Podręcznik produktu. McAfee Endpoint Security 10.2

Transkrypt

1 Podręcznik produktu McAfee Endpoint Security 10.2

2 PRAWA AUTORSKIE 2016 Intel Corporation ZNAKI TOWAROWE Intel i logo Intel są zarejestrowanymi znakami towarowymi firmy Intel Corporation w USA i/lub innych krajach. McAfee, logo McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure są znakami towarowymi lub zarejestrowanymi znakami towarowymi należącymi do firmy McAfee, Inc. lub firm od niej zależnych w USA i innych państwach. Inne nazwy i marki mogą stanowić własność odpowiednich firm. INFORMACJE O LICENCJI Umowa licencyjna INFORMACJA DLA UŻYTKOWNIKÓW: NALEŻY DOKŁADNIE ZAPOZNAĆ SIĘ Z DOKUMENTEM UMOWY ODPOWIADAJĄCYM ZAKUPIONEJ LICENCJI. UMOWA TA OKREŚLA OGÓLNE WARUNKI UŻYTKOWANIA OPROGRAMOWANIA LICENCJONOWANEGO. W RAZIE WĄTPLIWOŚCI CO DO TYPU ZAKUPIONEJ LICENCJI NALEŻY POSZUKAĆ OPISU W DOWODZIE SPRZEDAŻY, DOWODZIE PRZYZNANIA LICENCJI, FORMULARZU ZAMÓWIENIA LUB INNEJ DOKUMENTACJI ZAŁĄCZONEJ DO PAKIETU OPROGRAMOWANIA LUB OTRZYMANEJ OSOBNO W RAMACH ZAKUPU (W POSTACI BROSZURY, PLIKU NA PŁYCIE PRODUKTU LUB PLIKU DOSTĘPNEGO NA WITRYNIE INTERNETOWEJ, Z KTÓREJ POBRANE ZOSTAŁO OPROGRAMOWANIE). JEŚLI UŻYTKOWNIK NIE AKCEPTUJE KTÓREGOKOLWIEK Z WARUNKÓW UMOWY LICENCYJNEJ, NIE POWINIEN INSTALOWAĆ OPROGRAMOWANIA. W TAKIM WYPADKU MOŻE ON ZWRÓCIĆ PRODUKT DO FIRMY MCAFEE LUB MIEJSCA ZAKUPU, GDZIE OTRZYMA ZWROT OPŁATY LICENCYJNEJ W PEŁNEJ WYSOKOŚCI. 2 McAfee Endpoint Security 10.2 Podręcznik produktu

3 Spis treści McAfee Endpoint Security 7 1 Wprowadzenie 9 Moduły programu Endpoint Security Jak program Endpoint Security zapewnia ochronę komputera Mechanizm aktualizacji ochrony Interakcja z programem Endpoint Security Uzyskiwanie dostępu do zadań programu Endpoint Security z poziomu ikony McAfee w zasobniku systemowym Informacje o komunikatach powiadomień Informacje o Klient Endpoint Security Korzystanie z modułu Klient Endpoint Security 19 Otwieranie programu Klient Endpoint Security Uzyskaj pomoc Reagowanie na monity Reagowanie na monit o wykryciu zagrożenia Reagowanie na monit o skanowaniu Reagowanie na monit dotyczący reputacji pliku Uzyskiwanie informacji o ochronie Typy zarządzania Ręczna aktualizacja ochrony i oprogramowania Aktualizowane elementy Wyświetl zawartość pliku dziennika zdarzeń Nazwy i położenie plików dziennika Endpoint Security Zarządzanie Endpoint Security Logowanie jako administrator Odblokowywanie interfejsu klienta Wyłączanie i włączanie funkcji Zmień wersję zawartości AMCore Użyj plików Extra.DAT Konfiguruj ogólne ustawienia skanowania Konfigurowanie działania aktualizacji Informacje o interfejsie klienta Wspólne Strona Plik dziennika zdarzeń Moduł Wspólne Opcje Moduł Wspólne Zadania Korzystanie z modułu Zapobieganie zagrożeniom 59 Skanowanie komputera w poszukiwaniu złośliwego oprogramowania Typy skanowania Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie Skanowanie pliku lub folderu Zarządzanie wykryciami zagrożeń Zarządzanie elementami poddanymi kwarantannie McAfee Endpoint Security 10.2 Podręcznik produktu 3

4 Spis treści Nazwy wykrycia Ponowne skanowanie elementów poddanych kwarantannie Zarządzanie modułem Zapobieganie zagrożeniom Konfigurowanie wykluczeń Ochrona punktów dostępu systemu Blokowanie wykorzystywania luk w zabezpieczeniach na skutek przepełnienia bufora Wykrywanie potencjalnie niepożądanych programów Konfiguracja ogólnych ustawień skanowania Jak działa usługa McAfee GTI Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco Konfigurowanie ustawień zasad skanowania na żądanie Konfigurowanie, planowanie i uruchamianie zadań skanowania Informacje o interfejsie klienta Zapobieganie zagrożeniom Strona Kwarantanna Zapobieganie zagrożeniom Ochrona dostępu Zapobieganie zagrożeniom Zapobieganie wykorzystaniu luk w zabezpieczeniach Zapobieganie zagrożeniom Skanowanie na bieżąco Zapobieganie zagrożeniom Skanowanie na żądanie Skanowane lokalizacje McAfee GTI Akcje Dodaj wykluczenie lub Edytuj wykluczenie Zapobieganie zagrożeniom Opcje Wycofaj zawartość AMCore Używanie modułu Zapora 129 Jak działa usługa Zapora Włączanie i wyłączanie Zapora za pomocą ikony McAfee w zasobniku systemowym Włączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym Informacje o grupach czasowych Zarządzanie zaporą Zapora Modyfikowanie opcji zapory Zapora Konfiguracja reguł i grup zapory Zapora Informacje o interfejsie klienta Zapora Zapora Opcje Zapora Reguły Używanie modułu Kontrola zagrożeń sieciowych 159 Informacje o funkcjach modułu Kontrola zagrożeń sieciowych Blokowanie witryn lub pobieranych plików i wyświetlanie ostrzeżeń przez moduł Kontrola zagrożeń sieciowych Wskazania zagrożeń za pomocą przycisku modułu Kontrola zagrożeń sieciowych podczas przeglądania witryn Ikony bezpieczeństwa wskazujące zagrożenia podczas wyszukiwania Szczegóły dostarczane w raportach o witrynie Jak tworzone są oceny bezpieczeństwa Dostęp do funkcji modułu Kontrola zagrożeń sieciowych Włączanie wtyczki Kontrola zagrożeń sieciowych w przeglądarce Wyświetlanie informacji dotyczących witryny podczas przeglądania Wyświetl raport o witrynie podczas wyszukiwania Zarządzanie modułem Kontrola zagrożeń sieciowych Konfigurowanie opcji modułu Kontrola zagrożeń sieciowych Określenie akcji oceny i blokowanie dostępu do witryn na podstawie kategorii witryn sieci Web Informacje o interfejsie klienta Kontrola zagrożeń sieciowych Kontrola zagrożeń sieciowych Opcje McAfee Endpoint Security 10.2 Podręcznik produktu

5 Spis treści Strona Kontrola zagrożeń sieciowych Akcje zawartości Używanie modułu Analiza zagrożeń 177 Jak działa moduł Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Analiza zagrożeń informacje Dynamiczne izolowanie aplikacji Konfiguracja opcji modułu Analiza zagrożeń Informacje o interfejsie klienta Analiza zagrożeń Analiza zagrożeń Dynamiczne izolowanie aplikacji Analiza zagrożeń Opcje Indeks 201 McAfee Endpoint Security 10.2 Podręcznik produktu 5

6 Spis treści 6 McAfee Endpoint Security 10.2 Podręcznik produktu

7 McAfee Endpoint Security Program McAfee Endpoint Security jest wszechstronnym rozwiązaniem do zarządzania zabezpieczeniami, które działa na komputerach sieciowych w celu automatycznego identyfikowania i blokowania zagrożeń. W tym dokumencie pomocy opisano sposoby korzystania z podstawowych funkcji zabezpieczeń i rozwiązywania problemów. Wprowadzenie Moduły programu Endpoint Security na stronie 9 Jak program Endpoint Security zapewnia ochronę komputera na stronie 10 Interakcja z programem Endpoint Security na stronie 12 Często wykonywane zadania Otwieranie programu Klient Endpoint Security na stronie 19 Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Skanowanie komputera w poszukiwaniu złośliwego oprogramowania na stronie 59 Odblokowywanie interfejsu klienta na stronie 29 Więcej informacji Aby uzyskać więcej informacji o tym produkcie, patrz: McAfee Endpoint Security Podręcznik instalacji Podręcznik migracji programu McAfee Endpoint Security Informacje o wydaniu McAfee Endpoint Security Pomoc modułu Zapobieganie zagrożeniom programu Endpoint Security Pomoc modułu Zapora programu Endpoint Security Pomoc modułu Kontrola zagrożeń sieciowych Endpoint Security Pomoc modułu Analiza zagrożeń programu Endpoint Security Pomoc techniczna firmy McAfee McAfee Endpoint Security 10.2 Podręcznik produktu 7

8 McAfee Endpoint Security 8 McAfee Endpoint Security 10.2 Podręcznik produktu

9 1 1 Wprowadzenie Program Endpoint Security jest wszechstronnym rozwiązaniem do zarządzania zabezpieczeniami, które działa na komputerach sieciowych w celu automatycznego identyfikowania i blokowania zagrożeń. W tym dokumencie pomocy opisano sposoby korzystania z podstawowych funkcji zabezpieczeń i rozwiązywania problemów. Jeżeli komputer jest zarządzany, administrator wprowadza ustawienia i konfiguruje program Endpoint Security, korzystając z jednego z następujących serwerów zarządzania: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Najnowsze informacje o licencji zarządzania Endpoint Security oraz o nabyciu praw można znaleźć w artykule KB Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Jeżeli komputer jest samozarządzający, użytkownik lub administrator konfiguruje oprogramowanie za pomocą programu Klient Endpoint Security. Spis treści Moduły programu Endpoint Security Jak program Endpoint Security zapewnia ochronę komputera Interakcja z programem Endpoint Security Moduły programu Endpoint Security Administrator może skonfigurować lub zainstalować jeden lub kilka modułów programu Endpoint Security na komputerach klienckich. Zapobieganie zagrożeniom umożliwia wykrywanie wirusów, oprogramowania szpiegującego, niepożądanych programów i innych zagrożeń przez skanowanie elementów automatycznie na bieżąco lub na żądanie w dowolnym momencie. Zapora umożliwia monitorowanie komunikacji między komputerem a zasobami w sieci i Internecie. Pozwala blokować potencjalnie niebezpieczny ruch. McAfee Endpoint Security 10.2 Podręcznik produktu 9

10 1 Wprowadzenie Jak program Endpoint Security zapewnia ochronę komputera Kontrola zagrożeń sieciowych umożliwia wyświetlanie ocen bezpieczeństwa i raportów dotyczących witryn sieci Web w trakcie przeglądania i wyszukiwania. Moduł Kontrola zagrożeń sieciowych pozwala administratorowi lokalizacji na blokowanie dostępu do witryn sieci Web na podstawie oceny bezpieczeństwa lub zawartości. Analiza zagrożeń zapewnia kontekstowe, adaptacyjne zabezpieczenia środowiska sieciowego. Produkt Analiza zagrożeń programu Endpoint Security jest opcjonalnym modułem programu Endpoint Security. Aby mieć dostęp do dodatkowych źródeł informacji o zagrożeniach i funkcji, należy wdrożyć serwer Threat Intelligence Exchange. Więcej informacji można uzyskać u sprzedawcy lub przedstawiciela handlowego. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Dodatkowo moduł Wspólne dostarcza ustawienia dla popularnych funkcji, takich jak bezpieczeństwo interfejsu i logowanie. Moduł ten jest instalowany automatycznie podczas instalowania dowolnego innego modułu. Jak program Endpoint Security zapewnia ochronę komputera Zwykle administrator konfiguruje program Endpoint Security, instaluje oprogramowanie na komputerach klienckich, monitoruje stan zabezpieczeń i konfiguruje reguły zabezpieczeń zwane zasadami. Użytkownik komputera klienckiego obsługuje program Endpoint Security za pomocą oprogramowania klienckiego zainstalowanego na komputerze. Zasady definiowane przez administratora umożliwiają określanie sposobu działania modułów i funkcji na komputerze użytkownika oraz to, czy można je modyfikować. Jeżeli program Endpoint Security jest samozarządzający, użytkownik może określić działanie modułów i funkcji. Aby określić typ zarządzania, wyświetl stronę Informacje. W celu aktualizacji oprogramowania klienckiego zainstalowanego na komputerze użytkownika regularnie nawiązywane jest połączenie z witryną w Internecie. Jednocześnie do serwera zarządzania wysyłane są dane dotyczące zagrożeń wykrytych na tym komputerze. Dane te są używane do generowania raportów przeznaczonych dla administratorów. W raportach uwzględniane są informacje o wykrytych zagrożeniach i problemach dotyczących bezpieczeństwa na komputerze użytkownika. Zwykle oprogramowanie klienckie działa w tle i nie są wymagane żadne działania ze strony użytkownika. Czasami jednak może być wymagane wykonanie określonych czynności. Na przykład można ręcznie sprawdzić dostępność aktualizacji lub przeskanować komputer w poszukiwaniu złośliwego oprogramowania. Użytkownik może też dostosowywać ustawienia zabezpieczeń, o ile administrator przyznał takie uprawnienia w zasadach. Jeżeli użytkownik jest administratorem, może centralnie konfigurować oprogramowanie klienckie i zarządzać nim za pomocą programu McAfee epo lub McAfee epo Cloud. Najnowsze informacje o licencji zarządzania Endpoint Security oraz o nabyciu praw można znaleźć w artykule KB Patrz także Uzyskiwanie informacji o ochronie na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

11 Wprowadzenie Jak program Endpoint Security zapewnia ochronę komputera 1 Mechanizm aktualizacji ochrony Dzięki regularnym aktualizacjom programu Endpoint Security komputer jest zawsze chroniony przed najnowszymi zagrożeniami. Aby przeprowadzić aktualizację, oprogramowanie klienckie łączy się z lokalnym lub zdalnym serwerem McAfee epo bądź bezpośrednio z lokalizacją w Internecie. W programie Endpoint Security sprawdzane są: Aktualizacje plików zawartości zazwyczaj wykrywają zagrożenia. W plikach zawartości znajdują się definicje zagrożeń, takich jak wirusy i oprogramowanie szpiegujące. Definicje te są aktualizowane po zidentyfikowaniu nowych zagrożeń. Uaktualnienia składników oprogramowania, takie jak łaty i poprawki HotFix. W ramach uproszczenia w niniejszej dokumentacji pomocy zarówno aktualizacje, jak i uaktualnienia są określane mianem aktualizacji. Aktualizacje zwykle są wykonywane automatycznie w tle. Konieczne może być również ręczne sprawdzenie dostępności aktualizacji. W zależności od ustawień można ręcznie dokonać aktualizacji w programie Klient Endpoint Security, klikając przycisk. Patrz także Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Działanie plików zawartości Podczas przeszukiwania plików przez aparat skanowania pod kątem zagrożeń zawartość skanowanych plików jest porównywana z informacjami o znanych zagrożeniach przechowywanymi w plikach zawartości AMCore. Funkcja Zapobieganie wykorzystaniu luk w zabezpieczeniach korzysta z własnych plików zawartości w celu ochrony przed wykorzystywaniem luk w zabezpieczeniach. Zawartość AMCore Zespół McAfee Labs stale poszukuje zagrożeń i dodaje informacje o znanych zagrożeniach (sygnatury) do plików zawartości. Dzięki sygnaturom w plikach zawartości znajdują się informacje dotyczące oczyszczania i przeciwdziałania uszkodzeniom, które może spowodować wykryty wirus. Jeśli w zainstalowanych plikach zawartości nie ma sygnatury wirusa, aparat skanowania nie może go wykryć i w rezultacie system pozostaje narażony na atak. Wciąż pojawiają się nowe zagrożenia. Zespół McAfee Labs wydaje aktualizacje aparatu i nowe pliki zawartości uwzględniające bieżące wyniki prowadzonych badań w zakresie zagrożeń codziennie ok. godziny 19:00 (GMT/UTC). W uzasadnionych przypadkach związanych z pojawieniem się nowych zagrożeń publikowane każdego dnia pliki zawartości AMCore mogą zostać udostępnione wcześniej lub w niektórych przypadkach z opóźnieniem. Aby otrzymywać alerty o opóźnieniach lub ważne powiadomienia, należy subskrybować usługę Support Notification Service (SNS). Więcej informacji można znaleźć w artykule bazy wiedzy KB Program Endpoint Security przechowuje aktualnie załadowany plik zawartości i dwie poprzednie wersje w folderze Files\Common Files\McAfee\Engine\content. Jeżeli będzie to wymagane można przywrócić poprzednią wersję. Jeśli zostanie zidentyfikowane nowe złośliwe oprogramowanie i niezbędna będzie dodatkowa aktualizacja plików zawartości wykraczająca poza harmonogram regularnych aktualizacji plików zawartości, zespół McAfee Labs wydaje plik Extra.DAT. Informacje na temat instalacji plików Extra.DAT zawiera system pomocy modułu Zapobieganie zagrożeniom. McAfee Endpoint Security 10.2 Podręcznik produktu 11

12 1 Wprowadzenie Interakcja z programem Endpoint Security Zawartość funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach Zawartość funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach obejmuje następujące elementy: Sygnatury ochrony pamięci ogólna ochrona przed przepełnieniem bufora (GBOP), weryfikacja modułu funkcji wywołującej, zapobieganie eskalacji uprawnień ogólnych i monitorowanie docelowego interfejsu API. Lista ochrony aplikacji procesy, które chroni funkcja Zapobieganie wykorzystaniu luk w zabezpieczeniach. Firma McAfee wydaje nowe pliki zawartości funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach raz w miesiącu. Zawartość Analiza zagrożeń Moduł Analiza zagrożeń zawiera reguły do dynamicznego obliczania poziomu reputacji plików i procesów w punktach końcowych. Firma McAfee udostępnia nowe pliki zawartości Analiza zagrożeń co dwa miesiące. Produkt Analiza zagrożeń programu Endpoint Security jest opcjonalnym modułem programu Endpoint Security. Aby mieć dostęp do dodatkowych źródeł informacji o zagrożeniach i funkcji, należy wdrożyć serwer Threat Intelligence Exchange. Więcej informacji można uzyskać u sprzedawcy lub przedstawiciela handlowego. Interakcja z programem Endpoint Security Program Endpoint Security zapewnia wizualne elementy do interakcji z Klient Endpoint Security. Ikona McAfee w zasobniku systemowym systemu Windows umożliwia uruchamianie Klient Endpoint Security i wyświetlenie stanu zabezpieczeń. Komunikaty powiadomień umożliwiają informowanie o wykryciu zagrożeń skanowania, nieautoryzowanego dostępu do zapory i plików o nieznanej reputacji oraz wyświetlanie monitów o wybór działania. Strona Skanowanie na bieżąco wyświetla listę wykryć zagrożenia, gdy skaner skanowania na bieżąco wykryje zagrożenie. Klient Endpoint Security umożliwia wyświetlanie bieżącego stanu ochrony i korzystanie z funkcji programu. W systemach zarządzanych administrator konfiguruje i przypisuje zasady określające wyświetlanie elementów. Patrz także Uzyskiwanie dostępu do zadań programu Endpoint Security z poziomu ikony McAfee w zasobniku systemowym na stronie 12 Informacje o komunikatach powiadomień na stronie 14 Zarządzanie wykryciami zagrożeń na stronie 63 Informacje o Klient Endpoint Security na stronie 14 Uzyskiwanie dostępu do zadań programu Endpoint Security z poziomu ikony McAfee w zasobniku systemowym Ikona McAfee w zasobniku systemowym Windows umożliwia uzyskanie dostępu do programu Klient Endpoint Security oraz wykonywanie podstawowych zadań. Dostępność ikony McAfee można określić w ustawieniach konfiguracyjnych. 12 McAfee Endpoint Security 10.2 Podręcznik produktu

13 Wprowadzenie Interakcja z programem Endpoint Security 1 Kliknij prawym przyciskiem myszy ikonę programu McAfee w zasobniku systemowym, aby uzyskać dostęp do poniższych opcji: Sprawdzanie stanu zabezpieczeń. Otwieranie programu Klient Endpoint Security. Ręczne aktualizowanie ochrony i oprogramowania. Wyłączanie i ponowne włączanie Zapora. Wybierz opcję Wyświetl status zabezpieczeń, aby wyświetlić stronę Stan zabezpieczeń programu McAfee. Wybierz opcję McAfee Endpoint Security. Wybierz opcję Aktualizuj zabezpieczenia. Z menu Ustawienia szybkie wybierz opcję Wyłącz zaporę Endpoint Security. Po wyłączeniu Zapora dostępna jest opcja Włącz zaporę Endpoint Security. Włączanie, wyłączanie lub wyświetlanie grup czasowych Zapora. Wybierz jedną z opcji z menu Ustawienia szybkie: Włącz grupy czasowe zapory służy do włączania grup czasowych na określony czas, co umożliwia uzyskiwanie dostępu do Internetu przed zastosowaniem reguł ograniczających dostęp. Gdy grupy czasowe są włączone, dostępna jest opcja Wyłącz grupy czasowe zapory. Po każdym wybraniu tej opcji czas, przez jaki grupa może być włączona, jest liczony od zera. W zależności od ustawień może być konieczne podanie administratorowi powodu włączenia grup czasowych. Wyświetl grupy czasowe zapory umożliwia wyświetlenie nazw grup czasowych i pozostałego czasu, przez jaki będą jeszcze aktywne. Opcje te mogą nie być dostępne w zależności od sposobu skonfigurowania ustawień. Sposób wskazywania stanu programu Endpoint Security przez ikonę Wygląd ikony zamienia się, aby wskazać status programu Endpoint Security. Przytrzymaj kursor nad ikoną, aby wyświetlić komunikat o statusie. Ikona Oznacza... Program Endpoint Security chroni system i nie występują żadne problemy. Program Endpoint Security wykrywa problem z zabezpieczeniem, taki jak wyłączenie modułu lub technologii. Zapora jest wyłączona. Moduł Zapobieganie zagrożeniom opcje Zapobieganie wykorzystaniu luk w zabezpieczeniach, Skanowanie na bieżąco lub ScriptScan są wyłączone. Program Endpoint Security zgłasza różne problemy w zależności od typu zarządzania. Systemy samozarządzające: Przynajmniej jedna technologia jest wyłączona. Przynajmniej jedna technologia nie odpowiada. Systemy zarządzane: Przynajmniej jedna technologia jest wyłączona, nie w wyniku wymuszenia zasad przez serwer zarządzania lub Klient Endpoint Security. Przynajmniej jedna technologia nie odpowiada. Po wykryciu problemu na stronie Stan zabezpieczeń programu McAfee wyświetlana jest informacja o wyłączonym module lub technologii. McAfee Endpoint Security 10.2 Podręcznik produktu 13

14 1 Wprowadzenie Interakcja z programem Endpoint Security Patrz także Aktualizowane elementy na stronie 24 Informacje o komunikatach powiadomień W programie Endpoint Security wykorzystywane są dwa typy komunikatów do powiadamiania użytkownika o problemach z ochroną lub do przesyłania monitu o wykonanie czynności. W zależności od konfiguracji ustawień niektóre komunikaty mogą nie być wyświetlane. Aby program Endpoint Security mógł wyświetlać komunikaty powiadomień, musi być uruchomiony proces McTray.exe. Z programu Endpoint Security wysyłane są dwa typy powiadomień: Alerty przez pięć sekund obok ikony McAfee wyświetlany jest dymek, który następnie znika. Alerty powiadamiają o wykrytych zagrożeniach, takich jak zdarzenia włamania do Zapora, lub o wstrzymaniu lub wznowieniu skanowania na żądanie. Nie jest wymagane wykonywanie żadnych czynności. Monity w dolnej części ekranu wyświetlana jest strona i pozostaje widoczna do czasu wybrania działania. Na przykład: Przed uruchomieniem zaplanowanego skanowania na żądanie przez program Endpoint Security może zostać wyświetlony monit o odłożeniu skanowania. Gdy skaner skanowania na bieżąco wykryje zagrożenie, program Endpoint Security może wyświetlić monit o odpowiedź na wykrycie. Po wykryciu pliku o nieznanej reputacji przez moduł Analiza zagrożeń program Endpoint Security może wyświetlić monit o zezwolenie na korzystanie z pliku lub zablokowanie go. W systemie Windows 8 i 10 stosowane są powiadomienia wyskakujące pojawiające się komunikaty zawierające zarówno alerty, jak i monity. Kliknij wyskakujące powiadomienie, aby wyświetlić je w trybie Desktop. Patrz także Reagowanie na monit o wykryciu zagrożenia na stronie 20 Reagowanie na monit o skanowaniu na stronie 21 Reagowanie na monit dotyczący reputacji pliku na stronie 22 Informacje o Klient Endpoint Security Klient Endpoint Security umożliwia sprawdzanie stanu ochrony i korzystanie z odpowiednich funkcji na komputerze. Polecenia z menu Akcja zapewniają dostęp do funkcji. Ustawienia Załaduj plik Extra.DAT Służy do konfigurowania ustawień funkcji. To polecenie menu jest dostępne, jeżeli spełniono którykolwiek z poniższych warunków: Opcja Tryb interfejsu klienta jest ustawiona na Pełny dostęp. Użytkownik jest zalogowany jako administrator. Pozwala na zainstalowanie pobranego pliku Extra.DAT. 14 McAfee Endpoint Security 10.2 Podręcznik produktu

15 Wprowadzenie Interakcja z programem Endpoint Security 1 Wycofaj zawartość AMCore Przywraca zawartość AMCore do poprzedniej wersji. To polecenie menu jest dostępne, jeżeli w systemie istnieje poprzednia wersja zawartości AMCore oraz jeżeli spełniono którykolwiek z poniższych warunków: Opcja Tryb interfejsu klienta jest ustawiona na Pełny dostęp. Użytkownik jest zalogowany jako administrator. Pomoc Łącza do pomocy technicznej Zaloguj się jako administrator Informacje Zakończ Służy do wyświetlania pomocy. Wyświetla stronę z łączami do pomocnych stron, takich jak McAfee ServicePortal i Centrum wiedzy. Służy do logowania się jako administrator witryny. (Wymagane są poświadczenia administratora.) Ta opcja menu jest dostępna, jeżeli opcja Tryb interfejsu klienta jest ustawiona na Pełny dostęp. Jeśli użytkownik jest zalogowany jako administrator, to polecenie menu jest zmieniane na Wyloguj się jako administrator. Służy do wyświetlania informacji o programie Endpoint Security. Służy do zamykania Klient Endpoint Security. Przyciski w prawym górnym rogu strony pozwalają na szybki dostęp do często wykonywanych zadań. Służy do wykrywania złośliwego oprogramowania na komputerze za pomocą funkcji Pełne skanowanie lub Szybkie skanowanie. Ten przycisk jest dostępny tylko wtedy, gdy zainstalowany jest moduł Zapobieganie zagrożeniom. Służy do aktualizacji plików z zawartością i składników oprogramowania zainstalowanego na komputerze. W zależności od konfiguracji ustawień ten przycisk może nie być wyświetlany. Przyciski po lewej stronie umożliwiają uzyskanie informacji o ochronie. Stan Plik dziennika zdarzeń Kwarantanna Służy do powrotu na główną stronę Stan. Służy do wyświetlania dziennika z wszystkimi zdarzeniami dotyczącymi ochrony i zagrożeń, które wystąpiły na tym komputerze. Służy do otwierania narzędzia Quarantine Manager. Ten przycisk jest dostępny tylko wtedy, gdy zainstalowany jest moduł Zapobieganie zagrożeniom. Na stronie Zagrożenia: podsumowanie wyświetlane są informacje o zagrożeniach wykrytych na komputerze przez program Endpoint Security w ciągu ostatnich 30 dni. Patrz także Ładowanie pliku Extra.DAT na stronie 31 Logowanie jako administrator na stronie 28 Skanowanie komputera w poszukiwaniu złośliwego oprogramowania na stronie 59 Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Wyświetl zawartość pliku dziennika zdarzeń na stronie 25 Zarządzanie elementami poddanymi kwarantannie na stronie 64 Zarządzanie Endpoint Security na stronie 28 Informacje o obszarze Zagrożenia: podsumowanie na stronie 16 McAfee Endpoint Security 10.2 Podręcznik produktu 15

16 1 Wprowadzenie Interakcja z programem Endpoint Security Informacje o obszarze Zagrożenia: podsumowanie Na stronie Stan w programie Klient Endpoint Security wyświetlane jest w czasie rzeczywistym podsumowanie zagrożeń wykrytych w systemie w ciągu ostatnich 30 dni. W miarę wykrywania nowych zagrożeń dane wyświetlane na stronie Stan w dolnym okienku w obszarze Zagrożenia: podsumowanie są aktualizowane dynamicznie. W obszarze Zagrożenia: podsumowanie wyświetlane są następujące informacje: Data ostatniego wyeliminowania zagrożenia Dwa najważniejsze wektory zagrożenia wg kategorii: Internet Urządzenie zewnętrzne lub nośnik Sieć System lokalny Udostępnianie plików Poczta Wiadomość błyskawiczna Nieznane Zagrożenia z witryn sieci Web lub pobieranych plików. Zagrożenia z urządzeń zewnętrznych, takich jak nośnik USB, 1394 Firewire, esata, taśma, dysk CD, dysk DVD lub dysk twardy. Zagrożenia z sieci (niesieciowe udostępnianie plików). Zagrożenia z lokalnego dysku startowego (zwykle C:) lub dysków innych niż te sklasyfikowane jako Urządzenie zewnętrzne lub nośnik. Zagrożenia z sieciowego udostępniania plików. Zagrożenia z wiadomości . Zagrożenia z wiadomości błyskawicznych. Zagrożenia, których wektor ataku jest nieokreślony (ze względu na błąd lub inną awarię). Liczba zagrożeń w wektorach zagrożeń Jeżeli Klient Endpoint Security nie może połączyć się z modułem Menedżer zdarzeń, program Klient Endpoint Security wyświetli komunikat o błędzie komunikacji. W takim przypadku ponownie uruchom swój system, aby wyświetlić obszar Zagrożenia: podsumowanie. Jak ustawienia wpływają na dostęp do klienta Ustawienia opcjitryb interfejsu klienta przypisane do komputera umożliwiają określanie modułów i funkcji, do których użytkownik ma dostęp. Zmień opcję Tryb interfejsu klienta w ustawieniach modułu Wspólne. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. W kliencie dostępne są następujące ustawienia opcji Tryb interfejsu klienta: 16 McAfee Endpoint Security 10.2 Podręcznik produktu

17 Wprowadzenie Interakcja z programem Endpoint Security 1 Pełny dostęp Służy do włączania dostępu do wszystkich funkcji programu, w tym: Włączania i wyłączania poszczególnych modułów i funkcji. Uzyskiwania dostępu do strony Ustawienia w celu wyświetlania lub modyfikowania wszystkich ustawień Klient Endpoint Security. (domyślne ustawienie). Standardowy dostęp Służy do wyświetlania stanu ochrony i włączania dostępu do większości funkcji: Służy do aktualizacji plików z zawartością i składników oprogramowania zainstalowanego na komputerze (jeżeli opcja ta została włączona przez administratora). Przeprowadzanie dokładnego sprawdzenia wszystkich obszarów systemu (zalecane w przypadku podejrzenia zainfekowania komputera). Uruchamianie szybkiego (2 minuty) sprawdzenia obszarów systemu najbardziej narażonych na infekcję. Uzyskiwanie dostępu do pliku dziennika zdarzeń. Zarządzanie elementami w folderze Kwarantanna. W trybie interfejsu Standardowy dostęp można zalogować się jako administrator, aby uzyskać dostęp do wszystkich funkcji, łącznie z wszystkimi ustawieniami. Zablokuj interfejs klienta Służy do zabezpieczania hasłem dostępu do klienta. Po odblokowaniu interfejsu klienta można uzyskać dostęp do wszystkich funkcji. Jeżeli nie można uzyskać dostępu do Klient Endpoint Security lub określonych zadań i funkcji potrzebnych do wykonania zadania, należy skontaktować się z administratorem. Patrz także Kontrolowanie dostępu do interfejsu klienta na stronie 34 Jak zainstalowane moduły wpływają na działanie klienta Niektóre funkcje i obszary klienta mogą być niedostępne, w zależności od modułów zainstalowanych na komputerze. Poniższe funkcje są dostępne tylko wtedy, gdy zainstalowany jest moduł Zapobieganie zagrożeniom: Przycisk Przycisk Kwarantanna McAfee Endpoint Security 10.2 Podręcznik produktu 17

18 1 Wprowadzenie Interakcja z programem Endpoint Security Funkcje zainstalowane na komputerze określają wyświetlane funkcje: W pliku dziennika zdarzeń, na liście rozwijanej Filtruj według modułu. Na stronie Ustawienia. Wspólne Zapobieganie zagrożeniom Zapora Kontrola zagrożeń sieciowych Analiza zagrożeń Wyświetla się po zainstalowaniu dowolnego modułu. Wyświetla się tylko wtedy, gdy zainstalowano moduł Zapobieganie zagrożeniom. Wyświetla się tylko wtedy, gdy zainstalowano Zapora. Wyświetla się tylko wtedy, gdy zainstalowano moduł Kontrola zagrożeń sieciowych. Wyświetla się tylko wtedy, gdy zainstalowano moduł Analiza zagrożeń i Zapobieganie zagrożeniom. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Niektóre lub wszystkie funkcje mogą nie być dostępne, w zależności od ustawienia opcji Tryb interfejsu klienta i zakresu uprawnień przyznanego przez administratora. Patrz także Jak ustawienia wpływają na dostęp do klienta na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

19 2 Korzystanie 2 z modułu Klient Endpoint Security Aby używać większości funkcji, w tym skanowania systemu i zarządzania elementami poddanymi kwarantannie, należy przełączyć klienta w tryb Standardowy dostęp. Spis treści Otwieranie programu Klient Endpoint Security Uzyskaj pomoc Reagowanie na monity Uzyskiwanie informacji o ochronie Ręczna aktualizacja ochrony i oprogramowania Wyświetl zawartość pliku dziennika zdarzeń Zarządzanie Endpoint Security Informacje o interfejsie klienta Wspólne Otwieranie programu Klient Endpoint Security Otwórz program Klient Endpoint Security, aby sprawdzić stan funkcji ochrony zainstalowanych na komputerze. Jeżeli tryb interfejsu jest ustawiony na Zablokuj interfejs klienta, należy wprowadzić hasło administratora, aby móc otworzyć program Klient Endpoint Security. Zadanie 1 Użyj jednej z poniższych metod, aby wyświetlić okno modułuklient Endpoint Security: Kliknij prawym przyciskiem myszy ikonę w zasobniku systemowym, a następnie wybierz polecenie McAfee Endpoint Security. Wybierz Start Wszystkie programy McAfee McAfee Endpoint Security. W systemie operacyjnym Windows 8 lub 10 uruchom aplikację McAfee Endpoint Security. 1 Naciśnij klawisz Windows. 2 W polu wyszukiwania wpisz tekst McAfee Endpoint Security, a następnie kliknij dwukrotnie lub dotknij aplikację McAfee Endpoint Security. 2 Po wyświetleniu monitu na stronie Zaloguj się jako administrator wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Zostanie otwarty program Klient Endpoint Security w trybie interfejsu skonfigurowanym przez administratora. Patrz także Odblokowywanie interfejsu klienta na stronie 29 McAfee Endpoint Security 10.2 Podręcznik produktu 19

20 2 Korzystanie z modułu Klient Endpoint Security Uzyskaj pomoc Uzyskaj pomoc Dwa sposoby na uzyskanie pomocy podczas pracy w kliencie to: użycie opcji menu Pomoc i kliknięcie ikony?. Aby móc korzystać z systemu pomocy programu Endpoint Security za pomocą przeglądarki Internet Explorer, należy włączyć w niej funkcję wykonywania aktywnych skryptów. Zadanie 1 Otwórz Klient Endpoint Security. 2 W zależności od strony, na której się znajdujesz: strony Stan, Plik dziennika zdarzeń i Kwarantanna: w menu Akcja wybierz opcję Pomoc. Strony Ustawienia, Aktualizacja, Skanuj system, Wycofaj zawartość AMCore i Załaduj plik Extra.DAT: kliknij w interfejsie znak?. Reagowanie na monity W zależności od konfiguracji ustawień, przed uruchomieniem zaplanowanego skanowania na żądanie program Endpoint Security może wyświetlić monit o skanowaniu. Zadania Reagowanie na monit o wykryciu zagrożenia na stronie 20 Gdy skaner wykryje zagrożenie, to, w zależności od konfiguracji ustawień, program Endpoint Security może wywołać monit o skanowanie. Reagowanie na monit o skanowaniu na stronie 21 Przed uruchomieniem zaplanowanego skanowania na żądanie przez program Endpoint Security może zostać wyświetlony monit o skanowaniu. Monit jest wyświetlany tylko w przypadku, gdy skanowanie jest ustawione w sposób zezwalający na odkładanie, wstrzymanie, wznawianie lub anulowanie skanowania. Reagowanie na monit dotyczący reputacji pliku na stronie 22 Przed uruchomieniem pliku o konkretnym poziomie reputacji w systemie program Endpoint Security może wyświetlić monit o potwierdzenie. Monity wyświetlane są jedynie, jeśli włączono to ustawienie w moduleanaliza zagrożeń. Reagowanie na monit o wykryciu zagrożenia Gdy skaner wykryje zagrożenie, to, w zależności od konfiguracji ustawień, program Endpoint Security może wywołać monit o skanowanie. W systemie Windows 8 i 10 stosowane są powiadomienia wyskakujące pojawiające się komunikaty zawierające zarówno alerty, jak i monity. Kliknij wyskakujące powiadomienie, aby wyświetlić je w trybie Desktop. 20 McAfee Endpoint Security 10.2 Podręcznik produktu

21 Korzystanie z modułu Klient Endpoint Security Reagowanie na monity 2 Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. Na stronie Skanowanie na bieżąco wybierz opcje do zarządzania wykryciami zagrożeń. W dowolnym czasie można ponownie otworzyć stronę, aby zarządzać wykryciami. Lista skanowania na bieżąco zostanie wyczyszczona, gdy usługa programu Endpoint Security lub system uruchomi się ponownie. Patrz także Zarządzanie wykryciami zagrożeń na stronie 63 Reagowanie na monit o skanowaniu Przed uruchomieniem zaplanowanego skanowania na żądanie przez program Endpoint Security może zostać wyświetlony monit o skanowaniu. Monit jest wyświetlany tylko w przypadku, gdy skanowanie jest ustawione w sposób zezwalający na odkładanie, wstrzymanie, wznawianie lub anulowanie skanowania. Jeżeli żadna opcja nie zostanie wybrana, skanowanie zostanie uruchomione automatycznie. Jeżeli w systemach zarządzanych skanowanie jest skonfigurowane tylko do skanowania, gdy komputer jest nieaktywny, program Endpoint Security wyświetla okno dialogowe, gdy skanowanie zostanie wstrzymane. Użytkownik może również wznowić wstrzymane skanowanie lub zresetować je, tak aby było przeprowadzane tylko, gdy jest on nieaktywny. W systemie Windows 8 i 10 stosowane są powiadomienia wyskakujące pojawiające się komunikaty zawierające zarówno alerty, jak i monity. Kliknij wyskakujące powiadomienie, aby wyświetlić je w trybie Desktop. McAfee Endpoint Security 10.2 Podręcznik produktu 21

22 2 Korzystanie z modułu Klient Endpoint Security Reagowanie na monity Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. W oknie dialogowym monitu wybierz jedną z poniższych opcji. Wyświetlone opcje zależą od sposobu konfiguracji skanowania. Skanuj teraz Wyświetl skanowanie Wstrzymaj skanowanie Wznów skanowanie Anuluj skanowanie Odłóż skanowanie Umożliwia niezwłoczne uruchamianie skanowania. Umożliwia wyświetlenie wykryć dla skanowania w toku. Wstrzymaj skanowanie. W zależności od konfiguracji klikniecie opcji Wstrzymaj skanowanie może zresetować skanowanie, tak aby było przeprowadzane tylko, gdy użytkownik jest nieaktywny. Kliknij opcję Wznów skanowanie, aby wznowić skanowanie w miejscu, w którym zostało przerwane. Umożliwia wznowienie wstrzymanego skanowania. Umożliwia anulowanie skanowania Umożliwia opóźnienie skanowania o określoną liczbę godzin. W ramach opcji Skanowanie zaplanowane określa się, ile razy można odłożyć skanowanie o godzinę. Odłożenie skanowania więcej niż raz może być możliwe. Zamknij Zamyka stronę skanowania. Jeżeli skaner wykryje zagrożenie, to, w zależności od konfiguracji ustawień, program Endpoint Security może wywołać monit o skanowanie. Reagowanie na monit dotyczący reputacji pliku Przed uruchomieniem pliku o konkretnym poziomie reputacji w systemie program Endpoint Security może wyświetlić monit o potwierdzenie. Monity wyświetlane są jedynie, jeśli włączono to ustawienie w moduleanaliza zagrożeń. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Administrator konfiguruje próg reputacji, po przekroczeniu którego wyświetlany jest monit. Na przykład jeśli próg reputacji to Nieznane, program Endpoint Security będzie wyświetlać monity w przypadku plików o reputacji Nieznane i niższej. Jeśli użytkownik nie wybierze żadnej opcji, moduł Analiza zagrożeń wykona domyślne działanie skonfigurowane przez administratora. Monit, limit czasu i domyślne działanie zależą od konfiguracji modułu Analiza zagrożeń. W systemie Windows 8 i 10 stosowane są powiadomienia wyskakujące pojawiające się komunikaty zawierające zarówno alerty, jak i monity. Kliknij wyskakujące powiadomienie, aby wyświetlić je w trybie Desktop. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 (Opcjonalnie) Monit umożliwia przesłanie wiadomości do administratora. Można na przykład opisać w niej plik lub wyjaśnić swoją decyzję zezwolenia na uruchomienie pliku lub zablokowania go w swoim systemie. 22 McAfee Endpoint Security 10.2 Podręcznik produktu

23 Korzystanie z modułu Klient Endpoint Security Uzyskiwanie informacji o ochronie 2 2 Kliknij opcję Zezwól lub Blokuj. Zezwól Blokuj Zezwala na dostęp do pliku. Blokuje plik w systemie. Aby moduł Analiza zagrożeń nie wyświetlał więcej monitów dotyczących tego samego pliku, zaznacz opcję Zapamiętaj tę decyzję. Moduł Analiza zagrożeń podejmuje działanie zgodnie z wyborem użytkownika lub domyślnym ustawieniem, a okno monitu zostaje zamknięte. Uzyskiwanie informacji o ochronie Można uzyskać informacje o ochronie zapewnianej przez program Endpoint Security, w tym o typie zarządzania, modułach ochrony, funkcjach, stanach, numerach wersji i licencjonowaniu. Zadanie 1 Otwórz Klient Endpoint Security. 2 Z menu Akcja wybierz polecenie Informacje. 3 Po lewej stronie kliknij nazwę modułu lub funkcji, aby wyświetlić informacje o danym elemencie. 4 W przeglądarce kliknij przycisk Zamknij, aby zamknąć stronę Informacje. Patrz także Typy zarządzania na stronie 23 Otwieranie programu Klient Endpoint Security na stronie 19 Typy zarządzania Typ zarządzania informuje o tym, w jaki sposób zarządzany jest program Endpoint Security. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. Typ zarządzania McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Samozarządzający Opis Administrator zarządza programem Endpoint Security przy użyciu programu McAfee epo (lokalnie). Administrator zarządza programem Endpoint Security przy użyciu programu McAfee epo Cloud. Najnowsze informacje o licencji zarządzania Endpoint Security oraz o nabyciu praw można znaleźć w artykule KB Program Endpoint Security jest zarządzany lokalnie przy użyciu Klient Endpoint Security. Ten tryb nazywany jest również niezarządzanym lub niezależnym. Ręczna aktualizacja ochrony i oprogramowania W zależności od konfiguracji ustawień można ręcznie sprawdzać dostępność aktualizacji plików zawartości i składników oprogramowania i je pobierać za pomocą Klient Endpoint Security. Ręczne aktualizacje są nazywane aktualizacjami na żądanie. McAfee Endpoint Security 10.2 Podręcznik produktu 23

24 2 Korzystanie z modułu Klient Endpoint Security Ręczna aktualizacja ochrony i oprogramowania Można również uruchomić aktualizację ręcznie za pomocą ikony McAfee w zasobniku systemowym. Program Endpoint Security nie obsługuje ręcznego pobierania zaktualizowanych plików zawartości i kopiowania ich na systemy klienckie. Aby uzyskać pomoc przy aktualizacji do konkretnej wersji zawartości, skontaktuj się z działem Pomoc techniczna firmy McAfee. Zadanie 1 Otwórz Klient Endpoint Security. 2 Kliknij przycisk. Jeżeli przycisk nie jest widoczny w kliencie, można włączyć go w ustawieniach. Klient Endpoint Security sprawdza dostępność aktualizacji. Aby anulować aktualizację, kliknij przycisk Anuluj. Jeżeli zainstalowane na komputerze oprogramowanie jest aktualne, na stronie zostanie wyświetlony komunikat Brak dostępnych aktualizacji oraz data i godzina ostatniej aktualizacji. Jeżeli aktualizacja zostanie ukończona pomyślnie, na stronie zostanie wyświetlona bieżąca data i godzina ostatniej aktualizacji. Jeżeli pojawiają się komunikaty lub błędy w obszarze Komunikaty. Aby uzyskać więcej informacji, wyświetl dzienniki PackageManager_Activity.log lub PackageManager_Debug.log. 3 Kliknij przycisk Zamknij, aby zamknąć stronę Aktualizuj. Patrz także Uzyskiwanie dostępu do zadań programu Endpoint Security z poziomu ikony McAfee w zasobniku systemowym na stronie 12 Mechanizm aktualizacji ochrony na stronie 11 Nazwy i położenie plików dziennika Endpoint Security na stronie 26 Aktualizowane elementy na stronie 24 Konfigurowanie domyślnego działania aktualizacji na stronie 38 Otwieranie programu Klient Endpoint Security na stronie 19 Aktualizowane elementy Zawartość zabezpieczeń, oprogramowanie (poprawki HotFix i łaty) oraz ustawienia zasad programu Endpoint Security są aktualizowane w różny sposób w zależności od typu zarządzania. Widoczność i działanie przycisku można skonfigurować. Typ zarządzania Metoda aktualizowania Aktualizacje McAfee epo McAfee epo Cloud Opcja Zaktualizuj zabezpieczenia w menu ikony McAfee w zasobniku systemowym Przycisk Endpoint Security w Klient Opcja Zaktualizuj zabezpieczenia w menu ikony McAfee w zasobniku systemowym Jedynie zawartość i oprogramowanie, nie ustawienia zasad. Zawartość, oprogramowanie i ustawienia zasad, o ile skonfigurowano. Zawartość, oprogramowanie i ustawienia zasad. 24 McAfee Endpoint Security 10.2 Podręcznik produktu

25 Korzystanie z modułu Klient Endpoint Security Wyświetl zawartość pliku dziennika zdarzeń 2 Typ zarządzania Metoda aktualizowania Aktualizacje Przycisk Endpoint Security w Klient Samozarządzający Opcja Zaktualizuj zabezpieczenia w menu ikony McAfee w zasobniku systemowym Przycisk Endpoint Security w Klient Patrz także Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Zawartość, oprogramowanie i ustawienia zasad, o ile skonfigurowano. Jedynie zawartość i oprogramowanie. Zawartość, oprogramowanie i ustawienia zasad, o ile skonfigurowano. Wyświetl zawartość pliku dziennika zdarzeń W dziennikach aktywności i debugowania rejestrowane są zdarzenia występujące na komputerze chronionym przez program firmy McAfee. Plik dziennika zdarzeń można wyświetlić z poziomu Klient Endpoint Security. Zadanie W menu Akcja wybierz opcję Pomoc. 1 Otwórz Klient Endpoint Security. 2 Po lewej stronie kliknij przycisk Plik dziennika zdarzeń. Na stronie wyświetlane są wszystkie zdarzenia zarejestrowane przez program Endpoint Security w systemie w ciągu ostatnich 30 dni. Jeżeli Klient Endpoint Security nie może połączyć się z Menedżerem zdarzeń, wyświetlony zostanie komunikat o błędzie komunikacji. W takim przypadku należy ponownie uruchomić system, aby wyświetlić plik dziennika zdarzeń. 3 Zaznacz zdarzenie w górnym okienku, aby wyświetlić jego szczegóły w dolnym okienku. Aby zmienić wielkość okienek, należy kliknąć widżet między oknami i przeciągnąć go. McAfee Endpoint Security 10.2 Podręcznik produktu 25

