado di stabilire una connessione con gli agenti, il server cambia immediatamente lo stato su offline. OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere i problemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il server interrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifiche delle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa dell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno di questi eventi, il server considera gli agenti come online. 14-49 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Eventi iniziati dall'Agente e non correlati a heartbeat e polling del server, come l'aggiornamento manuale dell'agente e l'invio del registro, non determinano l'aggiornamento dello stato degli agenti non raggiungibili da parte del server. Heartbeat Gli Agenti OfficeScan inviano messaggi heartbeat per notificare al server che la connessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il server considera l'agente come online. Nella struttura agente, lo stato dell'agente può essere uno dei seguenti: • Online: per gli agenti online normali • Non raggiungibile/Online: per gli agenti online nella rete non raggiungibile Nota Gli Agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioni quando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazioni durante gli aggiornamenti di routine (consultare Aggiornamenti dell'agente OfficeScan a pagina 6-30). Gli agenti nella rete non raggiungibile eseguono queste operazioni durante il polling del server. La funzione di heartbeat consente di risolvere il problema degli Agenti OfficeScan nelle reti non raggiungibili che risultano sempre offline, anche quando in realtà sono in grado di connettersi al server. Un'impostazione nella console Web controlla la frequenza di invio dei messaggi di heartbeat da parte degli agenti. Se non riceve heartbeat, il server non considera immediatamente l'agente come offline. Un'altra impostazione controlla il periodo di tempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su: • Offline: per gli Agenti OfficeScan offline normali • Non raggiungibile/Offline: per gli Agenti OfficeScan offline nella rete non raggiungibile Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giusto compromesso tra l'esigenza di visualizzare le informazioni di stato dell'agente aggiornate 14-50 Gestione dell'agente OfficeScan e le esigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguata per la maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazione dell'heartbeat, tenere conto di quanto segue: Tabella 14-7. Impostazioni consigliate per Heartbeat Frequenza Heartbeat Raccomandazione Intervalli di heartbeat lunghi (maggiori di 60 minuti) Più lungo è l'intervallo tra gli heartbeat, maggiore è il numero di eventi che possono verificarsi prima che il server aggiorni lo stato dell'agente nella console Web. Intervalli di Heartbeat brevi (minori di 60 minuti) Intervalli di tempo brevi consentono di mantenere lo stato dell'agente più aggiornato, ma richiedono un maggiore utilizzo dell'ampiezza di banda. Polling del server La funzione di polling del server consente di risolvere il problema degli Agenti OfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agli aggiornamenti dei componenti e alle modifiche alle impostazioni dell'agente. Questa funzione è indipendente dalla funzione di heartbeat. Con la funzione di polling del server: • Gli Agenti OfficeScan avviano automaticamente la connessione con il server OfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling, considera l'agente come "Non raggiungibile/Online". • Gli Agenti OfficeScan si connettono a una o più delle rispettive origini aggiornamenti per scaricare eventuali componenti aggiornati e applicare nuove impostazioni per l'agente. Se l'origine aggiornamenti principale è il server OfficeScan o un Update Agent, gli agenti ottengono sia i componenti che le nuove impostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un Update Agent, gli agenti possono scaricare solo i componenti aggiornati e devono connettersi al server OfficeScan o all'Update Agent per ottenere le nuove impostazioni. 14-51 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione di heartbeat e funzioni di polling del server Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Rete non raggiungibile. 3. Configurare le impostazioni del polling del server. Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina 14-51. a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibile digitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza. Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure un prefisso IPv6 e la lunghezza se il server è un IPv6 puro. Quando l'indirizzo IP di un agente corrisponde a un indirizzo IP dell'intervallo, l'agente applica le impostazioni relative al polling e all'heartbeat del server e considera l'agente come appartenente alla rete non raggiungibile. Nota Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a un server OfficeScan dual-stack. Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a un server OfficeScan dual-stack. Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4 puro o IPv6 puro. b. In Gli agenti eseguono il polling del server per le impostazioni e i componenti aggiornati ogni __ minuti, specificare la frequenza del polling del server. Digitare un valore compreso tra 1 e 129600 minuti. Suggerimento Trend Micro consiglia di impostare una frequenza di polling del server almeno tre volte superiore alla frequenza di invio di heartbeat. 14-52 Gestione dell'agente OfficeScan 4. Configurare le impostazioni Heartbeat. Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 14-50. 5. a. Selezionare Consenti agli agenti di inviare heartbeat al server. b. Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile. c. In Gli agenti inviano heartbeat ogni __ minuti, specificare la frequenza con la quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e 129600 minuti. d. In L'agente è offline se non c'è heartbeat dopo __ minuti, specificare l'intervallo di tempo che deve trascorrere senza un heartbeat prima che il server OfficeScan consideri un agente come offline. Digitare un valore compreso tra 1 e 129600 minuti. Fare clic su Salva. Impostazioni proxy dell'Agente OfficeScan Configurare gli Agenti OfficeScan per utilizzare le impostazioni proxy durante la connessione a server interni ed esterni. Proxy interno per gli agenti OfficeScan Gli Agenti OfficeScan possono utilizzare le impostazioni del proxy interno per connettersi ai server seguenti presenti in rete: • Server OfficeScan Il computer server ospita il server OfficeScan e Integrated Smart Protection Server. Gli Agenti OfficeScan si connettono al server OfficeScan per aggiornare i componenti, ottenere le impostazioni di configurazione e inviare i registri. Agenti OfficeScan si connette a Integrated Smart Protection Server per inviare query di scansione. • Smart Protection Server 14-53 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Gli Smart Protection Server comprendono gli Smart Protection Server standalone e Integrated Smart Protection Server di altri server OfficeScan. Gli Agenti OfficeScan si connettono ai server per inviare query di scansione e di reputazione Web. Configurazione delle impostazioni del proxy interno Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy interno. 3. Accedere alla sezione Connessione dell'agente al server OfficeScan. a. Selezionare Utilizzare le seguenti impostazioni proxy quando gli agenti sono connessi al server OfficeScan. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. Nota Specificare un server proxy dual-stack identificato tramite il nome host se si utilizzano agenti IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti, impostazioni globali. Se si specifica un indirizzo IPv4, gli agenti IPv6 non possono collegarsi al server proxy. Lo stesso vale per gli agenti IPv4. c. 4. 14-54 Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Accedere alla sezione Connessione dell'agente con i Smart Protection Server standalone. a. Selezionare Utilizzare le seguenti impostazioni del proxy quando gli agenti sono collegati ai Smart Protection Server standalone. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. Gestione dell'agente OfficeScan c. 5. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Fare clic su Salva. Proxy esterno per gli agenti OfficeScan Il server OfficeScan e l'Agente OfficeScan possono utilizzare le impostazioni del proxy esterno durante la connessione ai server ospitati da Trend Micro. In questa parte vengono illustrate le impostazioni del proxy esterno per gli agenti. Per informazioni sulle impostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del server OfficeScan a pagina 6-22. Per connettersi a Trend Micro Smart Protection Network, gli Agenti OfficeScan utilizzano le impostazioni proxy configurate in Internet Explorer o Chrome. Se è richiesta l'autenticazione del server proxy, gli agenti utilizzano le credenziali di autenticazione del server proxy (ID utente e password). Configurazione delle credenziali di autenticazione del server proxy Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy esterno. 3. Accedere alla sezione Connessione dell'agente OfficeScan con i server Trend Micro. 4. Inserire ID utente e password per l'autenticazione del server proxy. I protocolli di autenticazione proxy riportati di seguito sono supportati: • Autenticazione con accesso di base • Autenticazione con accesso digest • Autenticazione integrata di Windows 14-55 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 5. Fare clic su Salva. Privilegi di configurazione del proxy per gli agenti È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy. Gli Agenti OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo nei seguenti casi: • Quando gli Agenti OfficeScan effettuano l'operazione "Aggiorna ora". • Quando gli utenti disattivano le impostazioni automatiche del proxy oppure l'Agente OfficeScan non è in grado di rilevarle. Consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-57 per ulteriori informazioni. AVVERTENZA! Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie impostazioni proxy. Concessione dei privilegi di configurazione del proxy Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Impostazioni proxy. 5. Selezionare Consente di configurare le impostazioni proxy. 14-56 ) per Gestione dell'agente OfficeScan 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni proxy automatiche per l'agente OfficeScan La configurazione manuale delle impostazioni proxy può rivelarsi un'operazione complessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'intervento dell'utente. Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principali quando gli Agenti OfficeScan aggiornano i componenti attraverso l'aggiornamento automatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico o su Aggiorna ora, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. Se gli Agenti OfficeScan non riescono a connettersi utilizzando le impostazioni proxy automatiche, gli utenti dell'agente con il privilegio di configurazione delle impostazioni proxy possono utilizzare le impostazioni proxy configurate dall'utente. Altrimenti, la connessione attraverso le impostazioni proxy automatiche non riuscirà. Nota Autenticazione proxy non supportata. 14-57 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Configurazione delle impostazioni automatiche del proxy Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Configurazione proxy. 3. Selezionare Rileva automaticamente le impostazioni per consentire a OfficeScan di rilevare automaticamente le impostazioni proxy configurate dall'amministratore tramite DHCP o DNS. 4. Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration) impostato dall'amministratore di rete per rilevare il server proxy appropriato: 5. a. Selezionare Usa lo script di configurazione automatica. b. Digitare l'indirizzo dello script PAC. Fare clic su Salva. Visualizzazione delle informazioni sull'agente OfficeScan La schermata Visualizza stato mostra importanti informazioni sugli Agenti OfficeScan, come privilegi, informazioni sul software dell'agente ed eventi di sistema. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Stato. 14-58 ) per Gestione dell'agente OfficeScan 4. Visualizzare le informazioni di stato espandendo il nome del dispositivo agente. Se sono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare le informazioni di stato di tutti gli agenti selezionati. 5. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischi per la sicurezza. Importazione ed esportazione delle impostazioni degli agenti OfficeScan consente di esportare le impostazioni della struttura agente che un Agente OfficeScan o dominio specifico applica a un file. Il file può quindi essere importato per applicare le impostazioni ad altri agenti o domini oppure a un altro server OfficeScan della stessa versione. Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delle impostazioni di Update Agent. Esportazione delle impostazioni dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Esporta impostazioni. 4. Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'Agente OfficeScan o del dominio selezionato. 5. Fare clic su Esporta per salvare le impostazioni. ) per Le impostazioni vengono salvate in un file .dat. 14-59 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 6. Fare clic su Salva e specificare la posizione in cui salvare il file .dat. 7. Fare clic su Salva. Importazione delle impostazioni dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio principale (root) ( includere tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Importa impostazioni. 4. Fare clic su Sfoglia per individuare il file .dat nel dispositivo, quindi fare clic su Importa. ) per Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogo delle impostazioni. 5. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni di scansione o dei privilegi da importare. 