26 2 Korzystanie z modułu Klient Endpoint Security Wyświetl zawartość pliku dziennika zdarzeń 4 Na stronie Plik dziennika zdarzeń posortuj, wyszukaj, odfiltruj lub załaduj ponownie zdarzenia. Wyświetlone opcje zależą od sposobu konfiguracji skanowania. Czynność Sortowanie zdarzeń według daty, funkcji, wykonanej akcji i istotności. Przeszukiwanie pliku dziennika zdarzeń. Filtrowanie zdarzeń według istotności lub modułu. Odświeżanie widoku pliku dziennika zdarzeń pod kątem nowych zdarzeń. Otwieranie folderu zawierającego pliki dziennika. Procedura Kliknij nagłówek kolumny w tabeli. W polu Wyszukaj wprowadź wyszukiwany tekst i naciśnij klawisz Enter lub kliknij przycisk Wyszukaj. Wyszukiwanie jest przeprowadzane bez rozróżniania wielkości liter. Przeszukiwane są wszystkie pola pliku dziennika zdarzeń. Na liście zdarzeń zostaną wyświetlone wszystkie elementy pasujące do wyszukiwanego tekstu. Aby anulować wyszukiwanie i wyświetlić wszystkie zdarzenia, w polu Wyszukaj kliknij przycisk x. Z listy rozwijanej filtra wybierz żądaną pozycję. Aby usunąć filtr i wyświetlić wszystkie zdarzenia, z listy rozwijanej wybierz pozycję Wyświetl wszystkie zdarzenia. Kliknij pozycję. Kliknij opcję Wyświetl folder dzienników. 5 Przejrzyj plik dziennika zdarzeń. Czynność Wyświetlanie poprzedniej strony zdarzeń. Wyświetlanie następnej strony zdarzeń. Wyświetlanie określonej strony w dzienniku. Procedura Kliknij przycisk Poprzednia strona. Kliknij przycisk Następna strona. Podaj numer strony i naciśnij klawisz Enter lub kliknij przycisk Przejdź. Domyślnie plik dziennika zdarzeń wyświetla 20 zdarzeń na stronę. Aby wyświetlić więcej zdarzeń na stronie, z listy rozwijanej wybierz opcję Liczba zdarzeń na stronie. Patrz także Nazwy i położenie plików dziennika Endpoint Security na stronie 26 Otwieranie programu Klient Endpoint Security na stronie 19 Nazwy i położenie plików dziennika Endpoint Security W dziennikach aktywności, błędów i debugowania rejestrowane są zdarzenia występujące na komputerach z włączonym programem Endpoint Security. Rejestrowanie można skonfigurować w ustawieniach modułu Wspólne. Pliki dziennika aktywności zawsze wyświetlane są w języku określonym przez domyślne ustawienia regionalne systemu. Wszystkie pliki dziennika aktywności i debugowania są zapisywane w jednej z poniższych domyślnych lokalizacji, w zależności od systemu operacyjnego. 26 McAfee Endpoint Security 10.2 Podręcznik produktu

27 Korzystanie z modułu Klient Endpoint Security Wyświetl zawartość pliku dziennika zdarzeń 2 System operacyjny System Microsoft Windows 10 System Microsoft Windows 8 i 8.1 System Microsoft Windows 7 System Microsoft Vista Domyślna lokalizacja %ProgramData%\McAfee\Endpoint Security\Logs C:\Documents and Settings\All Users\Application Data\McAfee \Endpoint Security\Logs Każdy moduł, funkcja lub technologia mają własny plik dziennika aktywności lub debugowania. Wszystkie moduły umieszczają rejestrowanie błędów w pojedynczym dzienniku EndpointSecurityPlatform_Errors.log. Włączenie rejestrowania debugowania dowolnego modułu powoduje również włączenie rejestrowania debugowania funkcji modułu Wspólne, takich jak ochrona rezydentna. Tabela 2-1 Pliki dziennika Moduł Funkcja lub technologia Nazwa pliku Wspólne Zapobieganie zagrożeniom Ochrona rezydentna Aktualizacje Błędy Włączenie rejestrowania debugowania dowolnej technologii modułu Zapobieganie zagrożeniom powoduje również włączenie rejestrowania debugowania modułu Klient Endpoint Security. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Zapora Ochrona dostępu Zapobieganie wykorzystaniu luk w zabezpieczeniach Skanowanie na bieżąco Skanowanie na żądanie Szybkie skanowanie Pełne skanowanie Skanowanie uruchamiane kliknięciem prawego przycisku myszy Klient Endpoint Security AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log McAfee Endpoint Security 10.2 Podręcznik produktu 27

28 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Tabela 2-1 Pliki dziennika (ciąg dalszy) Moduł Funkcja lub technologia Nazwa pliku FirewallEventMonitor.log Umożliwia rejestrowanie zablokowanych i dozwolonych zdarzeń ruchu, jeżeli zostało to skonfigurowane. Kontrola zagrożeń sieciowych Analiza zagrożeń Dynamiczne izolowanie aplikacji WebControl_Activity.log WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Domyślnie pliki dziennika instalacji przechowywane są w następujących lokalizacjach: Systemy samozarządzające Systemy zarządzane %TEMP%\McAfeeLogs (folder TEMP użytkownika systemu Windows) TEMP\McAfeeLogs (folder TEMP systemu Windows) Zarządzanie Endpoint Security Administrator może zarządzać aplikacją Endpoint Security z poziomu Klient Endpoint Security. Możliwe jest wyłączanie i włączanie funkcji, zarządzanie plikami zawartości, konfigurowanie działania interfejsu klienta, planowanie zadań i konfigurowanie ustawień ogólnych. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. Patrz także Logowanie jako administrator na stronie 28 Odblokowywanie interfejsu klienta na stronie 29 Wyłączanie i włączanie funkcji na stronie 29 Zmień wersję zawartości AMCore na stronie 30 Użyj plików Extra.DAT na stronie 31 Konfiguruj ogólne ustawienia skanowania na stronie 32 Logowanie jako administrator Zaloguj się w programie Klient Endpoint Security jako administrator, aby uzyskać możliwość włączania i wyłączania funkcji oraz konfigurowania ustawień. Zanim rozpoczniesz Tryb interfejsu Klient Endpoint Security należy ustawić na Standardowy dostęp. 28 McAfee Endpoint Security 10.2 Podręcznik produktu

29 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Zadanie W menu Akcja wybierz opcję Pomoc. 1 Otwórz program Klient Endpoint Security. 2 Z menu Akcja wybierz opcję Zaloguj się jako administrator. 3 W polu Hasło wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Można teraz uzyskać dostęp do wszystkich funkcji Klient Endpoint Security. Aby się wylogować, należy wybrać pozycję Akcja Wyloguj się jako administrator. Klient powróci do trybu interfejsu Standardowy dostęp. Odblokowywanie interfejsu klienta Jeżeli interfejs programu Klient Endpoint Security jest zablokowany, należy go odblokować za pomocą hasła administratora, aby uzyskać dostęp do wszystkich ustawień. Zanim rozpoczniesz Tryb interfejsu Klient Endpoint Security należy ustawić na Zablokuj interfejs klienta. Zadanie 1 Otwórz Klient Endpoint Security. 2 Na stronie Zaloguj się jako administrator w polu Hasło wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Zostanie otwarty program Klient Endpoint Security i będzie można korzystać ze wszystkich jego funkcji. 3 Aby wylogować się i zamknąć klienta, w menu Akcja wybierz polecenie Wyloguj się jako administrator. Wyłączanie i włączanie funkcji Jako administrator możesz włączać i wyłączać funkcje programu Endpoint Security z poziomu programu Klient Endpoint Security. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Strona Stan wyświetla stan modułu funkcji jako włączony, co może nie odzwierciedlać faktycznego stanu funkcji. Stan każdej funkcji można sprawdzić na stronie Ustawienia. Jeśli na przykład ustawienie opcji Włącz moduł ScriptScan nie zostanie pomyślnie zastosowane, funkcja może mieć stan (Stan: wyłączone). McAfee Endpoint Security 10.2 Podręcznik produktu 29

30 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij nazwę modułu (np. Zapobieganie zagrożeniom lub Zapora). Lub w menu Akcja modułu. wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij nazwę 3 Zaznacz lub usuń zaznaczenie opcji Włącz moduł lub funkcję. Włączenie dowolnej z funkcji Zapobieganie zagrożeniom włącza moduł Zapobieganie zagrożeniom. Patrz także Logowanie jako administrator na stronie 28 Zmień wersję zawartości AMCore Użyj programu Klient Endpoint Security, aby zmienić wersję zawartości AMCore w swoim systemie. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Program Endpoint Security przechowuje aktualnie załadowany plik zawartości i dwie poprzednie wersje w folderze Files\Common Files\McAfee\Engine\content. Jeżeli będzie to wymagane można przywrócić poprzednią wersję. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz opcję Wycofaj zawartość AMCore. 3 Na liście rozwijanej wybierz wersję do ładowania. 4 Kliknij przycisk Zastosuj. Wykrycia w ładowanym pliku zawartości AMCore mają natychmiastowe zastosowanie. Patrz także Działanie plików zawartości na stronie 11 Logowanie jako administrator na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

31 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Użyj plików Extra.DAT Możesz zainstalować plik Extra.DAT, aby chronić system przed dużym atakiem złośliwego oprogramowania przed wydaniem następnej planowanej aktualizacji zawartości AMCore. Zadania Pobieranie plików Extra.DAT na stronie 31 Aby pobrać plik Extra.DAT, kliknij łącze pobierania dostarczone przez zespół McAfee Labs. Ładowanie pliku Extra.DAT na stronie 31 Aby zainstalować pobrane pliki Extra.DAT użyj modułu Klient Endpoint Security. Patrz także Informacje na temat pliku extra.dat na stronie 31 Informacje na temat pliku extra.dat Gdy zostanie zidentyfikowane nowe złośliwe oprogramowanie i niezbędne jest dodatkowe wykrycie, zespół McAfee Labs wydaje plik ExtraDAT. Pliki Extra.DAT zawierają informacje, które moduł Zapobieganie zagrożeniom wykorzystuje do eliminowania nowego złośliwego oprogramowania. Pliki Extra.DAT można pobierać w celu wyeliminowania określonych zagrożeń ze Strony żądania Extra.DAT zespołu McAfee Labs. Moduł Zapobieganie zagrożeniom obsługuje tę funkcję, korzystając tylko z jednego pliku Extra.DAT. Każdy plik Extra.DAT ma wbudowaną datę ważności. Podczas ładowania pliku Extra.DAT data ważności jest porównywana z datą kompilacji zawartości AMCore zainstalowanej na komputerze. Jeżeli data kompilacji zestawu zawartości AMCore jest późniejsza niż data ważności pliku Extra.DAT, plik Extra.DAT uznaje się za przeterminowany i nie będzie on już ładowany i używany przez wyszukiwarkę. Podczas następnej aktualizacji plik Extra.DAT zostanie usunięty z systemu. Jeżeli następna aktualizacja zawartości AMCore zawiera sygnaturę Extra.DAT, plik Extra.DAT zostanie usunięty. Program Endpoint Security przechowuje pliki Extra.DAT w folderze c:\program Files\Common Files \McAfee\Engine\content\avengine\extradat. Pobieranie plików Extra.DAT Aby pobrać plik Extra.DAT, kliknij łącze pobierania dostarczone przez zespół McAfee Labs. Zadanie 1 Kliknij łącze pobierania, określ lokalizację, w której ma zostać zapisany plik Extra.DAT, a następnie kliknij przycisk Zapisz. 2 Jeżeli będzie to konieczne, rozpakuj plik EXTRA.ZIP. 3 Załaduj plik Extra.DAT za pomocą programu Klient Endpoint Security. Ładowanie pliku Extra.DAT Aby zainstalować pobrane pliki Extra.DAT użyj modułu Klient Endpoint Security. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. McAfee Endpoint Security 10.2 Podręcznik produktu 31

32 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Z menu Akcja wybierz opcję Załaduj plik Extra.DAT. 3 Kliknij przycisk Przeglądaj, wyszukaj lokalizację, do której pobrano plik Extra.DAT, a następnie kliknij przycisk Otwórz. 4 Kliknij przycisk Zastosuj. Nowe wykrycia będą miały natychmiastowe zastosowanie w pliku Extra.DAT. Patrz także Logowanie jako administrator na stronie 28 Konfiguruj ogólne ustawienia skanowania Konfiguruj ustawienia, które mają zastosowanie we wszystkich modułach i funkcjach programu Endpoint Security w module Wspólne. Ustawienia te obejmują bezpieczeństwo interfejsu programu Klient Endpoint Security i ustawienia języka, rejestrowanie, ustawienia serwera proxy usługi McAfee GTI i konfigurację aktualizacji. Zadania Ochrona zasobów programu Endpoint Security na stronie 32 Jednym z pierwszych działań podczas ataku złośliwego oprogramowania jest próba wyłączenia oprogramowania zabezpieczającego system. Skonfiguruj ochronę rezydentną programu Endpoint Security w ustawieniach modułu Wspólne, aby chronić usługi i pliki programu Endpoint Security przed zatrzymaniem lub modyfikacją. Konfigurowanie ustawień rejestracji na stronie 33 Konfiguruj rejestrowanie programu Endpoint Security w ustawieniach modułu Wspólne. Zezwolenie na uwierzytelnianie certyfikatów na stronie 34 Certyfikaty umożliwiają dostawcy uruchamianie kodu wewnątrz procesów firmy McAfee. Kontrolowanie dostępu do interfejsu klienta na stronie 34 Kontrolę dostępu do programu Klient Endpoint Security można wprowadzić przez określenie hasła w ustawieniach Wspólne. Konfiguruj ustawienia serwera proxy usługi McAfee GTI na stronie 35 Określ opcje serwera proxy, aby pobrać reputację usługi McAfee GTI w ustawieniach modułu Wspólne. Ochrona zasobów programu Endpoint Security Jednym z pierwszych działań podczas ataku złośliwego oprogramowania jest próba wyłączenia oprogramowania zabezpieczającego system. Skonfiguruj ochronę rezydentną programu Endpoint Security w ustawieniach modułu Wspólne, aby chronić usługi i pliki programu Endpoint Security przed zatrzymaniem lub modyfikacją. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Wyłączenie modułu Ochrona rezydentna programu Endpoint Security zwiększa podatność systemu na ataki. 32 McAfee Endpoint Security 10.2 Podręcznik produktu

33 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W opcji Ochrona rezydentna sprawdź, czy Ochrona rezydentna jest włączona. 5 Określ działanie dla każdego z następujących zasobów programu Endpoint Security: Pliki i foldery zapobiega modyfikowaniu przez użytkowników bazy danych, plików binarnych, plików bezpiecznego wyszukiwania i plików konfiguracyjnych oprogramowania firmy McAfee. Rejestr zapobiega modyfikowaniu przez użytkowników gałęzi rejestru i komponentów COM oprogramowania firmy McAfee oraz odinstalowaniu go za pomocą wartości rejestru. Procesy służy do uniemożliwiania zatrzymywania procesów oprogramowania firmy McAfee. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Konfigurowanie ustawień rejestracji Konfiguruj rejestrowanie programu Endpoint Security w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Na stronie skonfiguruj ustawienia Rejestrowanie klienta. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Nazwy i położenie plików dziennika Endpoint Security na stronie 26 Logowanie jako administrator na stronie 28 McAfee Endpoint Security 10.2 Podręcznik produktu 33

34 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Zezwolenie na uwierzytelnianie certyfikatów Certyfikaty umożliwiają dostawcy uruchamianie kodu wewnątrz procesów firmy McAfee. Po wykryciu procesu tabela certyfikatów jest wypełniania wartościami Dostawca, Podmiot i Skrót powiązanego klucza publicznego. To ustawienie może powodować problemy ze zgodnością i obniżenie poziomu ochrony. Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. Zadanie 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W sekcji Certyfikaty wybierz opcję Zezwól. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. W tabeli pojawią się informacje dotyczące certyfikatu. Kontrolowanie dostępu do interfejsu klienta Kontrolę dostępu do programu Klient Endpoint Security można wprowadzić przez określenie hasła w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Tryb interfejsu klienta domyślnie ma ustawienie Pełny dostęp, co pozwala użytkownikom na zmianę konfiguracji zabezpieczeń i w rezultacie może prowadzić do narażenia systemów na ataki złośliwego oprogramowania. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Skonfiguruj ustawienia Tryb interfejsu klienta na stronie. Zalecane działanie: W celu zwiększenia poziomu bezpieczeństwa należy zmienić ustawienie parametru Tryb interfejsu klienta na Standardowy lub Zablokuj interfejs klienta. Obie opcje powodują włączenie wymogu podania hasła w celu uzyskania dostępu do ustawień programu Klient Endpoint Security. 4 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Skutki ustawienia hasła administratora na stronie 35 Logowanie jako administrator na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

35 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Skutki ustawienia hasła administratora Po przełączeniu trybu interfejsu na Standardowy dostęp należy ustawić hasło administratora. Jeżeli w programie Klient Endpoint Security zostanie ustawione hasło administratora, będzie to wywierało następujący wpływ na poniższych użytkowników: Użytkownicy inni niż administratorzy (użytkownicy bez uprawnień administratora) Użytkownicy inni niż administratorzy mogą: Wyświetlać niektóre parametry konfiguracji. Uruchamiać skanowanie. Sprawdzać dostępność aktualizacji (jeżeli funkcja ta jest włączona). Wyświetlać zawartość folderu Kwarantanna. Wyświetlać zawartość pliku dziennika zdarzeń. Uzyskiwać dostęp do strony Ustawienia w celu wyświetlania lub modyfikowania reguł modułu Zapora (jeżeli funkcja ta jest włączona). Użytkownicy inni niż administratorzy nie mogą: Zmieniać żadnych parametrów konfiguracji. Wyświetlać, tworzyć, usuwać lub modyfikować ustawienia. Jedynym wyjątkiem jest możliwość wyświetlania lub modyfikowania reguł zapory Zapora (jeżeli funkcja ta jest włączona). Administratorzy (użytkownicy z uprawnieniami administratora) Administratorzy muszą wpisać hasło, aby uzyskać dostęp do chronionych obszarów i modyfikować ustawienia. Konfiguruj ustawienia serwera proxy usługi McAfee GTI Określ opcje serwera proxy, aby pobrać reputację usługi McAfee GTI w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Konfiguruj ustawienia Serwera proxy usługi McAfee GTI na stronie. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Jak działa usługa McAfee GTI na stronie 35 Logowanie jako administrator na stronie 28 Jak działa usługa McAfee GTI Jeśli w usłudze McAfee GTI zostanie włączone skanowanie na bieżąco lub na żądanie, skaner będzie używać metod heurystycznych do sprawdzania podejrzanych plików. Serwer McAfee GTI przechowuje McAfee Endpoint Security 10.2 Podręcznik produktu 35

36 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security oceny witryn i raporty modułu Kontrola zagrożeń sieciowych. Jeśli konfiguracja modułu Kontrola zagrożeń sieciowych obejmuje skanowanie pobieranych plików, skaner będzie używać danych o reputacji plików z usługi McAfee GTI do wykrywania podejrzanych plików. Aby ustalić, czy plik stanowi złośliwe oprogramowanie, skaner wysyła odciski palców próbek (skróty) do centralnej bazy danych znajdującej się na serwerze McAfee Labs. Przesyłanie skrótów daje możliwość skutecznego wykrywania jeszcze przed opublikowaniem następnej aktualizacji plików zawartości przez zespół McAfee Labs. Możliwe jest konfigurowanie poziomu czułości używanego w usłudze McAfee GTI podczas określania, czy wykryta próbka jest złośliwym oprogramowaniem. Im wyższy poziom czułości, tym więcej będzie zdarzeń wykrycia złośliwego oprogramowania. Dopuszczenie większej liczby zdarzeń wykrycia może jednak spowodować wzrost liczby wyników fałszywie dodatnich. W module Zapobieganie zagrożeniom poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Średni. Skonfiguruj poziom czułości każdego skanera w ustawieniach modułu Zapobieganie zagrożeniom. W module Kontrola zagrożeń sieciowych poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Bardzo wysoki. Skonfiguruj poziom czułości skanowania pobieranych plików w ustawieniach Kontrola zagrożeń sieciowych modułu Kontroli zagrożeń sieciowych. W sekcji ustawień Wspólne można skonfigurować program Endpoint Security tak, aby korzystał z serwera proxy do pobierania informacji o reputacji z usługi McAfee GTI. Konfigurowanie działania aktualizacji Określ działanie aktualizacji rozpoczętych za pomocą Klient Endpoint Security w ustawieniach modułu Wspólne. Zadania Konfigurowanie witryn źródłowych aktualizacji na stronie 36 Witryny, z których program Klient Endpoint Security pobiera zaktualizowane pliki zabezpieczeń, można konfigurować w ustawieniach Wspólne. Konfigurowanie domyślnego działania aktualizacji na stronie 38 Działanie aktualizacji rozpoczętych w programie Klient Endpoint Security można określić w ustawieniach Wspólne. Konfigurowanie, planowanie i uruchamianie zadań aktualizacji na stronie 40 Można skonfigurować niestandardowe zadania aktualizacji lub zmienić harmonogram zadania domyślnej aktualizacji klienta za pomocą programu Klient Endpoint Security w ustawieniach Wspólne. Konfigurowanie, planowanie i uruchamianie zadań dublowania na stronie 41 Zadania dublowania można modyfikować lub planować za pomocą Klient Endpoint Security w ustawieniach modułu Wspólne. Konfigurowanie witryn źródłowych aktualizacji Witryny, z których program Klient Endpoint Security pobiera zaktualizowane pliki zabezpieczeń, można konfigurować w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. 36 McAfee Endpoint Security 10.2 Podręcznik produktu

37 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij polecenie Opcje. 5 Konfiguracja ustawień opcjiwitryny źródłowe aktualizacji na stronie. Domyślną witrynę źródłową kopii zapasowej, McAfeeHttp, i serwer zarządzania (w przypadku systemów zarządzanych) można włączać i wyłączać, ale nie można ich usuwać ani w inny sposób modyfikować. Kolejność witryn decyduje o kolejności, w której program Endpoint Security wyszukuje lokalizację aktualizacji. Czynność Dodawanie witryny do listy Zmiana istniejącej witryny. Usuwanie witryny Importowanie witryn z pliku listy witryn źródłowych. Procedura 1 Kliknij przycisk Dodaj. 2 Określ ustawienia witryny, a następnie kliknij przycisk OK. Witryna pojawi się na początku listy. 1 Kliknij dwukrotnie nazwę witryny. 2 Zmień ustawienia, a następnie kliknij przycisk OK. Wybierz witrynę, a następnie kliknij przycisk Usuń. 1 Kliknij opcję Importuj. 2 Wybierz plik do zaimportowania, a następnie kliknij opcję OK. Plik listy witryn zastąpi istniejącą listę witryn źródłowych. Eksportowanie listy witryn źródłowych do pliku SiteList.xml. Zmiana kolejności witryn na liście 1 Kliknij opcję Eksportuj wszystko. 2 Wybierz lokalizację, w której chcesz zapisać plik listy witryn źródłowych, a następnie kliknij opcję OK. Aby przenieść elementy: 1 Zaznacz elementy, które mają być przeniesione. Uchwyt jest wyświetlany po lewej stronie elementów, które można przenosić. 2 Przeciągnij żądane elementy w nowe miejsce i je upuść. W miejscu, w którym można upuścić przeciągane elementy, między elementami wyświetlana jest niebieska linia. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. McAfee Endpoint Security 10.2 Podręcznik produktu 37

38 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Patrz także Zawartość listy repozytoriów na stronie 38 Jak działa zadanie domyślnej aktualizacji klienta na stronie 39 Logowanie jako administrator na stronie 28 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji na stronie 40 Zawartość listy repozytoriów Lista repozytoriów zawiera informacje dotyczące repozytoriów wykorzystywane przez program McAfee Agent do aktualizowania produktów firmy McAfee, w tym plików aparatu i plików DAT. Lista repozytoriów zawiera: informacje o repozytoriach i ich lokalizacji, preferencje dotyczące kolejności repozytoriów, ustawienia serwera proxy, jeśli są wymagane, zaszyfrowane poświadczenia wymagane do uzyskania dostępu do każdego z repozytoriów. Zadanie klienta programu McAfee Agent Aktualizacja klienta łączy się z pierwszym włączonym repozytorium (lokalizacją aktualizacji) z listy repozytoriów. Jeżeli repozytorium nie jest dostępne, zadanie łączy się z następną lokalizacją na liście aż do nawiązania połączenia lub dojścia do końca listy. Jeśli w sieci jest używany serwer proxy, można określić, jakie wartości ustawień serwera proxy mają być używane, oraz podać adres serwera proxy i zdecydować, czy ma być stosowane uwierzytelnianie. Informacje dotyczące serwera proxy są przechowywane na liście repozytoriów. Skonfigurowane ustawienia serwera proxy mają zastosowanie do wszystkich repozytoriów na liście. Lokalizacja listy repozytoriów zależy od używanego systemu operacyjnego: System operacyjny Lokalizacja listy repozytoriów System Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml System Microsoft Windows 7 Wcześniejsze wersje C:\Documents and Settings\All Users\Application Data\McAfee \Common Framework\SiteList.xml Konfigurowanie domyślnego działania aktualizacji Działanie aktualizacji rozpoczętych w programie Klient Endpoint Security można określić w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Ustawienia te służą do: wyświetlania i ukrywania przycisku w kliencie, określania elementów aktualizowanych, gdy użytkownik kliknie przycisk lub gdy uruchomione zostaje zadanie domyślnej aktualizacji klienta. Domyślnie zadanie domyślnej aktualizacji klienta uruchamiane jest codziennie o 1:00 w nocy i powtarzane co cztery godziny do 23: McAfee Endpoint Security 10.2 Podręcznik produktu

39 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 W systemach samozarządzających zadanie aktualizacji klienta domyślnego aktualizuje całą zawartość i oprogramowanie. W systemach zarządzanych zadanie to aktualizuje tylko zawartość. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Konfiguruj ustawienia opcji Domyślna aktualizacja klienta na stronie. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Konfigurowanie witryn źródłowych aktualizacji na stronie 36 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji na stronie 40 Jak działa zadanie domyślnej aktualizacji klienta Zadanie domyślnej aktualizacji klienta pobiera najbardziej aktualną ochronę Klient Endpoint Security. Program Endpoint Security obejmuje zadanie domyślnej aktualizacji klienta uruchamiane codziennie o 1:00 w nocy i powtarzane co cztery godziny do 23:59. Zadanie domyślnej aktualizacji klienta: 1 Łączy się z pierwszą włączoną witryną źródłową na liście. Jeżeli witryna nie jest dostępna, zadanie łączy się z następną witryną lub dochodzi do końca listy. 2 Pobiera zaszyfrowany plik CATALOG.Z z witryny. Plik zawiera informacje wymagane do przeprowadzenia aktualizacji, łącznie z dostępnymi plikami i aktualizacjami. 3 Sprawdza wersje oprogramowania w pliku względem wersji na komputerze i pobiera wszelkie nowe, dostępne aktualizacje oprogramowania. Jeżeli zadanie domyślnej aktualizacji klienta zostanie przerwane podczas aktualizacji: Źródło aktualizacji HTTP, UNC lub strona lokalna W przypadku przerwania Wznawia w miejscu przerwania aktualizacji podczas najbliższego uruchomienia zadania aktualizacji. Strona FTP (pobieranie pojedynczego pliku) Nie wznawia po przerwaniu. Strona FTP (pobieranie wielu plików) Wznawia w miejscu przed rozpoczęciem przerwanego pobierania pliku. Patrz także Konfigurowanie witryn źródłowych aktualizacji na stronie 36 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji na stronie 40 Zawartość listy repozytoriów na stronie 38 McAfee Endpoint Security 10.2 Podręcznik produktu 39

40 2 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security Konfigurowanie, planowanie i uruchamianie zadań aktualizacji Można skonfigurować niestandardowe zadania aktualizacji lub zmienić harmonogram zadania domyślnej aktualizacji klienta za pomocą programu Klient Endpoint Security w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Użyj tych ustawień, aby za pomocą klienta skonfigurować czas działania zadania Domyślna aktualizacja klienta. Możesz również skonfigurować domyślne działanie aktualizacji klienta uruchomionych w programie Klient Endpoint Security. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij opcję Zadania. 5 Konfiguracja ustawień zadania aktualizacji na stronie. Czynność Tworzenie niestandardowego zadania aktualizacji. Procedura 1 Kliknij przycisk Dodaj. 2 Wprowadź nazwę, a następnie wybierz opcję Aktualizuj z listy rozwijanej Wybierz typ zadania. 3 Skonfiguruj ustawienia, a następnie kliknij przycisk OK, aby zapisać zadanie. Zmiana zadania aktualizacji. Usuwanie niestandardowego zadania aktualizacji. Tworzenie kopii zadania aktualizacji. Kliknij dwukrotnie zadanie, wprowadź zmiany, a następnie kliknij przycisk OK, aby zapisać zadanie. Wybierz zadanie, a następnie kliknij opcję Usuń. 1 Wybierz zadanie, a następnie kliknij opcję Powiel. 2 Wprowadź nazwę, skonfiguruj ustawienia, a następnie kliknij przycisk OK, aby zapisać zadanie. 40 McAfee Endpoint Security 10.2 Podręcznik produktu

41 Korzystanie z modułu Klient Endpoint Security Zarządzanie Endpoint Security 2 Czynność Zmiana harmonogramu zadania domyślnej aktualizacji klienta. Uruchamianie zadania aktualizacji. Procedura 1 Kliknij dwukrotnie pozycję Domyślna aktualizacja klienta. 2 Kliknij kartę Harmonogram, zmień harmonogram, a następnie kliknij przycisk OK, aby zapisać zadanie. Możesz również skonfigurować domyślne działanie aktualizacji klienta uruchomionych w Klient Endpoint Security. Wybierz zadanie, a następnie kliknij opcję Uruchom teraz. Jeśli zadanie zostało już uruchomione, wstrzymane lub odroczone, przycisk zmienia się w przycisk Wyświetl. Jeśli zadanie zostanie uruchomione przed zastosowaniem zmian, Klient Endpoint Security wyświetli monit o zapisanie ustawień. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Jak działa zadanie domyślnej aktualizacji klienta na stronie 39 Konfigurowanie witryn źródłowych aktualizacji na stronie 36 Konfigurowanie domyślnego działania aktualizacji na stronie 38 Konfigurowanie, planowanie i uruchamianie zadań dublowania Zadania dublowania można modyfikować lub planować za pomocą Klient Endpoint Security w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij opcję Zadania. 5 Skonfiguruj ustawienia zadania dublowania na stronie. Czynność Tworzenie zadania dublowania. Procedura 1 Kliknij przycisk Dodaj. 2 Wprowadź nazwę, a następnie wybierz opcję Dubluj z listy rozwijanej Wybierz typ zadania. 3 Skonfiguruj ustawienia, a następnie kliknij przycisk OK. Zmiana zadania dublowania. Kliknij dwukrotnie zadanie dublowania, wprowadź zmiany, a następnie kliknij przycisk OK. McAfee Endpoint Security 10.2 Podręcznik produktu 41

42 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Czynność Usuwanie zadania dublowania. Tworzenie kopii zadania dublowania. Planowanie zadania dublowania. Uruchom zadanie dublowania. Procedura Wybierz zadanie, a następnie kliknij opcję Usuń. 1 Wybierz zadanie, a następnie kliknij opcję Powiel. 2 Wprowadź nazwę, skonfiguruj ustawienia, a następnie kliknij przycisk OK. 1 Kliknij dwukrotnie zadanie. 2 Kliknij kartę Harmonogram, zmień harmonogram, a następnie kliknij przycisk OK, aby zapisać zadanie. Wybierz zadanie, a następnie kliknij opcję Uruchom teraz. Jeśli zadanie zostało już uruchomione, wstrzymane lub odroczone, przycisk zmienia się w przycisk Wyświetl. Jeśli zadanie zostanie uruchomione przed zastosowaniem zmian, Klient Endpoint Security wyświetli monit o zapisanie ustawień. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Działanie zadań dublowania Zadanie dublowania replikuje pliki aktualizacji z pierwszego dostępnego repozytorium zdefiniowanego na liście repozytoriów i przekazuje je do witryny dublowanej w sieci. Zadanie to jest najczęściej używane do dublowania zawartości witryny pobierania firmy McAfee na lokalnym serwerze. Po zreplikowaniu witryny McAfee zawierającej pliki aktualizacji komputery podłączone do sieci mogą pobrać te pliki z dublowanej witryny. Pozwala to na aktualizowanie komputerów w sieci bez względu na to, czy mają dostęp do Internetu, czy nie. Korzystanie ze zreplikowanej witryny jest wydajniejsze, ponieważ komputery łączą się z serwerem, który znajduje się bliżej niż witryna internetowa firmy McAfee, co pozwala skrócić czas dostępu i pobierania. Program Endpoint Security do automatycznej aktualizacji wymaga katalogu. Dlatego też w przypadku dublowania witryny ważne jest, aby replikacja objęła całą strukturę katalogów. Informacje o interfejsie klienta Wspólne Tematy pomocy dotyczące interfejsu zapewniają szczegółową pomoc w zakresie stron interfejsu klienta. Spis treści Strona Plik dziennika zdarzeń Moduł Wspólne Opcje Moduł Wspólne Zadania 42 McAfee Endpoint Security 10.2 Podręcznik produktu

43 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Strona Plik dziennika zdarzeń Wyświetla aktywność i zdarzenia debugowania w pliku dziennika zdarzeń. Tabela 2-2 Opcje Opcja Liczba zdarzeń Wyświetl folder dzienników Pokaż wszystkie zdarzenia Filtruj według poziomu zagrożenia Filtruj według modułu Definicja Podaje liczbę zdarzeń, które program Endpoint Security zarejestrował w systemie w ciągu ostatnich 30 dni. Odświeża widok pliku dziennika zdarzeń pod kątem nowych danych zdarzeń. Otwiera folder zawierający pliki dziennika w programie Eksplorator Windows. Służy do wyłączania wszystkich filtrów. Umożliwia filtrowanie zdarzeń według poziomu istotności: Alert Krytyczne i poważniejsze Ostrzeżenie i poważniejsze Powiadomienie i poważniejsze Umożliwia filtrowanie zdarzeń według modułu: Pozwala wyświetlić tylko zdarzenia o poziomie istotności 1. Pozwala wyświetlić tylko zdarzenia o poziomie istotności 1 i 2. Pozwala wyświetlić tylko zdarzenia o poziomie istotności 1, 2 i 3. Pozwala wyświetlić tylko zdarzenia o poziomie istotności 1, 2, 3 i 4. Wspólne Zapobieganie zagrożeniom Zapora Kontrola zagrożeń sieciowych Analiza zagrożeń Pozwala wyświetlić tylko zdarzenia dotyczące modułu Wspólne. Pozwala wyświetlić tylko zdarzenia dotyczące modułu Zapobieganie zagrożeniom. Pozwala wyświetlić tylko zdarzenia dotyczące modułu Zapora. Pozwala wyświetlić tylko zdarzenia dotyczące modułu Kontrola zagrożeń sieciowych. Pozwala wyświetlić tylko zdarzenia dotyczące modułu Analiza zagrożeń. Funkcje wyświetlane na liście rozwijanej zależą od funkcji zainstalowanych na komputerze w momencie otwarcia pliku dziennika zdarzeń. Wyszukaj Liczba zdarzeń na stronie Poprzednia strona Następna strona Strona x z x Nagłówek kolumny Data Funkcja Wyszukuje stringi w pliku dziennika zdarzeń. Umożliwia wybranie liczby wyświetlanych zdarzeń na stronie (domyślnie 20 zdarzeń na stronę). Wyświetla poprzednią stronę pliku dziennika zdarzeń. Wyświetla następną stronę pliku dziennika zdarzeń. Umożliwia przejście do wybranej strony pliku dziennika zdarzeń. Wprowadź liczbę w polu Strona i naciśnij klawisz Enter lub kliknij przycisk Przejdź, aby przejść na daną stronę. Kryterium sortowania listy zdarzeń Data wystąpienia zdarzenia. Funkcja, za pomocą której zdarzenie zostało zarejestrowane. McAfee Endpoint Security 10.2 Podręcznik produktu 43

44 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Nagłówek kolumny Podjęta akcja Kryterium sortowania listy zdarzeń Ewentualna akcja wykonana przez program Endpoint Security w odpowiedzi na zdarzenie. Akcja jest skonfigurowana w ustawieniach. Dozwolono Odmowa dostępu Usunięto Kontynuuj Wyczyszczono Przeniesiono Zablokowano Zablokuje Zezwolono na dostęp do pliku. Odmówiono dostępu do pliku. Automatycznie usunięto plik. Automatycznie usunięto zagrożenie z pliku. Przeniesiono plik do Kwarantanny. Zablokowano dostęp do pliku. Reguła ochrony dostępu zablokowałaby dostęp do pliku, jeżeli reguła zostałaby wymuszona. Istotność Poziom istotności zdarzenia. Krytyczny 1 Główny 2 Poboczny 3 Ostrzeżenie 4 Informacyjny 5 Patrz także Wyświetl zawartość pliku dziennika zdarzeń na stronie 25 Moduł Wspólne Opcje Umożliwia konfigurowanie ustawień interfejsu Klient Endpoint Security, ochrony rezydentnej, dzienników aktywności i debugowania oraz serwera proxy. Tabela 2-3 Opcje Obszar Opcja Definicja Tryb interfejsu klienta Pełny dostęp Służy do włączania dostępu do wszystkich funkcji programu (domyślne ustawienie). Standardowy dostęp Służy do wyświetlania stanu ochrony i włączania dostępu do większości funkcji, takich jak uruchamianie aktualizacji i skanowania. W trybie Standardowy dostęp do wyświetlania i zmiany ustawień zasad na stronie Ustawienia w Klient Endpoint Security wymagane jest podanie hasła. Zablokuj interfejs klienta Służy do zabezpieczania hasłem dostępu do programu Klient Endpoint Security. 44 McAfee Endpoint Security 10.2 Podręcznik produktu

45 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Tabela 2-3 Opcje (ciąg dalszy) Obszar Opcja Definicja Ustaw hasło administratora W opcjach Standardowy dostęp i Zablokuj interfejs klienta służy do określania hasła administratora niezbędnego do uzyskania dostępu do wszystkich funkcji interfejsu programu Klient Endpoint Security. Hasło umożliwia określanie hasła. Potwierdź hasło umożliwia potwierdzanie hasła. Dezinstalacja Aby odinstalować klienta, należy podać hasło Służy do żądania hasła do odinstalowania programu Klient Endpoint Security i do określenia hasła. Domyślne hasło to mcafee. (opcja jest domyślnie wyłączona). Hasło umożliwia określanie hasła. Potwierdź hasło umożliwia potwierdzanie hasła. Tabela 2-4 Opcje zaawansowane Obszar Opcja Definicja Język interfejsu klienta Automatyczny Język Służy do automatycznego wyboru języka interfejsu Klient Endpoint Security na podstawie języka w systemie klienckim. Służy do wyboru języka interfejsu Klient Endpoint Security. W przypadku systemów zarządzanych zmiany języka wprowadzone z poziomu Klient Endpoint Security zastępują zmiany przesłane z serwera zarządzania. Zmiana języka zostanie zastosowana po ponownym uruchomieniu Klient Endpoint Security. Język klienta nie ma wpływu na pliki dziennika. Pliki dziennika zawsze wyświetlane są w języku określonym przez domyślne ustawienia regionalne. Ochrona rezydentna Włącz ochronę rezydentną Akcja Pliki i foldery Rejestr Procesy Służy do ochrony zasobów systemowych oprogramowania Endpoint Security przed szkodliwym działaniem. Służy do określania akcji podejmowanej w przypadku szkodliwego działania: Blokuj i raportuj powoduje zablokowanie działania i wysłanie raportu do platformy McAfee epo. (ustawienie domyślne) Tylko blokuj powoduje blokowanie działania, ale bez wysyłania raportów do platformy McAfee epo. Tylko raportuj powoduje wysłanie raportów do platformy McAfee epo, ale bez blokowania działania. Służy do uniemożliwiania zmiany lub usuwania systemowych plików i folderów oprogramowania firmy McAfee. Służy do uniemożliwiania zmiany lub usuwania kluczy i wartości rejestru oprogramowania firmy McAfee. Służy do uniemożliwiania zatrzymywania procesów oprogramowania firmy McAfee. McAfee Endpoint Security 10.2 Podręcznik produktu 45

46 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Tabela 2-4 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Wyklucz poniższe procesy Zezwala określonym procesom na dostęp. Dozwolone jest użycie symboli zastępczych. Dodaj służy do dodawania procesu do listy wykluczeń. Należy kliknąć przycisk Dodaj, a następnie wprowadzić dokładną nazwę zasobu, np. avtask.exe. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Należy zaznaczyć żądany zasób, a następnie kliknąć przycisk Usuń. Certyfikaty Określa opcje dotyczące certyfikatów. Zezwól Służy do umożliwiania uruchamiania przez dostawcę kodu wewnątrz procesów firmy McAfee. To ustawienie może powodować problemy ze zgodnością i obniżenie poziomu ochrony. Rejestrowanie klienta Dostawca Podmiot Skrót Lokalizacja plików dziennika Służy do określania nazwy pospolitej (CN) urzędu podpisującego i wydającego certyfikat. Służy do określania nazwy wyróżniającej podpisującego (SDN) określającej jednostkę związaną z certyfikatem. Dane te mogą obejmować: CN nazwę pospolitą OU jednostkę organizacyjną O organizację L miejscowość ST województwo C kod kraju Służy do określania skrótu powiązanego klucza publicznego. Służy do określania lokalizacji plików dziennika. Domyślną lokalizacją jest: <DYSK_SYSTEMOWY>:\ProgramData\McAfee\Endpoint\Logs Rejestrowanie aktywności Włącz rejestrowanie aktywności Ograniczenie rozmiaru (MB) każdego z plików dziennika aktywności Wprowadź lub kliknij przycisk Przeglądaj, aby przejść do folderu programu. Służy do włączania rejestrowania wszystkich aktywności modułu Endpoint Security. Służy do ograniczania maksymalnej wielkości każdego pliku dziennika aktywności (w zakresie od 1 MB do 999 MB). Domyślną wartością jest 10 MB. Jeżeli wielkość pliku dziennika przekracza tę wartość, nowe dane zastępują 25% najstarszych wpisów w pliku. Wyłącz tę opcję, aby zezwolić plikom dziennika na osiąganie dowolnego rozmiaru. 46 McAfee Endpoint Security 10.2 Podręcznik produktu

47 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Tabela 2-4 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Rejestrowanie debugowania Włączenie rejestrowania debugowania dowolnego modułu powoduje również włączenie rejestrowania debugowania funkcji modułu Wspólne, takich jak ochrona rezydentna. Zalecane działanie: Rejestrowanie debugowania należy włączyć co najmniej na pierwsze 24 godziny testowania i etapu pilotażowego. Jeśli przez ten czas nie wystąpią żadne problemy, rejestrowanie debugowania można wyłączyć, aby uniknąć obniżania wydajności systemów klienckich. Rejestrowanie zdarzeń Włącz dla modułu Zapobieganie zagrożeniom Włącz dla modułu Zapora Włącz dla modułu Kontrola zagrożeń sieciowych Włącz dla modułu Analiza zagrożeń Ogranicz rozmiar (MB) każdego pliku dziennika debugowania Wyślij zdarzenia do McAfee epo Rejestruj zdarzenia w dzienniku aplikacji systemu Windows Służy do włączania pełnego rejestrowania dla modułu Zapobieganie zagrożeniom i poszczególnych technologii: Włącz dla funkcji Ochrona dostępu służy do rejestrowania w pliku AccessProtection_Debug.log. Włącz dla funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach służy do rejestrowania w pliku ExploitPrevention_Debug.log. Włącz dla skanera używanego do skanowania na bieżąco służy do rejestrowania w pliku OnAccessScan_Debug.log. Włącz dla skanera używanego do skanowania na żądanie służy do rejestrowania w pliku OnDemandScan_Debug.log. Włączenie rejestrowania debugowania dowolnej technologii modułu Zapobieganie zagrożeniom powoduje również włączenie rejestrowania debugowania modułu Klient Endpoint Security. Służy do włączania pełnego rejestrowania aktywności modułu Zapora. Służy do włączania pełnego rejestrowania aktywności modułu Kontrola zagrożeń sieciowych. Służy do włączania pełnego rejestrowania aktywności modułu Analiza zagrożeń. Służy do ograniczania maksymalnej wielkości każdego pliku dziennika debugowania (w zakresie od 1 MB do 999 MB). Domyślną wartością jest 50 MB. Jeżeli wielkość pliku dziennika przekracza tę wartość, nowe dane zastępują 25% najstarszych wpisów w pliku. Wyłącz tę opcję, aby zezwolić plikom dziennika na osiąganie dowolnego rozmiaru. Służy do wysyłania wszystkich zdarzeń zarejestrowanych w pliku dziennika zdarzeń w Klient Endpoint Security do platformy McAfee epo. Opcja ta jest dostępna tylko w systemach zarządzanych za pomocą programu McAfee epo. Służy do wysyłania wszystkich zarejestrowanych zdarzeń w pliku dziennika zdarzeń programu Klient Endpoint Security do dziennika aplikacji Windows. Dostęp do dziennika aplikacji systemu Windows można uzyskać, wybierając polecenia Windows Podgląd zdarzeń Dzienniki systemu Windows Aplikacja. McAfee Endpoint Security 10.2 Podręcznik produktu 47

48 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Tabela 2-4 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Poziomy istotności Umożliwia określenie poziomu istotności zdarzeń do rejestrowania w pliku dziennika zdarzeń programu Klient Endpoint Security: Brak służy do wyłączania wysyłania alertów. Tylko alerty służy do wysyłania tylko alertów poziomu 1. Krytyczne i alerty służy do wysyłania alertów poziomu 1 i 2. Ostrzeżenie, krytyczne i alerty służy do wysyłania alertów poziomu 1-3. Wszystkie poza informacyjnymi służy do wysyłania alertów poziomu 1-4. Wszystkie służy do wysyłania alertów poziomu Alert 2 Krytyczne 3 Ostrzeżenie 4 Powiadomienie 5 Informacyjne Serwer proxy usługi McAfee GTI Zdarzenia modułu Zapobieganie zagrożeniom w dzienniku Zdarzenia modułu Zapora w dzienniku Zdarzenia modułu Kontrola zagrożeń sieciowych w dzienniku Rejestrowane zdarzenia modułu Analiza zagrożeń Brak serwera proxy Użyj ustawień systemowego proxy Służy do określania poziomu istotności rejestrowanych w dzienniku zdarzeń poszczególnych funkcji modułu Zapobieganie zagrożeniom: Ochrona dostępu służy do rejestrowania w pliku AccessProtection_Activity.log. Włączenie pliku dziennika zdarzeń ochrony dostępu powoduje włączenie pliku dziennika zdarzeń ochrony rezydentnej. Zapobieganie wykorzystaniu luk w zabezpieczeniach służy do rejestrowania w pliku ExploitPrevention_Activity.log. Skanowanie na bieżąco służy do rejestrowania w pliku OnAccessScan_Activity.log. Skanowanie na żądanie służy do rejestrowania w pliku OnDemandScan_Activity.log. Służy do określania poziomu istotności zdarzeń modułu Zapora, które mają być rejestrowane. Służy do określania poziomu istotności zdarzeń modułu Kontrola zagrożeń sieciowych, które mają być rejestrowane. Służy do określania poziomu istotności rejestrowanych zdarzeń modułu Analiza zagrożeń. Służy do włączania pobierania przez systemy zarządzane informacji o reputacji McAfee GTI bezpośrednio przez Internet, bez użycia serwera proxy. (Domyślne ustawienie). Służy do włączania korzystania z ustawień proxy z komputera klienckiego oraz opcjonalnie włączania uwierzytelniania proxy HTTP. 48 McAfee Endpoint Security 10.2 Podręcznik produktu

49 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Tabela 2-4 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Konfiguruj serwer proxy Służy do dostosowywania ustawień proxy. Adres umożliwia określanie adresu IP lub pełnej nazwy domeny serwera proxy HTTP. Port umożliwia ograniczanie dostępu tylko do konkretnego portu. Wyklucz poniższe adresy nie używaj serwera proxy HTTP w odniesieniu do witryn sieci Web ani adresów IP zaczynających się podanymi wpisami. Kliknij przycisk Dodaj, a następnie podaj adres do wykluczenia. Domyślna aktualizacja klienta Witryny źródłowe aktualizacji Włącz uwierzytelnianie serwera proxy HTTP Włącz przycisk Aktualizuj teraz w kliencie Jakie elementy mają być zaktualizowane Dodaj Służy do określania wymogu uwierzytelniania serwera proxy HTTP. (Ta opcja jest dostępna tylko wtedy, gdy wybrano serwer proxy HTTP). Należy wprowadzić poświadczenia serwera proxy HTTP: Nazwa użytkownika umożliwia określanie konta użytkownika z uprawnieniami dostępu do serwera proxy HTTP. Hasło umożliwia określanie hasła do konta podanego w ustawieniu Nazwa użytkownika. Potwierdź hasło umożliwia potwierdzanie podanego hasła. Umożliwia wyświetlanie lub ukrywanie przycisku Security. na stronie głównej programu Klient Endpoint Kliknij ten przycisk, aby ręcznie sprawdzać dostępność aktualizacji plików zawartości i składników oprogramowania oraz pobierać je na komputer kliencki. Umożliwia określenie elementów do zaktualizowania po kliknięciu przycisku. Zawartość zabezpieczeń, poprawki HotFix i łaty umożliwia aktualizację całej zawartości zabezpieczeń (łącznie z aparatem i zawartością AMCore oraz zawartością funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach) oraz poprawek HotFix i łat do najnowszej wersji. Zawartość zabezpieczeń umożliwia aktualizację wyłącznie zawartości zabezpieczeń. (Domyślne ustawienie). Poprawki HotFix i łaty umożliwia aktualizację wyłącznie poprawek HotFix i łat. Umożliwia konfigurowanie stron, z których pobierane są aktualizacje plików zawartości i komponentów oprogramowania. Domyślną witrynę źródłową kopii zapasowej, McAfeeHttp, i serwer zarządzania (w przypadku systemów zarządzanych) można włączać i wyłączać, ale nie można ich usuwać ani w inny sposób modyfikować. Wskazuje elementy, które można przenieść na liście. Wybierz elementy, a następnie przeciągnij i upuść je do nowej lokalizacji. W miejscu, w którym można upuścić przeciągane elementy, między elementami wyświetlana jest niebieska linia. Umożliwia dodanie witryny do listy witryn źródłowych. McAfee Endpoint Security 10.2 Podręcznik produktu 49

50 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Tabela 2-4 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Dwukrotne kliknięcie elementu Usuń Importuj Służy do zmiany zaznaczonego elementu. Umożliwia usuwanie wybranych witryn z listy witryn źródłowych. Umożliwia importowanie witryn z pliku listy witryn źródłowych. Wybierz plik do zaimportowania, a następnie kliknij opcję OK. Plik listy witryn zastąpi istniejącą listę witryn źródłowych. Serwer proxy witryn źródłowych Eksportuj wszystko Brak serwera proxy Użyj ustawień systemowego proxy Konfiguruj serwer proxy Włącz uwierzytelnianie serwera proxy HTTP/FTP Umożliwia eksportowanie listy witryn źródłowych do pliku SiteList.xml. Wybierz lokalizację, w której chcesz zapisać plik listy witryn źródłowych, a następnie kliknij opcję OK. Służy do włączania pobierania przez systemy zarządzane informacji o reputacji McAfee GTI bezpośrednio przez Internet, bez użycia serwera proxy (domyślne ustawienie). Służy do włączania korzystania z ustawień proxy z komputera klienckiego oraz opcjonalnie włączania uwierzytelniania proxy HTTP lub FTP. Służy do dostosowywania ustawień proxy. Adres HTTP/FTP pozwala na określenie adresu DNS, IPv4 lub IPv6 serwera proxy HTTP lub FTP. Port umożliwia ograniczanie dostępu tylko do konkretnego portu. Wyklucz poniższe adresy pozwala na określenie adresów dla systemów Klient Endpoint Security, które nie będą używać serwera proxy do pobierania ocen z usługi McAfee GTI. Kliknij przycisk Dodaj, a następnie podaj adres do wykluczenia. Służy do określania wymogu uwierzytelniania serwera proxy HTTP lub FTP (ta opcja jest dostępna tylko, gdy wybrano serwer proxy HTTP lub FTP). Należy wprowadzić poświadczenia serwera proxy: Nazwa użytkownika umożliwia określanie konta użytkownika z uprawnieniami dostępu do serwera proxy. Hasło umożliwia określanie hasła do konta podanego w ustawieniu Nazwa użytkownika. Potwierdź hasło umożliwia potwierdzanie podanego hasła. Patrz także Ochrona zasobów programu Endpoint Security na stronie 32 Konfigurowanie ustawień rejestracji na stronie 33 Kontrolowanie dostępu do interfejsu klienta na stronie 34 Konfiguruj ustawienia serwera proxy usługi McAfee GTI na stronie 35 Konfigurowanie domyślnego działania aktualizacji na stronie 38 Konfigurowanie witryn źródłowych aktualizacji na stronie 36 Dodawanie witryny lub Edytowanie witryny na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

51 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Dodawanie witryny lub Edytowanie witryny Umożliwia dodawanie i edytowanie witryn na liście witryn źródłowych. Tabela 2-5 Definicje opcji Opcja Nazwa Włącz Pobierz pliki z Repozytorium HTTP Definicja Podaje nazwę witryny źródłowej zawierającej pliki aktualizacji. Włącza lub wyłącza korzystanie z witryn źródłowych do pobierania plików aktualizacji. Określa skąd pobrać plik. Pobiera pliki z wyznaczonej lokalizacji repozytorium HTTP. Użycie witryny HTTP umożliwia wykonywanie aktualizacji niezależnie od zabezpieczeń sieciowych, lecz zapewnia obsługę większej liczby współbieżnych połączeń niż protokół FTP. Adres URL Użyj uwierzytelniania Nazwa DNS wskazuje, że adres URL jest nazwą domeny. IPv4 wskazuje, że adres URL jest adresem IPv4. IPv6 wskazuje, że adres URL jest adresem IPv6. określa adres serwera i foldera HTTP, w którym umieszczone są pliki aktualizacji. Port określa numer portu serwera HTTP. Umożliwia wybór uwierzytelniania i określenie poświadczenia do dostępu do foldera plików aktualizacji. Nazwa użytkownika określa konto użytkownika z uprawnieniami do odczytu do foldera plików aktualizacji. Hasło umożliwia określanie hasła do konta podanego w ustawieniu Nazwa użytkownika. Potwierdź hasło umożliwia potwierdzanie podanego hasła. McAfee Endpoint Security 10.2 Podręcznik produktu 51

52 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Tabela 2-5 Definicje opcji (ciąg dalszy) Opcja Repozytorium FTP Definicja Pobiera pliki z wyznaczonej lokalizacji repozytorium FTP. Witryna FTP oferuje elastyczność aktualizacji bez konieczności zachowania zgodności z sieciowymi zezwoleniami zabezpieczeń. Protokół FTP jest mniej podatny na dołączanie niepożądanego kodu niż protokół HTTP, dlatego protokół FTP może oferować lepszą tolerancję. Adres URL Użyj logowania anonimowego Nazwa DNS wskazuje, że adres URL jest nazwą domeny. IPv4 wskazuje, że adres URL jest adresem IPv4. IPv6 wskazuje, że adres URL jest adresem IPv6. ftp:// określa adres serwera i foldera FTP, w którym umieszczone są pliki aktualizacji. Port określa numer portu serwera FTP. Umożliwia wybór anonimowego protokołu FTP, aby uzyskać dostęp do foldera plików aktualizacji. Usuń zaznaczenie tej opcji, aby określić poświadczenia dostępu. Nazwa użytkownika określa konto użytkownika z uprawnieniami do odczytu do foldera plików aktualizacji. Hasło umożliwia określanie hasła do konta podanego w ustawieniu Nazwa użytkownika. Potwierdź hasło umożliwia potwierdzanie podanego hasła. Ścieżka UNC lub Ścieżka lokalna Umożliwia pobieranie plików z wyznaczonej ścieżki lokalizacji UNC lub lokalnej. Najszybciej i w najprostszy sposób można skonfigurować witrynę UNC. Aktualizacje międzydomenowe UNC wymagają zezwoleń zabezpieczeń dla każdej domeny, co sprawia, że konfiguracja aktualizacji jest zajmuje więcej czasu. Ścieżka Ścieżka UNC określa ścieżkę za pomocą notacji UNC (\ \servername\path\). Ścieżka lokalna określa ścieżkę folderu na dysku lokalnym lub sieciowym. Użyj konta zalogowanego użytkownika Umożliwia dostęp do plików aktualizacji za pomocą konta zalogowanego użytkownika. To konto musi posiadać uprawnienia do odczytu do folderu z plikami aktualizacji. Usuń zaznaczenie tej opcji, aby określić poświadczenia dostępu. Domena określa domeny do podanego konta użytkownika. Nazwa użytkownika określa konto użytkownika z uprawnieniami do odczytu do foldera plików aktualizacji. Hasło umożliwia określanie hasła do konta podanego w ustawieniu Nazwa użytkownika. Potwierdź hasło umożliwia potwierdzanie podanego hasła. 52 McAfee Endpoint Security 10.2 Podręcznik produktu

53 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Moduł Wspólne Zadania Umożliwia konfigurowanie i planowanie zadań Klient Endpoint Security. W systemach zarządzanych nie można rozpoczynać, zatrzymywać ani usuwać zadań Administratora. Tabela 2-6 Opcje Obszar Opcja Zadania Dwukrotne kliknięcie elementu Dodaj Usuń Definicja Informuje o aktualnie zdefiniowanych i zaplanowanych zadaniach. Nazwa nazwa zaplanowanego zadania. Funkcja moduł lub funkcja, z którą zadanie jest powiązane. Harmonogram na kiedy zaplanowane jest uruchomienie zadania i czy jest wyłączone. Na przykład w systemach zarządzanych harmonogram zadania domyślnej aktualizacji klienta może zostać wyłączony przez administratora. Stan stan ostatniego uruchomienia zadania: (brak stanu) nie uruchomiono Uruchomiono aktualnie uruchomiono lub wznowiono Wstrzymano wstrzymane przez użytkownika (na przykład skanowanie) Odłożono odłożone przez użytkownika (na przykład skanowanie) Zakończono zakończono wykonanie bez błędów Zakończono (błędy) zakończono wykonanie z błędami Niepowodzenie wykonanie nie powiodło się Ostatnie uruchomienie data i czas ostatniego uruchomienia zadania. Źródło źródło zadania: McAfee dostarczone przez firmę McAfee. Administrator (jedynie w systemach zarządzanych) zdefiniowane przez administratora. Użytkownik zdefiniowane w Klient Endpoint Security. Zadań z niektórych źródeł nie można zmieniać ani usuwać. Na przykład zadanie domyślnej aktualizacji klienta można zmieniać jedynie w systemach samozarządzających. Zadań Administratora, zdefiniowanych przez administratora systemów zarządzanych, nie można zmieniać ani usuwać w Klient Endpoint Security. Służy do zmiany zaznaczonego elementu. Służy do tworzenia zadania skanowania, aktualizacji lub dublowania. Służy do usuwania zaznaczonego zadania. McAfee Endpoint Security 10.2 Podręcznik produktu 53

54 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Tabela 2-6 Opcje (ciąg dalszy) Obszar Opcja Powiel Uruchom teraz Definicja Służy do tworzenia kopii wybranego zadania. Służy do uruchamiania zaznaczonego zadania. Jeśli zadanie zostało już uruchomione, wstrzymane lub odroczone, przycisk zmienia się w przycisk Wyświetl. Szybkie skanowanie otwiera okno dialogowe Szybkie skanowanie i rozpoczyna skanowanie. Pełne skanowanie otwiera okno dialogowe Pełne skanowanie i rozpoczyna skanowanie. Skanowanie niestandardowe otwiera okno dialogowe Skanowanie niestandardowe i rozpoczyna skanowanie. Domyślna aktualizacja klienta otwiera okno dialogowe Aktualizuj i rozpoczyna aktualizację. Aktualizuj otwiera okno dialogowe Aktualizacja niestandardowa i rozpoczyna aktualizację. Dubluj otwiera okno dialogowe Dubluj i rozpoczyna replikację repozytorium. Jeśli zadanie zostanie uruchomione przed zastosowaniem zmian, Klient Endpoint Security wyświetli monit o zapisanie ustawień. Patrz także Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie na stronie 60 Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Konfigurowanie, planowanie i uruchamianie zadań dublowania na stronie 41 Dodaj zadanie na stronie 54 Dodaj zadanie Umożliwia dodanie niestandardowego zadania skanowania, dublowania lub aktualizacji. Opcja Nazwa Wybierz typ zadania Definicja Pozwala określić nazwę zadania. Pozwala określić typ zadania: Skanowanie niestandardowe umożliwia skonfigurowanie i zaplanowanie skanowania niestandardowego, takiego jak codzienne skanowanie pamięci. Dublowanie replikuje zaktualizowaną zawartość i pliki aparatu z pierwszego dostępnego repozytorium do witryny dublowanej w sieci. Aktualizacja umożliwia skonfigurowanie i zaplanowanie aktualizacji plików zawartości, aparatu skanowania lub produktu. Patrz także Dodawanie zadania skanowania lub Edytowanie zadania skanowania na stronie 55 Dodawanie zadania dublowania lub Edytowanie zadania dublowania na stronie 56 Dodawanie zadania aktualizacji lub Edytowanie zadanie aktualizacji na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

55 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Dodawanie zadania skanowania lub Edytowanie zadania skanowania Umożliwia zaplanowanie zadania pełnego skanowania lub szybkiego skanowania albo konfigurację i zaplanowanie niestandardowego zadania skanowania uruchamianego w systemie klienckim. Tabela 2-7 Opcje Karta Ustawienia Harmonogram Opcja Definicja Nazwa Opcje Umożliwia konfigurację ustawień zadania skanowania. Określa nazwę zadania. Konfiguruje działanie tego typu skanowania w ustawieniach dotyczących funkcji Skanowanie na żądanie. Ustawienia zadań pełnego skanowania i szybkiego skanowania można konfigurować tylko w systemach samozarządzających. Umożliwia włączanie i planowanie wykonywania zadań w określonym czasie. Patrz także Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie na stronie 60 Zapobieganie zagrożeniom Skanowanie na żądanie na stronie 117 Harmonogram na stronie 56 Dodawanie zadania aktualizacji lub Edytowanie zadanie aktualizacji Umożliwia zaplanowanie zadania domyślnej aktualizacji klienta albo konfigurację i zaplanowanie niestandardowego zadania aktualizacji uruchamianego w systemie klienckim. Tabela 2-8 Opcje Karta Opcja Definicja Ustawienia Nazwa Jakie elementy mają być zaktualizowane Umożliwia konfigurację ustawień zadania aktualizacji. Określa nazwę zadania. Umożliwia określenie elementów do zaktualizowania: Zawartość zabezpieczeń, poprawki HotFix i łaty Zawartość zabezpieczeń Poprawki HotFix i łaty Można konfigurować te ustawienia tylko w systemach samozarządzających. Harmonogram Umożliwia włączanie i planowanie wykonywania zadań w określonym czasie. Domyślnie zadanie Domyślna aktualizacja klienta wykonywane jest codziennie o północy i powtarzane co cztery godziny do godz. 23:59. Patrz także Moduł Wspólne Opcje na stronie 44 Konfigurowanie domyślnego działania aktualizacji na stronie 38 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji na stronie 40 Harmonogram na stronie 56 McAfee Endpoint Security 10.2 Podręcznik produktu 55

56 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne Dodawanie zadania dublowania lub Edytowanie zadania dublowania Umożliwia skonfigurowanie i zaplanowanie zadań dublowania. Tabela 2-9 Opcje Karta Opcja Definicja Ustawienia Nazwa Określa nazwę zadania. Harmonogram Patrz także Lokalizacja dublowania Określa folder przechowywania duplikatu repozytorium. Umożliwia włączanie i planowanie wykonywania zadań w określonym czasie. Konfigurowanie, planowanie i uruchamianie zadań dublowania na stronie 41 Harmonogram na stronie 56 Harmonogram Umożliwia zaplanowanie zadań skanowania, aktualizacji i dublowania. Tabela 2-10 Opcje Kategoria Opcja Definicja Harmonogram Włącz harmonogram Umożliwia planowanie wykonywania zadań w określonym czasie (opcja jest domyślnie włączona). Należy wybrać tę opcję, aby zaplanować zadanie. Typ harmonogramu Częstotliwość Uruchamiaj Uruchom w Służy do określania częstotliwości uruchamiania zadania. Codziennie zadanie wykonywane jest każdego dnia o określonej godzinie, na przemian o dwóch określonych godzinach, lub w kombinacji obu opcji. Co tydzień zadanie wykonywane jest co tydzień: Określonego dnia tygodnia, we wszystkie dni powszednie, weekendy lub w wybrane dni O określonej godzinie w wybrane dni lub na przemian o dwóch godzinach w wybrane dni. Co miesiąc zadanie wykonywane jest co miesiąc w: określonym dniu miesiąca określonym dniu tygodnia pierwszym, drugim, trzecim, czwartym lub ostatnim. Jeden raz zadanie uruchomione zostanie o określonej godzinie określonego dnia. Podczas uruchamiania systemu zadanie wykonywane jest po uruchomieniu systemu. Podczas logowania zadanie wykonane zostanie po następnym zalogowaniu użytkownika do systemu. Uruchom natychmiast zadanie uruchomione zostaje natychmiast. Pozwala określić częstotliwość zadań wykonywanych Codziennie i Co tydzień. Pozwala określić dni tygodnia uruchamiania zadań wykonywanych Co tydzień i Co miesiąc. Pozwala określić miesiące uruchamiania zadań wykonywanych Co miesiąc. 56 McAfee Endpoint Security 10.2 Podręcznik produktu

57 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 2 Tabela 2-10 Opcje (ciąg dalszy) Kategoria Opcja Definicja Wykonuj to zadanie tylko raz dziennie Opóźnij to zadanie o Data rozpoczęcia Data zakończenia Godzina rozpoczęcia Pozwala ograniczyć uruchamianie zadań wykonywanych Podczas uruchamiania systemu oraz Podczas logowania do jednego uruchomienia dziennie. Pozwala określić liczbę minut opóźnienia uruchamiania zadań wykonywanych Podczas uruchamiania systemu i Podczas logowania. Pozwala określić datę rozpoczęcia dla zadań wykonywanych Codziennie, Co tydzień, Co miesiąc oraz Jeden raz. Pozwala określić datę zakończenia dla zadań wykonywanych Codziennie, Co tydzień oraz Co miesiąc. Służy do określania godziny rozpoczęcia zadania. Uruchamiaj jednorazowo w określonym terminie zadanie wykonywane jest jednorazowo o określonej godzinie rozpoczęcia. Uruchamiaj w określonym terminie i powtarzaj aż do zadanie wykonywane jest o określonej godzinie rozpoczęcia. Następnie zadanie wykonywane jest co liczbę godzin/minut określoną w opcji Rozpoczynaj zadanie co aż do określonego czasu zakończenia. Uruchamiaj w określonym terminie i powtarzaj przez zadanie wykonywane jest o określonej godzinie rozpoczęcia. Następnie zadanie wykonywane jest co liczbę godzin/minut określoną w opcji Rozpoczynaj zadanie co przez określony czas. Opcje Uruchom zadanie według skoordynowanego czasu uniwersalnego Zatrzymaj zadanie, jeśli jest wykonywane dłużej niż Określa, czy harmonogram zadania korzysta z czasu lokalnego w systemie zarządzanym, czy skoordynowanego czasu uniwersalnego (UTC). Zatrzymuje zadanie po upływie określonej liczby godzin i minut. Jeśli zadanie zostanie przerwane przed zakończeniem, po jego ponownym uruchomieniu zostanie wznowione w miejscu przerwania. Konto Ustaw losowo czas rozpoczęcia zadania o Uruchom pominięte zadanie Nazwa użytkownika Hasło Potwierdź hasło Domena Umożliwia uruchamianie zadania o losowej godzinie w określonym zakresie czasowym. W przeciwnym wypadku zadanie jest uruchamiane o zaplanowanej godzinie bez względu na inne zadania klienta, które mogą być zaplanowane na tę samą godzinę. Umożliwia uruchomienie zadania po liczbie minut określonej w opcji Opóźnij rozpoczęcie o w przypadku ponownego uruchomienia systemu zarządzanego. Służy do określania poświadczeń używanych do wykonania zadania. Jeżeli nie podano poświadczeń, zadanie wykonywane jest na koncie lokalnego administratora systemu. Służy do określania konta użytkownika. Służy do określania hasła do podanego konta użytkownika. Służy do potwierdzenia hasła do podanego konta użytkownika. Służy do określania domeny podanego konta użytkownika. Patrz także Dodawanie zadania skanowania lub Edytowanie zadania skanowania na stronie 55 Dodawanie zadania aktualizacji lub Edytowanie zadanie aktualizacji na stronie 55 Dodawanie zadania dublowania lub Edytowanie zadania dublowania na stronie 56 McAfee Endpoint Security 10.2 Podręcznik produktu 57

58 2 Korzystanie z modułu Klient Endpoint Security Informacje o interfejsie klienta Wspólne 58 McAfee Endpoint Security 10.2 Podręcznik produktu

59 3 Korzystanie 3 z modułu Zapobieganie zagrożeniom Moduł Zapobieganie zagrożeniom wyszukuje wirusy, oprogramowanie szpiegujące, niepożądane programy i inne zagrożenia, skanując elementy na komputerze użytkownika. Spis treści Skanowanie komputera w poszukiwaniu złośliwego oprogramowania Zarządzanie wykryciami zagrożeń Zarządzanie elementami poddanymi kwarantannie Zarządzanie modułem Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Skanowanie komputera w poszukiwaniu złośliwego oprogramowania Komputer można przeskanować w poszukiwaniu złośliwego oprogramowania, wybierając odpowiednie polecenia w programie Klient Endpoint Security lub Eksploratorze Windows. Zadania Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie na stronie 60 Klient Endpoint Security można użyć do ręcznego uruchamiania na komputerze funkcji Pełne skanowanie lub Szybkie skanowanie. Skanowanie pliku lub folderu na stronie 62 Aby szybko zeskanować pojedynczy plik lub folder, który może być zainfekowany, należy kliknąć go prawym przyciskiem myszy w programie Eksplorator Windows. Patrz także Typy skanowania na stronie 59 Typy skanowania W programie Endpoint Security dostępne są dwa typy skanowania: skanowanie na bieżąco i skanowanie na żądanie. Skanowanie na bieżąco uruchamianie skanowania na bieżąco jest konfigurowane przez administratora na zarządzanych komputerach. Na komputerach samozarządzających skonfiguruj skaner skanowania na bieżąco na stronie Ustawienia. Podczas uzyskiwania dostępu do plików, folderów i programów skaner używany do skanowania na bieżąco przechwytuje tę operację i skanuje elementy na podstawie kryteriów zdefiniowanych w ustawieniach. Skanowanie na żądanie McAfee Endpoint Security 10.2 Podręcznik produktu 59

60 3 Korzystanie z modułu Zapobieganie zagrożeniom Skanowanie komputera w poszukiwaniu złośliwego oprogramowania Uruchamiane ręcznie Administrator (lub użytkownik w przypadku systemów samozarządzających) konfiguruje wstępnie zdefiniowane lub niestandardowe skanowanie na żądanie, które użytkownicy mogą uruchamiać na komputerach zarządzanych. Wstępnie zdefiniowane skanowanie na żądanie można uruchomić w dowolnym momencie z poziomu Klient Endpoint Security, klikając przycisk i wybierając typ skanowania: Szybkie skanowanie umożliwia uruchamianie szybkiego sprawdzenia obszarów systemu najbardziej narażonych na infekcję. Pełne skanowanie umożliwia przeprowadzanie dokładnego sprawdzenia wszystkich obszarów systemu. (Zalecane w przypadku podejrzenia zainfekowania komputera.) Poszczególne pliki lub foldery można skanować w dowolnym momencie z poziomu programu Eksplorator Windows, klikając plik lub folder prawym przyciskiem myszy i wybierając z menu podręcznego polecenie Skanowanie w poszukiwaniu zagrożeń. Skonfiguruj i uruchom niestandardowe skanowanie na żądanie jako administrator za pomocą Klient Endpoint Security: 1 Wybierz polecenie Ustawienia Wspólne Zadania. 2 Wybierz zadanie, które chcesz uruchomić. 3 Kliknij opcję Uruchom teraz. Uruchamiane wg harmonogramu Uruchamianie skanowania na żądanie jest konfigurowane i planowane na komputerach przez administratora (lub użytkownika systemów samozarządzających). Przed uruchomieniem zaplanowanego skanowania na żądanie w dolnej części ekranu wyświetlany jest monit o skanowaniu przez program Endpoint Security. Można uruchomić skanowanie od razu lub odłożyć je na później, jeżeli zostało to skonfigurowane. Aby konfigurować i planować wstępnie zdefiniowane skanowania na żądanie, opcje Szybkie skanowanie i Pełne skanowanie: 1 Karta Ustawienia Skanowanie na żądanie Pełne skanowanie lub Szybkie skanowanie umożliwia konfigurowanie skanowania na żądanie. 2 Ustawienia Common Zadania harmonogramy skanowania na żądanie. Patrz także Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Reagowanie na monit o skanowaniu na stronie 21 Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie Klient Endpoint Security można użyć do ręcznego uruchamiania na komputerze funkcji Pełne skanowanie lub Szybkie skanowanie. Zanim rozpoczniesz Należy zainstalować moduł Zapobieganie zagrożeniom. Działanie opcji Pełne skanowanie i Szybkie skanowanie zależy od sposobu konfiguracji ustawień. Przy pomocy poświadczeń administratora można modyfikować i planować te skanowania w ustawieniach opcji Skanowanie na żądanie. 60 McAfee Endpoint Security 10.2 Podręcznik produktu

61 Korzystanie z modułu Zapobieganie zagrożeniom Skanowanie komputera w poszukiwaniu złośliwego oprogramowania 3 Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Kliknij przycisk. 3 Na stronie Skanuj system kliknij opcję Skanuj teraz, aby uruchomić żądane skanowanie. Pełne skanowanie Szybkie skanowanie Umożliwia przeprowadzanie dokładnego sprawdzenia wszystkich obszarów systemu (zalecane w przypadku podejrzenia zainfekowania komputera). Uruchamia szybkie sprawdzanie obszarów systemu najbardziej narażonych na infekcję. Jeżeli skanowanie jest już w toku, przycisk Skanuj teraz zmieni się na Wyświetl skanowanie. W zależności od konfiguracji ustawień oraz od tego, czy wykryte zostało zagrożenie, może być widoczny również przycisk Wyświetl wykrycia skanera skanowania na bieżąco. Kliknij przycisk, aby otworzyć stronę Skanowanie na bieżąco i zarządzać wykryciami w dowolnym czasie. W programie Klient Endpoint Security stan skanowania jest wyświetlany na nowej stronie. Zalecane działanie: Data utworzenia zawartości AMCore oznacza termin ostatniej aktualizacji zawartości. Jeżeli zawartość ma ponad dwa dni, należy przed przeprowadzeniem skanowania zaktualizować system ochrony. 4 Kliknij przyciski u góry strony stanu, aby kontrolować skanowanie. Wstrzymaj skanowanie Wznów skanowanie Anuluj skanowanie Umożliwia wstrzymanie skanowania przed jego ukończeniem. Umożliwia wznowienie wstrzymanego skanowania. Umożliwia anulowanie uruchomionego skanowania. 5 Po zakończeniu skanowania na stronie wyświetlane są: liczba przeskanowanych plików, czas skanowania i ewentualne zdarzenia wykrycia. Nazwa wykrycia Typ Plik Podjęta akcja Służy do wyświetlania nazwy wykrytego złośliwego oprogramowania. Umożliwia wyświetlanie typu zagrożenia. Służy do wyświetlania nazwy zainfekowanego pliku. Służy do opisywania ostatniej akcji zabezpieczeń wykonanej na zainfekowanym pliku: Odmowa dostępu Wyczyszczono Usunięto Brak Lista skanowania na żądanie zostanie wyczyszczona, gdy zostanie uruchomione następne skanowanie na żądanie. McAfee Endpoint Security 10.2 Podręcznik produktu 61

62 3 Korzystanie z modułu Zapobieganie zagrożeniom Skanowanie komputera w poszukiwaniu złośliwego oprogramowania 6 Wybierz zdarzenie wykrycia w tabeli i kliknij przycisk Oczyść lub Usuń, aby oczyścić lub usunąć zainfekowany plik. W zależności od typu zagrożenia i ustawień skanera, akcje te mogą nie być dostępne. 7 Kliknij przycisk Zamknij, aby zamknąć stronę. Patrz także Typy skanowania na stronie 59 Nazwy wykrycia na stronie 65 Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Zarządzanie wykryciami zagrożeń na stronie 63 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Skanowanie pliku lub folderu Aby szybko zeskanować pojedynczy plik lub folder, który może być zainfekowany, należy kliknąć go prawym przyciskiem myszy w programie Eksplorator Windows. Zanim rozpoczniesz Należy zainstalować moduł Zapobieganie zagrożeniom. Działanie opcji Skanowanie uruchamiane kliknięciem prawego przycisku myszy zależy od sposobu konfiguracji ustawień. Przy pomocy poświadczeń administratora można modyfikować te skanowania w ustawieniach opcji Skanowanie na żądanie. Zadanie 1 W programie Eksplorator Windows kliknij prawym przyciskiem myszy żądany plik lub folder, który ma być zeskanowany, i z menu podręcznego wybierz polecenie Skanowanie w poszukiwaniu zagrożeń. W programie Klient Endpoint Security stan skanowania jest wyświetlany na stronie Skanowanie w poszukiwaniu zagrożeń. 2 Kliknij przyciski u góry strony, aby kontrolować skanowanie. Wstrzymaj skanowanie Wznów skanowanie Anuluj skanowanie Umożliwia wstrzymanie skanowania przed jego ukończeniem. Umożliwia wznowienie wstrzymanego skanowania. Umożliwia anulowanie uruchomionego skanowania. 3 Po zakończeniu skanowania na stronie wyświetlane są: liczba przeskanowanych plików, czas skanowania i ewentualne zdarzenia wykrycia. Nazwa wykrycia Typ Plik Podjęta akcja Służy do wyświetlania nazwy wykrytego złośliwego oprogramowania. Umożliwia wyświetlanie typu zagrożenia. Służy do wyświetlania nazwy zainfekowanego pliku. Służy do opisywania ostatniej akcji zabezpieczeń wykonanej na zainfekowanym pliku: Odmowa dostępu Wyczyszczono Usunięto Brak Lista skanowania na żądanie zostanie wyczyszczona, gdy zostanie uruchomione następne skanowanie na żądanie. 62 McAfee Endpoint Security 10.2 Podręcznik produktu

63 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie wykryciami zagrożeń 3 4 Wybierz zdarzenie wykrycia w tabeli i kliknij przycisk Oczyść lub Usuń, aby oczyścić lub usunąć zainfekowany plik. W zależności od typu zagrożenia i ustawień skanera, akcje te mogą nie być dostępne. 5 Kliknij przycisk Zamknij, aby zamknąć stronę. Patrz także Typy skanowania na stronie 59 Nazwy wykrycia na stronie 65 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Zarządzanie wykryciami zagrożeń W zależności od konfiguracji ustawień można zarządzać wykryciami zagrożeń w programie Klient Endpoint Security. Zanim rozpoczniesz Należy zainstalować moduł Zapobieganie zagrożeniom. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Kliknij opcję Skanuj teraz, aby otworzyć stronę Skanuj system. 3 W opcji Skanowanie na bieżąco kliknij opcję Wyświetl wykrycia. Ta opcja nie jest dostępna, jeżeli lista nie zawiera żadnych wykryć lub opcja przesyłania wiadomości do użytkownika jest wyłączona. Lista skanowania na bieżąco zostanie wyczyszczona, gdy usługa programu Endpoint Security lub system uruchomi się ponownie. 4 Na stronie Skanowanie na bieżąco wybierz jedną z następujących opcji. Wyczyść Podejmuje próbę oczyszczenia elementu (pliku, wpisu rejestru) i poddania go kwarantannie. Moduł Endpoint Security wykorzystuje informacje z plików zawartości do oczyszczania plików. Jeżeli w pliku zawartości nie ma oczyszczarki lub plik został uszkodzony w stopniu uniemożliwiającym jego naprawę, skaner blokuje dostęp do niego. W takim przypadku firma McAfee zaleca usunięcie pliku z folderu Kwarantanna i przywrócenie go z niezainfekowanej kopii zapasowej. Usuń Usuń wpis Zamknij Umożliwia usunięcie elementu zawierającego zagrożenie. Usuwa wpis z listy wykryć. Zamyka stronę skanowania. Jeżeli akcja jest niedostępna w przypadku danego zagrożenia, odpowiadająca jej opcja jest wyłączona. Na przykład akcja Wyczyść nie jest dostępna, jeżeli plik został już usunięty. Lista skanowania na bieżąco zostanie wyczyszczona, gdy usługa programu Endpoint Security lub system uruchomi się ponownie. McAfee Endpoint Security 10.2 Podręcznik produktu 63

64 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie elementami poddanymi kwarantannie Zarządzanie elementami poddanymi kwarantannie W programie Endpoint Security elementy, w których wykryto zagrożenia, są zapisywane w folderze Kwarantanna. Na elementach poddanych kwarantannie można wykonywać różne akcje. Zanim rozpoczniesz Należy zainstalować moduł Zapobieganie zagrożeniom. Przykładowo można przywrócić element po pobraniu nowszej wersji zawartości, która zawiera informacje umożliwiające wyczyszczenie zagrożenia. Kwarantannie poddawanych jest wiele rodzajów skanowanych obiektów, takich jak pliki, rejestry lub dowolne elementy skanowane przez moduł Endpoint Security pod kątem złośliwego oprogramowania. Zadanie W menu Akcja wybierz opcję Pomoc. 1 Otwórz Klient Endpoint Security. 2 Po lewej stronie kliknij przycisk Kwarantanna. Zostanie wyświetlona strona z elementami poddanymi kwarantannie. Jeżeli Klient Endpoint Security nie może połączyć się z Menedżerem kwarantanny, wyświetlony zostanie komunikat o błędzie komunikacji. W takim przypadku ponownie uruchom system, aby wyświetlić stronę Kwarantanna. 64 McAfee Endpoint Security 10.2 Podręcznik produktu

65 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie elementami poddanymi kwarantannie 3 3 Zaznacz element w górnym okienku, aby wyświetlić jego szczegóły w dolnym okienku. Czynność Zmiana wielkości okienek. Sortowanie elementów w tabeli według nazwy lub typu zagrożenia. Procedura Kliknij widżet między oknami i przeciągnij go. Kliknij nagłówek kolumny w tabeli. 4 Na stronie Kwarantanna przeprowadź działania na wybranych elementach. Czynność Usuwanie elementów poddanych kwarantannie. Przywracanie elementów poddanych kwarantannie. Procedura Wybierz elementy, kliknij przycisk Usuń, a następnie ponownie kliknij przycisk Usuń, aby potwierdzić. Usuniętych elementów nie można przywrócić. Wybierz elementy, kliknij przycisk Przywróć, a następnie ponownie kliknij przycisk Przywróć, aby potwierdzić. Elementy zostaną przywrócone przez program Endpoint Security do oryginalnej lokalizacji i usunięte z folderu kwarantanny. Jeżeli element nadal stanowi zagrożenie, zostanie poddany kwarantannie przez program Endpoint Security podczas najbliższego użycia. Ponowne skanowanie elementów. Zaznacz elementy, a następnie kliknij przycisk Skanuj ponownie. Przykładowo można ponownie przeskanować element po zaktualizowaniu ochrony. Jeżeli element nie stanowi już zagrożenia, możesz przywrócić go do oryginalnej lokalizacji i usunąć z folderu kwarantanny. Wyświetlanie informacji o elemencie w pliku dziennika zdarzeń. Zaznacz element, a następnie w okienku szczegółów kliknij łącze Wyświetl w dzienniku zdarzeń. Zostanie wyświetlona strona Plik dziennika zdarzeń z podświetlonym zdarzeniem powiązanym z zaznaczonym elementem. Uzyskiwanie dodatkowych informacji o zagrożeniu. Zaznacz element, a następnie w okienku szczegółów kliknij łącze Więcej informacji o tym zagrożeniu. Zostanie otwarte nowe okno przeglądarki ze stroną witryny McAfee Labs, gdzie można znaleźć dodatkowe informacje o zagrożeniu, przez które element został poddany kwarantannie. Patrz także Nazwy wykrycia na stronie 65 Ponowne skanowanie elementów poddanych kwarantannie na stronie 67 Otwieranie programu Klient Endpoint Security na stronie 19 Ręczna aktualizacja ochrony i oprogramowania na stronie 23 Nazwy wykrycia Kwarantanna raportuje zagrożenia według nazwy wykrycia. Nazwa wykrycia Oprogramowanie z reklamami Program wybierający numery telefoniczne Opis Umożliwia uzyskiwanie przychodu poprzez wyświetlanie reklam skierowanych do użytkownika. Oprogramowanie z reklamami generuje przychód od dostawcy lub partnerów dostawcy. Niektóre typy oprogramowania z reklamami mogą przechwytywać lub przesyłać dane osobowe. Umożliwia przekierowywanie połączeń do innej strony niż domyślny dostawca Internetu użytkownika. Programy wybierające numery telefoniczne zostały opracowane w ten sposób, że dodają dostawcy zawartości, dostawcy lub innej stronie trzeciej opłaty za połączenia. McAfee Endpoint Security 10.2 Podręcznik produktu 65

66 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie elementami poddanymi kwarantannie Nazwa wykrycia Żart Program do przechwytywania znaków wprowadzanych za pomocą klawiatury Łamacz haseł Potencjalnie niepożądany program Narzędzie zdalnego administrowania Oprogramowanie szpiegujące Opis W zamierzeniu ma uszkodzić komputer, ale nie zawiera złośliwego ładunku ani nie ma takiego zastosowania. Żarty nie mają wpływu na bezpieczeństwo lub prywatność, ale mogą niepokoić lub irytować użytkownika. Odcina przepływ danych pomiędzy użytkownikiem wprowadzającym je a aplikacją, która powinna je, w zamierzeniu, odbierać. Koń trojański i potencjalnie niepożądany program do przechwytywania znaków wprowadzanych za pomocą klawiatury mogą być funkcjonalnie identyczne. Oprogramowanie McAfee wykrywa oba typy, aby zapobiec zakłócaniu prywatności. Umożliwia użytkownikowi lub administratorowi odzyskanie utraconych lub zapomnianych haseł z kont lub plików danych. Jeżeli jest wykorzystywany przez atakującego, umożliwia dostęp do tajnych informacji i stanowi zagrożenie dla bezpieczeństwa i prywatności. Zawiera często wiarygodne oprogramowanie (niezłośliwe oprogramowanie), które może zmienić stan bezpieczeństwa lub prywatności systemu. Oprogramowanie to można pobrać z programem, który użytkownik zamierza zainstalować. Może ono zawierać oprogramowanie szpiegujące, oprogramowanie z reklamami, program do przechwytywania znaków wprowadzanych za pomocą klawiatury, łamacze haseł, narzędzia do hakowania i aplikacje programu wybierającego numery telefoniczne. Pozwala administratorowi na sprawowanie zdalnej kontroli nad systemem. Narzędzia te mogą stanowić znaczne zagrożenie bezpieczeństwa, gdy są kontrolowane przez atakującego. Przesyła dane osobowe do strony trzeciej bez wiedzy lub zgody użytkownika. Oprogramowanie szpiegujące wykorzystuje luki w zabezpieczeniach zainfekowanych komputerów dla zysków komercyjnych poprzez: Dostarczanie niechcianych wyskakujących reklam; Kradzież danych osobowych, łącznie z informacjami finansowymi, takimi jak numery kart kredytowych; Monitorowanie aktywności przeglądania sieci dla celów marketingowych; Routing żądań HTTP do stron reklamowych. Patrz również Potencjalnie niepożądany program. Ukryty program Jest typem wirusa, który chce uniknąć wykrycia przez oprogramowanie antywirusowe. Znany również jako przechwytywacz przerwania. Wiele ukrytych programów odcina żądania dostępu do dysku. Gdy aplikacja antywirusowa stara się odczytywać pliki lub uruchamiać sektory, aby znaleźć wirusa, wirus wyświetla czyste zdjęcie żądanego elementu. Inne wirusy ukrywają faktyczny rozmiar zainfekowanego pliku i wyświetlają rozmiar pliku przed zainfekowaniem. 66 McAfee Endpoint Security 10.2 Podręcznik produktu

67 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Nazwa wykrycia Koń trojański Wirus Opis Jest złośliwym programem, który udaje nieszkodliwą aplikację. Koń trojański nie replikuje się, ale wywołuje uszkodzenie lub naraża komputer na niebezpieczeństwo. Z reguły komputer zostaje zainfekowany: Gdy użytkownik otworzy załącznik z koniem trojańskim w u. Gdy użytkownik pobierze konia trojańskiego z witryny sieci Web. Podczas komunikacji typu peer-to-peer. Konie trojańskie nie są uważane za wirusy, ponieważ nie replikują się same. Załącza się do dysków i innych plików i replikuje się wielokrotnie, zazwyczaj bez wiedzy i zezwolenia użytkownika. Niektóre wirusy załączają się do plików, tak więc, gdy zainfekowany plik zostaje uruchomiony, wraz z nim uruchomiony zostaje wirus. Inne wirusy umieszczone są w pamięci komputera i infekują pliki podczas ich otwierania, modyfikowania lub tworzenia na komputerze. Niektóre wirusy charakteryzują się pewnymi objawami, podczas gdy inne uszkadzają pliki i systemy komputerowe. Ponowne skanowanie elementów poddanych kwarantannie Podczas ponownego skanowania elementów poddanych kwarantannie program Endpoint Security korzysta z ustawień skanowania zapewniających najwyższy poziom ochrony. Zalecane działanie: Przed przywróceniem elementu poddanego kwarantannie należy zawsze poddać go ponownemu skanowaniu. Można na przykład ponownie przeskanować element po zaktualizowaniu definicji i składników oprogramowania. Jeżeli element nie stanowi już zagrożenia, możesz przywrócić go do oryginalnej lokalizacji i usunąć z folderu kwarantanny. Warunki skanowania mogły się zmienić w czasie, jaki upłynął między pierwszym wykryciem zagrożenia a ponownym skanowaniem, co może wpłynąć na wykrywanie elementów poddanych kwarantannie. Podczas ponownego skanowania plików poddanych kwarantannie, program Endpoint Security zawsze: Skanuje zakodowane pliki MIME. Skanuje skompresowane pliki archiwum. Wymusza wyszukiwanie reputacji elementów w usłudze McAfee GTI. Ustawia poziom czułości usługi McAfee GTI na Bardzo wysoki. Nawet przy wykorzystaniu powyższych ustawień skanowania ponowne skanowanie elementów poddanych kwarantannie może nie wykryć zagrożenia. Na przykład jeśli zmienią się metadane elementu (ścieżka lub lokalizacja w rejestrze), ponowne skanowanie może zakończyć się wynikiem fałszywie dodatnim, nawet jeśli element jest wciąż zainfekowany. Zarządzanie modułem Zapobieganie zagrożeniom Administrator może określać ustawienia modułu Zapobieganie zagrożeniom, aby zapobiegać dostępowi zagrożeń i konfigurować skanowanie. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. McAfee Endpoint Security 10.2 Podręcznik produktu 67

68 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Konfigurowanie wykluczeń Moduł Zapobieganie zagrożeniom umożliwia doprecyzowanie ochrony poprzez określenie elementów do wykluczenia. Na przykład może zajść konieczność wyłączenia niektórych typów plików, aby zapobiec zablokowaniu pliku używanego przez bazę danych lub serwer. Zablokowany plik może spowodować usterkę lub generowanie błędów przez bazę danych lub serwer. Pozycje na listach wykluczeń wykluczają się wzajemnie. Każde wykluczenie jest oceniane osobno. Aby wykluczyć folder w systemach Windows, dodaj do ścieżki ukośnik odwrotny (\). Dla tych funkcji... Określ elementy do wykluczenia Gdzie należy konfigurować Wyłącz elementy według Użyć symboli zastępczych? Ochrona dostępu Procesy (dla wszystkich reguł lub dla określonej reguły) Ustawienia modułu Ochrona dostępu Nazwa lub ścieżka pliku, skrót MD5 lub podpisujący procesu Wszystkie z wyjątkiem skrótów MD5 Zapobieganie wykorzystaniu luk w zabezpieczeniach Procesy Zapobieganie wykorzystaniu luk w zabezpieczeniach ustawienia Nazwa lub ścieżka pliku, skrót MD5 lub podpisujący procesu Nazwa lub ścieżka pliku, skrót MD5 lub podpisujący modułu funkcji wywołującej Wszystkie z wyjątkiem skrótów MD5 API Wszystkie skanowania Skanowanie na bieżąco Domyślne Wysokie ryzyko Niskie ryzyko Nazwy wykrycia Ustawienia Opcji Nazwa wykrycia (z uwzględnieniem wielkości liter) Potencjalnie niepożądane programy Pliki, typy plików i foldery Adresy URL modułu ScriptScan ustawienia skanowania na bieżąco Nazwa Nazwa pliku lub folder, typ pliku lub wiek pliku Nazwa adresu URL Tak Tak Tak Nie Skanowanie na żądanie Szybkie skanowanie Pliki, foldery i dyski ustawienia skanowania na żądanie Nazwa pliku lub folder, typ pliku lub wiek pliku Tak Pełne skanowanie Skanowanie uruchamiane kliknięciem prawego przycisku myszy Niestandardowe skanowanie na żądanie Pliki, foldery i dyski Wspólne Zadania Dodaj zadanie Skanowanie niestandardowe Nazwa pliku lub folder, typ pliku lub wiek pliku Tak Patrz także Symbole zastępcze w wykluczeniach na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

69 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Symbole zastępcze w wykluczeniach Symboli zastępczych można używać do przedstawiania znaków w wykluczeniach skanowania plików, folderów, nazw wykryć i potencjalnie niepożądanych programów. Tabela 3-1 Obowiązujące symbole zastępcze Symbol zastępczy Nazwa Reprezentuje? Znak zapytania Pojedynczy znak. Ten symbol zastępczy ma zastosowanie tylko wtedy, gdy liczba znaków zgadza się z długością nazwy pliku lub folderu. Na przykład: wykluczenie W?? wyklucza WWW, ale nie wyklucza WW lub WWWW. * Gwiazdka Wiele znaków, za wyjątkiem ukośnika odwrotnego (\). Użycie ciągu *\ na początku ścieżki pliku jest niedozwolone. Należy używać **\. Na przykład: **\ABC\*. ** Podwójna gwiazdka Dowolna liczba (w tym zero) dowolnych znaków, łącznie z ukośnikiem odwrotnym (\). Ten symbol zastępczy może oznaczać zero lub więcej znaków. Na przykład: C:\ABC\**\XYZ oznacza C:\ABC\DEF\XYZ oraz C:\ABC \XYZ. Symbole zastępcze mogą występować przed ukośnikiem odwrotnym (\) w ścieżce. Na przykład: C:\ABC \*\XYZ oznacza C:\ABC\DEF\XYZ. Wykluczenia poziomu głównego Wykluczenia poziomu głównego w module Zapobieganie zagrożeniom wymagają podania ścieżki bezwzględnej. Oznacza to, że nie można rozpocząć ścieżki wykluczenia od symboli zastępczych \ lub?: \ reprezentujących nazwy dysków na poziomie głównym. Działanie to różni się od działania programu VirusScan Enterprise. Więcej informacji można znaleźć w artykule bazy wiedzy KB85746 i Podręczniku migracji programu McAfee Endpoint Security. W module Zapobieganie zagrożeniom na początku ścieżki wykluczeń poziomu głównego można używać symboli zastępczych **\ reprezentujących dyski i podfoldery. Na przykład wykluczenie **\test pasuje do następujących elementów: C:\test D:\test C:\temp\test D:\foo\test Ochrona punktów dostępu systemu Pierwszą linią obrony przed złośliwym oprogramowaniem jest ochrona punktów dostępu klienta przed dostępem zagrożeń. Ochrona dostępu zapobiega niechcianym zmianom na zarządzanym komputerze poprzez ograniczenie dostępu do określonych plików, udziałów, kluczy i wartości rejestru oraz procesów. Funkcja ochrony dostępu korzysta z reguł zdefiniowanych zarówno przez firmę McAfee, jak i przez użytkownika (reguł niestandardowych), aby raportować lub blokować dostęp do elementów. Ochrona dostępu porównuje żądaną akcję z listą reguł i wykonuje akcje zgodnie z daną regułą. McAfee Endpoint Security 10.2 Podręcznik produktu 69