6. Importare le impostazioni. • Se è stata selezionata l'icona del dominio principale, selezionare Applica a tutti i domini, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati i domini, selezionare Applica a tutti i computer che appartengono ai domini selezionati, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati più agenti, fare clic su Applica alla destinazione. Conformità sicurezza Utilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione e mantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempi 14-60 Gestione dell'agente OfficeScan richiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibro tra sicurezza e funzionalità. La conformità di sicurezza può essere forzata sui due tipi di dispositivi riportati di seguito: • Gestiti: Dispositivo con Agenti OfficeScan gestiti dal server OfficeScan. Per i dettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-61. • Non gestiti: comprende i seguenti elementi: • Agenti OfficeScan non gestiti dal server OfficeScan • Dispositivo senza Agenti OfficeScan installati • Dispositivo non raggiungibili dal server OfficeScan • Dispositivo il cui stato di sicurezza non può essere verificato Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-73. Conformità sicurezza per gli agenti gestiti Conformità sicurezza genera una Segnalazione conformità che facilita la valutazione dello stato di sicurezza degli Agenti OfficeScan gestiti dal server OfficeScan. Conformità sicurezza genera la segnalazione su richiesta o secondo un programma. Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate di seguito: • Servizi: usare questa scheda per verificare che i servizi dell'agente siano funzionanti. Per i dettagli, consultare Servizi a pagina 14-62. • Componenti: usare questa scheda per verificare che i componenti degli Agenti OfficeScan siano aggiornati. Per i dettagli, consultare Componenti a pagina 14-64. • Compatibilità scansione: usare questa scheda per verificare che gli Agenti OfficeScan eseguano regolarmente le scansioni. Per i dettagli, consultare Compatibilità scansione a pagina 14-65. 14-61 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 • Impostazioni: usare questa scheda per verificare che le impostazioni dell'agente siano coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina 14-67. Nota La scheda Componenti può visualizzare gli Agenti OfficeScan in cui è installata la versione corrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo gli Agenti OfficeScan con la versione 10.5, 10.6 o gli Agenti OfficeScan. Note su Segnalazione conformità • Conformità sicurezza verifica lo stato di connessione degli Agenti OfficeScan prima di generare una Segnalazione conformità. Nella segnalazione, include gli agenti online e offline ma non gli agenti in roaming. • Per account utente basati sui ruoli: • Ciascun account utente della console Web dispone di un insieme completamente indipendente di impostazioni Segnalazione conformità. Eventuali modifiche alle impostazioni Segnalazione conformità di un account utente non hanno effetto sulle impostazioni degli altri account utente. • L'ambito della segnalazione dipende dalle autorizzazioni di dominio dell'agente per l'account utente. Se, ad esempio, si assegnano a un account utente autorizzazioni per gestire i domini A e B, le segnalazioni dell'account utente mostrano solo i dati degli agenti che appartengono ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 13-3. Servizi Conformità sicurezza controlla se i seguenti servizi dell'Agente OfficeScan sono funzionanti: • Antivirus • Anti-spyware 14-62 Gestione dell'agente OfficeScan • Firewall • Reputazione Web • Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizio prevenzione modifiche non autorizzate di Trend Micro) • Protezione dati • Connessione sospetta Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. Figura 14-3. Segnalazione conformità - scheda Servizi • Nella categoria Dispositivo con servizi non conformi • Nella categoria per la quale l'Agente OfficeScan non è conforme. Se, ad esempio, il servizio Antivirus dell'Agente OfficeScan non è funzionante, l'agente viene contato nella categoria Antivirus. Se più servizi non sono funzionanti, l'agente viene contato in ciascuna categoria per la quale non è conforme. 14-63 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Riavviare i servizi non funzionanti dalla console Web o dall'Agente OfficeScan. Se i servizi sono funzionanti dopo il riavvio, l'agente non viene più visualizzato come non conforme nella valutazione successiva. Componenti Conformità sicurezza consente di determinare le incoerenze delle versioni dei componenti tra il server OfficeScan e gli Agenti OfficeScan. In genere le incoerenze si verificano quando gli agenti non riescono a connettersi al server per aggiornare i componenti. Se l'agente ottiene gli aggiornamenti da un'altra origine (ad esempio, dal server ActiveUpdate di Trend Micro), è possibile che la versione di un componente dell'agente sia più recente rispetto alla versione del server. Conformità sicurezza controlla i seguenti componenti: • Smart Scan Agent Pattern • Servizio principale monitoraggio del comportamento • Pattern dei virus • Pattern IntelliTrap • Pattern di configurazione monitoraggio del comportamento • Pattern eccezioni IntelliTrap • Digital Signature Pattern • Motore di scansione virus • Pattern implementazione dei criteri • Pattern spyware • Pattern rilevamento monitoraggio del comportamento • Pattern di