70 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Funkcja ochrony dostępu musi być włączona, aby wykrywać próby uzyskania dostępu do plików, udziałów, kluczy i wartości rejestru oraz procesów. Funkcja Ochrona dostępu jest domyślnie włączona. Uzyskiwanie dostępu przez zagrożenia Zagrożenia uzyskują dostęp do systemu za pośrednictwem różnych punktów dostępowych. Punkt dostępowy Makra Pliki wykonywalne Skrypty Wiadomości IRC (Internet Relay Chat) Pliki Pomocy przeglądarki i aplikacji Poczta Połączenie tych wszystkich punktów dostępu Opis Jako część dokumentów edytora tekstów i aplikacji arkusza kalkulacyjnego. Pozornie nieszkodliwe programy mogą zawierać wirusy z oczekiwanym programem. Popularne rozszerzenia to.exe,.com,.vbs,.bat,.hlp and.dll. Skrypty takie jak ActiveX and JavaScript, powiązane ze stronami sieci Web i pocztą , mogą zawierać wirusy, jeżeli użytkownik zezwoli na ich uruchomienie. Pliki przesyłane za pośrednictwem tego typu wiadomości mogą zawierać złośliwe oprogramowanie, stanowiące część wiadomości. Na przykład procesy automatycznego uruchamiania mogą zawierać zagrożenia ze strony robaków i koni trojańskich. Pobieranie tych plików Pomocy naraża system na atak osadzonych wirusów i plików wykonywalnych. Żarty, gry i zdjęcia, stanowiące część wiadomości z załącznikiem. Wyrafinowani twórcy złośliwego oprogramowania łączą te wszystkie metody dostarczania, a nawet osadzają jedno złośliwe oprogramowanie w innym, aby uzyskać dostęp do zarządzanego komputera. Powstrzymywanie zagrożeń przez ochronę dostępu Ochrona dostępu powstrzymuje potencjalne zagrożenia poprzez zarządzanie akcjami na podstawie reguł ochrony zdefiniowanych przez firmę McAfee oraz użytkownika. Moduł Zapobieganie zagrożeniom postępuje zgodnie z podstawowym procesem, aby zapewnić ochronę dostępu. Gdy pojawi się zagrożenie Gdy działania podejmuje użytkownik lub proces: 1 Ochrona dostępu sprawdza działania zgodnie ze zdefiniowanymi regułami. 2 Jeżeli działanie złamie regułę, ochrona dostępu będzie zarządzać działaniem zgodnie z informacjami w skonfigurowanej regule. 3 Ochrona dostępu aktualizuje plik dziennika oraz tworzy i wysyła zdarzenie na serwer zarządzania, jeżeli jest ono zarządzane. Przykłady zagrożenia dostępu 1 Użytkownik pobiera wiarygodny program (niebędący złośliwym oprogramowaniem) MyProgram.exe z Internetu. 2 Użytkownik uruchamia plik MyProgram.exe i program uruchamia się zgodnie z oczekiwaniami. 3 Plik MyProgram.exe uruchamia proces podrzędny o nazwie AnnoyMe.exe. 4 Plik AnnoyMy.exe próbuje zmodyfikować system operacyjny, tak aby plik AnnoyMy.exe otwierał się zawsze przy uruchomieniu. 70 McAfee Endpoint Security 10.2 Podręcznik produktu

71 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 5 Ochrona dostępu przetwarza żądanie i sprawdza działanie z istniejącymi regułami blokowania i raportowania. 6 Ochrona dostępu zapobiega modyfikowaniu systemu operacyjnego przez plik AnnoyMe.exe i rejestruje informacje dotyczące podjętej próby. Ochrona dostępu również tworzy i wysyła alert do serwera zarządzania. Reguły ochrony dostępu - informacje Zdefiniowane przez firmę McAfee lub użytkownika Reguły ochrony dostępu służą do zabezpieczania punktów dostępu do systemu. Zdefiniowane przez firmę McAfee reguły zawsze są stosowane przed jakimikolwiek regułami zdefiniowanymi przez użytkownika. Typ reguły Reguły zdefiniowane przez firmę McAfee Reguły zdefiniowane przez użytkownika Opis Te reguły blokują dokonywanie zmian w często używanych plikach i ustawieniach. Reguły zdefiniowane przez firmę McAfee można włączać, wyłączać i zmieniać, ale nie można ich usuwać. Te reguły stanowią uzupełnienie ochrony zapewnianej za pomocą reguł zdefiniowanych przez firmę McAfee. Pusta tabela Pliki wykonywalne wskazuje, że reguła dotyczy wszystkich plików wykonywalnych. Pusta tabela Nazwy użytkowników wskazuje, że reguła dotyczy wszystkich użytkowników. Te reguły można dodawać i usuwać, a także włączać, wyłączać i zmieniać ich konfigurację. Wykluczenia Wykluczenia i dopuszczenia na poziomie reguły odnoszą się do określonej reguły. Wykluczenia na poziomie zasad odnoszą się do wszystkich reguł. Wykluczenia są opcjonalne. Patrz także Wykluczanie procesów z Ochrony dostępu na stronie 78 Konfigurowanie reguł ochrony dostępu zdefiniowanych przez firmę McAfee Reguły zdefiniowane przez firmę McAfee uniemożliwiają użytkownikom dokonywanie zmian w często używanych plikach i ustawieniach. Można: Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zmienić ustawienia blokowania i raportowania dla tych reguł. Dodać wykluczane i uwzględniane pliki wykonywalne do reguł. McAfee Endpoint Security 10.2 Podręcznik produktu 71

72 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Nie można: Usunąć tych reguł. Modyfikować chronionych przez reguły plików i ustawień. Dodawać reguł podrzędnych ani nazw użytkowników do tych reguł. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij opcję Ochrona dostępu. 5 Zmodyfikuj regułę: a W sekcji Reguły wybierz opcję Blokuj, Raportuj lub obie dla danej reguły. Aby blokować lub raportować wszystkie, wybierz opcję Blokuj lub Raportuj w pierwszym wierszu. Aby wyłączyć regułę, usuń zaznaczenia zarówno opcji Blokuj, jak i Raportuj. b c d Kliknij dwukrotnie regułę zdefiniowaną przez firmę McAfee, aby ją edytować. Skonfiguruj ustawienia na stronie Edit McAfee-defined Rule (Edytuj regułę zdefiniowaną przez firmę McAfee). W sekcji Pliki wykonywalne kliknij opcję Dodaj, skonfiguruj ustawienia, a następnie dwukrotnie kliknij opcję Zapisz, aby zapisać regułę. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Reguły ochrony dostępu zdefiniowane przez McAfee na stronie 73 Logowanie jako administrator na stronie 28 Wykluczanie procesów z Ochrony dostępu na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

73 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Reguły ochrony dostępu zdefiniowane przez McAfee Reguły ochrony dostępu zdefiniowane przez McAfee umożliwiają zabezpieczenie komputera przed niepożądanymi zmianami. Reguła zdefiniowana przez firmę McAfee Zmiany w zapisach rejestru dotyczących rozszerzeń plików Opis Służy do ochrony kluczy rejestru w gałęzi HKEY_CLASSES_ROOT, w której rejestrowane są rozszerzenia plików. Ta reguła uniemożliwia złośliwemu oprogramowaniu zmianę rejestracji rozszerzeń plików, co pozwalałoby na jego uruchamianie w trybie dyskretnym. Zalecane działanie: Należy wyłączyć tę regułę na czas instalowania pożądanych aplikacji, które modyfikują rejestracje rozszerzeń plików w rejestrze. Ta reguła jest bardziej restrykcyjną wersją reguły Przechwytywanie plików.exe i innych typów plików wykonywalnych. Zmiany w zasadach praw użytkowników Tworzenie nowych plików wykonywalnych w folderze Program Files Służy do ochrony wartości rejestru z informacjami zabezpieczeń systemu Windows. Ta reguła uniemożliwia robakom zmianę kont, które mają uprawnienia administratora. Służy do zapobiegania tworzeniu nowych plików wykonywalnych w folderze Program Files. Ta reguła uniemożliwia oprogramowaniu reklamowemu i szpiegującemu tworzenie nowych plików.exe i.dll oraz instalowanie nowych plików wykonywalnych w folderze Program Files. Zalecane działanie: Należy zainstalować pożądane aplikacje przed włączeniem tej reguły albo umieścić blokowane procesy na liście wykluczeń. Tworzenie nowych plików wykonywalnych w folderze Windows Służy do zapobiegania tworzeniu plików przez dowolne procesy, nie tylko sieciowe. Reguła ta uniemożliwia tworzenie plików.exe i.dll w folderze Windows. Zalecane działanie: Procesy, które wymagają tworzenia plików w folderze Windows, należy dodać do listy wykluczeń. Wyłączanie programów Edytor rejestru i Menedżer zadań Wykonywanie skryptów przez hosta skryptów systemu Windows (CScript.exe lub Wscript.exe) z dowolnego folderu tymczasowego Służy do ochrony wpisów rejestru systemu Windows, co uniemożliwia wyłączanie programów Edytor rejestru i Menedżer zadań. W przypadku infekcji masowej należy wyłączyć tę regułę, aby umożliwić zmiany rejestru lub otwieranie programu Menedżer zadań w celu zatrzymywania aktywnych procesów. Służy do uniemożliwiania hostowi skryptów systemu Windows uruchamiania skryptów VBScript i JavaScript z folderu, który zawiera temp w nazwie folderu. Ta reguła chroni przed wieloma końmi trojańskimi i wątpliwymi mechanizmami instalacji z witryn sieci Web używanymi przez oprogramowanie z reklamami i oprogramowanie szpiegujące. Może ona uniemożliwiać instalowanie lub uruchamianie pożądanych skryptów i aplikacji innych firm. McAfee Endpoint Security 10.2 Podręcznik produktu 73

74 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Reguła zdefiniowana przez firmę McAfee Przechwytywanie plików.exe lub innych typów plików wykonywalnych Opis Służy do ochrony plików z rozszerzeniami.exe i.bat oraz kluczy rejestru innych plików wykonywalnych w gałęzi HKEY_CLASSES_ROOT. Ta reguła uniemożliwia złośliwemu oprogramowaniu zmianę kluczy rejestru w celu uruchamiania wirusów podczas uruchamiania innych plików wykonywalnych. Ta reguła jest mniej restrykcyjną wersją reguły Zmiany w zapisach rejestru dotyczących rozszerzeń plików. Instalowanie obiektów pomocniczych przeglądarki lub rozszerzeń powłoki Służy do uniemożliwiania instalowania na komputerze hosta oprogramowania z reklamami, oprogramowania szpiegującego i koni trojańskich instalowanych jako obiekty pomocnicze przeglądarki. Ta reguła uniemożliwia instalowanie w systemach oprogramowania reklamowego i szpiegującego. Zalecane działanie: Aby umożliwić pożądanym aplikacjom niestandardowym lub aplikacjom innych firm instalowanie tych obiektów, należy dodać je do listy wykluczeń. Po zainstalowaniu można ponownie włączyć regułę, ponieważ nie uniemożliwia ona działania zainstalowanych obiektów pomocniczych przeglądarki. Instalowanie nowych elementów CLSID, APPID i TYPELIB Służy do uniemożliwiania instalowania lub rejestrowania nowych serwerów COM. Ta reguła chroni przed oprogramowaniem reklamowym i szpiegującym, które jest instalowane jako dodatek COM do przeglądarki Internet Explorer lub aplikacji pakietu Microsoft Office. Zalecane działanie: Aby umożliwić działanie pożądanych aplikacji, które rejestrują dodatki COM, w tym niektórych typowych aplikacji, takich jak Adobe Flash, należy dodać je do listy wykluczeń. Uruchamianie plików z folderu Downloaded Program Files przez przeglądarkę Internet Explorer Służy do uniemożliwiania instalowania oprogramowania za pośrednictwem przeglądarki internetowej. Ta reguła dotyczy jedynie przeglądarki Internet Explorer. Ponieważ reguła ta może blokować również instalację pożądanego oprogramowania, należy zainstalować pożądane aplikacje przed włączeniem reguły albo dodać procesy instalacyjne do listy wykluczeń. Domyślnie reguła ustawiona jest na opcję Raportuj. Ta reguła uniemożliwia oprogramowaniu z reklamami i oprogramowaniu szpiegującemu instalowanie oraz uruchamianie plików wykonywalnych w tym folderze. Modyfikowanie podstawowych procesów systemu Windows Służy do uniemożliwiania tworzenia lub uruchamiania plików o najczęściej fałszowanych nazwach. Ta reguła uniemożliwia uruchamianie wirusów i koni trojańskich o nazwach plików takich samych jak nazwy procesów systemu Windows. Wykluczone z niej są autentyczne pliki systemu Windows. Modyfikowanie ustawień przeglądarki Internet Explorer Służy do uniemożliwiania procesom zmiany ustawień przeglądarki Internet Explorer. Ta reguła uniemożliwia zmieniającym stronę startową koniom trojańskim, oprogramowaniu z reklamami i oprogramowaniu szpiegującemu zmianę ustawień przeglądarki, takich jak zmiana strony startowej lub dodawanie ulubionych. 74 McAfee Endpoint Security 10.2 Podręcznik produktu

75 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Reguła zdefiniowana przez firmę McAfee Modyfikowanie ustawień sieci Opis Uniemożliwia wprowadzanie zmian w ustawieniach sieciowych systemu przez procesy, które nie są zawarte na liście wykluczeń. Ta reguła służy do ochrony przed dostawcami usługi warstwowej rejestrującymi dane dotyczące ruchu sieciowego, takie jak operacje wykonywane za pomocą przeglądarki internetowej, i przesyłającymi je do witryn innych firm. Zalecane działanie: Procesy, które wymagają wprowadzenia zmian w ustawieniach sieciowych, należy dodać do listy wykluczeń. Można również wyłączyć regułę na czas dokonywania zmian. Rejestrowanie programów do automatycznego uruchamiania Służy do uniemożliwiania oprogramowaniu reklamowemu, szpiegującemu, koniom trojańskim i wirusom rejestrowania się do automatycznego uruchamiania po każdym ponownym uruchomieniu systemu. Ta reguła uniemożliwia rejestrowanie procesów do wykonywania po ponownym uruchomieniu systemu przez procesy, które nie są zawarte na liście wykluczeń. Zalecane działanie: Pożądane aplikacje należy dodać do listy wykluczeń albo zainstalować przed włączeniem tej reguły. Zdalny dostęp do lokalnych plików lub folderów Zdalne tworzenie automatycznie uruchamianych plików Zdalne tworzenie albo modyfikowanie plików lub folderów Służy do blokowania prawa do odczytu i zapisu w przypadku uzyskiwania dostępu do komputera ze zdalnych komputerów. Ta reguła uniemożliwia rozprzestrzenianie się robaków przenoszących się przy okazji udostępnień. W standardowym środowisku reguła ta jest przeznaczona dla stacji roboczych, a nie serwerów, i jest przydatna tylko wtedy, gdy komputery są atakowane. Jeżeli oprogramowanie komputera jest zarządzane przez wypychanie plików, reguła ta uniemożliwia instalowanie aktualizacji lub łat. Ta reguła nie wywiera wpływu na funkcje zarządzania programu McAfee epo. Służy do uniemożliwiania nawiązywania połączenia z innych komputerów oraz tworzenia i zmiany automatycznie uruchamianych plików (autorun.inf). Automatycznie uruchamiane pliki są używane do automatycznego uruchamiania plików programu, zwykle plików programów instalacyjnych z dysków CD. Ta reguła uniemożliwia uruchamianie oprogramowania szpiegującego i oprogramowania z reklamami rozpowszechnianego na dyskach CD. Ta reguła służy do domyślnego wybierania opcji Blokuj i Raportuj. Służy do blokowania prawa do zapisu do wszystkich udostępnionych plików i folderów. Ta reguła jest przydatna w przypadku infekcji masowej, ponieważ zablokowanie prawa do zapisu pozwala ograniczyć rozprzestrzenianie infekcji. Reguła blokuje złośliwe oprogramowanie, które mogłoby poważnie ograniczyć możliwość korzystania z komputera lub sieci. W standardowym środowisku reguła ta jest przeznaczona dla stacji roboczych, a nie serwerów, i jest przydatna tylko wtedy, gdy komputery są atakowane. Jeżeli oprogramowanie komputera jest zarządzane przez wypychanie plików, reguła ta uniemożliwia instalowanie aktualizacji lub łat. Ta reguła nie wywiera wpływu na funkcje zarządzania programu McAfee epo. McAfee Endpoint Security 10.2 Podręcznik produktu 75

76 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Reguła zdefiniowana przez firmę McAfee Zdalne tworzenie lub modyfikowanie przenośnych plików wykonywalnych, plików.ini oraz.pif, a także podstawowych lokalizacji systemowych Uruchamianie plików z dowolnego folderu tymczasowego Uruchamianie plików z folderu Temp przez popularne programy Opis Służy do uniemożliwiania nawiązywania połączenia z innych komputerów i zmiany plików wykonywalnych, takich jak pliki w folderze Windows. Ta reguła dotyczy tylko typów plików zwykle infekowanych przez wirusy. Pozwala ona chronić przed rozprzestrzenianiem się robaków lub wirusów, które są przenoszone w sieci przez otwarte lub administracyjne udostępnianie. Ta reguła jest mniej bezpieczną wersją reguły Nadawanie wszystkim udostępnieniom atrybutu tylko do odczytu. Służy do uniemożliwiania uruchamiania pliku wykonywalnego z folderu, który zawiera w nazwie temp. Ta reguła chroni przed złośliwym oprogramowaniem, które jest zapisywane i uruchamiane z folderu temp użytkownika lub systemu. Tego rodzaju złośliwe oprogramowanie może pochodzić z plików wykonywalnych załączanych do wiadomości lub pobieranych plików. Mimo że ta reguła zapewnia najwyższy stopień ochrony, może również uniemożliwić instalowanie pożądanych aplikacji. Służy do uniemożliwiania aplikacjom instalowania oprogramowania z przeglądarki internetowej lub klienta poczty . Ta reguła uniemożliwia uruchamianie załączników do wiadomości i plików wykonywalnych na stronach sieci Web. Zalecane działanie: Aby zainstalować aplikację, która korzysta z folderu Temp, należy dodać jej proces do listy wykluczeń. Patrz także Konfigurowanie reguł ochrony dostępu zdefiniowanych przez firmę McAfee na stronie 71 Konfigurowanie reguł ochrony dostępu zdefiniowanych przez użytkownika Reguły zdefiniowane przez użytkownika stanowią uzupełnienie ochrony zapewnianej za pomocą reguł zdefiniowanych przez firmę McAfee. Te reguły można dodawać i usuwać, a także włączać, wyłączać i zmieniać ich konfigurację. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zalecane działanie: Informacje na temat tworzenia reguł ochrony dostępu dotyczące ochrony przed oprogramowaniem ransomware można znaleźć w artykule PD Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 76 McAfee Endpoint Security 10.2 Podręcznik produktu

77 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 4 Kliknij opcję Ochrona dostępu. 5 Utwórz regułę: w sekcji Reguły kliknij opcję Dodaj. Skonfiguruj ustawienia na stronie Dodaj regułę. a b c W sekcji Pliki wykonywalne kliknij opcję Dodaj, skonfiguruj właściwości plików wykonywalnych, a następnie kliknij opcję Zapisz. Pusta tabela Pliki wykonywalne wskazuje, że reguła dotyczy wszystkich plików wykonywalnych. W sekcji Nazwy użytkowników kliknij opcję Dodaj, a następnie skonfiguruj właściwości nazwy użytkownika. Pusta tabela Nazwy użytkowników wskazuje, że reguła dotyczy wszystkich użytkowników. W sekcji Reguły podrzędne kliknij opcję Dodaj i skonfiguruj właściwości reguły podrzędnej. Zalecane działanie: Aby uniknąć obniżenia wydajności, nie należy wybierać operacji Odczyt. W sekcji Obiekty docelowe kliknij opcję Dodaj, skonfiguruj dane dotyczące obiektu docelowego, a następnie dwukrotnie kliknij opcję Zapisz. 6 W sekcji Reguły wybierz opcję Blokuj, Raportuj lub obie dla danej reguły. Aby blokować lub raportować wszystkie, wybierz opcję Blokuj lub Raportuj w pierwszym wierszu. Aby wyłączyć regułę, usuń zaznaczenia zarówno opcji Blokuj, jak i Raportuj. 7 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Wykluczanie procesów z Ochrony dostępu na stronie 78 Sposób oceny obiektów docelowych w regułach podrzędnych Ochrony dostępu Wszystkie obiekty docelowe dodawane są z poleceniem Uwzględnij albo Wyklucz. McAfee Endpoint Security 10.2 Podręcznik produktu 77

78 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Podczas oceny zdarzenia systemowego względem reguły podrzędnej reguła jest oceniana jako prawdziwa, jeżeli: Co najmniej jeden parametr Uwzględnij ma wartość prawda. oraz Wszystkie parametry Wyklucz mają wartość fałsz. Parametry Wyklucz mają pierwszeństwo przed parametrami Uwzględnij. Przykłady: Jeżeli pojedyncza reguła podrzędna jednocześnie uwzględnia plik C:\marketing\jjohns oraz go wyklucza, nie jest ona wyzwalana w przypadku tego pliku. Jeżeli reguła podrzędna uwzględnia wszystkie pliki, ale wyklucza plik C:\marketing\jjohns, jest ona wyzwalana w przypadku każdego pliku innego niż C:\marketing\jjohns. Jeżeli reguła podrzędna uwzględnia plik C:\marketing\*, ale wyklucza plik C:\marketing\jjohns, jest ona wyzwalana w przypadku pliku C:\marketing\dowolna_nazwa, ale nie w przypadku pliku C: \marketing\jjohns. Wykluczanie procesów z Ochrony dostępu Jeśli zaufany program jest blokowany, należy wykluczyć jego proces, tworząc wykluczenie oparte na zasadach lub regułach. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij opcję Ochrona dostępu. 5 Należy sprawdzić, czy funkcja ochrony dostępu jest włączona. Funkcja ochrony dostępu jest domyślnie włączona. 6 Wykonaj jedną z następujących czynności: 78 McAfee Endpoint Security 10.2 Podręcznik produktu

79 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Czynność Tworzenie wykluczenia opartego na zasadach. Procedura 1 W sekcji Wykluczenia kliknij opcję Dodaj, aby dodać procesy do wykluczenia ze wszystkich reguł. 2 Na stronie Dodaj plik wykonywalny skonfiguruj właściwości pliku wykonywalnego. 3 Kliknij opcję Zapisz, a następnie Zastosuj, aby zapisać ustawienia. Tworzenie wykluczenia opartego na regułach. 1 Modyfikowanie istniejącej reguły lub tworzenie nowej. 2 Na stronie Dodaj regułę lub Edytuj regułę kliknij opcję Dodaj, aby dodać plik wykonywalny do wykluczenia. 3 Na stronie Dodaj plik wykonywalny skonfiguruj właściwości pliku wykonywalnego. 4 Kliknij opcję Zapisz, aby zapisać wykluczenia. Blokowanie wykorzystywania luk w zabezpieczeniach na skutek przepełnienia bufora Funkcja Zapobieganie wykorzystaniu luk w zabezpieczeniach uniemożliwia wykonanie na komputerze użytkownika dowolnego kodu wykorzystującego błąd przepełnienia buforu. Ta funkcja monitoruje połączenie API w rybie użytkownika i rozpoznaje, gdy są one wykonywane w wyniku przepełnienia bufora. Gdy wystąpi wykrycie, informacja ta jest rejestrowana w dzienniku aktywności wyświetlonym w systemie klienta i wysyłana do serwera zarządzania, jeżeli zostało to skonfigurowane. Moduł Zapobieganie zagrożeniom używa pliku zawartości modułu Zapobieganie wykorzystywaniu luk w zabezpieczeniach w celu ochrony aplikacji, takich jak Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word i MSN Messenger. Program Host Intrusion Prevention 8.0 można zainstalować w tym samym systemie, co program Endpoint Security Jeśli program McAfee Host IPS jest włączony, funkcja Zapobieganie wykorzystaniu luk w zabezpieczeniach jest wyłączona, nawet jeśli włączono ją w ustawieniach zasad. Wykorzystywanie luk w zabezpieczeniach na skutek przepełnienia bufora Atakujący wykorzystują luki w zabezpieczeniach powstałe na skutek przepełnienia bufora do uruchamiania kodu wykonywalnego poprzez przepełnienie bufora pamięci o stałym rozmiarze zarezerwowanego dla procesu wprowadzania. Kod ten pozwala atakującym na przejęcie komputera docelowego lub zaatakowanie jego danych. Ponad 25% ataków złośliwego oprogramowania stanowią ataki na skutek przepełnienia bufora, które mają na celu nadpisanie sąsiadującej pamięci w ramach stosu. Dwa typy wykorzystywania luk w zabezpieczeniach na skutek przepełnienie bufora stanowią: Ataki oparte na stosie używają obiektów pamięci stosu do przechowywania treści użytkownika (najczęściej spotykane). Ataki oparte na stercie zalewają pamięć zarezerwowaną dla programu (rzadko spotykane). Pamięć o stałym rozmiarze jest pusta i czeka na treści użytkownika. Gdy program otrzyma treść od użytkownika, dane przechowywane są na górze stosu i przypisany zostaje im powrotny adres pamięci. Gdy stos jest przetwarzany, treści użytkownika przesyłane są do adresu powrotnego określonego przez program. McAfee Endpoint Security 10.2 Podręcznik produktu 79

80 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom W następującym procesie opisano atak oparty na stosie na przepełniony bufor: 1 Przepełnianie stosu. Podczas pisania programu rezerwowana jest dana ilość miejsca w pamięci dla danych. Stos przepełnia się, gdy zapisana ilość danych jest większa niż zarezerwowana ilość miejsca na nie w ramach stosu pamięci. Ta sytuacja stanowi problem wyłącznie wtedy, gdy występuje w połączeniu ze złośliwym atakiem. 2 Wykorzystywanie luk w zabezpieczeniach na skutek przepełnienia. Program czeka na działanie ze strony użytkownika. Jeżeli atakujący wprowadza polecenie wykonywalne, które przekracza wielkość stosu, polecenie to zapisywane jest poza zarezerwowanym miejscem. 3 Uruchamianie złośliwego oprogramowania. Polecenie nie uruchamia się automatycznie, jeśli zostanie przekroczona pojemność buforu stosu. Najpierw program przestaje działać z powodu przepełnienia bufora. Jeżeli atakujący podał powrotny adres pamięci, który odnosi się do złośliwego polecenia, program próbuje uruchomić się ponownie za pomocą adresu powrotnego. Jeżeli adres powrotny jest prawidłowy, złośliwe polecenie zostanie wykonane. 4 Wykorzystywanie luk w zabezpieczeniach zezwoleń. Złośliwe oprogramowanie działa teraz na tym samym zezwoleniu, na którym działała zaatakowana aplikacja. Ponieważ programy z reguły działają w trybie jądra lub na pozwoleniach odziedziczonych z konta usługi, atakujący może przejąć teraz pełną kontrolę nad systemem operacyjnym. Konfiguruj ustawienia zasad Zapobieganie wykorzystaniu luk w zabezpieczeniach Aby uniemożliwić wykonanie dowolnego kodu w komputerze, skonfiguruj ustawienia zasadzapobiegania wykorzystaniu luk w zabezpieczeniach. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij funkcję Zapobieganie wykorzystywaniu luk w zabezpieczeniach. 5 Skonfiguruj ustawienia na stronie, następnie kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

81 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Wykluczanie procesów z modułu Zapobieganie wykorzystaniu luk w zabezpieczeniach Zdarzenie naruszenia reguł modułu Zapobieganie wykorzystaniu luk w zabezpieczeniach powiązane jest z procesem i ewentualnie modułem funkcji wywołującej lub interfejsem API. Jeśli naruszenie jest wynikiem fałszywie dodatnim, można dodać wykluczenie określające proces, moduł funkcji wywołującej lub interfejs API. W ramach jednego wykluczenia proces, moduł i interfejs API połączone są operatorem logicznym AND. Aby wykluczyć ponowne wystąpienie tego naruszenia, proces, moduł i interfejs API powiązane z tym zdarzeniem naruszenia muszą być zgodne. Wykluczenia są odrębne od siebie i połączone ze sobą operatorem logicznym OR, dzięki czemu zdarzenie naruszenia nie wystąpi, jeśli spełnione są kryteria co najmniej jednego wykluczenia. Wykrywanie potencjalnie niepożądanych programów Aby chronić zarządzany komputer przed potencjalnie niepożądanymi programami, określ pliki i programy do wykrywania w Twoim środowisku, a następnie włącz wykrywanie. Potencjalnie niepożądany programy to irytujące oprogramowanie lub takie, które może zmienić stan bezpieczeństwa lub zasady prywatności systemu. Potencjalnie niepożądane programy mogą być osadzone w programach, które użytkownicy pobierają celowo. Niepożądane programy mogą zawierać oprogramowanie szpiegujące, oprogramowanie z reklamami i programy wybierające numery telefoniczne. 1 Określ niestandardowe niepożądane programy do wykrycia w czasie skanowania na bieżąco i na żądanie w ustawieniach zasad Opcji. 2 Umożliwia włączanie wykrywania niepożądanych programów i określenie działań, które należy podjąć, gdy wykrycia pojawią się w tych ustawieniach: Ustawienia zasad opcji Skanowanie na bieżąco. Ustawienia zasad opcji Skanowanie na żądanie Patrz także Określ niestandardowe potencjalnie niepożądane programy do wykrycia na stronie 81 Włączanie i konfigurowanie wykrywania i odpowiedzi potencjalnie niepożądanego programu na stronie 82 Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. na stronie 84 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Określ niestandardowe potencjalnie niepożądane programy do wykrycia Określ dodatkowe programy do wykrycia dla opcji skanowania na bieżąco i na żądanie w ustawieniach zasad Opcji. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Skanery wykrywają programy określone przez użytkownika oraz programy określone w plikach zawartości AMCore. McAfee Endpoint Security 10.2 Podręcznik produktu 81

82 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij pozycję Opcje. 5 W opcji Wykrycia potencjalnie niepożądanych programów: Kliknij przycisk Dodaj, aby określić nazwę i opcjonalny opis pliku lub programu, który należy uznać za potencjalnie niepożądany program. Po dokonaniu wykrycia wartość pola Opis jest wyświetlana jako nazwa wykrytego zagrożenia. Kliknij dwukrotnie nazwę lub opis istniejącego potencjalnie niepożądanego programu, aby go modyfikować. Wybierz istniejący potencjalnie niepożądany program, a następnie kliknij przycisk Usuń, aby usunąć go z listy. Patrz także Logowanie jako administrator na stronie 28 Włączanie i konfigurowanie wykrywania i odpowiedzi potencjalnie niepożądanego programu Włącza skanowanie na bieżąco i żądanie wykrywania potencjalnie niepożądanych programów i określa odpowiedzi w razie wykrycia. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. a Otwórz Klient Endpoint Security. b Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. c d Kliknij przycisk Wyświetl zaawansowane. Kliknij Skanowanie na bieżąco. 82 McAfee Endpoint Security 10.2 Podręcznik produktu

83 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 e f W pozycji Ustawienia procesu dla każdego typu Skanowania na bieżąco wybierz opcję Wykrywaj niepożądane programy. W pozycji Akcje skonfiguruj odpowiedzi dla niepożądanych programów. 2 Konfigurowanie ustawień zasad Skanowanie na żądanie. a Otwórz Klient Endpoint Security. b Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. c d e Kliknij przycisk Wyświetl zaawansowane. Kliknij Skanowanie na żądanie. Dla każdego typu skanowania (Pełne skanowanie, Szybkie skanowanie i Skanowanie uruchamiane kliknięciem prawego przycisku myszy): Wybierz opcję Wykrywaj niepożądane programy. Patrz także W pozycji Akcje skonfiguruj odpowiedzi dla niepożądanych programów. Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. na stronie 84 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Logowanie jako administrator na stronie 28 Konfiguracja ogólnych ustawień skanowania Aby określić ustawienia stosowane do skanowania na bieżąco i na żądanie, skonfiguruj ustawienia zasad Opcji modułu Zapobieganie zagrożeniom Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Ustawienia te mają zastosowanie do wszystkich skanowań: Lokalizacja kwarantanny i liczba przechowywania elementów poddanych kwarantannie przed ich automatycznym usunięciem Nazwy wykryć do wykluczenia ze skanowania Potencjalnie niepożądane programy do wykrycia, takie jak oprogramowanie szpiegujące i oprogramowanie z reklamami Telemetria oparta na usłudze McAfee GTI Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij moduł Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. McAfee Endpoint Security 10.2 Podręcznik produktu 83

84 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Opcje. 5 Skonfiguruj ustawienia na stronie, następnie kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. na stronie 84 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Jak działa usługa McAfee GTI Jeśli w usłudze McAfee GTI zostanie włączone skanowanie na bieżąco lub na żądanie, skaner będzie używać metod heurystycznych do sprawdzania podejrzanych plików. Serwer McAfee GTI przechowuje oceny witryn i raporty modułu Kontrola zagrożeń sieciowych. Jeśli konfiguracja modułu Kontrola zagrożeń sieciowych obejmuje skanowanie pobieranych plików, skaner będzie używać danych o reputacji plików z usługi McAfee GTI do wykrywania podejrzanych plików. Aby ustalić, czy plik stanowi złośliwe oprogramowanie, skaner wysyła odciski palców próbek (skróty) do centralnej bazy danych znajdującej się na serwerze McAfee Labs. Przesyłanie skrótów daje możliwość skutecznego wykrywania jeszcze przed opublikowaniem następnej aktualizacji plików zawartości przez zespół McAfee Labs. Możliwe jest konfigurowanie poziomu czułości używanego w usłudze McAfee GTI podczas określania, czy wykryta próbka jest złośliwym oprogramowaniem. Im wyższy poziom czułości, tym więcej będzie zdarzeń wykrycia złośliwego oprogramowania. Dopuszczenie większej liczby zdarzeń wykrycia może jednak spowodować wzrost liczby wyników fałszywie dodatnich. W module Zapobieganie zagrożeniom poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Średni. Skonfiguruj poziom czułości każdego skanera w ustawieniach modułu Zapobieganie zagrożeniom. W module Kontrola zagrożeń sieciowych poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Bardzo wysoki. Skonfiguruj poziom czułości skanowania pobieranych plików w ustawieniach Kontrola zagrożeń sieciowych modułu Kontroli zagrożeń sieciowych. W sekcji ustawień Wspólne można skonfigurować program Endpoint Security tak, aby korzystał z serwera proxy do pobierania informacji o reputacji z usługi McAfee GTI. Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. Ustawienia te umożliwiają włączanie i konfigurowanie skanowania na bieżąco, w tym konfigurowanie komunikatów wysyłanych po wykryciu zagrożenia i różnych ustawień opartych na typach procesu. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Więcej opcji konfiguracji skanowania można znaleźć w Pomocy ustawień Zapobieganie zagrożeniom modułu Zapobieganie zagrożeniom. 84 McAfee Endpoint Security 10.2 Podręcznik produktu

85 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Skanowanie na bieżąco. 5 Zaznacz opcję Włącz skanowanie na bieżąco, aby włączyć skaner używany do skanowania na bieżąco i zmodyfikować jego opcje. 6 Określ, czy chcesz stosować ustawienia standardowe dla wszystkich procesów czy też różne ustawienia dla procesów wysokiego i niskiego ryzyka. Ustawienia standardowe umożliwia konfigurowanie ustawień skanowania na karcie Standardowe. Różne ustawienia oparte na typach procesu umożliwia konfigurowanie ustawień skanowania dla poszczególnych typów procesu na kartach: Domyślne, Wysokie ryzyko lub Niskie ryzyko. 7 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Konfiguracja ogólnych ustawień skanowania na stronie 83 Jak działa skanowanie na bieżąco Skaner używany do skanowania na bieżąco jest zintegrowany z systemem na najniższym poziomie (dysk filtra systemu plików) i skanuje pliki przy pierwszym wejściu do systemu. Skaner używany do skanowania na bieżąco dostarcza powiadomienia do interfejsu usługi po wykryciu zagrożenia. Gdy podjęta zostanie próba otwarcia lub zamknięcia pliku, skaner odcina operację, a następnie: 1 Skaner określa, czy należy skanować element, za pomocą tych kryteriów: Rozszerzenie pliku jest zgodne z konfiguracją. Plik nie został zbuforowany, wyłączony lub uprzednio zeskanowany. Jeżeli usługa McAfee GTI została skonfigurowana, skaner użyje heurystyki do sprawdzenia podejrzanych plików. 2 Jeżeli plik spełnia kryteria skanowania, skaner porównuje go z sygnaturą w aktualnie pobieranym pliku zawartości AMCore. Jeżeli plik jest czysty, wynik zostanie zbuforowany i operacja odczytu lub zapisu uzyska pozwolenie. Jeżeli plik zawiera zagrożenie, operacja zostanie odrzucona, a skaner podejmie skonfigurowane działanie. McAfee Endpoint Security 10.2 Podręcznik produktu 85

86 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Na przykład jeżeli akcja polega na oczyszczeniu pliku, skaner: 1 Wykorzystuje informacje z aktualnie pobieranych plików zawartości AMCore do oczyszczania plików. 2 Zapisuje wyniki w dzienniku aktywności. 3 Powiadamia użytkownika że wykryto zagrożenie w pliku i wysyła monit o podjęcie działania (oczyszczenie lub usunięcie pliku). System Windows 8 i 10 jeżeli w ścieżce zainstalowanej aplikacji ze Sklepu Windows zostanie wykryte zagrożenie, aplikacja jest oznaczana przez skaner jako poddana manipulacji. W systemie Windows kafelek aplikacji zostanie oznaczony flagą poddana manipulacji. Jeżeli użytkownik spróbuje uruchomić taką aplikację, zostanie wyświetlone powiadomienie o problemie i nastąpi przekierowanie do witryny Sklep Windows, aby ponownie ją zainstalować. 3 Jeżeli plik nie spełnia kryteriów skanowania, skaner buforuje plik i udziela zezwolenia na operację. Lista skanowania na bieżąco zostanie wyczyszczona, gdy usługa programu Endpoint Security lub system uruchomi się ponownie. Moduł Zapobieganie zagrożeniom opróżnia globalną pamięć podręczną skanowania i ponownie skanuje wszystkie pliki, gdy: Konfiguracja Skanowania na bieżąco ulega zmianie. Dodany zostanie plik Extra.DAT. Skanowanie podczas zapisywania na dysku lub odczytu z dysku albo zezwolenie firmie McAfee na podjęcie decyzji Można określić, kiedy skaner skanowania na bieżąco skanuje pliki: podczas zapisywania na dysku lub odczytu z dysku albo zezwolić firmie McAfee na podjęcie decyzji o momencie skanowania. 86 McAfee Endpoint Security 10.2 Podręcznik produktu

87 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Podczas zapisywania plików na dysku, skaner skanowania na bieżąco skanuje następujące pliki: Pliki przychodzące zapisywane na twardym dysku. Pliki (nowe, modyfikowane lub pliki skopiowane lub przeniesione z jednego dysku na drugi) utworzone na lokalnym twardym dysku lub na zmapowanym dysku sieciowym (jeżeli włączony). Podczas odczytu z dysku skaner skanuje następujące pliki: Pliki wychodzące odczytywane z lokalnego dysku twardego lub ze zmapowanych dysków sieciowych (jeżeli opcja jest włączona). Pliki zamierzające wykonać proces na lokalnym twardym dysku. Pliki otwarte na lokalnym dysku twardym. Jeżeli zezwolisz firmie McAfee na decydowanie, czy plik wymaga skanowania, skaner skanowania na bieżąco użyje logiki zaufania do optymalizacji skanowania. Logika zaufania poprawia bezpieczeństwo i zwiększa wydajność poprzez unikanie niepotrzebnego skanowania. Na przykład firma McAfee analizuje i uznaje niektóre programy za godne zaufania. Jeżeli firma McAfee potwierdzi, że te programy nie zostały poddane manipulacji, skaner może przeprowadzić zredukowane lub zoptymalizowane skanowanie. Zalecane działanie: Należy włączyć tę opcję w celu uzyskania maksymalnej ochrony i wydajności. Moduł ScriptScan informacje Skaner skryptów modułu Zapobieganie zagrożeniom działa jako komponent proxy dla natywnego hosta skryptu Windows, odcinając i skanując skrypty przed wykonaniem. Jeżeli skrypt jest czysty, skaner skryptu przekazuje skrypt do natywnego hosta skryptu Windows. Jeżeli skrypt zawiera potencjalne zagrożenie, skaner skryptów uniemożliwia wykonanie skryptu. McAfee Endpoint Security 10.2 Podręcznik produktu 87

88 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Wykluczenia modułu ScriptScan W przypadku witryn sieci Web zawierających wiele skryptów oraz aplikacji sieci Web po włączeniu modułu ScriptScan może się obniżyć ich wydajność. Zamiast wyłączania modułu ScriptScan zalecamy wykluczenie adresów URL zaufanych witryn, takich jak witryny w sieci intranet lub zaufane aplikacje sieci Web. Podczas tworzenia wykluczeń adresów URL: Nie należy używać symboli zastępczych. Nie należy używać numerów portów. Zalecamy korzystanie jedynie z w pełni kwalifikowanych nazw domen (FQDN) oraz nazw protokołu NetBIOS. W systemie Windows Server 2008 wykluczenia adresów URL z modułu ScriptScan nie będą działały w przeglądarce Internet Explorer, o ile nie zostanie zaznaczone pole wyboru Włącz rozszerzenia przeglądarki innych firm i system nie zostanie ponownie uruchomiony. Więcej informacji można znaleźć w artykule bazy wiedzy KB Moduł ScriptScan i przeglądarka Internet Explorer Jeśli zainstalowano moduł Zapobieganie zagrożeniom, po pierwszym uruchomieniu przeglądarki Internet Explorer wyświetlany jest monit o włączenie dodatków firmy McAfee. Aby umożliwić skanowanie skryptów przez moduł ScriptScan, należy: Wybrać ustawienie Włącz funkcję ScriptScan. Włączyć dodatek w przeglądarce. Jeśli moduł ScriptScan jest wyłączony podczas uruchamiania przeglądarki Internet Explorer, a następnie zostanie włączony, nie będzie wykrywać złośliwych skryptów w tej instancji przeglądarki Internet Explorer. Aby moduł ScriptScan wykrywał złośliwe skrypty, konieczne jest ponowne uruchomienie przeglądarki Internet Explorer po jego włączeniu. Określanie ustawień skanowania procesów Postępuj zgodnie z poniższymi instrukcjami, aby określić, czy należy skonfigurować różne ustawienia na podstawie typu procesu. 88 McAfee Endpoint Security 10.2 Podręcznik produktu

89 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Konfigurowanie ustawień zasad skanowania na żądanie Ustawienia te służą do konfigurowania działania trzech wstępnie zdefiniowanych typów skanowania na żądanie: Pełne skanowanie, Szybkie skanowanie i Skanowanie uruchamiane kliknięciem prawego przycisku myszy. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Więcej opcji konfiguracji skanowania można znaleźć w Pomocy ustawień Zapobieganie zagrożeniom modułu Zapobieganie zagrożeniom. McAfee Endpoint Security 10.2 Podręcznik produktu 89

90 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij moduł Zapobieganie zagrożeniom. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapobieganie zagrożeniom. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Skanowanie na żądanie. 5 Kliknij kartę, aby skonfigurować ustawienia określonego skanowania. Pełne skanowanie Szybkie skanowanie Skanowanie uruchamiane kliknięciem prawego przycisku myszy 6 Skonfiguruj ustawienia na stronie, następnie kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Konfiguracja ogólnych ustawień skanowania na stronie 83 Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Jak działa skanowanie na żądanie Skaner skanowania na żądanie przeszukuje pliki, foldery, pamięć i rejestr, szukając złośliwego oprogramowania, które mogło zainfekować komputer. Ty decydujesz, kiedy i jak często ma być przeprowadzane skanowanie na żądanie. Może skanować systemy ręcznie w określonym czasie lub przy uruchamianiu. 1 Skaner skanowania na żądanie używa następujących kryteriów, aby określić, czy element musi być skanowany: Rozszerzenie pliku jest zgodne z konfiguracją. Plik nie został zbuforowany, wyłączony lub uprzednio zeskanowany (jeżeli skaner używa pamięci podręcznej skanowania). Jeżeli usługa McAfee GTI została skonfigurowana, skaner użyje heurystyki do sprawdzenia podejrzanych plików. 2 Jeżeli plik spełnia kryteria skanowania, skaner porównuje informacje w elemencie z sygnaturą znanego złośliwego oprogramowania w aktualnie pobieranym pliku zawartości AMCore. Jeżeli plik jest czysty, wynik zostanie zbuforowany i skaner sprawdzi kolejny element. Jeżeli plik zawiera zagrożenie, skaner podejmie skonfigurowane działanie. 90 McAfee Endpoint Security 10.2 Podręcznik produktu

91 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 Na przykład jeżeli akcja polega na oczyszczeniu pliku, skaner: 1 Wykorzystuje informacje z aktualnie pobieranych plików zawartości AMCore do oczyszczania plików. 2 Zapisuje wyniki w dzienniku aktywności. 3 Powiadamia użytkownika, że wykryto zagrożenie w pliku oraz informuje o nazwie elementu i podjętym działaniu. System Windows 8 i 10 jeżeli w ścieżce zainstalowanej aplikacji ze Sklepu Windows zostanie wykryte zagrożenie, aplikacja jest oznaczana przez skaner jako poddana manipulacji. W systemie Windows kafelek aplikacji zostanie oznaczony flagą poddana manipulacji. Jeżeli użytkownik spróbuje uruchomić taką aplikację, zostanie wyświetlone powiadomienie o problemie i nastąpi przekierowanie do witryny Sklep Windows, aby ponownie ją zainstalować. 3 Jeżeli element nie spełnia kryteriów skanowania, skaner nie sprawdza go. Zamiast tego skaner kontynuuje do momentu przeskanowania wszystkich danych. Lista skanowania na żądanie zostanie wyczyszczona, gdy zostanie uruchomione następne skanowanie na żądanie. Moduł Zapobieganie zagrożeniom opróżnia globalną pamięć podręczną skanowania i ponownie skanuje wszystkie pliki podczas pobierania pliku Extra.DAT. Zmniejszenie wpływu skanowania na użytkownika Aby zmniejszyć wpływ skanowania na żądanie na system, określ opcje wydajności podczas konfigurowania skanowania. McAfee Endpoint Security 10.2 Podręcznik produktu 91

92 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Skanowanie tylko podczas bezczynności systemu Najprostszym sposobem na przeprowadzenie skanowania bez wpływu na użytkowników jest uruchomienie skanowania na żądanie, gdy komputer jest nieaktywny. Jeśli ta opcja jest wybrana, moduł Zapobieganie zagrożeniom wstrzymuje skanowanie, gdy wykryje aktywność dysku lub użytkownika, taką jak dostęp poprzez użycie klawiatury lub myszy. Moduł Zapobieganie zagrożeniom wznawia skanowanie, gdy użytkownik nie używał systemu przez trzy minuty. Można również: Zezwolić użytkownikom na wznowienie skanowania wstrzymanego ze względu na aktywność użytkownika. Wznowić skanowanie dopiero wtedy, gdy system jest nieaktywny. Należy wyłączyć tę opcję w systemach serwerów i systemach, do których użytkownicy uzyskują dostęp tylko przez funkcję Podłączanie pulpitu zdalnego (RDP). Moduł Zapobieganie zagrożeniom określa, czy system jest nieaktywny, na podstawie informacji dostarczonych przez proces McTray. W systemach, do których uzyskuje się dostęp wyłącznie przez RDP, proces McTray nie uruchamia się i skaner skanowania na żądanie nigdy nie działa. Obejściem tego problemu jest ręczne uruchomienie procesu McTray (domyślnie: C:\Program Files\McAfee\Agent\mctray.exe) podczas logowania za pomocą RDP. Wybierz opcję Skanuj tylko podczas bezczynności systemu w sekcji Wydajność na karcie Zadanie skanowania Ustawienia. Automatyczne wstrzymanie skanowania Aby polepszyć wydajność, możesz wstrzymać skanowanie na żądanie, gdy system pracuje na baterii. Skanowanie można także wstrzymać, gdy któraś aplikacja, taka jak przeglądarka, odtwarzacz mediów lub prezentacja działa w trybie pełnoekranowym. Skanowanie zostanie automatycznie wznowione, gdy system zostanie podłączony do prądu lub opuści tryb pełnoekranowy. Wybierz te opcje w sekcji Wydajność na karcie Zadanie skanowania Ustawienia: Nie skanuj, gdy komputer pracuje na baterii Nie skanuj, gdy komputer pracuje w trybie prezentacji(dostępne, gdy wybrana jest opcja Skanuj w dowolnym czasie) Zezwolenie na odłożenie skanowania przez użytkownika Jeżeli wybrana zostanie opcja Skanuj w dowolnym czasie, można zezwolić użytkownikom na odłożenie zaplanowanego skanowania w jednogodzinnych przyrostach przez 24 godziny lub na zawsze. Każde odłożenie przez użytkownika może trwać godzinę. Na przykład jeżeli opcja Maksymalna liczba przypadków na godzinę, kiedy użytkownik może odłożyć skanowanie wynosi 2, użytkownik może odłożyć skanowanie dwa razy (dwie godziny). Gdy określona maksymalna liczba godzin upłynie, skanowanie będzie kontynuowane. Jeżeli zezwolisz na nieograniczoną liczbę odłożeń, ustawiając opcję na zero, użytkownik może odkładać skanowanie w nieskończoność. Wybierz opcję Użytkownik może odłożyć skanowanie w sekcji Wydajność na karcie Zadanie skanowania Ustawienia: Ograniczenie aktywności skanowania dzięki skanowaniu przyrostowemu Użyj opcji skanowania przyrostowego lub wznawialnego, aby ograniczyć aktywność skanowania na żądanie, ale nadal skanować cały system w kilku sesjach. Aby skorzystać ze skanowania przyrostowego, dodaj limit czasu do zaplanowanego skanowania. Skanowanie zostanie zatrzymane, 92 McAfee Endpoint Security 10.2 Podręcznik produktu

93 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom 3 gdy osiągnięty zostanie limit czasu. Gdy następnym razem rozpocznie się to zadanie, będzie ono kontynuowane w miejscu w pliku i strukturze folderu, w którym zatrzymało się poprzednie skanowanie. Wybierz opcję Zatrzymaj zadanie, jeżeli jest wykonywane dłużej niż w sekcji Opcje na karcie Harmonogram w oknie Zadanie skanowania. Konfiguracja wykorzystania systemu Wykorzystanie systemu służy do umożliwiania systemowi operacyjnemu określania ilości czasu procesora przydzielanego skanerowi podczas skanowania. W systemach z aktywnymi użytkownikami końcowymi należy ustawić wykorzystanie systemu na poziom Niskie. Wybierz opcję Wykorzystanie systemu w sekcji Wydajność na karcie Ustawienia w oknie Zadanie skanowania. Patrz także Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Działanie wykorzystania systemu Skaner na żądanie korzysta z ustawienia Ustaw priorytet Windows dla procesu skanowania i priorytetu wątku. Ustawienia wykorzystania systemu (ograniczanie) służą do umożliwiania systemowi operacyjnemu określania ilości czasu procesora przydzielanego skanerowi podczas skanowania. Ustawienie wykorzystania systemu dla skanowania na poziomniskie umożliwia zwiększenie wydajności działania innych uruchomionych aplikacji. Ustawienie Niskie jest przydatne w systemach z aktywnymi użytkownikami końcowymi. Natomiast ustawienie na poziom Normalne spowoduje, że skanowanie będzie ukończone szybciej. Ustawienie Normalne jest przydatne w przypadku komputerów z dużymi woluminami i bardzo niską aktywnością użytkowników końcowych. Każde zadanie jest uruchamiane niezależnie od pozostałych, bez uwzględniania ograniczeń określonych dla innych zadań. Tabela 3-2 Domyślne ustawienia procesów Ustawienia procesów modułu Zapobieganie zagrożeniom Niskie Poniżej normy Normalne (Domyślne) Opcja Umożliwia zwiększenie wydajności działania innych uruchomionych aplikacji. Opcję należy wybrać w przypadku komputerów z aktywnymi użytkownikami końcowymi. Umożliwia określenie wykorzystania systemu na domyślnym poziomie zdefiniowanym w programie McAfee epo. Umożliwia szybsze ukończenie skanowania. Opcję należy wybrać w przypadku komputerów z dużymi woluminami i bardzo niską aktywnością użytkowników. Ustawienia Ustaw priorytet Windows Niskie Poniżej normy W normie McAfee Endpoint Security 10.2 Podręcznik produktu 93

94 3 Korzystanie z modułu Zapobieganie zagrożeniom Zarządzanie modułem Zapobieganie zagrożeniom Działanie skanowania zdalnego magazynu Użytkownik może konfigurować skaner do skanowania na żądanie, aby skanować zawartość plików zarządzanych przez zdalny magazyn. Zdalny magazyn monitoruje ilość dostępnego miejsca na lokalnym komputerze. Jeżeli jest to konieczne, zdalny magazyn automatycznie migruje zawartość (dane) odpowiednich plików z systemu klienta na urządzenie magazynujące, takie jak biblioteka taśm. Gdy użytkownik otworzy plik, z którego przeniesiono dane, zdalny magazyn automatycznie przywołuje dane z urządzenia magazynującego. Wybierz opcję Pliki, które zostały przeniesione do magazynu, aby skanowanie na żądanie obejmowało pliki zarządzane przez Zdalny magazyn. W przypadku skanowania pliku z przeniesioną zawartością przed przystąpieniem do skanowania zawartość takiego pliku jest przenoszona na komputer lokalny. Więcej informacji dostępnych jest na stronie What is Remote Storage (Czym jest zdalny magazyn). Konfigurowanie, planowanie i uruchamianie zadań skanowania Możliwe jest planowanie domyślnych zadań pełnego skanowania oraz szybkiego skanowania, a także tworzenie niestandardowych zadań skanowania za pomocą Klient Endpoint Security w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij opcję Zadania. 5 Konfiguracja ustawień zadania skanowania na stronie. Czynność Tworzenie niestandardowego zadania skanowania. Procedura 1 Kliknij przycisk Dodaj. 2 Wprowadź nazwę, z listy rozwijanej wybierz opcję Skanowanie niestandardowe, a następnie kliknij opcję Dalej. 3 Skonfiguruj ustawienia i harmonogram zadania skanowania, a następnie kliknij przycisk OK, aby zapisać zadanie. Zmiana zadania skanowania. Usuwanie niestandardowego zadania skanowania. Kliknij dwukrotnie zadanie, wprowadź zmiany, a następnie kliknij przycisk OK, aby zapisać zadanie. Wybierz zadanie, a następnie kliknij opcję Usuń. 94 McAfee Endpoint Security 10.2 Podręcznik produktu

95 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Czynność Tworzenie kopii zadania skanowania. Zmiana harmonogramu zadania pełnego skanowania lub szybkiego skanowania. Uruchamianie zadania skanowania. Procedura 1 Wybierz zadanie, a następnie kliknij opcję Powiel. 2 Wprowadź nazwę, skonfiguruj ustawienia, a następnie kliknij przycisk OK, aby zapisać zadanie. 1 Kliknij dwukrotnie pozycję Pełne skanowanie lub Szybkie skanowanie. 2 Kliknij kartę Harmonogram, zmień harmonogram, a następnie kliknij przycisk OK, aby zapisać zadanie. Ustawienia zadań pełnego skanowania i szybkiego skanowania można konfigurować tylko w systemach samozarządzających. Domyślnie pełne skanowanie uruchamiane jest co środę o północy. Szybkie skanowanie uruchamiane jest codziennie o 19:00. Harmonogramy są włączone. Wybierz zadanie, a następnie kliknij opcję Uruchom teraz. Jeśli zadanie zostało już uruchomione, wstrzymane lub odroczone, przycisk zmienia się w przycisk Wyświetl. Jeśli zadanie zostanie uruchomione przed zastosowaniem zmian, Klient Endpoint Security wyświetli monit o zapisanie ustawień. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie na stronie 60 Informacje o interfejsie klienta Zapobieganie zagrożeniom Tematy pomocy dotyczące interfejsu zapewniają szczegółową pomoc w zakresie stron interfejsu klienta. Spis treści Strona Kwarantanna Zapobieganie zagrożeniom Ochrona dostępu Zapobieganie zagrożeniom Zapobieganie wykorzystaniu luk w zabezpieczeniach Zapobieganie zagrożeniom Skanowanie na bieżąco Zapobieganie zagrożeniom Skanowanie na żądanie Skanowane lokalizacje McAfee GTI Akcje Dodaj wykluczenie lub Edytuj wykluczenie Zapobieganie zagrożeniom Opcje Wycofaj zawartość AMCore McAfee Endpoint Security 10.2 Podręcznik produktu 95

96 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Strona Kwarantanna Zarządzanie elementami w folderze Kwarantanna. Tabela 3-3 Opcje Opcja Usuń Przywróć Skanuj ponownie Definicja Umożliwia usuwanie elementów poddanych kwarantannie. Usuniętych elementów nie można przywrócić. Umożliwia przywracanie elementów poddanych kwarantannie. Elementy zostaną przywrócone przez program Endpoint Security do oryginalnej lokalizacji i usunięte z folderu kwarantanny. Jeżeli element nadal stanowi zagrożenie, zostanie natychmiast ponownie poddany kwarantannie przez program Endpoint Security. Umożliwia ponowne skanowanie wybranych elementów w kwarantannie. Jeżeli element nie stanowi zagrożenia, zostanie przywrócony przez program Endpoint Security do oryginalnej lokalizacji i usunięty z folderu kwarantanny. Nagłówek kolumny Nazwa wykrycia Typ Czas poddania kwarantannie Liczba obiektów Wersja zawartości AMCore Stan ponownego skanowania Sortowanie listy kwarantanny według... Nazwa wykrytego zagrożenia. Typ zagrożenia na przykład koń trojański lub oprogramowanie z reklamami. Czas, przez jaki element znajduje się w kwarantannie. Liczba obiektów objętych wykrytym zagrożeniem. Numer wersji zawartości AMCore, która zidentyfikowała zagrożenie. Stan ponownego skanowania, jeśli element został ponownie przeskanowany: Czysty ponowne skanowanie nie wykryło zagrożeń. Zainfekowany program Endpoint Security wykrył zagrożenie podczas ponownego skanowania. Patrz także Zarządzanie elementami poddanymi kwarantannie na stronie 64 Nazwy wykrycia na stronie 65 Ponowne skanowanie elementów poddanych kwarantannie na stronie 67 Zapobieganie zagrożeniom Ochrona dostępu Funkcja ta służy do ochrony punktów dostępu komputera na podstawie zdefiniowanych reguł. Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Ochrona dostępu porównuje żądaną akcję z listą zdefiniowanych reguł i wykonuje akcje zgodnie z daną regułą. Zalecane działanie: Informacje na temat tworzenia reguł ochrony dostępu dotyczące ochrony przed oprogramowaniem ransomware można znaleźć w artykule PD Tabela 3-4 Opcje Obszar Opcja Definicja OCHRONA DOSTĘPU Włącz ochronę dostępu Służy do włączania funkcji Ochrona dostępu. 96 McAfee Endpoint Security 10.2 Podręcznik produktu

97 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-5 Opcje zaawansowane Obszar Wykluczenia Reguły Opcja Opis Służy do zezwalania na dostęp do określonych procesów (zwanych również plikami wykonywalnymi) dla wszystkich reguł. Dodaj służy do dodawania procesu do listy wykluczeń. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. Umożliwia konfigurację reguł ochrony dostępu. Reguły zdefiniowane przez firmę McAfee można włączać, wyłączać i zmieniać, ale nie można ich usuwać. Dodaj tworzy regułę niestandardową i dodaje ją do listy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. (Tylko) blokuj blokuje próby uzyskania dostępu bez rejestrowania ich. (Tylko) raportuj ostrzega bez blokowania prób uzyskania dostępu. Blokuj i Raportuj umożliwiają blokowanie prób uzyskania dostępu i ich rejestrowanie. Zalecane działanie: Jeśli całkowity wpływ reguły nie jest znany, należy wybrać opcję Raportuj bez opcji Blokuj, aby otrzymywać powiadomienia bez blokowania prób uzyskania dostępu. Należy obserwować dzienniki i raporty, aby zdecydować o konieczności zablokowania dostępu. Aby blokować lub raportować wszystkie, wybierz opcję Blokuj lub Raportuj w pierwszym wierszu. Aby wyłączyć regułę, usuń zaznaczenia zarówno opcji Blokuj, jak i Raportuj. Patrz także Konfigurowanie reguł ochrony dostępu zdefiniowanych przez firmę McAfee na stronie 71 Konfigurowanie reguł ochrony dostępu zdefiniowanych przez użytkownika na stronie 76 Dodaj regułę lub Edytuj regułę na stronie 97 Reguły ochrony dostępu zdefiniowane przez McAfee na stronie 73 Dodaj regułę lub Edytuj regułę Dodawanie lub edytowanie reguł ochrony dostępu zdefiniowanych przez użytkownika. McAfee Endpoint Security 10.2 Podręcznik produktu 97

98 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-6 Opcje Obszar Opcja Definicja Opcje Nazwa Określa lub wskazuje nazwę reguły (wymagane). Akcja Określa akcje dla reguły. (Tylko) blokuj blokuje próby uzyskania dostępu bez rejestrowania ich. (Tylko) raportuj ostrzega bez blokowania prób uzyskania dostępu. Blokuj i Raportuj umożliwiają blokowanie prób uzyskania dostępu i ich rejestrowanie. Zalecane działanie: Jeśli całkowity wpływ reguły nie jest znany, należy wybrać opcję Raportuj bez opcji Blokuj, aby otrzymywać powiadomienia bez blokowania prób uzyskania dostępu. Należy obserwować dzienniki i raporty, aby zdecydować o konieczności zablokowania dostępu. Aby blokować lub raportować wszystkie, wybierz opcję Blokuj lub Raportuj w pierwszym wierszu. Aby wyłączyć regułę, usuń zaznaczenia zarówno opcji Blokuj, jak i Raportuj. Pliki wykonywalne Nazwy użytkownika Reguły podrzędne Uwagi Określa pliki wykonywalne dla reguły. Dodaj tworzy plik wykonywalny i dodaje go do listy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. Przełącz stan uwzględnienia Służy do zmiany stanu uwzględnienia elementu (Uwzględnij lub Wyklucz). Określa nazwy użytkownika, do których odnosi się dana reguła (jedynie w przypadku reguł zdefiniowanych przez użytkownika). Dodaj umożliwia wybranie nazwy użytkownika i dodaje ją do listy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. Przełącz stan uwzględnienia Służy do zmiany stanu uwzględnienia elementu (Uwzględnij lub Wyklucz). Służy do konfigurowania reguł podrzędnych (jedynie w przypadku reguł zdefiniowanych przez użytkownika). Dodaj tworzy regułę podrzędną i dodaje ją do listy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. Służy do wprowadzania dodatkowych informacji o danym elemencie. Patrz także Dodaj plik wykonywalny lub Edytuj plik wykonywalny na stronie 107 Dodaj nazwę użytkownika lub Edytuj nazwę użytkownika na stronie 99 Dodaj regułę podrzędną lub Edytuj regułę podrzędną na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

99 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Dodaj nazwę użytkownika lub Edytuj nazwę użytkownika Dodawanie lub edytowanie użytkownika, do którego odnosi się reguła (jedynie w przypadku reguł zdefiniowanych przez użytkownika). Tabela 3-7 Opcje Opcja Nazwa Stan uwzględnienia Definicja Określa nazwę użytkownika, do którego odnosi się dana reguła. Użyj następującego formatu, aby określić użytkownika: Użytkownik lokalny poprawne wpisy: <nazwa_komputera>\<nazwa_użytkownika_lokalnego>.\<nazwa_użytkownika_lokalnego>.\administrator (w przypadku administratora lokalnego) Użytkownik domeny <nazwa domeny>\<nazwa_użytkownika domeny> System lokalny Local\System określa ZARZĄDZANIE NT\Konto systemowe. Określa stan uwzględnienia dla użytkownika. Uwzględnij reguła jest aktywowana, jeśli określony użytkownik uruchamia plik wykonywalny, który narusza regułę podrzędną. Wyklucz reguła nie jest aktywowana, jeśli określony użytkownik uruchamia plik wykonywalny, który narusza regułę podrzędną. Patrz także Dodaj regułę lub Edytuj regułę na stronie 97 Dodaj regułę podrzędną lub Edytuj regułę podrzędną Dodawanie i edytowanie reguł podrzędnych (jedynie w przypadku reguł zdefiniowanych przez użytkownika). Tabela 3-8 Opcje Obszar Opcja Definicja Opis Nazwa Pozwala określić nazwę reguły podrzędnej. Właściwości Typ reguły podrzędnej Określa typ reguły podrzędnej. Zmiana typu reguły podrzędnej usuwa wszystkie wcześniejsze wpisy z tabeli Obiekty docelowe. Pliki chroni plik lub katalog. Można na przykład utworzyć niestandardową regułę blokującą lub rejestrującą próby usunięcia arkusza kalkulacyjnego programu Excel zawierającego dane poufne. Klucz rejestru chroni określony klucz. Klucz rejestru to kontener zawierający wartość rejestru. Na przykład: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run. Wartość rejestru chroni określoną wartość. Wartości rejestru są przechowywane w kluczach rejestru i można odwoływać się do nich oddzielnie od kluczy rejestru. Na przykład: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun. Procesy chroni określony proces. Na przykład utwórz własną regułę blokowania lub raportowania prób wykonania operacji w procesie. McAfee Endpoint Security 10.2 Podręcznik produktu 99

100 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-8 Opcje (ciąg dalszy) Obszar Opcja Definicja Operacje Wskazuje operacje dozwolone dla danego typu reguły podrzędnej. Należy określić co najmniej jedną operację do zastosowania do reguły podrzędnej. Pliki: Zalecane działanie: Aby uniknąć obniżenia wydajności, nie należy wybierać operacji Odczyt. Zmienianie atrybutów tylko do odczytu lub ukryte blokuje lub raportuje zmiany tych atrybutów plików w określonym folderze. Tworzenie blokuje lub raportuje tworzenie plików w danym folderze. Usuwanie blokuje lub raportuje usuwanie plików z danego folderu. Wykonywanie blokuje lub raportuje wykonywanie plików w danym folderze. Zmienianie uprawnień blokuje lub raportuje zmiany ustawień uprawnień w plikach w danym folderze. Odczyt blokuje lub raportuje dostęp do odczytu określonych plików. Zmienianie nazwy blokuje lub zgłasza próby zmieniania nazw określonych plików. 100 McAfee Endpoint Security 10.2 Podręcznik produktu

101 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-8 Opcje (ciąg dalszy) Obszar Opcja Definicja Jeśli określono Plik docelowy, jedynym możliwym działaniem jest Zmienianie nazwy. Zapis blokuje lub raportuje próby zapisania określonych plików. Klucz rejestru: Zapis blokuje lub raportuje próby zapisu określonego klucza. Tworzenie blokuje lub raportuje próby tworzenia określonego klucza. Usuwanie blokuje lub raportuje próby usunięcia określonego klucza. Odczyt blokuje lub raportuje próby dostępu do odczytu do określonego klucza. Wyliczanie blokuje lub raportuje wyliczanie podkluczy określonego klucza rejestru. Ładowanie blokuje lub raportuje możliwość usunięcia z rejestru określonego klucza i jego podkluczy. Zastępowanie blokuje lub raportuje zastępowanie określonego klucza rejestru i jego podkluczy innym plikiem. Przywracanie blokuje lub raportuje możliwość zapisywania informacji dotyczących rejestru w określonym pliku i nadpisywania określonego klucza kopią. Zmienianie uprawnień blokuje lub raportuje zmiany ustawień uprawnień w określonym kluczu rejestru i jego podkluczach. Wartość rejestru: Zapis blokuje lub raportuje próby zapisu określonej wartości. Tworzenie blokuje lub raportuje tworzenie określonej wartości. Usuwanie blokuje lub raportuje usuwanie określonej wartości. Odczyt blokuje lub raportuje dostęp do odczytu do określonej wartości. Procesy: Dowolne prawa dostępu blokuje lub raportuje otwieranie procesów z dowolnymi prawami dostępu. Tworzenie wątku blokuje lub raportuje otwieranie procesu z prawami dostępu obejmującymi tworzenie wątku. Modyfikowanie blokuje lub raportuje otwieranie procesów z prawami dostępu obejmującymi modyfikowanie. Zamykanie blokuje lub raportuje otwieranie procesów z prawami dostępu do zamykania. Uruchamianie blokuje lub zgłasza uruchamianie określonego docelowego pliku wykonywalnego. Należy dodać co najmniej jeden docelowy plik wykonywalny do reguły. W przypadku działania Uruchamianie zdarzenie jest generowane podczas próby uruchomienia procesu docelowego. Dla wszystkich innych działań zdarzenie jest generowane w chwili otwarcia obiektu docelowego. Obiekty docelowe Dodaj określa obiekty docelowe dla danej reguły. Obiekty docelowe różnią się w zależności od wybranego typu reguły. Do reguły podrzędnej trzeba dodać co najmniej jeden obiekt docelowy. McAfee Endpoint Security 10.2 Podręcznik produktu 101

102 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-8 Opcje (ciąg dalszy) Obszar Opcja Definicja Kliknij opcję Dodaj, wybierz stan uwzględnienia, a następnie wprowadź lub wybierz uwzględniany lub wykluczany plik docelowy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Patrz także Dodaj regułę lub Edytuj regułę na stronie 97 Obiekty docelowe na stronie 103 Dodaj plik wykonywalny lub Edytuj plik wykonywalny na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

103 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Obiekty docelowe Służy do określania stanu uwzględnienia i definicji obiektu docelowego. Tabela 3-9 Opcje Obszar Opcja Definicja Obiekty docelowe Służy do określenia, czy obiekt docelowy stanowi dopasowanie reguły podrzędnej. Dodatkowo służy też do określenia stanu uwzględnienia obiektu docelowego. Uwzględnij określa, że reguła podrzędna może pasować do określonego obiektu docelowego. Wyklucz określa, że reguła podrzędna nie może pasować do określonego parametru. Jeśli wybrano typ reguły podrzędnej Pliki: Określa nazwę pliku, folderu, ścieżkę lub rodzaj napędu obiektu docelowego dla reguły podrzędnej Pliki. Ścieżka pliku Przeglądaj, aby wybrać plik. Plik docelowy Przeglądaj, aby wybrać docelową nazwę lub ścieżkę pliku dla operacji Zmień nazwę. Jeżeli wybrano Plik docelowy, można wybrać wyłącznie operację Zmień nazwę. Typ dysku wybierz typ dysku obiektu docelowego z listy rozwijanej: Wymienny pliki na dysku USB lub innym napędzie wymiennym podłączonym do portu USB, w tym na dysku z zainstalowanym McAfee Endpoint Security 10.2 Podręcznik produktu 103

104 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-9 Opcje (ciąg dalszy) Obszar Opcja Definicja środowiskiem Windows To Go. Nie obejmuje to plików na płytach CD lub DVD i dyskietkach. Zablokowanie tego typu dysku spowoduje również zablokowanie dysków z zainstalowanym środowiskiem Windows To Go. Sieć pliki w udziale sieciowym. Stałe pliki na dysku lokalnym lub innym dysku stałym. CD/DVD pliki na CD lub DVD. Stacja dysków pliki na stacji dysków. Można korzystać z symboli zastępczych?, * i **. Najlepsze sposoby określania obiektów docelowych reguł podrzędnych pliki Aby ochronić na przykład: Plik lub folder o nazwie c:\testap, użyj obiektu docelowego c:\testap lub c:\testap\ Zawartość folderu, użyj symbolu zastępczego w formie gwiazdki c: \testap\* Zawartość folderu i jego podfoldery, użyj dwóch gwiazdek c:\testap\** Zmienne środowiskowe systemu są obsługiwane. Zmienne środowiskowe można podawać w jednym z następujących formatów: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDrive% Używając formatu $(var), nie można uzyskać dostępu do niektórych zmiennych środowiskowych zdefiniowanych w systemie, zwłaszcza tych zawierających znaki lub. Aby uniknąć tego problemu, można użyć formatu %var%. Zmienne środowiskowe użytkownika nie są obsługiwane. 104 McAfee Endpoint Security 10.2 Podręcznik produktu

105 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-9 Opcje (ciąg dalszy) Obszar Opcja Definicja Jeśli wybrano typ reguły podrzędnej Klucz rejestru: Określa klucze rejestru za pomocą kluczy głównych. Obsługiwane są następujące klucze główne: HKLM lub HKEY_LOCAL_MACHINE HKCU lub HKEY_CURRENT_USER HKCR lub HKEY_CLASSES_ROOT HKCCS obejmuje klucze HKLM/SYSTEM/CurrentControlSet oraz HKLM/ SYSTEM/ControlSet00X HKLMS obejmuje klucz HKLM/Software w systemach 32- i 64-bitowych oraz klucz HKLM/Software/Wow6432Node wyłącznie w systemach 64-bitowych HKCUS obejmuje klucz HKCU/Software w systemach 32- i 64-bitowych oraz klucz HKCU/Software/Wow6432Node wyłącznie w systemach 64-bitowych HKULM obejmujący zarówno klucz HKLM, jak i HKCU HKULMS obejmujący zarówno klucz HKLMS, jak i HKCUS HKALL obejmujący zarówno klucz HKLM, jak i HKU Można korzystać z symboli zastępczych?, * i **, a także ze znaku jako znaku ucieczki. Najlepsze sposoby określania obiektów docelowych reguł podrzędnych klucze rejestru Aby ochronić na przykład: Klucz rejestru o nazwie HKLM\SOFTWARE\testap, użyj obiektu docelowego HKLM\SOFTWARE\testap lub HKLM\SOFTWARE\testap\ Zawartość klucza rejestru, użyj symbolu zastępczego w formie gwiazdki HKLM\SOFTWARE\testap\* Zawartość klucza rejestru i jego podkluczy, użyj dwóch gwiazdek HKLM \SOFTWARE\testap\** Klucze rejestru i ich wartości, włącz operację Zapis McAfee Endpoint Security 10.2 Podręcznik produktu 105

106 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-9 Opcje (ciąg dalszy) Obszar Opcja Definicja Jeśli wybrano typ reguły podrzędnej Wartość rejestru: Określa wartości rejestru za pomocą kluczy głównych. Obsługiwane są następujące klucze główne: HKLM lub HKEY_LOCAL_MACHINE HKCU lub HKEY_CURRENT_USER HKCR lub HKEY_CLASSES_ROOT HKCCS obejmuje klucze HKLM/SYSTEM/CurrentControlSet oraz HKLM/ SYSTEM/ControlSet00X HKLMS obejmuje klucz HKLM/Software w systemach 32- i 64-bitowych oraz klucz HKLM/Software/Wow6432Node wyłącznie w systemach 64-bitowych HKCUS obejmuje klucz HKCU/Software w systemach 32- i 64-bitowych oraz klucz HKCU/Software/Wow6432Node wyłącznie w systemach 64-bitowych HKULM obejmujący zarówno klucz HKLM, jak i HKCU HKULMS obejmujący zarówno klucz HKLMS, jak i HKCUS HKALL obejmujący zarówno klucz HKLM, jak i HKU Można korzystać z symboli zastępczych?, * i **, a także ze znaku jako znaku ucieczki. Najlepsze sposoby określania obiektów docelowych reguł podrzędnych wartości rejestru Aby ochronić na przykład: Wartość rejestru o nazwie HKLM\SOFTWARE\testap, użyj obiektu docelowego HKLM\SOFTWARE\testap Wartości danego klucza rejestru, użyj symbolu zastępczego w formie gwiazdki HKLM\SOFTWARE\testap\* Wartości klucza rejestru i jego podkluczy, użyj dwóch gwiazdek HKLM \SOFTWARE\testap\** Jeśli wybrano typ reguły podrzędnej Procesy: Określa docelową nazwę pliku lub ścieżkę procesu, skrót MD5 lub podpisującego dla reguły podrzędnej Procesy. Można korzystać z symboli zastępczych?, * i ** we wszystkich obiektach docelowych oprócz skrótu MD5. Najlepsze sposoby określania obiektów docelowych reguł podrzędnych procesy Aby ochronić na przykład: Proces o nazwie c:\testap.exe, użyj docelowej nazwy pliku lub ścieżki c: \testap.exe Wszystkie procesy w folderze, użyj symbolu zastępczego w formie gwiazdki c:\testap\* Wszystkie procesy w folderze i jego podfolderach, użyj dwóch gwiazdek c:\testap\** Patrz także Dodaj regułę podrzędną lub Edytuj regułę podrzędną na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

107 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Dodaj plik wykonywalny lub Edytuj plik wykonywalny Dodawanie lub modyfikowanie pliku wykonywalnego, aby włączyć go lub wykluczyć. Ochrona dostępu w module Zapobieganie zagrożeniom umożliwia wykluczanie plików wykonywalnych na poziomie zasad bądź włączanie lub wykluczanie ich na poziomie reguły. W przypadku dynamicznego izolowania aplikacji w module Analiza zagrożeń można wykluczać pliki wykonywalne na poziomie zasad. Podczas określania wykluczeń i włączeń należy mieć na uwadze następujące kwestie: Niezbędne jest określenie co najmniej jednego z identyfikatorów: Nazwa lub ścieżka pliku, Skrót MD5 lub Podpisujący. W przypadku podania kilku identyfikatorów będą stosowane wszystkie z nich. Jeśli zostanie podanych więcej identyfikatorów, ale będą one niezgodne (na przykład nazwa pliku i skrót MD5 będą dotyczyć różnych plików), wykluczenie lub włączenie będzie nieprawidłowe. W wykluczeniach i włączeniach nie jest rozróżniana wielkość liter. Symbole zastępcze są dozwolone w każdym miejscu oprócz pola Skrót MD5. Tabela 3-10 Opcje Opcja Nazwa Stan uwzględnienia Nazwa lub ścieżka pliku Skrót MD5 Definicja Służy do określania nazwy pliku wykonywalnego. Po wypełnieniu tego pola wymagane jest wypełnienie przynajmniej jednego innego pola: Nazwa lub ścieżka pliku, Skrót MD5 lub Podpisujący. Określa stan uwzględnienia pliku wykonywalnego. Uwzględnij reguła jest aktywowana, jeśli plik wykonywalny narusza regułę podrzędną. Wyklucz reguła nie jest aktywowana, jeśli plik wykonywalny narusza regułę podrzędną. Stan uwzględnienia jest wyświetlany wyłącznie w przypadku ochrony dostępu modułu Zapobieganie zagrożeniom podczas dodawania pliku wykonywalnego do reguły lub dodawania obiektu docelowego w regule podrzędnej Procesy. Służy do określania nazwy lub ścieżki pliku wykonywalnego do dodania lub edytowania. Aby wybrać plik wykonywalny, należy kliknąć przycisk Przeglądaj. Ścieżka pliku może zawierać symbole zastępcze. Służy do wskazywania skrótu MD5 (32-cyfrowej liczby szesnastkowej) procesu. McAfee Endpoint Security 10.2 Podręcznik produktu 107

108 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-10 Opcje (ciąg dalszy) Opcja Podpisujący Definicja Włącz sprawdzanie podpisu cyfrowego Umożliwia sprawdzenie, czy kod nie został zmieniony ani uszkodzony od czasu podpisania za pomocą skrótu kryptograficznego. Po włączeniu konieczne jest określenie ustawień: Zezwól na dowolną sygnaturę zezwala na pliki podpisane przez dowolnego podpisującego procesów. Podpisano przez zezwala na pliki podpisane tylko przez określonego podpisującego procesów. Nazwa wyróżniająca podpisującego (SDN) pliku wykonywalnego jest wymagana i musi być zgodna z wpisami w sąsiadującym polu, łącznie z przecinkami i spacjami. Podpisujący proces występuje w prawidłowym formacie w zdarzeniach zapisanych w Dzienniku zdarzeń Klient Endpoint Security i Dzienniku zagrożeń programu McAfee epo. Na przykład: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Aby uzyskać SDN pliku wykonywalnego: 1 Kliknij prawym przyciskiem myszy plik wykonywalny i wybierz pozycję Właściwości. 2 Na karcie Podpisy cyfrowe zaznacz podpisującego i kliknij przycisk Szczegóły. 3 Na karcie Ogólne kliknij przycisk Wyświetl certyfikat. 4 Na karcie Szczegóły zaznacz pole Podmiot. Zostanie wyświetlona nazwa wyróżniająca podpisującego. Na przykład przeglądarka Firefox ma następującą nazwę wyróżniającą podpisującego: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Uwagi Służy do wprowadzania dodatkowych informacji o danym elemencie. Patrz także Dodaj regułę lub Edytuj regułę na stronie 97 Zapobieganie zagrożeniom Zapobieganie wykorzystaniu luk w zabezpieczeniach Można włączyć i skonfigurować funkcję Zapobieganie wykorzystaniu luk w zabezpieczeniach, która uniemożliwia wykonanie na komputerze użytkownika dowolnego kodu wykorzystującego błąd przepełnienia bufora. Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Program Host Intrusion Prevention 8.0 można zainstalować w tym samym systemie, co program Endpoint Security Jeśli program McAfee Host IPS jest włączony, funkcja Zapobieganie wykorzystaniu luk w zabezpieczeniach jest wyłączona, nawet jeśli włączono ją w ustawieniach zasad. 108 McAfee Endpoint Security 10.2 Podręcznik produktu

109 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-11 Opcje Obszar Opcja Definicja ZAPOBIEGANIE WYKORZYSTYWANIU LUK W ZABEZPIECZENIACH Włącz zapobieganie wykorzystywaniu luk w zabezpieczeniach Służy do włączania funkcji zapobiegania wykorzystywaniu luk w zabezpieczeniach Jeśli ta opcja nie zostanie włączona, komputer nie będzie chroniony przed atakami złośliwego oprogramowania. Tabela 3-12 Opcje zaawansowane Obszar Opcja Definicja Poziom ochrony Standardowy Służy do określania poziomu ochrony w ramach funkcji zapobiegania wykorzystywaniu luk w zabezpieczeniach. Służy do wykrywania i blokowania tylko ataków polegających na wykorzystaniu przepełnienia bufora o wysokiej istotności zdefiniowanych w pliku zawartości modułu Zapobieganie wykorzystaniu luk w zabezpieczeniach oraz do zatrzymywania wykrytego wątku. Trybu Standardowy należy używać tylko przez krótki okres. Należy przejrzeć utworzone w tym czasie wpisy pliku dziennika, aby zdecydować, czy zmienić na tryb ochrony Maksymalny. Zapobieganie eskalacji uprawnień ogólnych Funkcja zapobiegania wykonywaniu danych systemu Windows Maksymalny Włącz zapobieganie eskalacji uprawnień ogólnych Włącz funkcję zapobiegania wykonywaniu danych systemu Windows Służy do wykrywania i blokowania tylko ataków polegających na wykorzystaniu przepełnienia bufora o wysokiej i średniej istotności zdefiniowanych w pliku zawartości zapobiegania wykorzystaniu luk w zabezpieczeniach oraz do zatrzymywania wykrytego wątku. To ustawienie może powodować wyniki fałszywie dodatnie. Włącz zapobieganie eskalacji uprawnień ogólnych (GPEP) (opcja jest domyślnie wyłączona). GPEP wykorzystuje sygnatury GPEP w zawartości modułu Zapobieganie wykorzystywaniu luk w zabezpieczeniach w celu zapewnienia ochrony przed wykorzystaniem luk w zabezpieczeniach w trybie jądra i trybie użytkownika. Ponieważ GPEP może generować wyniki fałszywie dodatnie, opcja jest domyślnie wyłączona. Służy do włączenia integracji funkcji zapobiegania wykonywaniu danych systemu Windows (DEP) (opcja jest domyślnie wyłączona). Wybierz tę opcję, aby: Włączyć funkcję DEP dla aplikacji 32-bitowych na liście ochrony aplikacji McAfee, jeżeli nie została jeszcze włączona, i korzystać z niej zamiast funkcji ogólnej ochrony przed przepełnieniem bufora (GBOP). Weryfikacja modułu funkcji wywołującej i monitorowanie docelowego interfejsu API są nadal włączone. Monitorować wykrywanie DEP w 32-bitowych aplikacjach z włączoną funkcją DEP. Monitorować wykrywanie DEP w 64-bitowych aplikacjach na podstawie listy ochrony oprogramowania McAfee. Rejestrować wykrywanie DEP i wysyłać zdarzenie do McAfee epo. Wyłączenie tej opcji nie wywiera wpływu na procesy, dla których włączono funkcję DEP w zasadach DEP systemu Windows. McAfee Endpoint Security 10.2 Podręcznik produktu 109

110 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-12 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Akcja Służy do określenia akcji Blokuj lub Raportuj funkcji zapobiegania wykorzystywaniu luk w zabezpieczeniach. Opcja raportowania jest niedostępna przy włączonej funkcji zapobiegania wykonywaniu danych systemu Windows. Blokuj Raportuj Umożliwia blokowanie określonego procesu. Wybierz opcję Blokuj, aby włączyć funkcję zapobiegania wykorzystywaniu luk w zabezpieczeniach, lub usuń zaznaczenie opcji, aby wyłączyć funkcję. Aby zablokować próby uzyskania dostępu bez ich rejestrowania, należy zaznaczyć opcję Blokuj, ale nie zaznaczać opcji Raportuj. Umożliwia włączenie raportowania prób naruszenia funkcji zapobiegania wykorzystywaniu luk w zabezpieczeniach. W przypadku wykrycia takiej próby informacje na ten temat są zapisywane w dzienniku aktywności. Zalecane działanie: Jeśli całkowity wpływ reguły nie jest znany, należy wybrać opcję Raportuj bez opcji Blokuj, aby otrzymywać powiadomienia bez blokowania prób uzyskania dostępu. Należy obserwować dzienniki i raporty, aby zdecydować o konieczności zablokowania dostępu. Wykluczenia Określa proces, moduł funkcji wywołującej lub interfejs API do wykluczenia. Wykluczenia, w przypadku których określono moduł funkcji wywołującej lub interfejs API, nie mają zastosowania do funkcji zapobiegania wykonywaniu danych systemu Windows. Dodaj tworzy wykluczenie i dodaje je do listy. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń Służy do usuwania zaznaczonego elementu. Powiel Służy do tworzenia kopii wybranego elementu. Patrz także Konfiguruj ustawienia zasad Zapobieganie wykorzystaniu luk w zabezpieczeniach na stronie 80 Dodaj wykluczenie lub Edytuj wykluczenie na stronie 110 Dodaj wykluczenie lub Edytuj wykluczenie Umożliwia dodawanie lub edytowanie wykluczeń w ramach funkcji Zapobieganie wykorzystaniu luk w zabezpieczeniach. Należy określić co najmniej jeden Proces, Moduł funkcji wywołującej lub interfejs API. Wykluczenia, w przypadku których określono moduł funkcji wywołującej lub interfejs API, nie mają zastosowania do funkcji zapobiegania wykonywaniu danych systemu Windows. Podczas określania wykluczeń należy mieć na uwadze następujące kwestie: Niezbędne jest określenie co najmniej jednego z identyfikatorów: Nazwa lub ścieżka pliku, Skrót MD5 lub Podpisujący. Jeśli zostanie podany więcej niż jeden identyfikator, wszystkie będą dotyczyć wykluczenia. Jeśli zostanie podanych więcej identyfikatorów, ale będą one niezgodne (na przykład nazwa pliku i skrót MD5 będą dotyczyć różnych plików), wykluczenie będzie nieprawidłowe. 110 McAfee Endpoint Security 10.2 Podręcznik produktu

111 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 W wykluczeniach nie jest rozróżniana wielkość liter. Symbole zastępcze są dozwolone w każdym miejscu oprócz pola Skrót MD5. Tabela 3-13 Opcje Obszar Opcja Definicja Proces Nazwa Służy do określania nazwy wykluczanego procesu. Zapobieganie wykorzystaniu luk w zabezpieczeniach pozwala na wykluczenie procesu niezależnie od jego lokalizacji. Po wypełnieniu tego pola wymagane jest wypełnienie przynajmniej jednego innego pola: Nazwa lub ścieżka pliku, Skrót MD5 lub Podpisujący. Nazwa lub ścieżka pliku Skrót MD5 Podpisujący Służy do określania nazwy lub ścieżki pliku wykonywalnego do dodania lub edytowania. Aby wybrać plik wykonywalny, należy kliknąć przycisk Przeglądaj. Służy do wskazywania skrótu MD5 (32-cyfrowej liczby szesnastkowej) procesu. Włącz sprawdzanie podpisu cyfrowego Umożliwia sprawdzenie, czy kod nie został zmieniony ani uszkodzony od czasu podpisania za pomocą skrótu kryptograficznego. Po włączeniu konieczne jest określenie ustawień: Zezwól na dowolną sygnaturę zezwala na pliki podpisane przez dowolnego podpisującego procesów. Podpisano przez zezwala na pliki podpisane tylko przez określonego podpisującego procesów. Nazwa wyróżniająca podpisującego (SDN) pliku wykonywalnego jest wymagana i musi być zgodna z wpisami w sąsiadującym polu, łącznie z przecinkami i spacjami. Podpisujący proces występuje w prawidłowym formacie w zdarzeniach zapisanych w Dzienniku zdarzeń Klient Endpoint Security i Dzienniku zagrożeń programu McAfee epo. Na przykład: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Aby uzyskać SDN pliku wykonywalnego: 1 Kliknij prawym przyciskiem myszy plik wykonywalny i wybierz pozycję Właściwości. 2 Na karcie Podpisy cyfrowe zaznacz podpisującego i kliknij przycisk Szczegóły. 3 Na karcie Ogólne kliknij przycisk Wyświetl certyfikat. 4 Na karcie Szczegóły zaznacz pole Podmiot. Zostanie wyświetlona nazwa wyróżniająca podpisującego. Na przykład przeglądarka Firefox ma następującą nazwę wyróżniającą podpisującego: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US McAfee Endpoint Security 10.2 Podręcznik produktu 111

112 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-13 Opcje (ciąg dalszy) Obszar Opcja Definicja Moduł funkcji wywołującej Nazwa Służy do określania nazwy modułu, który jest właścicielem pamięci przeznaczonej do zapisu dokonującej wywołania. Po wypełnieniu tego pola wymagane jest wypełnienie przynajmniej jednego innego pola: Nazwa lub ścieżka pliku, Skrót MD5 lub Podpisujący. Nazwa lub ścieżka pliku Skrót MD5 Podpisujący Służy do określania nazwy lub ścieżki pliku wykonywalnego do dodania lub edytowania. Aby wybrać plik wykonywalny, należy kliknąć przycisk Przeglądaj. Służy do wskazywania skrótu MD5 (32-cyfrowej liczby szesnastkowej) procesu. Włącz sprawdzanie podpisu cyfrowego Umożliwia sprawdzenie, czy kod nie został zmieniony ani uszkodzony od czasu podpisania za pomocą skrótu kryptograficznego. Po włączeniu konieczne jest określenie ustawień: Zezwól na dowolną sygnaturę zezwala na pliki podpisane przez dowolnego podpisującego procesów. Podpisano przez zezwala na pliki podpisane tylko przez określonego podpisującego procesów. Nazwa wyróżniająca podpisującego (SDN) pliku wykonywalnego jest wymagana i musi być zgodna z wpisami w sąsiadującym polu, łącznie z przecinkami i spacjami. Podpisujący proces występuje w prawidłowym formacie w zdarzeniach zapisanych w Dzienniku zdarzeń Klient Endpoint Security i Dzienniku zagrożeń programu McAfee epo. Na przykład: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Aby uzyskać SDN pliku wykonywalnego: 1 Kliknij prawym przyciskiem myszy plik wykonywalny i wybierz pozycję Właściwości. 2 Na karcie Podpisy cyfrowe zaznacz podpisującego i kliknij przycisk Szczegóły. 3 Na karcie Ogólne kliknij przycisk Wyświetl certyfikat. 4 Na karcie Szczegóły zaznacz pole Podmiot. Zostanie wyświetlona nazwa wyróżniająca podpisującego. Na przykład przeglądarka Firefox ma następującą nazwę wyróżniającą podpisującego: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Interfejs API Nazwa Służy do określania nazwy wywoływanego interfejsu API (interfejs programowania aplikacji). Uwagi Służy do wprowadzania dodatkowych informacji o danym elemencie. 112 McAfee Endpoint Security 10.2 Podręcznik produktu

113 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Patrz także Zapobieganie zagrożeniom Zapobieganie wykorzystaniu luk w zabezpieczeniach na stronie 108 Wykluczanie procesów z modułu Zapobieganie wykorzystaniu luk w zabezpieczeniach na stronie 81 Zapobieganie zagrożeniom Skanowanie na bieżąco Na stronie można włączyć i skonfigurować ustawienia skanowania na bieżąco. Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Tabela 3-14 Opcje Obszar Opcja Definicja SKANOWANIE NA BIEŻĄCO Włącz skanowanie na bieżąco Włącz skanowanie na bieżąco przy uruchamianiu systemu Określ maksymalną liczbę sekund na skanowanie każdego pliku Służy do włączania funkcji Skanowanie na bieżąco. (Opcja jest domyślnie włączona). Służy do włączania funkcji Skanowanie na bieżąco przy każdym uruchomieniu komputera. (Opcja jest domyślnie włączona). Służy do ograniczania czasu skanowania każdego pliku do określonej liczby sekund. (Opcja jest domyślnie włączona). Domyślna wartość wynosi 45 sekund. Jeżeli czas skanowania przekroczy podane ograniczenie, skanowanie zostanie przerwane, a w dzienniku zostanie zarejestrowany odpowiedni komunikat. Skanuj sektory rozruchowe Służy do włączania badania sektora rozruchowego dysku. (Opcja jest domyślnie włączona). Zalecane działanie: Jeżeli sektor rozruchowy dysku jest unikatowy lub nietypowy i nie powinien być badany, należy wyłączyć skanowanie sektora rozruchowego. Skanuj procesy podczas rozruchu i aktualizacji zawartości Służy do włączania ponownego skanowania wszystkich procesów przechowywanych aktualnie w pamięci w przypadku: Ponownego włączenia skanowania na bieżąco. Aktualizacji plików zawartości. Uruchomienia systemu. Uruchomienia procesu McShield.exe. Zalecane działanie:ponieważ niektóre programy lub pliki wykonywalne są uruchamiane automatycznie przy starcie systemu, włączenie tej opcji może spowodować skrócenie czasu uruchamiania systemu. (Opcja jest domyślnie wyłączona). Po włączeniu skanera używanego do skanowania na bieżąco wszystkie procesy są skanowane podczas ich uruchamiania. McAfee Endpoint Security 10.2 Podręcznik produktu 113

114 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-14 Opcje (ciąg dalszy) Obszar Opcja Definicja Skanuj zaufane instalatory Służy do skanowania plików MSI (zainstalowanych przez program instalacyjny msiexec.exe i podpisanych cyfrowo przez firmę McAfee lub Microsoft) lub plików usługi Windows Trusted Installer. (Opcja jest domyślnie wyłączona). Zalecane działanie: Opcję należy wyłączyć, aby zwiększyć wydajność instalatorów większych aplikacji firmy Microsoft. Usługa McAfee GTI Moduł ScriptScan Skanuj podczas kopiowania pomiędzy folderami lokalnymi Włącz moduł ScriptScan Umożliwia skanowanie plików, gdy użytkownik kopiuje je z jednego lokalnego folderu do innego. Jeżeli opcja jest: Wyłączona skanowane są tylko elementy w folderze docelowym. Włączona skanowane są elementy zarówno w folderze źródłowym (odczyt), jak i docelowym (zapis). (Opcja jest domyślnie wyłączona). Na stronie można włączyć i skonfigurować ustawienia usługi McAfee GTI. Służy do włączania skanowania skryptów JavaScript i VBScript, aby uniemożliwić uruchamianie niepożądanych skryptów. (Opcja jest domyślnie włączona). Jeśli moduł ScriptScan jest wyłączony podczas uruchamiania przeglądarki Internet Explorer, a następnie zostanie włączony, nie będzie wykrywać złośliwych skryptów w tej instancji przeglądarki Internet Explorer. Aby moduł ScriptScan wykrywał złośliwe skrypty, konieczne jest ponowne uruchomienie przeglądarki Internet Explorer po jego włączeniu. Wyklucz poniższe adresy URL Służy do określania wykluczeń modułu ScriptScan według adresu URL. Dodaj umożliwia dodawanie adresu URL do listy wykluczeń. Usuń umożliwia usuwanie adresu URL z listy wykluczeń. Adresy URL nie mogą zawierać symboli zastępczych. Wykluczane będą jednak również adresy URL zawierające w sobie adres URL z listy wykluczeń. Przykładowo jeżeli zostanie wykluczony adres msn.com, zostaną wykluczone również następujące adresy URL: W systemie Windows Server 2008 wykluczenia adresów URL z modułu ScriptScan nie będą działały w przeglądarce Internet Explorer, o ile nie zostanie zaznaczone pole wyboru Włącz rozszerzenia przeglądarki innych firm i system nie zostanie ponownie uruchomiony. Więcej informacji można znaleźć w artykule bazy wiedzy KB McAfee Endpoint Security 10.2 Podręcznik produktu

115 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-15 Opcje zaawansowane Obszar Opcja Definicja Wiadomość dla użytkownika po wykryciu zagrożenia Po wykryciu zagrożenia wyświetl użytkownikom okno Skanowanie na bieżąco Służy do wyświetlania użytkownikom klienta strony Skanowanie na bieżąco razem z odpowiednim komunikatem po wykryciu zagrożenia. (Opcja jest domyślnie włączona). Jeśli ta opcja jest wybrana, użytkownicy mogą otworzyć tę stronę na stronie Skanuj teraz w dowolnym czasie, gdy lista wykrycia zawiera przynajmniej jedno zagrożenie. Lista skanowania na bieżąco zostanie wyczyszczona, gdy usługa programu Endpoint Security lub system uruchomi się ponownie. Ustawienia procesów Skanowanie Wiadomość Użyj ustawień standardowych dla wszystkich procesów Konfiguruj różne ustawienia dla procesów Wysokiego ryzyka i Niskiego ryzyka Standardowy Wysokie ryzyko Niskie ryzyko Dodaj Usuń Czas skanowania Podczas zapisywania na dysku Podczas odczytywania z dysku Pozwól wybrać firmie McAfee Służy do określenia odpowiedniego komunikatu do wyświetlania użytkownikom klienta po wykryciu zagrożenia. Wiadomość domyślna to: Program McAfee Endpoint Security wykrył zagrożenie. Służy do używania tych samych skonfigurowanych ustawień do wszystkich procesów podczas przeprowadzania skanowania na bieżąco. Służy do konfigurowania różnych ustawień skanowania w zależności od typu procesu. Służy do konfigurowania ustawień dotyczących procesów, które nie zostały zidentyfikowane jako procesy wysokiego lub niskiego ryzyka. (Opcja jest domyślnie włączona). Służy do konfigurowania ustawień dotyczących procesów wysokiego ryzyka. Służy do konfigurowania ustawień dotyczących procesów niskiego ryzyka. Umożliwia dodawanie procesu do listy Wysokie ryzyko lub Niskie ryzyko. Umożliwia usuwanie procesu z listy Wysokie ryzyko lub Niskie ryzyko. Służy do skanowania wszystkich plików podczas ich zapisywania lub zmieniania na komputerze albo innym urządzeniu pamięci masowej. Służy do skanowania wszystkich plików w czasie ich odczytywania z komputera albo innego urządzenia pamięci masowej. Pozwala decydować firmie McAfee, kiedy plik musi zostać przeskanowany, korzystając z logiki zaufania w celu optymalizacji skanowania. Logika zaufania poprawia bezpieczeństwo i zwiększa wydajność poprzez unikanie niepotrzebnego skanowania. Zalecane działanie: Należy włączyć tę opcję w celu uzyskania maksymalnej ochrony i wydajności. McAfee Endpoint Security 10.2 Podręcznik produktu 115