monitoraggio attivo spyware • Elenco IP C&C globale • Motore di scansione spyware • Pattern regola di pertinenza • Modello disinfezione virus • Driver preliminare cleanup • Motore di disinfezione virus • Pattern avvio scansione memoria • Pattern comune firewall • Pattern ispezione memoria • Driver comune Firewall • Pattern prevenzione minaccia browser • Driver monitoraggio del comportamento • Pattern Script Analyzer • Versione del programma 14-64 Gestione dell'agente OfficeScan Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. Figura 14-4. Segnalazione conformità - scheda Componenti • Nella categoria Dispositivo con versioni componenti non conformi • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, la versione di Pattern agente Smart Scan dell'agente è diversa da quella del server, l'agente viene contato nella categoria Pattern agente Smart Scan. In caso di più versioni dei componenti non coerenti, l'agente viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze nelle versioni dei componenti, aggiornare i componenti obsoleti degli agenti o del server. Compatibilità scansione Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificata vengono eseguite regolarmente e se vengono completate in tempi ragionevoli. 14-65 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Nota Conformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansione pianificata è attivata sugli agenti. Conformità sicurezza usa i seguenti parametri di compatibilità scansione: • Non è stata eseguita l'opzione Esegui scansione o Scansione pianificata negli ultimi (x) giorni: l'Agente OfficeScan non è conforme se non ha eseguito Esegui scansione o Scansione pianificata nell'arco del numero di giorni specificato. • Durata di Esegui scansione o Scansione pianificata superata (x) ore: l'Agente OfficeScan non è conforme se l'ultima operazione Esegui scansione o Scansione pianificata è durata oltre il numero di ore specificato. Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. Figura 14-5. Segnalazione conformità - scheda Compatibilità scansione • 14-66 Nella categoria Dispositivo con scansioni non aggiornate Gestione dell'agente OfficeScan • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, l'ultima Scansione pianificata è durata più del numero di ore specificato, l'agente viene contato nella categoria Durata di Esegui scansione o Scansione pianificata superata <x> ore. Se l'agente soddisfa più di un parametro di compatibilità scansione, viene contato in ciascuna categoria per la quale non è conforme. Eseguire le funzioni Esegui scansione o Scansione pianificata su agenti che non hanno effettuato operazioni di scansione o che non sono stati in grado di completare la scansione. Impostazioni Conformità sicurezza consente di determinare se gli agenti e i relativi domini principali nella struttura agente hanno le stesse impostazioni. Le impostazioni potrebbero essere diverse se si trasferisce un agente a un altro dominio che applica un insieme di impostazioni diverso oppure se un utente dell'agente con privilegi particolari configura manualmente le impostazioni nella console dell'Agente OfficeScan. OfficeScan verifica le impostazioni riportate di seguito: • Metodo di scansione • Reputazione Web • Impostazioni scansione manuale • Monitoraggio del comportamento • Impostazioni scansione in tempo reale • Controllo dispositivo • Impostazioni scansione pianificata • Elenco Approvati spyware/grayware • Impostazioni funzione Esegui scansione • Impostazioni di Prevenzione perdita di dati • Privilegi e altre impostazioni • Connessione sospetta • Impostazioni aggiuntive del servizio • Elenco Programmi affidabili 14-67 Guida per l'amministratore della patch critica di OfficeScan 11.0 SP1 Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. Figura 14-6. Segnalazione conformità - scheda Impostazioni • Nella categoria Dispositivo con impostazioni di configurazione non conformi • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, le impostazioni del metodo di scansione nell'agente e nel relativo dominio root non sono coerenti, l'agente viene contato nella categoria Metodo di scansione. Se più di un gruppo di impostazioni non è coerente, l'agente viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze di impostazione, applicare all'agente le impostazioni del dominio. Segnalazioni conformità su richiesta Conformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazioni facilitano la valutazione dello stato di sicurezza degli Agenti OfficeScan gestiti dal server OfficeScan. 14-68 Gestione dell'agente OfficeScan Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gli agenti gestiti a pagina 14-61. Generazione di una segnalazione di conformità su richiesta Procedura 1. Accedere a Valutazione > Conformità sicurezza > Segnalazione manuale. 2. Accedere alla sezione Ambito della struttura agente. 3.