116 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-15 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Nie skanuj podczas odczytywania z dysku lub zapisywania na nim Zakres skanowania Wszystkie pliki Służy do określenia, żeby nie skanować tylko procesówniskiego ryzyka. Służy do skanowania wszystkich plików niezależnie od ich rozszerzenia. Niewłączenie opcji Wszystkie pliki pozostawia system narażony na ataki ze strony złośliwego oprogramowania. Domyślne i określone typy plików Tylko określone typy plików Na dyskach sieciowych Służy do skanowania następujących elementów: Domyślna lista rozszerzeń plików w bieżącym pliku zawartości AMCore, w tym pliki bez rozszerzenia Wszelkie dodatkowe rozszerzenia plików określone przez użytkownika Rozszerzenia należy oddzielać przecinkami. (Opcjonalnie) Znane zagrożenia ze strony makr na liście domyślnych i określonych rozszerzeń plików Służy do skanowania jednej lub obu z poniższych opcji: Tylko pliki z rozszerzeniami (oddzielonymi przecinkami) określonymi przez użytkownika Wszystkie pliki bez rozszerzeń Służy do włączania skanowania zasobów na zmapowanych dyskach sieciowych. Zalecane działanie: wyłącz tę opcję, aby zwiększyć wydajność. Otwarte w celu utworzenia kopii zapasowych Służy do skanowania plików podczas przetwarzania ich przez oprogramowanie do tworzenia kopii zapasowych. Zalecane działanie: W większości środowisk włączanie tego ustawienia nie jest konieczne. Skompresowane pliki archiwum Służy do skanowania zawartości plików archiwum (skompresowanych), w tym plików.jar. Skanowanie skompresowanych plików może negatywnie wpłynąć na wydajność systemu. Skompresowane zakodowane pliki MIME Dodatkowe opcje skanowania Wykrywaj niepożądane programy Służy do wykrywania, dekodowania i skanowania zakodowanych plików MIME (Multipurpose Internet Mail Extensions). Służy do włączania skanera w celu wykrywania potencjalnie niepożądanych programów. Do wykrywania potencjalnie niepożądanych programów skaner wykorzystuje informacje zdefiniowane w ustawieniach Opcji modułu Zapobieganie zagrożeniom. 116 McAfee Endpoint Security 10.2 Podręcznik produktu

117 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-15 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Akcje Wykluczenia Wykryj zagrożenia ze strony nieznanych programów Wykryj zagrożenia ze strony nieznanych makr Dodaj Usuń Służy do włączania korzystania z usługi McAfee GTI do wykrywania plików wykonywalnych, które zawierają kod przypominający złośliwe oprogramowanie. Służy do włączania korzystania z usługi McAfee GTI do wykrywania nieznanych wirusów makr. Akcje służą do określania działania skanera po wykryciu zagrożenia. Służy do określenia plików, folderów i dysków, które mają zostać wykluczone ze skanowania. Służy do dodawania elementu do listy wykluczeń. Służy do usuwania elementu z listy wykluczeń. Patrz także Skonfiguruj ustawienia zasad funkcji Skanowanie na bieżąco. na stronie 84 McAfee GTI na stronie 122 Akcje na stronie 123 Dodaj wykluczenie lub Edytuj wykluczenie na stronie 125 Zapobieganie zagrożeniom Skanowanie na żądanie Służy do konfigurowania ustawień skanowania na żądanie dotyczących skanowania wstępnie zdefiniowanego i niestandardowego, które można uruchamiać w systemie. Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Ustawienia te służą do określania działania skanera uruchamianego poprzez: Wybór funkcji Pełne skanowanie lub Szybkie skanowanie w programie Klient Endpoint Security na stronie Skanuj teraz. Jako administrator uruchom niestandardowe zadanie skanowania na żądanie, wybierając kolejno Ustawienia Wspólne Zadania w Klient Endpoint Security. Kliknięcie prawym przyciskiem myszy pliku lub folderu i wybór z menu podręcznego polecenia Skanowanie w poszukiwaniu zagrożeń. Tabela 3-16 Opcje Obszar Opcja Definicja Zakres skanowania Sektory rozruchowe Służy do włączania badania sektora rozruchowego dysku. Zalecane działanie: Jeżeli sektor rozruchowy dysku jest unikatowy lub nietypowy i nie powinien być badany, należy wyłączyć skanowanie sektora rozruchowego. Pliki, które zostały przeniesione do magazynu Służy do skanowania plików przechowywanych w zdalnym magazynie. Niektóre sposoby magazynowania danych offline obejmują zastępowanie plików plikami szczątkowymi. W przypadku skanowania pliku szczątkowego z przeniesioną zawartością oryginalny plik jest przywracany na komputer lokalny przed przystąpieniem do skanowania. Zalecamy wyłączenie tej opcji. Skompresowane zakodowane pliki MIME Służy do wykrywania, dekodowania i skanowania zakodowanych plików MIME (Multipurpose Internet Mail Extensions). McAfee Endpoint Security 10.2 Podręcznik produktu 117

118 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-16 Opcje (ciąg dalszy) Obszar Opcja Definicja Skompresowane pliki archiwum Służy do skanowania zawartości plików archiwum (skompresowanych), w tym plików.jar. Zalecane działanie: Ponieważ skanowanie plików skompresowanych może spowodować znaczące zmniejszenie wydajności komputera, z opcji tej należy korzystać w czasie wolnym, gdy komputer nie jest używany. Dodatkowe opcje skanowania Skanowane lokalizacje Typy plików do skanowania Podfoldery (tylko skanowanie prawym przyciskiem myszy) Wykrywaj niepożądane programy Wykryj zagrożenia ze strony nieznanych programów Wykryj zagrożenia ze strony nieznanych makr (tylko pełne skanowanie i szybkie skanowanie) Wszystkie pliki Służy do włączania skanowania wszystkich podfolderów określonego folderu. Służy do włączania skanera w celu wykrywania potencjalnie niepożądanych programów. Do wykrywania potencjalnie niepożądanych programów skaner wykorzystuje informacje zdefiniowane w ustawieniach Opcji modułu Zapobieganie zagrożeniom. Służy do włączania korzystania z usługi McAfee GTI do wykrywania plików wykonywalnych, które zawierają kod przypominający złośliwe oprogramowanie. Służy do włączania korzystania z usługi McAfee GTI do wykrywania nieznanych wirusów makr. Służy do określania lokalizacji, które mają być skanowane. Opcje te mają zastosowanie tylko w funkcji Pełne skanowanie, Szybkie skanowanie i w skanowaniu niestandardowym. Służy do skanowania wszystkich plików niezależnie od ich rozszerzenia. Firma McAfee zaleca włączenie opcji Wszystkie pliki. Niewłączenie opcji Wszystkie pliki pozostawia system narażony na ataki ze strony złośliwego oprogramowania. Usługa McAfee GTI Wykluczenia Domyślne i określone typy plików Tylko określone typy plików Dodaj Skanowane elementy: Domyślna lista rozszerzeń plików w bieżącym pliku zawartości AMCore, w tym pliki bez rozszerzenia Wszelkie dodatkowe rozszerzenia plików określone przez użytkownika Rozszerzenia należy oddzielać przecinkami. (Opcjonalnie) Znane zagrożenia ze strony makr na liście domyślnych i określonych rozszerzeń plików Służy do skanowania jednej lub obu z poniższych opcji: Tylko pliki z rozszerzeniami (oddzielonymi przecinkami) określonymi przez użytkownika Wszystkie pliki bez rozszerzeń Na stronie można włączyć i skonfigurować ustawienia usługi McAfee GTI. Służy do określenia plików, folderów i dysków, które mają zostać wykluczone ze skanowania. Służy do dodawania elementu do listy wykluczeń. 118 McAfee Endpoint Security 10.2 Podręcznik produktu

119 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-16 Opcje (ciąg dalszy) Obszar Opcja Definicja Akcje Wydajność Usuń Użyj pamięci podręcznej skanowania Służy do usuwania elementu z listy wykluczeń. Akcje służą do określania działania skanera po wykryciu zagrożenia. Służy do umożliwiania skanerowi wykorzystywania listy elementów, w których nie wykryto zagrożeń. Tę opcję należy zaznaczyć, aby uniknąć skanowania tych samych plików i zwiększyć wydajność. Wykorzystanie systemu Służy do umożliwiania systemowi operacyjnemu określania ilości czasu procesora przydzielanego skanerowi podczas skanowania. Każde zadanie jest uruchamiane niezależnie od pozostałych, bez uwzględniania ograniczeń określonych dla innych zadań. Niskie umożliwia zwiększenie wydajności działania innych uruchomionych aplikacji. Zalecane działanie: Opcję tę należy wybrać w przypadku komputerów z aktywnymi użytkownikami końcowymi. Poniżej normy umożliwia określenie wykorzystania komputera na potrzeby skanowania na domyślnym poziomie zdefiniowanym w programie McAfee epo. W normie (domyślnie) umożliwia szybsze ukończenie skanowania. Zalecane działanie: Opcję tę należy wybrać w przypadku komputerów z dużymi woluminami i bardzo niską aktywnością użytkowników. Opcje zaplanowanego skanowania Skanuj tylko podczas bezczynności systemu Skanuj w dowolnym czasie Opcje te mają zastosowanie tylko w funkcji Pełne skanowanie, Szybkie skanowanie i w skanowaniu niestandardowym. Umożliwia skanowanie tylko wtedy, gdy system jest nieaktywny. Moduł Zapobieganie zagrożeniom wstrzymuje skanowanie, gdy wykryje aktywność użytkownika, taką jak dostęp za pomocą klawiatury lub myszy. Moduł Zapobieganie zagrożeniom wznawia skanowanie po 5 minutach braku aktywności użytkownika (i procesora). Należy wyłączyć tę opcję w systemach serwerów i systemach, do których użytkownicy uzyskują dostęp tylko przez funkcję Podłączanie pulpitu zdalnego (RDP). Moduł Zapobieganie zagrożeniom określa, czy system jest nieaktywny, na podstawie informacji dostarczonych przez proces McTray. W systemach, do których uzyskuje się dostęp wyłącznie przez RDP, proces McTray nie uruchamia się i skaner skanowania na żądanie nigdy nie działa. Obejściem tego problemu jest ręczne uruchomienie procesu McTray (domyślnie: C:\Program Files\McAfee\Agent \mctray.exe) podczas logowania za pomocą RDP. Służy do uruchamiania skanowania, nawet jeżeli użytkownik jest aktywny, i określania opcji skanowania. McAfee Endpoint Security 10.2 Podręcznik produktu 119

120 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-16 Opcje (ciąg dalszy) Obszar Opcja Definicja Użytkownik może odłożyć skanowanie umożliwia odkładanie zaplanowanych operacji skanowania przez użytkownika i określa opcje wstrzymania skanowania. Maksymalna liczba możliwych odroczeń skanowania o godzinę umożliwia określenie liczby (1-23) możliwych odroczeń skanowania o jedną godzinę przez użytkownika. Komunikat użytkownika umożliwia określenie komunikatu wyświetlanego przed uruchomieniem skanowania. Komunikat domyślny to: Wkrótce rozpocznie się skanowanie komputera przez program McAfee Endpoint Security. Czas trwania komunikatu (w sekundach) umożliwia określenie czasu wyświetlania (w sekundach) komunikatu użytkownika przed uruchomieniem skanowania. Prawidłowy zakres trwania to sekund; domyślne ustawienie to 45 sekund. Nie skanuj, gdy komputer pracuje na baterii Nie skanuj, gdy komputer pracuje w trybie prezentacji umożliwia odłożenie skanowania, gdy komputer jest w trybie prezentacji. Służy do odkładania skanowania, gdy komputer pracuje na baterii. Patrz także Konfigurowanie ustawień zasad skanowania na żądanie na stronie 89 Konfigurowanie, planowanie i uruchamianie zadań skanowania na stronie 94 Uruchom funkcję Pełne skanowanie lub Szybkie skanowanie na stronie 60 Skanowanie pliku lub folderu na stronie 62 Skanowane lokalizacje na stronie 120 McAfee GTI na stronie 122 Akcje na stronie 123 Dodaj wykluczenie lub Edytuj wykluczenie na stronie 125 Skanowane lokalizacje Służy do określania lokalizacji, które mają być skanowane. Opcje te mają zastosowanie tylko w funkcji Pełne skanowanie, Szybkie skanowanie i w skanowaniu niestandardowym. 120 McAfee Endpoint Security 10.2 Podręcznik produktu

121 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-17 Opcje Obszar Opcja Definicja Skanowane lokalizacje Skanuj podfoldery Służy do włączania skanowania wszystkich podfolderów na określonych woluminach, jeśli wybrano dowolną z poniższych opcji: Folder główny Folder profilu użytkownika Folder Program Files Folder Temp Plik lub folder Aby skanować tylko główny poziom woluminów, należy usunąć zaznaczenie tej opcji. Określ lokalizacje Memory for rootkits (Pamięć dla programów typu rootkit) Służy do określania lokalizacji, które mają być skanowane. Dodaj służy do dodawania lokalizacji, która ma być skanowana. Kliknij przycisk Dodaj, a następnie wybierz lokalizację z listy rozwijanej. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania lokalizacji ze skanowania. Zaznacz żądaną lokalizację i kliknij przycisk Usuń. Służy do skanowania pamięci systemu w poszukiwaniu zainstalowanych programów typu rootkit, ukrytych procesów oraz innych symptomów prób ukrycia złośliwego oprogramowania. To skanowanie poprzedza wszystkie inne operacje skanowania. Jeśli ta opcja nie zostanie włączona, komputer nie będzie chroniony przed atakami złośliwego oprogramowania. Działające procesy Służy do skanowania pamięci wszystkich uruchomionych procesów. Akcje inne niż Clean files (Wyczyść pliki) są traktowane jak polecenie Continue scanning (Kontynuuj skanowanie). Jeśli ta opcja nie zostanie włączona, komputer nie będzie chroniony przed atakami złośliwego oprogramowania. Zarejestrowane pliki Mój komputer Wszystkie dyski lokalne Wszystkie dyski stałe Wszystkie dyski wymienne Służy do skanowania plików, do których odnosi się rejestr systemu Windows. Skaner przeszukuje rejestr pod kątem nazw plików, określa, czy pliki istnieją, tworzy listę plików do skanowania, a następnie skanuje pliki. Służy do skanowania wszystkich dysków fizycznie podłączonych do komputera lub zmapowanych na określony dysk logiczny w komputerze. służy do skanowania wszystkich dysków w komputerze i znajdujących się na nich podfolderów. Służy do skanowania wszystkich dysków fizycznie podłączonych do komputera. Służy do skanowania wszystkich dysków wymiennych i innych urządzeń pamięci masowej podłączonych do komputera, z wyjątkiem napędów ze środowiskiem Windows To Go. McAfee Endpoint Security 10.2 Podręcznik produktu 121

122 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-17 Opcje (ciąg dalszy) Obszar Opcja Definicja Wszystkie mapowane dyski Folder główny Folder profilu użytkownika Folder systemu Windows Folder Program Files Folder Temp Kosz Plik lub folder służy do skanowania dysków sieciowych logicznie mapowanych na dysk sieciowy w komputerze. Służy do skanowania folderu głównego użytkownika, który uruchomił skanowanie. Służy do skanowania profilu użytkownika, który uruchomił skanowanie, w tym także jego folderu Moje dokumenty. Służy do skanowania zawartości folderu systemu Windows. Służy do skanowania zawartości folderu Program Files. służy do skanowania zawartości folderu Temp. Służy do skanowania zawartości kosza. służy do skanowania określonego pliku lub folderu. Patrz także Zapobieganie zagrożeniom Skanowanie na żądanie na stronie 117 McAfee GTI Na stronie można włączyć i skonfigurować ustawienia usługi McAfee GTI (Global Threat Intelligence). Tabela 3-18 Opcje Obszar Opcja Definicja Włącz usługę McAfee GTI Służy do włączania i wyłączania analizy heurystycznej. Jeśli opcja jest włączona, odciski próbek lub skróty są przesyłane do zespołu McAfee Labs w celu określenia, czy jest to oprogramowanie złośliwe. Przesłanie skrótów może pozwolić na udostępnienie definicji wykrycia jeszcze przed następnym wydaniem plików zawartości AMCore, gdy zespół McAfee Labs opublikuje aktualizację. Jeżeli funkcja zostanie wyłączona, żadne odciski palców ani dane nie będą przesyłane do zespołu McAfee Labs. Poziom czułości Służy do konfigurowania poziomu czułości używanego do określania, czy wykryta próbka jest złośliwym oprogramowaniem. Im wyższy poziom czułości, tym większa jest liczba wykrywanego złośliwego oprogramowania. Dopuszczając większą liczbę wykrywanych zagrożeń, można jednak spowodować występowanie większej liczby wyników fałszywie dodatnich. Bardzo niski Niski Poziom wykryć i ryzyka wyników fałszywie dodatnich jest taki sam jak w przypadku zwykłych plików zawartości AMCore. Wykrywanie zagrożenia przez moduł Zapobieganie zagrożeniom jest możliwe po opublikowaniu informacji przez zespół McAfee Labs, bez konieczności oczekiwania na następną aktualizację pliku zawartości AMCore. Użyj tych ustawień dla dobrze zabezpieczonych komputerów stacjonarnych i serwerów z ograniczonymi prawami użytkownika. Ustawienie to powoduje średnio zapytań dziennie na jeden komputer. Jest to minimalne zalecane ustawienie dla laptopów lub komputerów stacjonarnych i serwerów z mocnym odciskiem palca bezpieczeństwa. Ustawienie to powoduje średnio zapytań dziennie na jeden komputer. 122 McAfee Endpoint Security 10.2 Podręcznik produktu

123 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-18 Opcje (ciąg dalszy) Obszar Opcja Definicja Średni Ten poziom powinien być stosowany w przypadku, gdy ryzyko wystąpienia złośliwego oprogramowania jest wyższe niż ryzyko wystąpienia wyniku fałszywie dodatniego. Analizy heurystyczne zespołu McAfee Labs umożliwiają wykrywanie zagrożeń, które prawdopodobnie są oprogramowaniem złośliwym. Jednak niektóre wykrycia mogą być wynikami fałszywie dodatnimi. W przypadku tego poziomu czułości zespół McAfee Labs sprawdza, czy zagrożenia wykrywane w popularnych aplikacjach i plikach systemu operacyjnego nie powodują wywoływania wyników fałszywie dodatnich. Jest to minimalne zalecane ustawienie dla laptopów lub komputerów stacjonarnych i serwerów. Ustawienie to powoduje średnio zapytań dziennie na jeden komputer. Wysoki Bardzo wysoki Użyj tego ustawienia do wdrożenia do systemów lub obszarów regularnie infekowanych. Ustawienie to powoduje średnio zapytań dziennie na jeden komputer. Firma McAfee zaleca używanie tego poziomu tylko w celu skanowania woluminów i katalogów, które nie są używane przez systemy operacyjne ani do wykonywania programów. Zagrożenia wykrywane przy tym poziomie czułości są traktowane jako przypuszczalnie szkodliwe, ale nie zostały jeszcze w pełni przetestowane pod kątem wywoływania wyników fałszywie dodatnich. Zalecane działanie: Użyj tego ustawienia na nieoperacyjnych woluminach systemu. Ustawienie to powoduje średnio zapytań dziennie na jeden komputer. Patrz także Zapobieganie zagrożeniom Skanowanie na bieżąco na stronie 113 Zapobieganie zagrożeniom Skanowanie na żądanie na stronie 117 Kontrola zagrożeń sieciowych Opcje na stronie 171 Akcje Akcje służą do określania działania skanera po wykryciu zagrożenia. Tabela 3-19 Opcje Obszar Opcja Definicja Typ skanowania Pierwsza odpowiedź na wykrycie zagrożenia Odmawiaj dostępu do plików Kontynuuj skanowanie Skanowanie na bieżąco Skanowanie na żądanie Służy do określania pierwszej akcji, która ma zostać wykonana przez skaner po wykryciu zagrożenia. Służy do uniemożliwiania użytkownikom dostępu do plików zawierających potencjalne zagrożenia. Umożliwia kontynuowanie skanowania plików po wykryciu zagrożenia. Skaner nie przenosi elementów do folderu kwarantanny. McAfee Endpoint Security 10.2 Podręcznik produktu 123

124 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-19 Opcje (ciąg dalszy) Obszar Opcja Definicja Typ skanowania Jeśli pierwsza odpowiedź nie przyniesie skutku Pierwsza odpowiedź na niepożądany program Wyczyść pliki Usuń pliki Odmawiaj dostępu do plików Kontynuuj skanowanie Usuń pliki Służy do usuwania zagrożenia z pliku, jeżeli jest to możliwe. Służy do usuwania plików z potencjalnymi zagrożeniami. Skanowanie na bieżąco Skanowanie na żądanie Służy do określania akcji, która ma zostać wykonana przez skaner po wykryciu zagrożenia, jeżeli pierwsza akcja się nie powiedzie. Służy do uniemożliwiania użytkownikom dostępu do plików zawierających potencjalne zagrożenia. Umożliwia kontynuowanie skanowania plików po wykryciu zagrożenia. Skaner nie przenosi elementów do folderu kwarantanny. Służy do usuwania plików z potencjalnymi zagrożeniami. Służy do określania pierwszej akcji, która ma zostać wykonana przez skaner po wykryciu potencjalnie niepożądanego programu. Ta opcja jest dostępna tylko wtedy, gdy zaznaczono opcję Wykrywaj niepożądane programy. Jeśli pierwsza odpowiedź nie przyniesie skutku Odmawiaj dostępu do plików Zezwalaj na dostęp do plików Kontynuuj skanowanie Wyczyść pliki Usuń pliki Służy do uniemożliwiania użytkownikom dostępu do plików zawierających potencjalne zagrożenia. Służy do zezwalania użytkownikom na dostęp do plików zawierających potencjalne zagrożenia. Umożliwia kontynuowanie skanowania plików po wykryciu zagrożenia. Skaner nie przenosi elementów do folderu kwarantanny. Służy do usuwania zagrożenia z pliku z potencjalnie niepożądanym programem, jeżeli jest to możliwe. Służy do usuwania plików z potencjalnie niepożądanym programem. Służy do określania akcji, która ma zostać wykonana przez skaner po wykryciu potencjalnie niepożądanego programu, jeżeli pierwsza akcja nie przyniesie skutku. Ta opcja jest dostępna tylko wtedy, gdy zaznaczono opcję Wykrywaj niepożądane programy. 124 McAfee Endpoint Security 10.2 Podręcznik produktu

125 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-19 Opcje (ciąg dalszy) Obszar Opcja Definicja Typ skanowania Odmawiaj dostępu do plików Zezwalaj na dostęp do plików Kontynuuj skanowanie Usuń pliki Służy do uniemożliwiania użytkownikom dostępu do plików zawierających potencjalne zagrożenia. Służy do zezwalania użytkownikom na dostęp do plików zawierających potencjalne zagrożenia. Umożliwia kontynuowanie skanowania plików po wykryciu zagrożenia. Skaner nie przenosi elementów do folderu kwarantanny. Służy do automatycznego usuwania plików z potencjalnie niepożądanym programem. Patrz także Zapobieganie zagrożeniom Skanowanie na bieżąco na stronie 113 Zapobieganie zagrożeniom Skanowanie na żądanie na stronie 117 Skanowanie na bieżąco Skanowanie na żądanie Dodaj wykluczenie lub Edytuj wykluczenie Służy do dodawania lub edytowania definicji wykluczeń. Tabela 3-20 Opcje Obszar Opcja Definicja Typ skanowania Jakie elementy mają być wykluczone Nazwa lub ścieżka pliku Na bieżąco Na żądanie Służy do określania typu wykluczenia i jego szczegółów. Służy do określania nazwy lub ścieżki wykluczanego pliku. Ścieżka pliku może zawierać symbole zastępcze. Aby wykluczyć folder w systemach Windows, dodaj do ścieżki ukośnik odwrotny (\). W razie potrzeby zaznacz pole wyboru Wykluczaj również podfoldery. Typ pliku Wiek pliku Służy do określania typów plików (rozszerzeń plików), które mają być wykluczane. Służy do określania typu dostępu do plików (Zmodyfikowany, Ostatnio używany (tylko w przypadku skanowania na żądanie) lub Data utworzenia), które mają być wykluczane, i ustawienia opcji Minimalny wiek w dniach. McAfee Endpoint Security 10.2 Podręcznik produktu 125

126 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-20 Opcje (ciąg dalszy) Obszar Opcja Definicja Typ skanowania Kiedy elementy mają być wykluczane Podczas zapisywania na dysku lub odczytu z dysku Podczas odczytywania z dysku Podczas zapisywania na dysku Na bieżąco Na żądanie Służy do określania, kiedy zaznaczony element ma być wykluczany. Służy do wykluczania ze skanowania, gdy pliki są zapisywane na dysku lub innych urządzeniach pamięci masowej bądź z nich odczytywane. Służy do wykluczania ze skanowania, gdy pliki są odczytywane z komputera lub innych urządzeń pamięci masowej. Służy do wykluczania ze skanowania, gdy pliki są zapisywane na dysku lub innych urządzeniach pamięci masowej bądź na nich modyfikowane. Patrz także Zapobieganie zagrożeniom Skanowanie na bieżąco na stronie 113 Zapobieganie zagrożeniom Skanowanie na żądanie na stronie 117 Symbole zastępcze w wykluczeniach na stronie 69 Konfigurowanie wykluczeń na stronie 68 Zapobieganie zagrożeniom Opcje Na stronie można konfigurować ustawienia dotyczące funkcji Zapobieganie zagrożeniom, w tym ustawienia kwarantanny, potencjalnie niepożądanych programów i wykluczeń. W tym rozdziale przedstawiono tylko opcje z obszaru Zaawansowane. Tabela 3-21 Opcje zaawansowane Obszar Opcja Definicja Quarantine Manager Folder kwarantanny Służy do określania lokalizacji folderu kwarantanny lub zatwierdzenia jego domyślnej lokalizacji: c:\quarantine Nazwa folderu kwarantanny nie może mieć więcej niż 190 znaków. Określ maksymalną liczbę dni przechowywania danych poddanych kwarantannie Służy do określania liczby dni (1-999) przechowywania elementów poddanych kwarantannie przed ich automatycznym usunięciem. Domyślną wartością jest 30 dni. 126 McAfee Endpoint Security 10.2 Podręcznik produktu

127 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom 3 Tabela 3-21 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Wykluczenia według nazwy wykrycia Wyklucz poniższe nazwy wykrycia Służy do określania wykluczeń wykrywania według nazwy wykrycia. Na przykład, aby wyłączyć wykrywanie przez skaner używany do skanowania na bieżąco i skaner używany do skanowania na żądanie zagrożeń typu Kontrola podczas instalacji, należy wprowadzić typ Kontrola podczas instalacji. Dodaj służy do dodawania nazwy wykrycia do listy wykluczeń. Kliknij pozycję Dodaj, a następnie podaj nazwę wykrycia. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania nazwy wykrycia z listy wykluczeń. Zaznacz nazwę elementu, a następnie kliknij opcję Usuń. Wykrycia potencjalnie niepożądanych programów Aktywna analiza danych Wyklucz niestandardowe niepożądane programy Ocena usługi McAfee GTI Służy do określania pojedynczych plików lub programów, które mają być traktowane jako potencjalnie niepożądane programy. Skanery wykrywają programy określone przez użytkownika oraz programy określone w plikach zawartości AMCore. Skaner nie wykrywa zdefiniowanych przez użytkownika niepożądanych programów o rozmiarze wynoszącym zero bajtów. Dodaj służy do definiowania niestandardowego niepożądanego programu. Kliknij przycisk Dodaj, podaj nazwę, a następnie naciśnij Kartę, aby wprowadzić opis. Nazwa umożliwia określanie nazwy pliku potencjalnie niepożądanego programu. Opis umożliwia określenie informacji do wyświetlenia jako nazwa wykrytego zagrożenia po dokonaniu wykrycia. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania z listy potencjalnie niepożądanego programu. Wybierz program z tabeli, a następnie kliknij przycisk Usuń. Służy do przesyłania anonimowych danych diagnostycznych i danych użycia do firmy McAfee. Służy do włączania funkcji telemetrii opartej na usłudze McAfee GTI umożliwiającej gromadzenie anonimowych danych dotyczących plików i procesów wykonywanych w systemie klienckim. McAfee Endpoint Security 10.2 Podręcznik produktu 127

128 3 Korzystanie z modułu Zapobieganie zagrożeniom Informacje o interfejsie klienta Zapobieganie zagrożeniom Tabela 3-21 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Próbkowanie bezpieczeństwa Służy do sprawdzania stanu systemu klienckiego przed wykonaniem aktualizacji pliku zawartości AMCore, po nim oraz w regularnych odstępach i przesyłania wyników do firmy McAfee. Wyniki są szyfrowane i przesyłane do firmy McAfee za pomocą protokołu SSL. Firma McAfee agreguje i analizuje dane z raportów w celu identyfikacji nieprawidłowości, które mogą wskazywać na potencjalne problemy z zawartością. Szybka identyfikacja takich problemów umożliwi ograniczenie i naprawienie ich. Funkcja Próbkowanie bezpieczeństwa gromadzi następujące dane: Wersja i ustawienia regionalne systemu operacyjnego Wersja produktu firmy McAfee Zawartość AMCore i wersja aparatu Informacje o uruchomionych procesach firmy McAfee i Microsoft Reputacja zawartości AMCore Służy do wykonywania wyszukiwania danych o reputacji dotyczących pliku zawartości AMCore w usłudze McAfee GTI przed aktualizacją systemu klienckiego. Jeśli usługa McAfee GTI zezwala na plik, program Endpoint Security aktualizuje zawartość AMCore. Jeśli usługa McAfee GTI nie zezwala na plik, program Endpoint Security nie aktualizuje zawartości AMCore. Patrz także Konfiguracja ogólnych ustawień skanowania na stronie 83 Wycofaj zawartość AMCore Przywraca zawartość AMCore do poprzedniej wersji. Opcja Wybierz wersję do załadowania Definicja Pozwala na określenie numeru wersji poprzedniego pliku zawartości AMCore do załadowania. Program Endpoint Security przechowuje dwie poprzednie wersje w systemie klienckim. Przy zmianie na poprzednią wersję program Endpoint Security usuwa aktualną wersję zawartości AMCore z systemu. Patrz także Zmień wersję zawartości AMCore na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

129 4 Używanie modułu Zapora Moduł Zapora pełni rolę filtra między komputerem a siecią lub Internetem. Spis treści Jak działa usługa Zapora Włączanie i wyłączanie Zapora za pomocą ikony McAfee w zasobniku systemowym Włączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym Zarządzanie zaporą Zapora Informacje o interfejsie klienta Zapora Jak działa usługa Zapora Moduł Zapora umożliwia skanowanie całego ruchu przychodzącego i wychodzącego. Ruch kierowany do zapory lub wychodzący z zapory jest sprawdzany przez moduł Zapora względem listy reguł, która jest zestawem kryteriów z powiązanymi akcjami. Jeżeli ruch jest zgodny z wszystkimi kryteriami zdefiniowanymi w regule, moduł Zapora wykonuje akcję powiązaną z tą regułą, blokując lub zezwalając na ruch przez moduł Zapora. Informacje o wykrytych zagrożeniach są umieszczane w raportach, które pozwalają administratorom na zapoznanie się z problemami dotyczącymi bezpieczeństwa na komputerze użytkownika. Opcje i reguły zapory Zapora definiują działanie zapory Zapora. Aby ułatwić zarządzanie, można uporządkować reguły zapory w grupach reguł. Jeżeli Tryb interfejsu klienta jest ustawiony na Pełny dostęp lub w przypadku zalogowania jako administrator, użytkownik może konfigurować reguły i grupy korzystając z programu Klient Endpoint Security. Reguły i grupy utworzone przez użytkownika mogą zostać zastąpione po wdrożeniu zaktualizowanych zasad przez administratora w zarządzanym systemie. Patrz także Konfigurowanie opcji Zapora na stronie 131 Jak działają reguły zapory na stronie 135 Jak działają grupy reguł zapory na stronie 137 Włączanie i wyłączanie Zapora za pomocą ikony McAfee w zasobniku systemowym W zależności od konfiguracji ustawień za pomocą ikony McAfee w zasobniku systemowym można włączyć lub wyłączyć Zapora. Opcje te mogą nie być dostępne w zależności od sposobu skonfigurowania ustawień. McAfee Endpoint Security 10.2 Podręcznik produktu 129

130 4 Używanie modułu Zapora Włączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym Zadanie Kliknij prawym przyciskiem myszy ikonę McAfee w zasobniku systemowym i z menu Ustawienia szybkie wybierz opcję Wyłącz zaporę Endpoint Security. Po włączeniu Zapora dostępna jest opcja Wyłącz zaporę Endpoint Security. W zależności od ustawień może być konieczne podanie administratorowi powodu wyłączenia Zapora. Włączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym Włączanie, wyłączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym. Opcje te mogą nie być dostępne w zależności od sposobu skonfigurowania ustawień. Zadanie Kliknij prawym przyciskiem myszy ikonę McAfee w zasobniku systemowym i wybierz jedną z opcji z menu Ustawienia szybkie. Włącz grupy czasowe zapory służy do włączania grup czasowych na określony czas, co umożliwia uzyskiwanie dostępu do Internetu przed zastosowaniem reguł ograniczających dostęp. Gdy grupy czasowe są włączone, dostępna jest opcja Wyłącz grupy czasowe zapory. Po każdym wybraniu tej opcji czas, przez jaki grupa może być włączona, jest liczony od zera. W zależności od ustawień może być konieczne podanie administratorowi powodu włączenia grup czasowych. Wyświetl grupy czasowe zapory umożliwia wyświetlenie nazw grup czasowych i pozostałego czasu, przez jaki będą jeszcze aktywne. Informacje o grupach czasowych Grupy czasowe to grupy reguł Zapora, które są aktywne przez określony czas. Grupę czasową można aktywować, aby na przykład umożliwić systemowi klienckiemu połączenie się z siecią publiczną lub nawiązanie połączenia VPN. W zależności od ustawień grupy mogą być aktywowane: Zgodnie z określonym harmonogramem. Ręcznie poprzez wybranie odpowiednich opcji wyświetlanych za pomocą ikony McAfee w zasobniku systemowym. Zarządzanie zaporą Zapora Administrator może konfigurować opcje zapory Zapora i tworzyć reguły i grupy w kliencie Klient Endpoint Security. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. 130 McAfee Endpoint Security 10.2 Podręcznik produktu

131 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 Modyfikowanie opcji zapory Zapora Administrator może modyfikować opcje zapory Zapora w programie Klient Endpoint Security. Zadania Konfigurowanie opcji Zapora na stronie 131 Skonfiguruj ustawienia Opcji, aby włączać i wyłączać ochronę za pomocą zapory, włączać tryb adaptacji i konfigurować inne opcje Zapora. Blokowanie ruchu DNS na stronie 132 Aby wzmocnić ochronę za pomocą zapory, należy utworzyć listę w pełni kwalifikowanych nazw domen (FQDN) do blokowania. Zapora blokuje połączenia z adresami IP, przekładając je na nazwy domen. Definiowanie sieci do użycia w regułach i grupach na stronie 133 Zdefiniuj adresy sieciowe, podsieci lub zakresy używane w regułach i grupach. Opcjonalnie można też wskazać konkretne sieci jako zaufane. Konfigurowanie zaufanych plików wykonywalnych na stronie 134 Istnieje możliwość zdefiniowania lub edycji listy zaufanych plików wykonywalnych uznawanych za bezpieczne w danym środowisku. Patrz także Najczęściej zadawane pytania usługa McAfee GTI i zapora Zapora na stronie 132 Konfigurowanie opcji Zapora Skonfiguruj ustawienia Opcji, aby włączać i wyłączać ochronę za pomocą zapory, włączać tryb adaptacji i konfigurować inne opcje Zapora. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 Zaznacz opcję Włącz zaporę, aby włączyć zaporę i zmodyfikować jej opcje. Program Host Intrusion Prevention 8.0 można zainstalować w tym samym systemie, co program Endpoint Security Jeśli Zapora McAfee Host IPS jest zainstalowana i włączona, Zapora programu Endpoint Security będzie wyłączona, nawet jeśli włączono ją w ustawieniach zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 Skonfiguruj ustawienia na stronie, następnie kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Logowanie jako administrator na stronie 28 McAfee Endpoint Security 10.2 Podręcznik produktu 131

132 4 Używanie modułu Zapora Zarządzanie zaporą Zapora Blokowanie ruchu DNS Aby wzmocnić ochronę za pomocą zapory, należy utworzyć listę w pełni kwalifikowanych nazw domen (FQDN) do blokowania. Zapora blokuje połączenia z adresami IP, przekładając je na nazwy domen. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 W obszarze Blokowanie DNS kliknij przycisk Dodaj. 4 Wprowadź w pełni kwalifikowane nazwy domen (FQDN) do blokowania, a następnie kliknij przycisk Zapisz. Można użyć symboli zastępczych * i?. Na przykład *domain.com. Zduplikowane wpisy są usuwane automatycznie. 5 Kliknij przycisk Zapisz. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Najczęściej zadawane pytania usługa McAfee GTI i zapora Zapora Oto odpowiedzi na najczęściej zadawane pytania. Ustawienia Opcji zapory Zapora umożliwiają blokowanie ruchu przychodzącego i wychodzącego połączenia sieciowego, które usługa McAfee GTI oceniła na poziomie wysokiego ryzyka. W sekcji Najczęściej zadawane pytania wyjaśniono, co składa się na usługę McAfee GTI i jaki ma to wpływ na zaporę. Co składa się na usługę McAfee GTI? Usługa McAfee GTI jest globalnym systemem analizy reputacji w Internecie, który określa, czym jest dobre, a czym złe zachowanie w Internecie. Usługa McAfee GTI korzysta ze światowej analizy zachowań w czasie rzeczywistym i wzorców przesyłania wiadomości , aktywności w sieci, złośliwego oprogramowania i zachowania systemu względem systemu. Przy pomocy danych uzyskanych z analizy usługa McAfee GTI dynamicznie wylicza wyniki reputacji przedstawiające poziom ryzyka dla Twojej sieci, gdy odwiedzasz daną stronę sieci Web. W wyniku tego powstała baza danych wyników reputacji adresów IP, domen, określonych wiadomości, adresów URL i zdjęć. Jak to działa? Po wybraniu opcji usługi McAfee GTI tworzą się dwie reguły zapory: McAfee GTI Allow Endpoint Security Firewall Service (McAfee GTI zezwól na usługę Endpoint Security Firewall) i McAfee GTI Get Rating (McAfee GTI uzyskaj ocenę). Pierwsza reguła zezwala na połączenie z usługą McAfee GTI, a druga blokuje lub zezwala na ruch na podstawie reputacji połączenia i ustawiony próg blokowania. Co oznacza reputacja? Usługa McAfee GTI wylicza wartość reputacji dla każdego adresu IP w Internecie. Usługa McAfee GTI opiera wartość na działaniach przesyłania lub hostingu oraz różnych danych środowiskowych 132 McAfee Endpoint Security 10.2 Podręcznik produktu

133 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 dotyczących stanu zagrożenia środowiska w Internecie zebranych od klientów i partnerów. Reputacja wyrażana jest w czterech klasach, na podstawie naszej analizy: Nie blokuj (minimalne ryzyko) ta witryna jest bezpiecznym źródłem lub celem zawartości/ ruchu. Brak weryfikacji ta witryna jest bezpiecznym źródłem lub celem zawartości/ruchu. Strona ta wyświetla jednak także różne właściwości, sugerujące, że konieczne jest dalsze sprawdzanie. Średnie ryzyko ta witryna źródłowa/docelowa charakteryzuje się podejrzanym zachowaniem i dlatego zawartość/ruch do niej lub od niej wymaga szczególnej analizy. Wysokie ryzyko ta witryna źródłowa/docelowa jest znana z przesyłania/hostowania lub prawdopodobnie przesyła/hostuje potencjalnie złośliwą zawartość/ruch. Naszym zdaniem stanowi ona poważne ryzyko. Czy usługa McAfee GTI powoduje opóźnienia? Jak długie? Gdy następuje kontakt z usługą McAfee GTI w celu wyszukania reputacji, pewne opóźnienie jest nieuniknione. Firma McAfee czyni wszystko, co w jej mocy, aby zmniejszyć opóźnienia. Usługa McAfee GTI: Sprawdza reputacje, tylko gdy wybrane są odpowiednie opcje. Używa inteligentnej architektury buforowania. Przy normalnym schemacie korzystania z sieci pamięć podręczna obsługuje najbardziej pożądane połączenia, nie używając zapytań na żywo o reputację. Jeżeli zapora nie może uzyskać połączenia z serwerami usługi McAfee GTI, czy zatrzymuje to ruch? Jeżeli zapora nie może uzyskać połączenia z żadnym z serwerów usługi McAfee GTI, automatycznie przypisuje wszystkim stosowanym połączeniom domyślną dozwoloną reputację. Następnie zapora kontynuuje analizowanie następnych reguł. Definiowanie sieci do użycia w regułach i grupach Zdefiniuj adresy sieciowe, podsieci lub zakresy używane w regułach i grupach. Opcjonalnie można też wskazać konkretne sieci jako zaufane. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 Kliknij przycisk Wyświetl zaawansowane. McAfee Endpoint Security 10.2 Podręcznik produktu 133

134 4 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 W obszarze Zdefiniowane sieci dostępne są następujące czynności: Czynność Zdefiniowanie nowej sieci. Zmiana definicji sieci. Usuwanie sieci. Procedura Kliknij przycisk Dodaj i wprowadź dane zaufanej sieci. Aby zdefiniować sieć jako zaufaną, z menu rozwijanego Zaufana wybierz opcję Tak. W przypadku wybrania opcji Nie możliwe będzie używanie sieci w regułach i grupach, jednak ruch przychodzący i wychodzący z sieci nie będzie automatycznie uznawany za zaufany. Kliknij dwukrotnie zawartość każdej kolumny, aby wprowadzić nowe informacje. Wybierz wiersz, a następnie kliknij przycisk Usuń. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Informacje o zaufanych sieciach Zaufane sieci to adresy IP, zakresy adresów IP i podsieci uznawane w danej organizacji za bezpieczne. Zdefiniowanie sieci zaufanej powoduje utworzenie dla tej sieci zdalnej dwukierunkowej reguły Zezwól umieszczanej na początku listy reguł Zapora. Po ich zdefiniowaniu można tworzyć reguły zapory obowiązujące w przypadku tych zaufanych sieci. Zaufane sieci pełnią również funkcję wyjątków zapory dla usługi McAfee GTI. Zalecane działanie: Aby skorzystać z tej funkcji, podczas dodawania sieci do reguł i grup zapory wybierz dla parametru Typ sieci ustawienie Zdefiniowane sieci. Konfigurowanie zaufanych plików wykonywalnych Istnieje możliwość zdefiniowania lub edycji listy zaufanych plików wykonywalnych uznawanych za bezpieczne w danym środowisku. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 Kliknij przycisk Wyświetl zaawansowane. 134 McAfee Endpoint Security 10.2 Podręcznik produktu

135 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 4 W obszarze Zaufane pliki wykonywalne możesz wykonać następujące czynności: Czynność Zdefiniowanie nowego zaufanego pliku wykonywalnego. Zmiana definicji pliku wykonywalnego. Usunięcie pliku wykonywalnego. Procedura Kliknij przycisk Dodaj i wprowadź dane zaufanego pliku wykonywalnego. Kliknij dwukrotnie zawartość każdej kolumny, aby wprowadzić nowe informacje. Wybierz wiersz, a następnie kliknij przycisk Usuń. 5 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Informacje o zaufanych plikach wykonywalnych i aplikacjach Zaufane pliki wykonywalne to pliki, które nie mają znanych luk i są uważane za bezpieczne. Skonfigurowanie zaufanego pliku wykonywalnego powoduje utworzenie dla tego pliku dwukierunkowej reguły Zezwól umieszczanej na początku listy reguł Zapora. Utrzymywanie w systemie listy bezpiecznych plików wykonywalnych pozwala ograniczyć liczbę wyników fałszywie dodatnich. Przyczyną wystąpienia dużej liczby zdarzeń fałszywie dodatnich może być np. uruchomienie aplikacji do tworzenia kopii zapasowych. Aby temu zapobiec, należy dodać aplikację do tworzenia kopii zapasowych do listy zaufanych plików wykonywalnych. Zaufane pliki wykonywalne są podatne na typowe ataki, takie jak przepełnienie bufora i niedozwolone użycie. Z tego względu Zapora nadal monitoruje ich działanie i zgłasza odpowiednia zdarzenia, aby zapobiegać wykorzystaniu luk w zabezpieczeniach. Katalog zapory zawiera zarówno pliki wykonywalne, jak i aplikacje. Pliki wykonywalne z katalogu mogą zostać powiązane z aplikacją kontenera. Pliki wykonywalne i aplikacje z katalogu można dodawać do swojej listy zaufanych plików wykonywalnych. Po zdefiniowaniu plików wykonywalnych można tworzyć do nich odniesienia w regułach i grupach. Konfiguracja reguł i grup zapory Zapora Jako administrator możesz konfigurować zasady i grupy zapory Zapora w programie Klient Endpoint Security. Zadania Tworzenie reguł i grup modułu Zapora oraz zarządzanie nimi na stronie 141 Reguły i grupy skonfigurowane przez klienta Klient Endpoint Security mogą zostać zastąpione w zarządzanym systemie po wdrożeniu zaktualizowanych zasad przez administratora. Tworzenie izolacji połączenia grup na stronie 143 Umożliwia tworzenie reguły zapory dotyczącej izolacji połączenia na poziomie grupy, aby utworzyć zestaw reguł, które stosowane są tylko, gdy nawiązywane jest połączenie z siecią o określonych parametrach. Tworzenie grup czasowych na stronie 144 Grupy czasowe Zapora służą ograniczeniu dostępu do Internetu przed połączeniem systemu klienckiego z siecią VPN. Jak działają reguły zapory Reguły modułu Zapora służą do określania sposobu obsługiwania ruchu sieciowego. Każda reguła zawiera zestaw kryteriów, z którymi musi być zgodny ruch, i akcję zezwalającą na ruch lub blokującą ruch. Jeżeli w module Zapora zostanie wykryty ruch zgodny z kryteriami reguły, wykonywana jest akcja powiązana z daną regułą. McAfee Endpoint Security 10.2 Podręcznik produktu 135

136 4 Używanie modułu Zapora Zarządzanie zaporą Zapora Reguły można definiować z zakresem szerokim (na przykład cały ruch IP) lub wąskim (na przykład wskazanie określonej aplikacji lub usługi), a także określać różne opcje. Możliwe jest też grupowanie reguł według funkcji, usługi lub aplikacji w celu ułatwienia zarządzania nimi. Podobnie jak w przypadku reguł, do definiowania grup można użyć opcji sieci, protokołu transportowego, aplikacji, harmonogramu i lokalizacji. W module Zapora wykorzystywana jest zasada pierwszeństwa reguł: 1 W Zapora najpierw stosowana jest reguła znajdująca się na górze listy reguł zapory. Jeżeli ruch jest zgodny z kryteriami tej reguły, dany ruch jest dozwolony lub blokowany przez moduł Zapora. Pozostałe reguły z listy są pomijane. 2 Jeżeli ruch nie jest zgodny z kryteriami pierwszej reguły, w module Zapora sprawdzana jest następna reguła z listy. Procedura jest powtarzana do czasu natrafienia na regułę zgodną z ruchem. 3 W przypadku braku zgodności z wszystkimi regułami ruch jest automatycznie blokowany przez zaporę. Jeżeli włączony jest tryb adaptacji, tworzona jest reguła zezwalająca na ruch. Czasami przechwycony ruch jest zgodny z więcej niż jedną regułą z listy. W takim przypadku zasada pierwszeństwa oznacza, że w module Zapora stosowana jest tylko pierwsza reguła z listy zgodna z ruchem. Dobre praktyki Bardziej szczegółowe reguły należy umieszczać na górze listy, a te ogólne na dole. Pozwala to na prawidłowe filtrowanie ruchu przez moduł Zapora. 136 McAfee Endpoint Security 10.2 Podręcznik produktu

137 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 Przykładowo, aby zezwolić na wszystkie żądania HTTP z wyjątkiem konkretnego adresu (np. adresu IP ), należy utworzyć dwie reguły: Reguła blokująca umożliwia blokowanie ruchu HTTP z adresu IP Ta reguła jest szczegółowa. Reguła zezwalająca umożliwia zezwalanie na cały ruch z usługi HTTP. Ta reguła jest ogólna. Regułę blokującą należy umieścić na liście reguł zapory na wyższej pozycji niż reguła zezwalająca. Po przechwyceniu przez zaporę żądania HTTP z adresu pierwszą zgodną regułą jest reguła blokująca ten ruch przez zaporę. Jeżeli ogólna reguła zezwalająca byłaby na wyższej pozycji niż szczegółowa reguła blokująca, w module Zapora żądania byłyby zgodne z regułą zezwalającą, a reguła blokująca byłaby pomijana. Oznaczałoby to zezwolenie na ruch, mimo że żądania HTTP z tego konkretnego adresu miały być blokowane. Jak działają grupy reguł zapory Aby ułatwić zarządzanie, reguły można uporządkować w grupach reguł Zapora. Grupy reguł Zapora nie zmieniają mechanizmu przetwarzania reguł przez Zapora; reguły nadal są przetwarzane przez Zapora od góry do dołu. W module Zapora ustawienia grup są przetwarzane przed przetworzeniem ustawień reguł przydzielonych do tej grupy. W razie konfliktu tych ustawień pierwszeństwo mają ustawienia grupy. Konfigurowanie grup jako uwzględniających lokalizację Moduł Zapora umożliwia definiowanie grup jako uwzględniających lokalizację i tworzenie izolacji połączenia. Dzięki ustawieniom Lokalizacja i Opcje sieciowe grupy można też skonfigurować jako uwzględniające karty sieciowe. Tego rodzaju grup można używać do stosowania reguł dla konkretnych kart sieciowych w przypadku komputerów wyposażonych w wiele interfejsów sieciowych. Po włączeniu stanu lokalizacji i nazwaniu danej lokalizacji w parametrach każdej karty sieciowej dotyczących dozwolonych połączeń można uwzględnić następujące elementy: Lokalizacja: Żądanie osiągalności programu McAfee epo Przyrostek DNS konkretnego połączenia Adres IP domyślnej bramy Adres IP serwera DHCP Adres serwera DNS używanego do rozwiązywania adresów URL Adres IP podstawowego serwera WINS Adres IP pomocniczego serwera WINS Osiągalność domeny Klucz rejestru Sieci: Adres IP sieci lokalnej Typy połączeń McAfee Endpoint Security 10.2 Podręcznik produktu 137

138 4 Używanie modułu Zapora Zarządzanie zaporą Zapora Jeżeli do połączenia stosowane są dwie grupy uwzględniające lokalizację, w Zapora stosowana jest reguła pierwszeństwa, tj. najpierw przetwarzana jest grupa znajdująca się wyżej na liście reguł. W przypadku braku zgodności z wszystkimi regułami z pierwszej grupy przetwarzanie reguł jest kontynuowane. Jeżeli w Zapora parametry grupy uwzględniającej lokalizację są zgodne z aktywnym połączeniem, zostaną zastosowane reguły z tej grupy. Reguły te są traktowane jako mały zestaw reguł z zastosowaniem pierwszeństwa. Jeżeli niektóre reguły nie są zgodne z przechwyconym ruchem, są ignorowane. Zaznaczona opcja Włącz uwzględnianie lokalizacji Żądanie osiągalności programu McAfee epo Sieć lokalna Przyrostek DNS konkretnego połączenia Domyślna brama Serwer DHCP Serwer DNS Podstawowy serwer WINS Pomocniczy serwer WINS Osiągalność domeny Opis Wymagana jest nazwa lokalizacji. Program McAfee epo jest osiągalny i pełna kwalifikowana nazwa domeny (FQDN) serwera została rozpoznana. Adres IP karty sieciowej musi być zgodny z jedną z pozycji listy. Przyrostek DNS karty sieciowej musi być zgodny z jedną z pozycji listy. Adres IP domyślnej bramy karty sieciowej musi być zgodny z przynajmniej jedną z pozycji listy. Adres IP serwera DHCP karty sieciowej musi być zgodny z przynajmniej jedną z pozycji listy. Adres IP serwera DNS karty sieciowej musi być zgodny z dowolną z pozycji listy. Adres IP podstawowego serwera WINS karty sieciowej musi być zgodny z przynajmniej jedną z pozycji listy. Adres IP pomocniczego serwera WINS karty sieciowej musi być zgodny z przynajmniej jedną z pozycji listy. Podana domena musi być osiągalna. Grupy reguł Zapora i izolacja połączenia Funkcja izolacji połączenia na poziomie grupy umożliwia blokowanie niepożądanego ruchu do wyznaczonej sieci. Jeżeli w ustawieniach grupy włączono funkcję izolacji połączenia i aktywna karta sieciowa jest zgodna z kryteriami grupy, w module Zapora przetwarzany jest tylko ruch zgodny z: Regułami zezwalającymi na ruch, które są powyżej grupy na liście reguł zapory Kryteriami grupy Pozostały ruch jest blokowany. Z grupami z włączoną funkcją izolacji połączenia nie można powiązać opcji transportu ani plików wykonywalnych. 138 McAfee Endpoint Security 10.2 Podręcznik produktu

139 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 Korzystanie z funkcji izolacji połączenia zostanie omówione na podstawie dwóch przykładów: środowiska firmowego i hotelu. Lista aktywnych reguł zapory składa się z reguł i grup w następującej kolejności: 1 Reguły dotyczące podstawowego połączenia 2 Reguły dotyczące połączenia VPN 3 Grupa z regułami dotyczącymi połączenia firmowej sieci lokalnej 4 Grupa z regułami dotyczącymi połączenia VPN McAfee Endpoint Security 10.2 Podręcznik produktu 139

140 4 Używanie modułu Zapora Zarządzanie zaporą Zapora Przykład: izolacja połączenia w sieci firmowej Reguły dotyczące połączeń są przetwarzane do czasu natrafienia na reguły dotyczące połączenia firmowej sieci lokalnej. Ta grupa obejmuje następujące ustawienia: Typ połączenia = Przewodowe Przyrostek DNS konkretnego połączenia = mojafirma.pl Domyślna brama Izolacja połączenia = włączona Komputer jest wyposażony zarówno w kartę sieci przewodowej, jak i bezprzewodowej. Podłączony jest do sieci firmowej za pośrednictwem połączenia przewodowego. Jednakże włączona jest też karta sieci bezprzewodowej i komputer jest połączony z punktem dostępu bezprzewodowego poza biurem firmy. Połączenie komputera z obiema sieciami jest możliwe, ponieważ na górze listy reguł zapory znajdują się reguły dotyczące podstawowego połączenia. Przewodowe połączenie sieci lokalnej jest aktywne i zgodne z kryteriami grupy reguł dotyczących firmowej sieci lokalnej. Zapora zezwala na ruch pochodzący z sieci lokalnej, ale ponieważ funkcja izolacji połączenia jest włączona, pozostały ruch niepochodzący z sieci lokalnej jest blokowany. Przykład: izolacja połączenia w hotelu Reguły dotyczące połączeń są przetwarzane do czasu natrafienia na reguły dotyczące połączenia VPN. Ta grupa obejmuje następujące ustawienia: Typ połączenia = Wirtualne Przyrostek DNS konkretnego połączenia = vpn.mojafirma.pl Adres IP = adres z zakresu przydzielonego do danego koncentratora VPN Izolacja połączenia = włączona Reguły dotyczące podstawowego połączenia umożliwiają utworzenie w hotelu konta z ograniczeniem czasowym, które pozwala na dostęp do Internetu. Natomiast reguły dotyczące połączenia VPN zezwalają na podłączenie i korzystanie z tunelu VPN. Po zestawieniu tunelu na kliencie VPN zostanie utworzona wirtualna karta sieciowa zgodna z kryteriami grupy reguł dotyczących połączenia VPN. Reguły zapory zezwalają tylko na ruch wewnątrz tunelu VPN i podstawowy ruch na rzeczywistej karcie sieciowej. Próby podejmowane przez innych gości hotelu mające na celu uzyskanie dostępu do komputera przez sieć, czy to przewodową, czy bezprzewodową, są blokowane. Wstępnie zdefiniowane grupy reguł zapory Zapora zawiera kilka wstępnie zdefiniowanych grup zapory. Firewall group (Grupa zapory) McAfee core networking (Podstawowe reguły sieciowe firmy) McAfee Opis Zawiera podstawowe reguły sieciowe ustalone przez firmę McAfee, między innymi reguły zezwalające na uruchamianie aplikacji firmy McAfee oraz usług DNS. Tych reguł nie można zmienić ani usunąć. Grupę można wyłączyć w Ustawieniach Zapora, ale może to zakłócić komunikację sieciową w kliencie. Admin added (Dodane przez administratora) Zawiera reguły zdefiniowane przez administratora na serwerze zarządzania. Reguł tych nie można zmienić ani usunąć w Klient Endpoint Security. 140 McAfee Endpoint Security 10.2 Podręcznik produktu

141 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 Firewall group (Grupa zapory) User added (Dodane przez użytkownika) Dynamic (Dynamiczne) Adaptive (Adaptacyjne) Opis Zawiera reguły zdefiniowane w Klient Endpoint Security. W zależności od ustawień zasad te reguły mogą zostać zastąpione w przypadku wymuszenia zastosowania zasady. Zawiera reguły utworzone dynamicznie przez inne moduły programu Endpoint Security zainstalowane w systemie. Na przykład moduł Zapobieganie zagrożeniom może wysłać zdarzenie do Klient Endpoint Security w celu utworzenia reguły blokującej dostęp do systemu w sieci. Zawiera reguły dotyczące wyjątków tworzone automatycznie w trybie adaptacji systemu. W zależności od ustawień zasad te reguły mogą zostać zastąpione w przypadku wymuszenia zastosowania zasady. Default (Domyślne) Zawiera domyślne reguły określone przez firmę McAfee. Tych reguł nie można zmienić ani usunąć. Tworzenie reguł i grup modułu Zapora oraz zarządzanie nimi Reguły i grupy skonfigurowane przez klienta Klient Endpoint Security mogą zostać zastąpione w zarządzanym systemie po wdrożeniu zaktualizowanych zasad przez administratora. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. W tabeli Reguły Firewall grupy i reguły są wyświetlane zgodnie z ich priorytetem. Nie można sortować reguł według kolumn. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 Użyj tych zadań do zarządzania regułami i grupami zapory. Czynność Wyświetlanie reguł z grupy zapory. Procedura Kliknij. Zwijanie grupy zapory. Kliknij. McAfee Endpoint Security 10.2 Podręcznik produktu 141

142 4 Używanie modułu Zapora Zarządzanie zaporą Zapora Czynność Modyfikowanie istniejącej reguły. Można modyfikować reguły tylko z grupy Dodane przez użytkownika. Wyświetlanie reguły z dowolnej grupy. Tworzenie reguły Procedura 1 Rozwiń grupę Dodane przez użytkownika. 2 Kliknij dwukrotnie żądaną regułę. 3 Zmień ustawienia reguły. 4 Kliknij przycisk OK, aby zapisać wprowadzone zmiany. 1 Rozwiń żądaną grupę. 2 Zaznacz regułę, aby wyświetlić jej szczegóły w dolnym okienku. 1 Kliknij przycisk Dodaj regułę. 2 Zdefiniuj ustawienia reguły. 3 Kliknij przycisk OK, aby zapisać wprowadzone zmiany. Reguła zostanie wyświetlona na dole listy reguł grupy Dodane przez użytkownika. Tworzenie kopii reguł Usuwanie reguł Można usuwać reguły tylko z grup Dodane przez użytkownika i Adaptacyjne. 1 Zaznacz regułę lub reguły i kliknij przycisk Powiel. Skopiowane reguły zostaną wyświetlone na dole listy reguł grupy Dodane przez użytkownika z takimi samymi nazwami jak oryginały. 2 Zmodyfikuj reguły, aby zmienić ich nazwy i ustawienia. 1 Rozwiń żądaną grupę. 2 Zaznacz regułę lub reguły i kliknij przycisk Usuń. Tworzenie grupy 1 Kliknij przycisk Dodaj grupę. 2 Zdefiniuj ustawienia grupy. 3 Kliknij przycisk OK, aby zapisać wprowadzone zmiany. Grupa zostanie wyświetlona wewnątrz grupy Dodane przez użytkownika. Przenoszenie reguł i grup w obrębie grupy oraz między grupami Można przenosić reguły i grupy tylko z grupy Dodane przez użytkownika. Aby przenieść elementy: 1 Zaznacz elementy, które mają być przeniesione. Uchwyt jest wyświetlany po lewej stronie elementów, które można przenosić. 2 Przeciągnij żądane elementy w nowe miejsce i je upuść. W miejscu, w którym można upuścić przeciągane elementy, między elementami wyświetlana jest niebieska linia. 4 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Symbole zastępcze w regułach zapory na stronie 143 Logowanie jako administrator na stronie 28 Tworzenie izolacji połączenia grup na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

143 Używanie modułu Zapora Zarządzanie zaporą Zapora 4 Symbole zastępcze w regułach zapory Możesz korzystać z symboli zastępczych, oznaczających znaki odpowiednich wartości w regułach zapory. Symbole zastępcze w wartościach ścieżek i adresów W ścieżkach plików, kluczach rejestrów, plikach wykonywalnych oraz adresach URL używaj następujących symboli zastępczych. Ścieżki kluczy rejestrów dotyczące lokalizacji grup zapory nie rozpoznają wartości symboli zastępczych.? Znak zapytania Pojedynczy znak. * Gwiazdka Wiele znaków z wyłączeniem ukośnika (/) oraz ukośnika odwrotnego (\). Użyj tych znaków, aby były zgodne z głównym poziomem zawartości folderu bez podfolderów. ** Podwójna gwiazdka Wiele znaków łącznie z ukośnikiem (/) oraz ukośnikiem odwrotnym (\). Kreska pionowa Specjalne symbole zastępcze. Dla podwójnej gwiazdki (**) specjalnym symbolem jest * *. Symbole zastępcze w pozostałych wartościach Używaj następujących symboli zastępczych dla wartości, które zazwyczaj nie zawierają danych ścieżki z ukośnikami.? Znak zapytania Pojedynczy znak. * Gwiazdka Wiele znaków łącznie z ukośnikiem (/) oraz ukośnikiem odwrotnym (\). Kreska pionowa Specjalne symbole zastępcze. Tworzenie izolacji połączenia grup Umożliwia tworzenie reguły zapory dotyczącej izolacji połączenia na poziomie grupy, aby utworzyć zestaw reguł, które stosowane są tylko, gdy nawiązywane jest połączenie z siecią o określonych parametrach. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 W punkcie REGUŁY kliknij przycisk Dodaj grupę. 4 W opcji Opis określ opcje grupy. 5 W opcji Lokalizacja wybierz opcje Włącz uwzględnianie lokalizacji i Włącz izolację połączenia. Następnie wybierz kryteria lokalizacji do wyszukiwania. McAfee Endpoint Security 10.2 Podręcznik produktu 143

144 4 Używanie modułu Zapora Zarządzanie zaporą Zapora 6 W obszarze Opcje sieciowe dla opcji Typy sieci wybierz typ połączenia (Przewodowe, Bezprzewodowe lub Wirtualne) jaki ma zostać zastosowany do reguł w tej grupie. Ustawienia opcji Transport i Pliki wykonywalne nie są dostępne dla grup izolacji połączenia. 7 Kliknij przycisk OK. 8 Utwórz nowe reguły w tej grupie lub przenieś do niej istniejące reguły z listy reguł zapory. 9 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Grupy reguł Zapora i izolacja połączenia na stronie 138 Jak działają grupy reguł zapory na stronie 137 Tworzenie grup czasowych Grupy czasowe Zapora służą ograniczeniu dostępu do Internetu przed połączeniem systemu klienckiego z siecią VPN. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Zapora. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Zapora. 3 Utwórz grupę Zapora z domyślnymi ustawieniami pozwalającymi na łączenie z Internetem. Na przykład zezwól na ruch HTTP na porcie W sekcji Harmonogram wybierz sposób włączenia grupy. Włącz harmonogram umożliwia określenie godziny początkowej i końcowej okresu, w jakim grupa będzie włączona. Wyłącz harmonogram i włącz grupę za pomocą ikony McAfee w zasobniku systemowym umożliwia użytkownikom włączenie grupy za pomocą ikony McAfee w zasobniku systemowym. Grupa będzie włączona przez określoną liczbę minut. W przypadku gdy użytkownicy mają możliwość zarządzania grupami czasowymi, możliwe jest również żądanie od nich podania uzasadnienia swojego działania przed włączeniem grupy. 5 Kliknij przycisk OK, aby zapisać wprowadzone zmiany. 6 Utwórz grupę izolacji połączenia zgodną z siecią VPN, aby umożliwić niezbędny ruch sieciowy. Zalecane działanie: Aby zezwolić na ruch wychodzący wyłącznie z grupy izolacji połączenia w systemie klienckim, nie należy umieszczać żadnych reguł Zapora poniżej tej grupy. 7 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Tworzenie izolacji połączenia grup na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

145 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Informacje o interfejsie klienta Zapora Tematy pomocy dotyczące interfejsu zapewniają szczegółową pomoc w zakresie stron interfejsu klienta. Spis treści Zapora Opcje Zapora Reguły Zapora Opcje Służy do włączania i wyłączania modułu Zapora, ustawiania opcji ochrony i określania sieci oraz zaufanych plików wykonywalnych. Aby przywrócić domyślne ustawienia firmy McAfee i anulować wprowadzone zmiany, kliknij przycisk Przywróć wartości domyślne. Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Program Host Intrusion Prevention 8.0 można zainstalować w tym samym systemie, co program Endpoint Security Jeśli Zapora McAfee Host IPS jest zainstalowana i włączona, Zapora programu Endpoint Security będzie wyłączona, nawet jeśli włączono ją w ustawieniach zasad. Tabela 4-1 Opcje Obszar Opcja Definicja Opcje ochrony Włącz funkcję Zapora Zezwól na ruch nieobsługiwanych protokołów Zezwól na ruch wychodzący do czasu uruchomienia usług zapory Służy do włączania i wyłączania modułu Zapora. Służy do zezwalania na cały ruch, który jest przesyłany przy użyciu nieobsługiwanych protokołów. Po wyłączeniu tej opcji cały ruch, który jest przesyłany przy użyciu nieobsługiwanych protokołów, jest blokowany. Służy do zezwalania na ruch wychodzący, ale nie ruch przychodzący, do czasu uruchomienia usługi Zapora. Jeżeli ta opcja jest wyłączona, moduł Zapora pozwala na całość ruchu przed uruchomieniem usług. Zezwól na ruch mostkowany Włącz ochronę przed podszywaniem się pod adres IP Włącz dynamiczne reguły blokowania Obejmuje to: Pakiety przychodzące, jeśli docelowy adres MAC znajduje się w obsługiwanym zakresie adresów MAC VM i nie jest lokalnym adresem MAC w systemie. Pakiety wychodzące, jeśli źródłowy adres MAC znajduje się w obsługiwanym zakresie adresów MAC i nie jest lokalnym adresem MAC w systemie. Służy do blokowania ruchu sieciowego z adresów IP hostów innych niż lokalne lub lokalnych procesów, które fałszują swoje adresy IP. Służy do zezwalania innym modułom programu Endpoint Security na dynamiczne tworzenie reguł blokowania i dodawanie ich do grupy Reguły dynamiczne w programie Klient Endpoint Security. (Opcja jest domyślnie wyłączona). McAfee Endpoint Security 10.2 Podręcznik produktu 145

146 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-1 Opcje (ciąg dalszy) Obszar Opcja Definicja Blokowanie DNS Włącz alerty włamania do zapory Nazwa domeny Służy do automatycznego wyświetlania alertów po wykryciu potencjalnego ataku przez moduł Zapora. Służy do określenia nazw domen do blokowania. Po zastosowaniu tego ustawienia na górze listy reguł zapory dodawana jest reguła, która blokuje połączenia z adresami IP, przekładając je na nazwy domen. Dodaj służy do dodawania nazwy domeny do listy blokowanych. Oddzielaj kolejne domeny za pomocą przecinka (,) lub za pomocą powrotu karetki (CR). Można użyć symboli zastępczych * i?. Na przykład *domain.com. Zduplikowane wpisy są usuwane automatycznie. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania wybranej nazwy domeny z listy blokowanych. Tabela 4-2 Opcje zaawansowane Obszar Opcja Definicja Opcje strojenia Włącz tryb adaptacji Służy do automatycznego tworzenia reguł zezwalających na ruch. Zalecane działanie: Tryb adaptacji należy włączać tymczasowo na kilku systemach jedynie podczas dostrajania Zapora. Włączenie tego trybu może powodować generowanie wielu reguł klienta, które muszą zostać przetworzone przez serwer McAfee epo, co negatywnie wpłynie na wydajność. Wyłącz podstawowe reguły sieciowe firmy McAfee Służy do wyłączania wbudowanych reguł sieciowych firmy McAfee (w grupie Podstawowe reguły sieciowe firmy McAfee). (Opcja jest domyślnie wyłączona). Włączenie tej opcji może spowodować zakłócenia komunikacji sieciowej na kliencie. Rejestruj całość zablokowanego ruchu Rejestruj całość dozwolonego ruchu Służy do rejestrowania całości zablokowanego ruchu w pliku dziennika zdarzeń Zapora (FirewallEventMonitor.log) w programie Klient Endpoint Security. (opcja jest domyślnie włączona). Służy do rejestrowania całości dozwolonego ruchu w pliku dziennika zdarzeń Zapora (FirewallEventMonitor.log) w programie Klient Endpoint Security. (Opcja jest domyślnie wyłączona). Włączenie tej opcji może mieć negatywny wpływ na wydajność. 146 McAfee Endpoint Security 10.2 Podręcznik produktu

147 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Tabela 4-2 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja McAfee GTI Network Reputation (Reputacja sieci w usłudze McAfee GTI) Treat McAfee GTI match as intrusion (Traktuj dopasowanie usługi McAfee GTI jako nieautoryzowany dostęp) Log matching traffic (Rejestruj pasujący ruch) Blokuj wszystkie niezaufane pliki wykonywalne Próg blokowania ruchu przychodzącego na podstawie reputacji sieci Próg blokowania ruchu wychodzącego na podstawie reputacji sieci Służy do traktowania ruchu zgodnego z progiem blokowania usługi McAfee GTI jako nieautoryzowanego dostępu. Włączenie tej opcji powoduje wyświetlenie alertu, przesłanie zdarzenia do serwera zarządzania i dodanie zdarzenia do pliku dziennika programu Klient Endpoint Security. Wszystkie adresy IP zaufanej sieci są wyłączone z wyszukiwania usługi McAfee GTI. (opcja jest domyślnie włączona) Służy do traktowania ruchu zgodnego z progiem blokowania usługi McAfee GTI jako wykrycia. Włączenie tej opcji powoduje przesłanie zdarzenia do serwera zarządzania i dodanie go do pliku dziennika programu Klient Endpoint Security. (Opcja jest domyślnie włączona). Wszystkie adresy IP zaufanej sieci są wyłączone z wyszukiwania usługi McAfee GTI. Blokuje wszystkie pliki wykonywalne, które nie są podpisane lub mają nieznaną reputację McAfee GTI. Służy do określania progu oceny McAfee GTI używanego do blokowania ruchu przychodzącego lub wychodzącego z połączenia sieciowego. Do not block (Nie blokuj) ta witryna jest bezpiecznym źródłem lub celem zawartości/ruchu. High Risk (Wysokie ryzyko) z tego źródła/celu jest wysyłana potencjalnie szkodliwa zawartość/ruch, którą firma McAfee uznaje za niebezpieczną, lub jest ona tam przechowywana. Medium Risk (Średnie ryzyko) to źródło/cel działa w sposób, który firma McAfee uznaje za wzbudzający obawy. Cała zawartość/ ruch z tej witryny wymaga uważnej analizy. Unverified (Brak weryfikacji) ta witryna wydaje się być bezpiecznym źródłem lub celem zawartości/ruchu, ale pewne jej cechy wskazują na konieczność jej dokładniejszego przeanalizowania. Zapora stanowa Use FTP protocol inspection (Użyj inspekcji protokołu FTP) Limit czasu połączeń TCP (w sekundach: 1-240) Liczba sekund (1-300) do przekroczenia limitu czasu wirtualnych połączeń echa UDP i ICMP Służy do włączania śledzenia połączeń FTP, co umożliwia utworzenie tylko jednej reguły zapory wychodzącego ruchu klienta FTP i przychodzącego ruchu serwera FTP. Jeżeli opcja nie jest zaznaczona, wymagane są oddzielne reguły przychodzącego ruchu klienta FTP i wychodzącego ruchu serwera FTP. Służy do określania czasu, wyrażonego w sekundach, przez który nawiązane połączenie TCP jest aktywne, jeżeli żadne pakiety zgodne z połączeniem nie są przesyłane ani odbierane. Prawidłowy zakres to sekund. Służy do określania czasu, wyrażonego w sekundach, przez który połączenie wirtualne UDP lub ICMP Echo jest aktywne, jeżeli żadne pakiety zgodne z połączeniem nie są przesyłane ani odbierane. Opcja jest resetowana na jej zdefiniowaną wartość po każdym pakiecie wysłanym lub odebranym poprzez połączenie wirtualne. Prawidłowy zakres to sekund. McAfee Endpoint Security 10.2 Podręcznik produktu 147

148 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-2 Opcje zaawansowane (ciąg dalszy) Obszar Opcja Definicja Zdefiniowane sieci Umożliwia definiowanie adresów, podsieci lub zakresów do użycia w regułach i grupach. Dodaj służy do dodawania adresów sieci, podsieci lub zakresów do listy zdefiniowanych sieci. Kliknij Dodaj, a następnie uzupełnij pola określające sieć. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania wybranego adresu z listy zdefiniowanych sieci. Zaufane pliki wykonywalne Typ adresu Zaufane Właściciel Służy do określania typu adresu sieci do zdefiniowania. Tak zezwala na całość ruchu z sieci. Zdefiniowanie sieci zaufanej powoduje utworzenie dla tej sieci zdalnej dwukierunkowej reguły Zezwól umieszczanej na początku listy reguł Zapora. Nie służy do dodawania sieci do listy zdefiniowanych sieci do tworzenia reguł. Służy do określania plików wykonywalnych, które są bezpieczne w każdym środowisku i nie mają znanych luk. Tym plikom wykonywalnym przyznawane są uprawnienia do wykonywania wszystkich operacji z wyjątkiem operacji, które wskazywałyby na to, że pliki wykonywalne zostały zaatakowane. Skonfigurowanie zaufanego pliku wykonywalnego powoduje utworzenie dla tego pliku dwukierunkowej reguły Zezwól umieszczanej na początku listy reguł Zapora. Dodaj służy do dodawania zaufanego pliku wykonywalnego. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń służy do usuwania pliku wykonywalnego z listy zaufanych. Patrz także Konfigurowanie opcji Zapora na stronie 131 Definiowanie sieci do użycia w regułach i grupach na stronie 133 Konfigurowanie zaufanych plików wykonywalnych na stronie 134 Dodaj plik wykonywalny lub Edytuj plik wykonywalny na stronie 155 Zapora Reguły Służy do zarządzania regułami i grupami zapory. Można dodawać i usuwać reguły i grupy tylko z grupy Dodane przez użytkownika. Zapora automatycznie przenosi nowo dodane reguły do tej grupy. Aby przywrócić domyślne ustawienia firmy i anulować wprowadzone zmiany, kliknij przycisk Przywróć wartości domyślne. 148 McAfee Endpoint Security 10.2 Podręcznik produktu

149 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Tabela 4-3 Opcje Obszar Opcja Definicja Reguła Grupa REGUŁY Dodaj regułę Służy do tworzenia reguły zapory. Dodaj grupę Dwukrotne kliknięcie elementu Powiel Usuń Służy do tworzenia grupy zapory. Służy do zmiany zaznaczonego elementu. Służy do tworzenia kopii wybranego elementu. Służy do usuwania zaznaczonego elementu zapory. Wskazuje elementy, które można przenieść na liście. Wybierz elementy, a następnie przeciągnij i upuść je do nowej lokalizacji. W miejscu, w którym można upuścić przeciągane elementy, między elementami wyświetlana jest niebieska linia. Patrz także Tworzenie reguł i grup modułu Zapora oraz zarządzanie nimi na stronie 141 Dodaj regułę lub Edytuj regułę, Dodaj grupę lub Edytuj grupę na stronie 149 Dodaj regułę lub Edytuj regułę, Dodaj grupę lub Edytuj grupę Umożliwia dodawanie lub edytowanie reguł i grup zapory. Tabela 4-4 Opcje Obszar Opcja Definicja Reguła Grupa Opis Nazwa Służy do wprowadzania opisowej nazwy elementu (wymagane). Stan Służy do włączania i wyłączania elementu. Określ akcje Zezwól umożliwia zezwalanie na ruch przez zaporę, jeżeli jest zgodny z danym elementem. Blokuj umożliwia blokowanie ruchu przechodzącego przez zaporę, jeżeli jest zgodny z danym elementem. Traktuj zgodny ruch jako włamanie powoduje traktowanie ruchu zgodnego z daną regułą jako włamania. Włączenie tej opcji powoduje wyświetlenie alertu, przesłanie zdarzenia do serwera zarządzania i dodanie go do pliku dziennika Klient Endpoint Security. Zalecane działanie: Nie należy włączać tej opcji w przypadku reguły Zezwól, ponieważ będzie to skutkować generowaniem wielu zdarzeń. Rejestruj pasujący ruch służy do traktowania ruchu zgodnego z regułą jako wykrycia. Włączenie tej opcji powoduje przesłanie zdarzenia do serwera zarządzania i dodanie go do pliku dziennika Klient Endpoint Security. McAfee Endpoint Security 10.2 Podręcznik produktu 149

150 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-4 Opcje (ciąg dalszy) Obszar Opcja Definicja Reguła Grupa Kierunek Służy do określania kierunku ruchu: Dowolny umożliwia monitorowanie zarówno ruchu przychodzącego, jak i wychodzącego. Przychodzący umożliwia monitorowanie ruchu przychodzącego. Wychodzący umożliwia monitorowanie ruchu wychodzącego. Lokalizacja Uwagi Włącz uwzględnianie lokalizacji Nazwa Włącz izolację połączenia Żądanie osiągalności programu McAfee epo Służy do wprowadzania dodatkowych informacji o danym elemencie. Umożliwia włączanie i wyłączanie informacji o lokalizacji dla grupy. Określa nazwę lokalizacji (wymagane). Blokuje ruch na adapterach sieci, które nie są zgodne z grupą, gdy obecny jest adapter zgodny z grupą. Ustawienia opcji Transport i Pliki wykonywalne nie są dostępne dla grup izolacji połączenia. Jednym z zastosowań tej opcji jest blokowanie dostępu do sieci firmowej dla ruchu wygenerowanego przez potencjalnie niepożądane źródło spoza sieci. Blokowanie ruchu w ten sposób jest możliwe, jeżeli reguła poprzedzająca grupę w zaporze jeszcze na niego nie zezwoliła. Gdy włączona jest opcja izolacji połączenia, a karta sieciowa jest zgodna z grupą, to ruch jest dozwolony, jeżeli spełniony jest jeden z następujących wymogów: Ruch jest zgodny z regułą zezwalającą przed grupą. Ruch przechodzący przez kartę sieciową jest zgodny z grupą, a w grupie lub poniżej grupy istnieje reguła, która zezwala na ruch. Jeżeli żadna karta sieciowa nie jest zgodna z grupą, grupa będzie ignorowana, a dopasowanie reguły będzie kontynuowane. Umożliwia zgodność grupy jedynie, jeżeli nawiązana jest komunikacja z serwerem McAfee epo i pełna kwalifikowana nazwa domeny (FQDN) serwera została rozpoznana. 150 McAfee Endpoint Security 10.2 Podręcznik produktu

151 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Tabela 4-4 Opcje (ciąg dalszy) Obszar Opcja Definicja Reguła Grupa Kryteria lokalizacji Przyrostek DNS konkretnego połączenia określa przyrostek DNS konkretnego połączenia w formacie przyklad.com. Domyślna brama określa pojedynczy adres IP bramy domyślnej w formacie IPv4 lub IPv6. Serwer DHCP określa pojedynczy adres IP serwera DHCP w formacie IPv4 lub IPv6. Serwer DNS określa pojedynczy adres IP serwera nazwy domeny w formacie IPv4 lub IPv6. Podstawowy serwer WINS określa pojedynczy adres IP podstawowego serwera WINS w formacie IPv4 lub IPv6. Pomocniczy serwer WINS określa pojedynczy adres IP pomocniczego serwera WINS w formacie IPv4 lub IPv6. Osiągalność domeny wymaga, aby podana domena była osiągalna. Klucz rejestru określa klucz rejestru i wartość tego klucza. 1 Kliknij przycisk Dodaj. 2 W kolumnie Wartość należy określić klucz rejestru w formacie: <ROOT>\<KEY>\[VALUE_NAME] <ROOT> musi korzystać z pełnej głównej nazwy, takiej jak HKEY_LOCAL_MACHINE, a nie ze skróconej nazwy HKLM. <KEY> stanowi nazwę klucza w nazwie głównej. [VALUE_NAME] stanowi nazwę wartości klucza. Jeżeli brakuje nazwy wartości, zakłada się wartość domyślną. Przykładowe formaty: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Sieci Protokół sieciowy Dowolny protokół Służy do określania opcji sieci hosta dotyczących danego elementu. Służy do określania protokołu sieciowego danego elementu. Zezwala zarówno na protokół IP, jak i inne protokoły. Jeżeli określony jest protokół transportowy lub aplikacja, dozwolone są tylko protokoły IP. McAfee Endpoint Security 10.2 Podręcznik produktu 151

152 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-4 Opcje (ciąg dalszy) Obszar Opcja Definicja Reguła Grupa Protokół IP Wyklucza protokoły inne niż IP. Protokół IPv4 Protokół IPv6 Jeżeli żadne pole wyboru nie jest zaznaczone, dozwolone są dowolne protokoły IP. Można zaznaczyć zarówno protokół IPv4, jak i IPv6. Protokół inny niż IP Typy połączeń Określ sieci Służy do uwzględniania tylko protokołów innych niż IP. Opcja Wybierz EtherType z listy umożliwia wybór wartości EtherType. Określ niestandardowy EtherType umożliwia określenie czterech znaków szesnastkowej wartości EtherType protokołu innego niż IP. Patrz Numery Ethernet, aby uzyskać wartości EtherType. Wprowadź na przykład 809B w przypadku protokołu AppleTalk, 8191 w przypadku protokołu NetBEUI lub 8037 w przypadku protokołu IPX. Służy do określania, czy stosowany jest jeden typ połączeń, czy wszystkie typy: Przewodowe Bezprzewodowe Wirtualne Wirtualny typ połączenia jest adapterem w postaci aplikacji VPN lub wirtualnej maszyny, takiej jak VMware, a nie adapterem fizycznym. Służy do określania sieci, które dotyczą danego elementu. Dodaj umożliwia tworzenie i dodawanie sieci. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń umożliwia usunięcie sieci z listy. Transport Służy do określania opcji transportowych, które dotyczą danego elementu. 152 McAfee Endpoint Security 10.2 Podręcznik produktu

153 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Tabela 4-4 Opcje (ciąg dalszy) Obszar Opcja Definicja Reguła Grupa Protokół transportowy Określa protokół transportowy powiązany z danym elementem. Należy wybrać protokół, a następnie kliknąć przycisk Dodaj, aby dodać porty. Wszystkie protokoły służy do uwzględniania protokołów IP, innych niż IP oraz nieobsługiwanych. TCP i UDP wybierz z rozwijanego menu: Port lokalny umożliwia określanie usługi lub portu lokalnego ruchu, których dotyczy dany element. Port zdalny umożliwia określanie usługi lub portu ruchu na innym komputerze, których dotyczy dany element. Port lokalny i Port zdalny może być: Pojedynczą usługą. Na przykład: 23. Zakresem. Na przykład: Listą pojedynczych portów i zakresów rozdzielonych przecinkami. Na przykład: 80, 8080, 1 10, 8443 (maksymalnie 4 elementy). Domyślnie reguły dotyczą wszystkich usług i portów. ICMP z listy rozwijanej Typ komunikatu należy wybrać typ komunikatu ICMP. Więcej informacji można znaleźć w artykule ICMP. ICMPv6 z listy rozwijanej Typ komunikatu należy wybrać typ komunikatu ICMP. Więcej informacji można znaleźć w artykule ICMPv6. Inne służy do wyboru protokołu z listy rzadziej używanych protokołów. Pliki wykonywalne Harmonogram Służy do określania plików wykonywalnych, które dotyczą danej reguły. Dodaj umożliwia tworzenie i dodawanie plików wykonywalnych. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń umożliwia usunięcie pliku wykonywalnego z listy. Umożliwia określenie ustawień harmonogramu reguł lub grupy. McAfee Endpoint Security 10.2 Podręcznik produktu 153

154 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-4 Opcje (ciąg dalszy) Obszar Opcja Definicja Reguła Grupa Włącz harmonogram Umożliwia włączenie harmonogramu dla reguły lub grupy czasowej. Po wyłączeniu harmonogramu reguła lub reguły w grupie nie mają zastosowania. Czas rozpoczęcia służy do określania godziny włączenia harmonogramu. Czas zakończenia służy do określenia godziny wyłączenia harmonogramu. Dni tygodnia służy do określania dni tygodnia, w które harmonogram ma być włączony. Godziny rozpoczęcia i zakończenia należy podawać w formacie 24-godzinnym. Na przykład: 13:00 = 1 po południu. Można zaplanować grupy czasowe Zapora albo zezwolić użytkownikowi na włączanie ich za pomocą ikony McAfee w zasobniku systemowym. Wyłącz harmonogram i włącz grupę za pomocą ikony McAfee w zasobniku systemowym Służy do określania, że użytkownik może włączyć grupę czasową na określoną liczbę minut za pomocą ikony McAfee w zasobniku systemowym, zamiast korzystać z harmonogramu. Zalecane działanie: Opcji tej można używać do zezwalania na szeroki dostęp do sieci, na przykład w hotelu, zanim nawiązane zostanie połączenie w sieci VPN. Wybranie tego ustawienia powoduje wyświetlenie większej liczby opcji menu w obszarze Ustawienia szybkie ikony McAfee w zasobniku systemowym: Włącz grupy czasowe zapory służy do włączania grup czasowych na określony czas, co umożliwia uzyskiwanie dostępu do Internetu przed zastosowaniem reguł ograniczających dostęp. Gdy grupy czasowe są włączone, dostępna jest opcja Wyłącz grupy czasowe zapory. Po każdym wybraniu tej opcji czas, przez jaki grupa może być włączona, jest liczony od zera. W zależności od ustawień może być konieczne podanie administratorowi powodu włączenia grup czasowych. Wyświetl grupy czasowe zapory umożliwia wyświetlenie nazw grup czasowych i pozostałego czasu, przez jaki będą jeszcze aktywne. Liczba minut (1-60), za jaką grupa ma być włączona Umożliwia określenie liczby minut (1 60), przez jaką grupa czasowa ma być włączona po wybraniu opcji Włącz grupy czasowe zapory za pomocą ikony McAfee w zasobniku systemowym. 154 McAfee Endpoint Security 10.2 Podręcznik produktu

155 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Patrz także Tworzenie reguł i grup modułu Zapora oraz zarządzanie nimi na stronie 141 Tworzenie grup czasowych na stronie 144 Włączanie lub wyświetlanie grup czasowych Zapora za pomocą ikony McAfee w zasobniku systemowym na stronie 130 Dodaj sieć lub Edytuj sieć na stronie 156 Dodaj plik wykonywalny lub Edytuj plik wykonywalny na stronie 155 Dodaj plik wykonywalny lub Edytuj plik wykonywalny Umożliwia dodawanie i edytowanie pliku wykonywalnego powiązanego z regułą lub grupą. Tabela 4-5 Opcje Opcja Nazwa Nazwa lub ścieżka pliku Opis pliku Skrót MD5 Definicja Służy do określania nazwy pliku wykonywalnego. Po wypełnieniu tego pola wymagane jest wypełnienie przynajmniej jednego innego pola: Nazwa lub ścieżka pliku, Opis pliku, Skrót MD5 lub Podpisujący. Służy do określania nazwy lub ścieżki pliku wykonywalnego do dodania lub edytowania. Aby wybrać plik wykonywalny, należy kliknąć przycisk Przeglądaj. Ścieżka pliku może zawierać symbole zastępcze. Służy do wskazywania opisu pliku. Służy do wskazywania skrótu MD5 (32-cyfrowej liczby szesnastkowej) procesu. McAfee Endpoint Security 10.2 Podręcznik produktu 155

156 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora Tabela 4-5 Opcje (ciąg dalszy) Opcja Podpisujący Definicja Włącz sprawdzanie podpisu cyfrowego Umożliwia sprawdzenie, czy kod nie został zmieniony ani uszkodzony od czasu podpisania za pomocą skrótu kryptograficznego. Po włączeniu konieczne jest określenie ustawień: Zezwól na dowolną sygnaturę zezwala na pliki podpisane przez dowolnego podpisującego procesów. Podpisano przez zezwala na pliki podpisane tylko przez określonego podpisującego procesów. Nazwa wyróżniająca podpisującego (SDN) pliku wykonywalnego jest wymagana i musi być zgodna z wpisami w sąsiadującym polu, łącznie z przecinkami i spacjami. Podpisujący proces występuje w prawidłowym formacie w zdarzeniach zapisanych w Dzienniku zdarzeń Klient Endpoint Security i Dzienniku zagrożeń programu McAfee epo. Na przykład: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Aby uzyskać SDN pliku wykonywalnego: 1 Kliknij prawym przyciskiem myszy plik wykonywalny i wybierz pozycję Właściwości. 2 Na karcie Podpisy cyfrowe zaznacz podpisującego i kliknij przycisk Szczegóły. 3 Na karcie Ogólne kliknij przycisk Wyświetl certyfikat. 4 Na karcie Szczegóły zaznacz pole Podmiot. Zostanie wyświetlona nazwa wyróżniająca podpisującego. Na przykład przeglądarka Firefox ma następującą nazwę wyróżniającą podpisującego: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Uwagi Służy do wprowadzania dodatkowych informacji o danym elemencie. Dodaj sieć lub Edytuj sieć Umożliwia dodawanie i edytowanie sieci powiązanych z regułą lub grupą. Tabela 4-6 Opcje Opcja Definicja Reguła Grupa Nazwa Typ Służy do określania nazwy adresu sieciowego (wymagane). Służy do wyboru typu: Sieć lokalna umożliwia tworzenie i dodawanie sieci lokalnej. Sieć zdalna umożliwia tworzenie i dodawanie sieci zdalnej. Dodaj Dwukrotne kliknięcie elementu Służy do dodawania typu sieci do listy sieci. Służy do zmiany zaznaczonego elementu. 156 McAfee Endpoint Security 10.2 Podręcznik produktu

157 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 4 Tabela 4-6 Opcje (ciąg dalszy) Opcja Definicja Reguła Grupa Usuń Typ adresu Adres Służy do usuwania zaznaczonego elementu. Służy do określania źródła lub celu ruchu. Wybierz z listy rozwijanej Typ adresu. Służy do określania adresów IP, które mają być dodane do sieci. Dozwolone jest użycie symboli zastępczych. Patrz także Typ adresu na stronie 157 Typ adresu Służy do określania typu adresu zdefiniowanej sieci. Tabela 4-7 Opcje Opcja Pojedynczy adres IP Definicja Służy do określania konkretnego adresu IP. Na przykład: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Podsieć Służy do określania adresu podsieci dowolnej karty sieciowej w sieci. Na przykład: IPv /24 IPv6 2001:db8::0/32 Podsieć lokalna Zakres Służy do określania adresu podsieci lokalnej karty sieciowej. Służy do określania zakresu adresów IP. Należy wprowadzić adres początkowy i końcowy danego zakresu. Na przykład: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Pełna kwalifikowana nazwa domeny Dowolny lokalny adres IP Dowolny adres IPv4 Dowolny adres IPv6 Służy do określania nazwy domeny typu FQDN, na przykład Służy do określania dowolnego lokalnego adresu IP. Służy do określania dowolnego adresu IPv4. Służy do określania dowolnego adresu IPv6. McAfee Endpoint Security 10.2 Podręcznik produktu 157

158 4 Używanie modułu Zapora Informacje o interfejsie klienta Zapora 158 McAfee Endpoint Security 10.2 Podręcznik produktu

159 5 Używanie 5 modułu Kontrola zagrożeń sieciowych Funkcje modułu Kontrola zagrożeń sieciowych wyświetlane są w przeglądarce podczas przeglądania witryn sieci Web lub wyszukiwania. Spis treści Informacje o funkcjach modułu Kontrola zagrożeń sieciowych Dostęp do funkcji modułu Kontrola zagrożeń sieciowych Zarządzanie modułem Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych Informacje o funkcjach modułu Kontrola zagrożeń sieciowych Moduł Kontrola zagrożeń sieciowych działa na wszystkich systemach zarządzanych, co pozwala na powiadamianie o zagrożeniach podczas wyszukiwania lub przeglądania witryn sieci Web. Zespół firmy McAfee analizuje każdą witrynę sieci Web i przypisuje oznaczoną kolorem ocenę bezpieczeństwa na podstawie wyników testu. Kolor wskazuje poziom bezpieczeństwa danej witryny. Wyniki testów są wykorzystywane w oprogramowaniu do powiadamiania o zagrożeniach w sieci Web, które można napotkać podczas przeglądania. Na stronach wyników wyszukiwania na liście wyników obok każdej witryny wyświetlana jest ikona. Kolor ikony wskazuje ocenę bezpieczeństwa danej witryny. Klikając ikony, można uzyskać więcej informacji. W oknie przeglądarki w przeglądarce wyświetlany jest przycisk. Kolor przycisku wskazuje ocenę bezpieczeństwa danej witryny. Klikając przycisk, można uzyskać więcej informacji. Przycisk ten powiadamia również w przypadku wystąpienia problemów z komunikacją oraz zapewnia szybki dostęp do testów umożliwiających zidentyfikowanie często występujących problemów. W raportach bezpieczeństwa szczegółowe informacje o sposobie obliczania oceny bezpieczeństwa na podstawie typów wykrytych zagrożeń, wyników testów i innych danych. W systemach zarządzanych administratorzy mogą tworzyć zasady umożliwiające: Włączanie i wyłączanie modułu Kontrola zagrożeń sieciowych w systemie, a także blokowanie lub umożliwianie wyłączania wtyczki przeglądarki. Kontrolowanie dostępu do witryn, stron i pobieranych plików na podstawie ich ocen bezpieczeństwa lub typu zawartości. Na przykład można blokować niebezpieczne witryny i ostrzegać użytkowników o witrynach wzbudzających obawy. McAfee Endpoint Security 10.2 Podręcznik produktu 159

160 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o funkcjach modułu Kontrola zagrożeń sieciowych Określanie witryn jako zablokowane lub dozwolone na podstawie adresów URL i domen. Uniemożliwianie odinstalowywania lub zmiany plików modułu Kontrola zagrożeń sieciowych, kluczy rejestru, wartości rejestru, usług i procesów. Dostosowywanie powiadomień wyświetlanych w przypadku próby uzyskania dostępu do zablokowanej witryny sieci Web. Monitorowanie działania przeglądarki w sieci komputerów i sterowanie nim, a także tworzenie szczegółowych raportów o witrynach sieci Web. W systemach samozarządzających można skonfigurować ustawienia, aby umożliwić: Włączanie i wyłączanie modułu Kontrola zagrożeń sieciowych w systemie. Kontrolowanie dostępu do witryn, stron i pobieranych plików na podstawie ich ocen bezpieczeństwa lub typu zawartości. Na przykład można blokować niebezpieczne witryny i ostrzegać użytkowników o witrynach wzbudzających obawy. Oprogramowanie obsługuje przeglądarki Microsoft Internet Explorer, Mozilla Firefox i Google Chrome. W systemach samozarządzających domyślnie dozwolone są wszystkie przeglądarki obsługiwane i nieobsługiwane. Przeglądarka Chrome nie obsługuje opcji Wyświetl dymek. Patrz także Wskazania zagrożeń za pomocą przycisku modułu Kontrola zagrożeń sieciowych podczas przeglądania witryn na stronie 161 Ikony bezpieczeństwa wskazujące zagrożenia podczas wyszukiwania na stronie 162 Szczegóły dostarczane w raportach o witrynie na stronie 162 Jak tworzone są oceny bezpieczeństwa na stronie 163 Blokowanie witryn lub pobieranych plików i wyświetlanie ostrzeżeń przez moduł Kontrola zagrożeń sieciowych Kiedy użytkownik odwiedza zablokowaną lub wywołującą ostrzeżenie witrynę, moduł Kontrola zagrożeń sieciowych wyświetla stronę lub wyskakujący komunikat wyjaśniający powód podjęcia takiego działania. W przypadku następujących akcji oceny witryny: Ostrzeż moduł Kontrola zagrożeń sieciowych wyświetla ostrzeżenie w celu powiadomienia użytkowników o potencjalnym zagrożeniu związanym z daną witryną. Opcja Anuluj umożliwia powrót do poprzednio przeglądanej witryny. Jeśli na karcie przeglądarki nie ma poprzednio przeglądanej witryny, opcja Anuluj jest niedostępna. Opcja Kontynuuj umożliwia przejście do witryny. Blokuj moduł Kontrola zagrożeń sieciowych uniemożliwia użytkownikom dostęp do danej witryny i wyświetla komunikat, że jest ona zablokowana. Opcja OK umożliwia powrót do poprzednio przeglądanej witryny. Jeśli na karcie przeglądarki nie ma poprzednio przeglądanej witryny, opcja OK jest niedostępna. 160 McAfee Endpoint Security 10.2 Podręcznik produktu

161 Używanie modułu Kontrola zagrożeń sieciowych Informacje o funkcjach modułu Kontrola zagrożeń sieciowych 5 W przypadku następujących akcji oceny plików pobieranych z witryny: Ostrzeż moduł Kontrola zagrożeń sieciowych wyświetla ostrzeżenie w celu powiadomienia użytkowników o potencjalnym zagrożeniu związanym z pobieranym plikiem. Opcja Blokuj umożliwia anulowanie pobierania i powrócenie do witryny. Opcja Kontynuuj umożliwia kontynuowanie pobierania. Blokuj moduł Kontrola zagrożeń sieciowych uniemożliwia użytkownikom pobranie pliku i wyświetla komunikat, że dana witryna jest zablokowana. Opcja OK umożliwia powrót do witryny. Wskazania zagrożeń za pomocą przycisku modułu Kontrola zagrożeń sieciowych podczas przeglądania witryn Podczas przeglądania witryny sieci Web w przeglądarce wyświetlany jest przycisk z kolorowym oznaczeniem. Kolor przycisku odpowiada ocenie bezpieczeństwa witryny. Ocena bezpieczeństwa obejmuje jedynie adresy URL protokołów HTTP oraz HTTPS. Internet Explorer i Safari (Macintosh) Firefox i Chrome Opis Ta witryna jest codziennie sprawdzana i uzyskała certyfikat bezpieczeństwa programu McAfee SECURE. (tylko system Windows) Ta witryna jest bezpieczna. Ta witryna wzbudza obawy. Ta witryna jest niebezpieczna. Brak oceny dla tej witryny. Ten przycisk wyświetlany jest w przypadku adresów URL protokołu FILE (file://). Wystąpił błąd komunikacji z serwerem usługi McAfee GTI, w której zamieszczone są informacje o ocenie. Moduł Kontrola zagrożeń sieciowych nie przesłał zapytania dotyczącego tej witryny do usługi McAfee GTI. Może to być spowodowane tym, że jest to witryna wewnętrzna lub witryna posiadająca prywatny zakres adresów IP. Ta witryna służy do wyłudzania informacji. Wyłudzanie informacji to próba zdobycia poufnych informacji, takich jak nazwy użytkowników, hasła czy dane karty kredytowej. Tego rodzaju witryny imitują w komunikacji elektronicznej witryny godne zaufania. Ta witryna ma przyznane zezwolenie w ustawieniach. Moduł Kontrola zagrożeń sieciowych został wyłączony w ustawieniach. McAfee Endpoint Security 10.2 Podręcznik produktu 161

162 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o funkcjach modułu Kontrola zagrożeń sieciowych Położenie przycisku zależy od przeglądarki: Internet Explorer pasek narzędzi Kontrola zagrożeń sieciowych Firefox prawy róg paska narzędzi Firefox Chrome pasek adresu Patrz także Wyświetlanie informacji dotyczących witryny podczas przeglądania na stronie 165 Ikony bezpieczeństwa wskazujące zagrożenia podczas wyszukiwania Podczas wprowadzania słów kluczowych w popularnych wyszukiwarkach, takich jak Google, Yahoo, Bing lub Ask, obok witryn na stronie wyników wyszukiwania wyświetlane są ikony bezpieczeństwa. Kolor przycisku odpowiada ocenie bezpieczeństwa witryny. Testy nie wykazały żadnych znacznych problemów. Testy wykazały problemy, o których powinien wiedzieć. Na przykład: w trakcie odwiedzin w witrynie próbowano zmienić domyślne ustawienia przeglądarki testera, wyświetlane były wyskakujące okienka lub z witryny wysłano testerowi znaczną liczbę wiadomości niebędących spamem. Testy ujawniły poważne problemy, które musi rozważyć przed uzyskaniem dostępu do witryny. Przykładowo: z witryny wysłano testerowi wiadomości spam lub do pobieranej zawartości dołączono oprogramowanie z reklamami. Ta witryna jest zablokowana przez opcje. Ta witryna nie ma oceny bezpieczeństwa. Patrz także Wyświetl raport o witrynie podczas wyszukiwania na stronie 166 Szczegóły dostarczane w raportach o witrynie mogą przeglądać raport o witrynie, aby dowiedzieć się o konkretnych zagrożeniach obecnych w tej witrynie sieci Web. Raporty o witrynie są pobierane z serwera ocen usługi McAfee GTI i zawierają następujące informacje. 162 McAfee Endpoint Security 10.2 Podręcznik produktu

163 Używanie modułu Kontrola zagrożeń sieciowych Informacje o funkcjach modułu Kontrola zagrożeń sieciowych 5 Ten element... Omówienie Powiązania internetowe Testy spamu w sieci Web Testy pobierania Oznacza... Ocena ogólna witryny sieci Web, wyznaczona na podstawie następujących testów: Ocena sposobu wykorzystywania w witrynie sieci Web adresów i dostępnych w niej plików do pobrania przy użyciu własnych technik gromadzenia danych i ich analizy. Badanie, czy w witrynie sieci Web są stosowane irytujące praktyki, takie jak używanie nadmiernej liczby wyskakujących okienek lub żądania zmiany strony głównej. Analiza powiązań internetowych witryny sieci Web, aby sprawdzić, czy jest ona powiązana z podejrzanymi witrynami. Uwzględnienie w ocenie podejrzanych witryn wykonanej przez firmę McAfee informacji zwrotnych z usług Threat Intelligence. W ramach tej funkcji określany jest stopień, w jakim witryna próbuje skierować użytkownika do innych witryn oflagowanych przez firmę McAfee jako niebezpieczne. Podejrzane witryny często są powiązane z innymi podejrzanymi witrynami. Głównym celem tych kierujących witryn jest skierowanie użytkownika do podejrzanej witryny. Witryna może otrzymać czerwoną ocenę, jeżeli, na przykład, zawiera zbyt wiele łącz do innych niebezpiecznych witryn. W takim przypadku witryna jest oflagowywana przez moduł Kontrola zagrożeń sieciowych jako niebezpieczna na podstawie powiązań. Ocena ogólna sposobu wykorzystywania w witrynie sieci Web adresów na podstawie wyników testów. Firma McAfee ocenia witryny na podstawie liczby wiadomości otrzymanych po wprowadzeniu adresu w witrynie oraz tego, czy te wiadomości są spamem. Jeżeli któryś z tych wskaźników przekracza poziom uznany przez firmę McAfee za akceptowalny, witryna otrzymuje żółtą ocenę. Jeżeli obydwa wskaźniki są wysokie lub jeden z nich jest niebezpieczny, firma McAfee przyznaje witrynie czerwoną ocenę. Ocena ogólna dotycząca wpływu, jaki miały pobierane z witryny programy, na testowy komputer, na podstawie wyników testu. Firma McAfee oflagowuje jako niebezpieczne witryny zawierające pliki do pobrania zainfekowane wirusami lub pliki, do których dodawane jest oprogramowanie powszechnie uważane za oprogramowanie z reklamami lub szpiegujące. Ocena uwzględnia również to, z jakimi serwerami pobrany program nawiązuje połączenia w czasie swojego działania oraz bierze pod uwagę dokonywane modyfikacje ustawień przeglądarki i plików rejestru komputera. Patrz także Wyświetl raport o witrynie podczas wyszukiwania na stronie 166 Wyświetlanie informacji dotyczących witryny podczas przeglądania na stronie 165 Jak tworzone są oceny bezpieczeństwa Zespół firmy McAfee ustala oceny bezpieczeństwa, testując kryteria dla każdej witryny i oceniając wyniki w celu zapewnienia ochrony przed częstymi zagrożeniami. Oceny bezpieczeństwa dla witryn są automatycznie kompilowane poprzez: pobieranie plików w celu sprawdzenia, czy nie zawierają wirusów i czy w pobieranej zawartości nie znajdują się niechciane programy; Wprowadzanie informacji kontaktowych do formularzy rejestracji i sprawdzanie, czy nie powoduje to rozsyłania spamu lub dużej liczby wiadomości niebędących spamem przez witrynę lub jednostki z nią powiązane. McAfee Endpoint Security 10.2 Podręcznik produktu 163

164 5 Używanie modułu Kontrola zagrożeń sieciowych Dostęp do funkcji modułu Kontrola zagrożeń sieciowych Sprawdzanie nadmiernej liczby wyskakujących okienek. sprawdzanie, czy nie zachodzą próby wykorzystania przez witrynę luk w przeglądarce; sprawdzanie, czy przy użyciu witryny nie są prowadzone zwodnicze lub nieuczciwe działania. Zespół prezentuje wyniki testu w postaci raportu bezpieczeństwa, który może również zawierać: informację zwrotną od właścicieli witryny, która może uwzględniać opis środków bezpieczeństwa stosowanych w witrynie lub odpowiedzi na informacje zwrotne użytkowników witryny; Informacje zwrotne przekazane przez użytkowników witryny, które mogą zawierać raporty dotyczące wyłudzania informacji lub opisy złych doświadczeń związanych z zakupami. Dodatkowe analizy przeprowadzone przez ekspertów firmy McAfee. Serwer usługi McAfee GTI przechowuje oceny witryn i raporty. Dostęp do funkcji modułu Kontrola zagrożeń sieciowych Uzyskaj dostęp do funkcji modułu Kontrola zagrożeń sieciowych w przeglądarce internetowej. Zadania Włączanie wtyczki Kontrola zagrożeń sieciowych w przeglądarce na stronie 164 W niektórych przeglądarkach konieczne jest ręczne włączenie wtyczki Kontrola zagrożeń sieciowych, aby umożliwić powiadamianie o zagrożeniach sieciowych podczas przeglądania i wyszukiwania. Wyświetlanie informacji dotyczących witryny podczas przeglądania na stronie 165 Użyj przycisku Kontrola zagrożeń sieciowych w przeglądarce, aby wyświetlić informacje dotyczące witryny. Działanie przycisku różni się w zależności od przeglądarki. Wyświetl raport o witrynie podczas wyszukiwania na stronie 166 Użyj ikony bezpieczeństwa na stronie wyników wyszukiwania, aby wyświetlić więcej informacji o stronie. Włączanie wtyczki Kontrola zagrożeń sieciowych w przeglądarce W niektórych przeglądarkach konieczne jest ręczne włączenie wtyczki Kontrola zagrożeń sieciowych, aby umożliwić powiadamianie o zagrożeniach sieciowych podczas przeglądania i wyszukiwania. Zanim rozpoczniesz Moduł Kontrola zagrożeń sieciowych musi być włączony. Po pierwszym uruchomieniu przeglądarki Internet Explorer lub Chrome wyświetlony zostanie monit o włączenie wtyczek. Wtyczka Kontrola zagrożeń sieciowych jest domyślnie włączona w przeglądarce Firefox. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. Kliknij przycisk w oknie monitu, aby włączyć wtyczkę. 164 McAfee Endpoint Security 10.2 Podręcznik produktu

165 Używanie modułu Kontrola zagrożeń sieciowych Dostęp do funkcji modułu Kontrola zagrożeń sieciowych 5 Internet Explorer Chrome Firefox Kliknij przycisk Włącz. Jeśli dostępnych jest więcej wtyczek, kliknij opcję Wybierz dodatki, a następnie kliknij przycisk Włącz obok paska narzędzi Kontrola zagrożeń sieciowych. Kliknij Włącz rozszerzenie. Kliknij Dodatki Rozszerzenia. Kliknij Włącz, aby włączyć rozszerzenie Kontrola zagrożeń sieciowych Endpoint Security. Uruchom ponownie przeglądarkę Firefox. W przeglądarce Internet Explorer po wyłączeniu paska narzędzi Kontrola zagrożeń sieciowych wyświetlany jest monit o wyłączenie również wtyczki Kontrola zagrożeń sieciowych. W przypadku systemów zarządzanych, jeśli ustawienia zasad uniemożliwiają odinstalowanie lub wyłączenie wtyczki, wtyczka Kontrola zagrożeń sieciowych pozostanie włączona, nawet jeśli pasek narzędzi jest niewidoczny. Wyświetlanie informacji dotyczących witryny podczas przeglądania Użyj przycisku Kontrola zagrożeń sieciowych w przeglądarce, aby wyświetlić informacje dotyczące witryny. Działanie przycisku różni się w zależności od przeglądarki. Zanim rozpoczniesz Moduł Kontrola zagrożeń sieciowych musi być włączony. Wtyczka Kontrola zagrożeń sieciowych musi być włączona w przeglądarce. Opcja Ukryj pasek narzędzi w przeglądarce klienta w ustawieniach Opcji musi być wyłączona. Pasek narzędzi modułu Kontrola zagrożeń sieciowych nie jest wyświetlany, kiedy przeglądarka Internet Explorer pracuje w trybie pełnoekranowym. Aby wyświetlić menu Kontrola zagrożeń sieciowych: Przeglądarki Internet Explorer i Firefox Przeglądarka Chrome Kliknij przycisk Kliknij przycisk na pasku narzędzi. na pasku adresu. Zadanie 1 Aby wyświetlić dymek z podsumowaniem oceny bezpieczeństwa witryny: umieść wskaźnik myszy nad przyciskiem na pasku narzędzi Kontrola zagrożeń sieciowych. (jedynie w przeglądarkach Internet Explorer i Firefox). 2 Aby wyświetlić szczegółowy raport o witrynie zawierający więcej informacji na temat oceny bezpieczeństwa witryny: Kliknij przycisk Kontrola zagrożeń sieciowych. Z menu Kontrola zagrożeń sieciowych wybierz polecenie Wyświetl raport o witrynie. W dymku kliknij łącze Przeczytaj raport o witrynie (jedynie w przeglądarkach Internet Explorer i Firefox). McAfee Endpoint Security 10.2 Podręcznik produktu 165

166 5 Używanie modułu Kontrola zagrożeń sieciowych Zarządzanie modułem Kontrola zagrożeń sieciowych Patrz także Wskazania zagrożeń za pomocą przycisku modułu Kontrola zagrożeń sieciowych podczas przeglądania witryn na stronie 161 Szczegóły dostarczane w raportach o witrynie na stronie 162 Wyświetl raport o witrynie podczas wyszukiwania Użyj ikony bezpieczeństwa na stronie wyników wyszukiwania, aby wyświetlić więcej informacji o stronie. Zadanie 1 Umieść kursor nad ikoną bezpieczeństwa. Tekst w dymku zawiera szczegółowe podsumowanie raportu bezpieczeństwa o witrynie. 2 Kliknij polecenie Przeczytaj raport o witrynie (w dymku), aby otworzyć szczegółowy raport bezpieczeństwa o witrynie w innym oknie przeglądarki. Patrz także Ikony bezpieczeństwa wskazujące zagrożenia podczas wyszukiwania na stronie 162 Szczegóły dostarczane w raportach o witrynie na stronie 162 Zarządzanie modułem Kontrola zagrożeń sieciowych Administrator może określać ustawienia modułu Kontrola zagrożeń sieciowych, aby włączać i zmieniać ochronę, blokować na podstawie kategorii sieciowych i konfigurować logowanie. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą powodować zastępowanie zmian dokonanych na stronie Ustawienia. Konfigurowanie opcji modułu Kontrola zagrożeń sieciowych Z poziomu Kontrola zagrożeń sieciowych można włączyć moduł Klient Endpoint Security i skonfigurować jego opcje. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Kontrola zagrożeń sieciowych. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Kontrola zagrożeń sieciowych. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Opcje. 166 McAfee Endpoint Security 10.2 Podręcznik produktu

167 Używanie modułu Kontrola zagrożeń sieciowych Zarządzanie modułem Kontrola zagrożeń sieciowych 5 5 Wybierz opcję Włącz moduł Web Control, aby aktywować moduł Kontrola zagrożeń sieciowych i modyfikować jego opcje. Czynność Procedura Uwagi Ukrywanie paska narzędzi modułu Kontrola zagrożeń sieciowych w przeglądarce bez wyłączania jego funkcji. Wykorzystanie śledzenia zdarzeń przeglądarki do raportów Blokowanie lub ostrzeganie o nieznanych adresach URL Skanowanie plików przed pobieraniem. Dodaj zewnętrzne witryny do lokalnej sieci prywatnej. Blokowanie niebezpiecznych witryn przed pojawianiem się w wynikach wyszukiwania. Wybierz opcję Ukryj pasek narzędzi w przeglądarce klienta. Skonfiguruj ustawienia w sekcji Rejestrowanie zdarzeń. W opcji Wymuszanie akcji, wybierz akcję (Blokuj, Zezwól lub Ostrzeż) dla witryn jeszcze niezweryfikowanych przez usługę McAfee GTI. W obszarze Wymuszanie akcji wybierz opcję Włącz skanowanie pobieranych plików, a następnie wybierz poziom blokowania niebezpieczeństwa usługi McAfee GTI. W obszarze Wymuszanie akcji w części Określ dodatkowe adresy IP i zakresy, aby zezwolić kliknij przycisk Dodaj, a następnie wprowadź zewnętrzny adres lub zakres adresów IP. W punkciebezpieczne wyszukiwanie wybierz opcję Włącz bezpieczne wyszukiwanie, wybierz wyszukiwarkę, a następnie określ, czy łącza do niebezpiecznych witryn mają być blokowane. Umożliwia konfigurację zdarzeń modułu Kontrola zagrożeń sieciowych wysłanych z systemu klienta do serwera zarządzania, używanych do zapytań i raportów. Opcja Bezpieczne wyszukiwanie automatycznie filtruje złośliwe witryny w wyniku wyszukiwania na podstawie oceny bezpieczeństwa. Opcja Kontrola zagrożeń sieciowych używa serwisu Yahoo jako domyślnej wyszukiwarki i obsługuje funkcję Bezpieczne wyszukiwanie tylko w przeglądarce Internet Explorer. Po zmianie domyślnej wyszukiwarki należy ponownie uruchomić przeglądarkę, aby zmiany zostały zastosowane. Gdy użytkownik kolejny raz otworzy przeglądarkę Internet Explorer, w module Kontrola zagrożeń sieciowych zostanie wyświetlone wyskakujące okienko informujące użytkownika o potrzebie zmiany funkcji bezpiecznego wyszukiwania programu McAfee na określony silnik wyszukiwania. W przypadku wersji przeglądarki Internet Explorer, w których silnik wyszukiwania jest zablokowany, wyskakujące okienko Bezpieczne wyszukiwanie nie jest wyświetlane. McAfee Endpoint Security 10.2 Podręcznik produktu 167

168 5 Używanie modułu Kontrola zagrożeń sieciowych Zarządzanie modułem Kontrola zagrożeń sieciowych 6 Skonfiguruj pozostałe opcje, jeżeli jest to wymagane. 7 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Jak skanowane są pobierane pliki na stronie 168 Logowanie jako administrator na stronie 28 Jak skanowane są pobierane pliki Moduł Kontrola zagrożeń sieciowych wysyła żądania pobierania plików do modułu Zapobieganie zagrożeniom w celu ich przeskanowania przed pobieraniem. 168 McAfee Endpoint Security 10.2 Podręcznik produktu

169 Używanie modułu Kontrola zagrożeń sieciowych Zarządzanie modułem Kontrola zagrożeń sieciowych 5 Jak działa usługa McAfee GTI Jeśli w usłudze McAfee GTI zostanie włączone skanowanie na bieżąco lub na żądanie, skaner będzie używać metod heurystycznych do sprawdzania podejrzanych plików. Serwer McAfee GTI przechowuje oceny witryn i raporty modułu Kontrola zagrożeń sieciowych. Jeśli konfiguracja modułu Kontrola zagrożeń sieciowych obejmuje skanowanie pobieranych plików, skaner będzie używać danych o reputacji plików z usługi McAfee GTI do wykrywania podejrzanych plików. Aby ustalić, czy plik stanowi złośliwe oprogramowanie, skaner wysyła odciski palców próbek (skróty) do centralnej bazy danych znajdującej się na serwerze McAfee Labs. Przesyłanie skrótów daje możliwość skutecznego wykrywania jeszcze przed opublikowaniem następnej aktualizacji plików zawartości przez zespół McAfee Labs. Możliwe jest konfigurowanie poziomu czułości używanego w usłudze McAfee GTI podczas określania, czy wykryta próbka jest złośliwym oprogramowaniem. Im wyższy poziom czułości, tym więcej będzie zdarzeń wykrycia złośliwego oprogramowania. Dopuszczenie większej liczby zdarzeń wykrycia może jednak spowodować wzrost liczby wyników fałszywie dodatnich. W module Zapobieganie zagrożeniom poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Średni. Skonfiguruj poziom czułości każdego skanera w ustawieniach modułu Zapobieganie zagrożeniom. W module Kontrola zagrożeń sieciowych poziom czułości usługi McAfee GTI jest domyślnie ustawiony na Bardzo wysoki. Skonfiguruj poziom czułości skanowania pobieranych plików w ustawieniach Kontrola zagrożeń sieciowych modułu Kontroli zagrożeń sieciowych. W sekcji ustawień Wspólne można skonfigurować program Endpoint Security tak, aby korzystał z serwera proxy do pobierania informacji o reputacji z usługi McAfee GTI. Określenie akcji oceny i blokowanie dostępu do witryn na podstawie kategorii witryn sieci Web Konfiguruj ustawienia zasad opcji Akcje zawartości, aby określić akcje stosowane do stron i pobranych plików, na podstawie oceń bezpieczeństwa. Opcjonalnie określ witryny do blokowania i zezwolenia w każdej kategorii witryn sieci Web. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Użyj ustawień w sekcji Komunikat o wymuszaniu, aby dostosować wiadomość wyświetlaną w przypadku stron i pobranych plików zablokowanych lub wywołujących ostrzeżenia oraz blokowanych witryn służących do wyłudzania informacji. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij przycisk Kontrola zagrożeń sieciowych. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij moduł Kontrola zagrożeń sieciowych. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij opcję Akcje zawartości. McAfee Endpoint Security 10.2 Podręcznik produktu 169

170 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych 5 W sekcji Blokowanie kategorii witryn sieci Web dla każdej Kategorii witryn sieci Web włącz lub wyłącz opcję Blokuj. W przypadku witryn w odblokowanych kategoriach w module Kontrola zagrożeń sieciowych stosowane są również akcje oceny. 6 W sekcji Akcje oceny określ akcje stosowane do każdej witryny i pobranego pliku na podstawie ocen bezpieczeństwa zdefiniowanych przez firmę McAfee. Akcje te mają również zastosowanie do stron, które nie są zablokowane przez blokowanie kategorii witryn sieci Web. 7 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Korzystanie z kategorii sieciowych do kontroli dostępu na stronie 170 Korzystanie z ocen bezpieczeństwa w celu kontroli dostępu na stronie 170 Logowanie jako administrator na stronie 28 Korzystanie z kategorii sieciowych do kontroli dostępu Kategorie witryn sieci Web umożliwiają kontrolę dostępu do witryn na podstawie kategorii zdefiniowanych przez firmę McAfee. Możesz określić opcje, aby zezwalać lub blokować dostęp do stron na podstawie kategorii ich zawartości. Gdy włączysz blokowanie kategorii witryn sieci Web w ustawieniach zasad opcjiakcje zawartości, oprogramowanie będzie blokować lub zezwalać na kategorie witryn sieci Web. Te kategorie sieciowe obejmują Hazard, Gry i Wiadomości błyskawiczne. Firma McAfee definiuje i obsługuje listę ok. 105 kategorii witryn sieci Web. Gdy użytkownik klienta wchodzi do danej witryny, oprogramowanie sprawdza kategorię sieciową witryny. Jeżeli witryna należy do zdefiniowanej kategorii, dostęp jest blokowany lub dozwolony w zależności od ustawień zasad Akcje zawartości. W przypadku witryn i pobieranych plików przydzielonych do odblokowanych kategorii w oprogramowaniu stosowane są określone Akcje oceny. Korzystanie z ocen bezpieczeństwa w celu kontroli dostępu Konfiguruj akcje na podstawie ocen bezpieczeństwa, aby określić, czy użytkownicy mogą uzyskać dostęp do witryny lub zasobów w witrynie. Dla każdej strony lub pobieranego pliku określ, czy mają one być dozwolone, czy należy przed nimi ostrzegać lub blokować je na podstawie oceny. Ustawienie to umożliwia większy stopień szczegółowości ochrony użytkownika przed plikami, które mogą stanowić zagrożenie w witrynach z bardzo dobrą oceną ogólną. Informacje o interfejsie klienta Kontrola zagrożeń sieciowych Tematy pomocy dotyczące interfejsu zapewniają szczegółową pomoc w zakresie stron interfejsu klienta. Spis treści Kontrola zagrożeń sieciowych Opcje Strona Kontrola zagrożeń sieciowych Akcje zawartości 170 McAfee Endpoint Security 10.2 Podręcznik produktu

171 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych 5 Kontrola zagrożeń sieciowych Opcje Na stronie można konfigurować ogólne ustawienia modułu Kontrola zagrożeń sieciowych, takie jak włączanie, określanie wymuszania akcji, bezpieczne wyszukiwanie i adnotacje . Konfigurację rejestrowania można znaleźć w ustawieniach w module Wspólne. Tabela 5-1 Opcje Obszar Opcja Definicja OPCJE Rejestrowanie zdarzeń Włącz moduł Kontrola zagrożeń sieciowych Ukryj pasek narzędzi w przeglądarce klienta Rejestruj kategorie witryn sieci Web dla witryn oznaczonych na zielono Służy do włączania lub wyłączania modułu Kontrola zagrożeń sieciowych (opcja jest domyślnie włączona). Służy do ukrywania paska narzędzi modułu Kontrola zagrożeń sieciowych w przeglądarce bez wyłączania jego funkcji (opcja jest domyślnie wyłączona). Umożliwia rejestrowanie kategorii zawartości dla wszystkich witryn oznaczonych na zielono. Włączenie tej funkcji możne negatywnie wpłynąć na wydajność serwera McAfee epo. Wymuszanie akcji Rejestruj zdarzenia iframe w module kontroli zagrożeń sieciowych Zastosuj tę akcję w przypadku witryn, które nie zostały jeszcze sprawdzone przez usługę McAfee GTI Włącz obsługę ramek iframe w kodzie HTML Domyślnie blokuj witryny, jeśli serwer ocen usługi McAfee GTI jest poza zasięgiem Blokuj strony służące do wyłudzania informacji dla wszystkich witryn Służy do rejestrowania blokowania niebezpiecznych lub wzbudzających podejrzenia witryn wyświetlanych w ramce iframe w dokumencie HTML. Służy do określania domyślnej akcji stosowanej w przypadku witryn, które nie zostały jeszcze ocenione w ramach usługi McAfee GTI. Zezwól (domyślnie) służy do umożliwiania użytkownikom dostępu do danej witryny. Ostrzeż służy do wyświetlania ostrzeżenia w celu powiadomienia użytkowników o potencjalnym zagrożeniu związanym z daną witryną. Użytkownik musi odrzucić ostrzeżenie, aby kontynuować. Blokuj służy do uniemożliwiania użytkownikom dostępu do danej witryny i wyświetlania komunikatu, że pobieranie witryny jest zablokowane. Służy do blokowania dostępu do niebezpiecznych (Czerwona) lub potencjalnie niebezpiecznych (Żółta) witryn wyświetlanych w ramce iframe HTML (opcja jest domyślnie włączona). Służy do blokowania dostępu do witryn sieci Web, jeżeli moduł Kontrola zagrożeń sieciowych nie może połączyć się z serwerem McAfee GTI. Blokuje wszystkie witryny służące do wyłudzania informacji, nadpisując akcje ocen zawartości. (Opcja jest domyślnie włączona). McAfee Endpoint Security 10.2 Podręcznik produktu 171

172 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych Tabela 5-1 Opcje (ciąg dalszy) Obszar Opcja Definicja Włącz skanowanie pobieranych plików Służy do skanowania wszystkich plików (.zip,.exe,.ecx,.cab,.msi,.rar,.scr, and.com) przed pobraniem. (Opcja jest domyślnie włączona). Ta opcja uniemożliwia użytkownikom uzyskanie dostępu do pobieranego pliku przed jego oznaczeniem przez moduły Kontrola zagrożeń sieciowych i Zapobieganie zagrożeniom jako czysty. Moduł Kontrola zagrożeń sieciowych przeprowadza wyszukiwanie reputacji pliku za pomocą usługi McAfee GTI. Jeśli usługa McAfee GTI nie zablokuje pliku, moduł Kontrola zagrożeń sieciowych przesyła plik do modułu Zapobieganie zagrożeniom w celu przeskanowania go. Jeżeli pobrany plik jest rozpoznawany jako zagrożenie, moduł Endpoint Security podejmuje działanie na pliku i alarmuje użytkownika. Wykluczenia Bezpieczne wyszukiwanie Poziom czułości usługi McAfee GTI Określ adresy IP, które będą wykluczone z oceniania lub blokowania przez moduł Kontrola zagrożeń sieciowych Włącz bezpieczne wyszukiwanie Ustaw domyślną wyszukiwarkę w obsługiwanych przeglądarkach Blokuj odnośniki do niebezpiecznych witryn w wynikach wyszukiwania Służy do określania poziomu czułości usługi McAfee GTI używanego przez moduł Kontrola zagrożeń sieciowych do skanowania pobieranych plików. Dodaje określone zakresy i adresy IP do prywatnej sieci lokalnej, wyłączając je z listy oceniania lub blokowania. Prywatne adresy IP są wykluczone domyślnie. Zalecane działanie: Użyj tej opcji, aby traktować zewnętrzne strony w taki sposób, jakby należały do sieci lokalnej. Dodaj dodaje adres IP do listy prywatnych adresów w sieci lokalnej. Dwukrotne kliknięcie elementu Służy do zmiany zaznaczonego elementu. Usuń usuwa adres IP z listy prywatnych adresów w sieci lokalnej. Umożliwia włączenie funkcji bezpiecznego wyszukiwania automatycznie blokującej złośliwe witryny w wynikach wyszukiwania na podstawie oceny bezpieczeństwa. Służy do określania domyślnej wyszukiwarki w obsługiwanych przeglądarkach: Yahoo Google Bing Ask Służy do uniemożliwiania użytkownikom klikania łączy do niebezpiecznych witryn pojawiających się w wynikach wyszukiwania. 172 McAfee Endpoint Security 10.2 Podręcznik produktu

173 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych 5 Tabela 5-2 Opcje zaawansowane Obszar Opcja Definicja Adnotacje Włącz adnotacje w poczcie działającej w przeglądarce Włącz adnotacje w poczcie działającej poza przeglądarką Służy do dodawania adnotacji do adresów URL w klientach poczty działających w przeglądarce, takich jak Yahoo Mail i Gmail. Służy do dodawania adnotacji do adresów URL w 32-bitowych narzędziach do zarządzania pocztą , takich jak Microsoft Outlook czy Outlook Express. Patrz także Konfigurowanie opcji modułu Kontrola zagrożeń sieciowych na stronie 166 Jak skanowane są pobierane pliki na stronie 168 McAfee GTI na stronie 122 Strona Kontrola zagrożeń sieciowych Akcje zawartości Na stronie można definiować akcje wykonywane w odniesieniu do witryn z ocenami i kategorii zawartości witryn sieci Web. W przypadku witryn i pobieranych plików przydzielonych do odblokowanych kategorii w module Kontrola zagrożeń sieciowych stosowane są akcje oceny. McAfee Endpoint Security 10.2 Podręcznik produktu 173

174 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych Tabela 5-4 Opcje Obszar Opcja Definicja Akcje oceny Akcje oceny dotyczące witryn Służy do określania akcji dotyczących witryn ocenionych jako niebezpieczne lub wzbudzające obawy albo witryn bez oceny bezpieczeństwa. Witryny oznaczone na zielono są automatycznie dozwolone. Zezwól służy do umożliwiania użytkownikom dostępu do danej witryny. (domyślne ustawienie w przypadku witryn oflagowanych jako Bez oceny bezpieczeństwa) Ostrzeż służy do wyświetlania ostrzeżenia w celu powiadomienia użytkowników o potencjalnym zagrożeniu związanym z daną witryną. Użytkownicy mogą kliknąć opcję Anuluj, aby powrócić do poprzednio przeglądanej witryny, lub Kontynuuj, aby przejść do żądanej witryny. Jeśli w karcie nie ma poprzednio przeglądanej witryny, opcja Anuluj jest niedostępna. (domyślne ustawienie w przypadku witryn oflagowanych jako Wzbudzające obawy). Blokuj służy do uniemożliwiania użytkownikom dostępu do danej witryny i wyświetlania komunikatu, że jest ona zablokowana. Użytkownicy mogą kliknąć opcję OK, aby powrócić do poprzednio przeglądanej witryny. Jeśli w karcie nie ma poprzednio przeglądanej witryny, opcja OK jest niedostępna. (domyślne ustawienie w przypadku witryn oflagowanych jako Niebezpieczne). Akcje oceny dotyczące pobieranych plików Służy do określania akcji dotyczących pobieranych plików ocenionych jako niebezpieczne, wzbudzające obawy lub bez oceny bezpieczeństwa. Te akcje oceny są używane tylko wtedy, gdy ustawienie Włącz skanowanie pobieranych plików jest włączone w ustawieniach Opcje. Zezwól służy do umożliwiania użytkownikom pobierania pliku. (domyślne ustawienie w przypadku witryn oflagowanych jako Bez oceny bezpieczeństwa) Ostrzeż służy do wyświetlania ostrzeżenia w celu powiadomienia użytkowników o potencjalnym zagrożeniu związanym z pobieranym plikiem. Użytkownik musi odrzucić ostrzeżenie, aby zakończyć lub kontynuować pobieranie. (domyślne ustawienie w przypadku witryn oflagowanych jako Wzbudzające obawy). Blokuj służy do uniemożliwiania użytkownikom pobierania pliku i wyświetlania komunikatu, że jest on zablokowany. (domyślne ustawienie w przypadku witryn oflagowanych jako Niebezpieczne). Użyj ustawień w sekcji Komunikat o wymuszaniu, aby dostosować wiadomość. 174 McAfee Endpoint Security 10.2 Podręcznik produktu

175 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych 5 Tabela 5-5 Opcje zaawansowane Obszar Opcja Definicja Blokowanie kategorii witryn sieci Web Włącz blokowanie kategorii witryn sieci Web Blokuj Kategorie witryn sieci Web Służy do włączania blokowania witryn na podstawie kategorii zawartości. Służy do uniemożliwiania użytkownikom dostępu do dowolnej witryny z tej kategorii i wyświetlania komunikatu, że jest ona zablokowana. Służy do wyświetlania listy kategorii witryn sieci Web. Patrz także Określenie akcji oceny i blokowanie dostępu do witryn na podstawie kategorii witryn sieci Web na stronie 169 Korzystanie z ocen bezpieczeństwa w celu kontroli dostępu na stronie 170 Korzystanie z kategorii sieciowych do kontroli dostępu na stronie 170 McAfee Endpoint Security 10.2 Podręcznik produktu 175

176 5 Używanie modułu Kontrola zagrożeń sieciowych Informacje o interfejsie klienta Kontrola zagrożeń sieciowych 176 McAfee Endpoint Security 10.2 Podręcznik produktu

177 6 Używanie 6 modułu Analiza zagrożeń Moduł Analiza zagrożeń zapewnia kontekstowe, adaptacyjne zabezpieczanie środowiska sieciowego. Produkt Analiza zagrożeń programu Endpoint Security jest opcjonalnym modułem programu Endpoint Security. Aby mieć dostęp do dodatkowych źródeł informacji o zagrożeniach i funkcji, należy wdrożyć serwer Threat Intelligence Exchange. Więcej informacji można uzyskać u sprzedawcy lub przedstawiciela handlowego. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Spis treści Jak działa moduł Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Informacje o interfejsie klienta Analiza zagrożeń Jak działa moduł Analiza zagrożeń Moduł Analiza zagrożeń używa platformy Data Exchange Layer do natychmiastowego udostępniania informacji o plikach i zagrożeniach w całej sieci. W przeszłości nieznane pliki i certyfikaty były przesyłane do firmy McAfee w celu analizy, a informacje o pliku były aktualizowane w sieci dopiero kilka dni później. Moduł Analiza zagrożeń umożliwia kontrolę nad reputacją pliku na poziomie lokalnym, bezpośrednio w używanym środowisku. To administrator decyduje, które pliki można uruchamiać, a które są blokowane, i informacje te są natychmiast udostępniane w środowisku za pomocą mechanizmu Data Exchange Layer. Scenariusze korzystania z modułu Analiza zagrożeń Natychmiastowa blokada pliku moduł Analiza zagrożeń ostrzega administratora sieci o wykryciu nieznanego pliku w środowisku. Zamiast przesyłać informacje o pliku do firmy McAfee, administrator natychmiast blokuje plik. Następnie może on skorzystać z modułu Analiza zagrożeń, aby sprawdzić, czy plik stanowi zagrożenie i w ilu systemach został on uruchomiony. Zezwalanie na uruchomienie własnego pliku w firmie często używany jest plik, którego domyślna reputacja określana jest jako podejrzana lub szkodliwa. Może to być na przykład wewnętrzny plik utworzony przez firmę. Ponieważ plik nie stanowi zagrożenia, zamiast przesyłać informacje dotyczące pliku do firmy McAfee w celu uzyskania zaktualizowanego pliku DAT, administrator może lokalnie zmienić reputację pliku na zaufaną i zezwolić na uruchamianie go bez ostrzeżeń i monitów. Zezwalanie na uruchamianie pliku w trybie izolowanym gdy plik o nieznanej reputacji jest używany po raz pierwszy, administrator może zezwolić na uruchomienie go w trybie izolowanym. W tym celu administrator konfiguruje reguły izolowania w kategorii Dynamiczne izolowanie aplikacji. Reguły izolowania określają, jakie działania może wykonywać izolowana aplikacja. McAfee Endpoint Security 10.2 Podręcznik produktu 177

178 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Administrator może określać ustawienia modułu Analiza zagrożeń, na przykład wybierać grupy reguł i ustawiać progi reputacji. Zmiany zasad z poziomu platformy McAfee epo zastępują zmiany wprowadzone na stronie Ustawienia. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Analiza zagrożeń informacje Moduł Analiza zagrożeń umożliwia zabezpieczoną i natychmiastową komunikację pomiędzy systemami i urządzeniami w środowisku. Komunikacja jest możliwa dzięki strukturze Data Exchange Layer. Pozwala ona sprawdzić, w którym systemie po raz pierwszy wykryto zagrożenie i gdzie następnie się ono przemieściło, a także natychmiast je zatrzymać. Moduł Analiza zagrożeń zapewnia następujące funkcje: Szybkie wykrywanie zagrożeń bezpieczeństwa i złośliwego oprogramowania oraz ochrona przed nimi. Informacja, które systemy lub urządzenia zostały zaatakowane i w jaki sposób zagrożenie rozprzestrzeniło się w środowisku. Możliwość natychmiastowego blokowania, dopuszczania lub izolowania konkretnych plików i certyfikatów na podstawie poziomu reputacji i kryteriów ryzyka. Integracja w czasie rzeczywistym z usługami McAfee Advanced Threat Defense i McAfee GTI w celu szczegółowej oceny i uzyskania dodatkowych danych dotyczących klasyfikacji złośliwego oprogramowania. Integracja pozwala na reagowanie na zagrożenia i udostępnianie związanych z tym informacji w całym środowisku. Moduł Analiza zagrożeń nie jest obsługiwany w systemach zarządzanych za pomocą platformy McAfee epo Cloud. Składniki modułu Analiza zagrożeń Moduł Analiza zagrożeń zawiera poniższe składniki. Moduł do programu Endpoint Security umożliwiający tworzenie zasad blokowania, dopuszczania lub izolowania plików i certyfikatów w zależności od ich reputacji. Serwer przechowujący informacje na temat reputacji plików i certyfikatów, a następnie przekazujący te informacje do innych systemów. Brokery Data Exchange Layer umożliwiające dwukierunkową komunikację pomiędzy systemami zarządzanymi w sieci. Składniki te są instalowane jako rozszerzenia platformy McAfee epolicy Orchestrator (McAfee epo ) i dodają kilka nowych funkcji oraz raportów. 178 McAfee Endpoint Security 10.2 Podręcznik produktu

179 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Informacje dotyczące reputacji pliku przesyłane są pomiędzy modułem a serwerem. Struktura Data Exchange Layer umożliwia natychmiastowe przesyłanie tych informacji do zarządzanych punktów końcowych. Informacje udostępniane są również innym produktom firmy McAfee, które uzyskują dostęp do funkcji Data Exchange Layer, na przykład programom McAfee Enterprise Security Manager (McAfee ESM) i McAfee Network Security Platform. modułu Analiza zagrożeń Moduł Analiza zagrożeń umożliwia określenie działania podejmowanego względem wykrytego w środowisku pliku o szkodliwej lub nieznanej reputacji. Umożliwia także wyświetlenie historii zagrożeń i podjętych działań. Zadania te można wykonywać za pomocą modułu Analiza zagrożeń. Stosowane przez klienta reguły podejmowania działań wykorzystują różnorodne dane, w tym reputacje, informacje lokalne i informacje kontekstowe. Reguły można aktualizować niezależnie. Tworzenie zasad umożliwia: Zezwalania na pliki lub ich blokowania, usuwania bądź zachowania w zależności od ich reputacji. Otrzymywania monitów za każdym razem, gdy uruchamiany jest plik lub certyfikat o konkretnym poziomie reputacji. Automatycznego przesyłania plików do usługi Advanced Threat Defense w celu ich dalszej oceny. McAfee Endpoint Security 10.2 Podręcznik produktu 179

180 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Wyświetlanie zdarzeń na pulpitach nawigacyjnych modułu Analiza zagrożeń. Można wyświetlać wszystkie zdarzenia zezwalania, blokowania, czyszczenia lub izolowania z ostatnich 30 dni lub tylko zdarzenia wybranego typu. Serwer Analiza zagrożeń Exchange Serwer przechowuje informacje na temat reputacji plików i certyfikatów, a następnie przekazuje te informacje do innych systemów w środowisku. Więcej informacji o serwerze można znaleźć w Podręczniku produktu Analiza zagrożeń Exchange. Łączenie serwerów i baz danych TIE Jeśli serwery i bazy danych TIE są zarządzane za pomocą różnych systemów McAfee epo, można je połączyć, co umożliwi dzielenie się informacjami dotyczącymi reputacji. Szczegółowe informacje na temat łączenia serwerów i baz danych TIE można znaleźć w Podręczniku produktu McAfee Data Exchange Layer i artykule bazy wiedzy KB Data Exchange Layer Struktura Data Exchange Layer obejmuje oprogramowanie klienckie i brokery, które umożliwiają dwukierunkową komunikację pomiędzy punktami końcowymi w sieci. Funkcja Data Exchange Layer działa w tle, zapewniając komunikację z usługami, bazami danych, punktami końcowymi i aplikacjami. Klient Data Exchange Layer instalowany jest na każdym zarządzanym punkcie końcowym, dzięki czemu informacje dotyczące zagrożeń pochodzące z produktów zabezpieczających wykorzystujących funkcję DXL mogą zostać natychmiast udostępnione wszystkim innym usługom i urządzeniom. Natychmiastowe udostępnianie informacji dotyczących reputacji ogranicza założenia dotyczące zabezpieczeń, jakie przyjmowane są podczas wymiany informacji pomiędzy aplikacjami lub usługami. Umożliwia to również ograniczenie rozprzestrzeniania się zagrożeń. Szczegóły dotyczące instalowania funkcji Data Exchange Layer i korzystania z niej można znaleźć w Podręczniku produktu McAfee Data Exchange Layer. Sposób określania reputacji Reputacja plików i certyfikatów jest określana podczas próby uruchomienia danego elementu w systemie zarządzanym. Reputacja pliku lub certyfikatu określana jest w rezultacie poniższych kroków. 1 Użytkownik lub system próbuje uruchomić plik. 2 Program Endpoint Security analizuje plik, ale nie może określić jego poprawności i reputacji. 3 Moduł Analiza zagrożeń analizuje plik i zapisuje potrzebne właściwości pliku i systemu lokalnego. 4 Moduł wyszukuje skrót pliku w lokalnej pamięci podręcznej reputacji. Jeśli skrót znajduje się w pamięci, dane dotyczące rozpowszechnienia w firmie i reputacji pliku pobierane są z pamięci podręcznej. 5 Jeśli skrótu nie można odnaleźć w lokalnej pamięci podręcznej reputacji, moduł przesyła zapytanie do serwera TIE. Jeśli skrót znajduje się na serwerze, pobierane są dane dotyczące rozpowszechnienia w firmie (i dostępne dane dotyczące reputacji) pliku. 6 Jeśli skrót pliku nie zostanie znaleziony na serwerze TIE ani w bazie danych, serwer przesyła zapytanie o reputację skrótu pliku do usługi McAfee GTI. Z usługi McAfee GTI zwracana jest aktualnie dostępna informacja na temat reputacji, na przykład nieznany lub złośliwy, która następnie zostaje zapisana na serwerze. 180 McAfee Endpoint Security 10.2 Podręcznik produktu

181 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Serwer przesyła plik do przeskanowania, jeśli spełniony jest jeden z poniższych warunków: Usługa Advanced Threat Defense jest dostępna lub aktywna jako dostawca danych na temat reputacji, a serwer sprawdza lokalnie, czy w usłudze Advanced Threat Defense są dostępne dane na temat reputacji. Jeśli takie dane nie są dostępne, oznacza plik jako kandydata do przesłania. Zasady w punkcie końcowym przewidują przesyłanie pliku do usługi Advanced Threat Defense. Informacje na temat dodatkowych kroków można znaleźć w rozdziale Jeśli dostępna jest usługa Advanced Threat Defense. 7 Na podstawie znalezionych danych serwer zwraca do modułu informacje o skrócie pliku: wiek w firmie, powszechność i reputację. Jeśli jest to pierwsze wystąpienie pliku w środowisku, serwer przesyła też flagę pierwszego wystąpienia do modułu Analiza zagrożeń. Jeśli usługa McAfee Web Gateway jest dostępna i prześle wynik reputacji, moduł Analiza zagrożeń zwróci informację o reputacji pliku. 8 Moduł analizuje następujące metadane, aby określić reputację pliku: Właściwości pliku i systemu Wiek pliku i dane dotyczące rozpowszechnienia Reputacja 9 Moduł podejmuje działanie w oparciu o zasady przypisane do systemu, w którym uruchomiono plik. 10 Moduł aktualizuje dane na serwerze o informacje dotyczące reputacji pliku i tego, czy powinien być blokowany, nieblokowany, czy izolowany. Przesyła również zdarzenia zagrożenia do platformy McAfee epo za pomocą programu McAfee Agent. 11 Serwer publikuje zdarzenie zmiany reputacji danego skrótu pliku. Jeśli dostępna jest usługa Advanced Threat Defense Jeśli dostępna jest usługa Advanced Threat Defense, wykonywany jest poniższy proces. 1 Jeśli system został skonfigurowany do przesyłania plików do usługi Advanced Threat Defense i jest to pierwsze wystąpienie pliku w środowisku, system przesyła plik do serwera TIE. Serwer TIE przesyła go następnie do usługi Advanced Threat Defense w celu przeskanowania. 2 Usługa Advanced Threat Defense skanuje plik i przesyła dane dotyczące jego reputacji do serwera TIE za pośrednictwem warstwy Data Exchange Layer. Zaktualizowane informacje dotyczące reputacji są również zapisywane w bazie danych na serwerze i przesyłane do wszystkich systemów z włączonym modułem Analiza zagrożeń, co umożliwia natychmiastową ochronę środowiska. Ten proces może zostać rozpoczęty przez moduł Analiza zagrożeń lub dowolny inny produkt firmy McAfee. W obu przypadkach moduł Analiza zagrożeń przetwarza informacje o reputacji i zapisuje je w bazie danych. Informacje na temat integracji modułów Advanced Threat Defense i Analiza zagrożeń zawiera Podręcznik produktu McAfee Advanced Threat Defense. Jeśli dostępna jest usługa McAfee Web Gateway Jeśli dostępna jest usługa McAfee Web Gateway, wykonywane są następujące operacje. McAfee Endpoint Security 10.2 Podręcznik produktu 181

182 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Podczas pobierania plików usługa McAfee Web Gateway przesyła raport do serwera TIE, a wynik reputacji zapisywany jest w bazie danych. Kiedy serwer otrzymuje zapytanie o reputację pliku z modułu, zwracana jest reputacja otrzymana wcześniej z usługi McAfee Web Gateway i innych dostawców danych dotyczących reputacji. Szczegóły dotyczące wymiany informacji pomiędzy usługą McAfee Web Gateway a serwerem TIE można znaleźć w rozdziale dotyczącym serwerów proxy w Podręczniku produktu McAfee Web Gateway. Opróżnianie pamięci podręcznej Zmiana konfiguracji reguł powoduje opróżnienie całej pamięci podręcznej modułu Analiza zagrożeń: Stan co najmniej jednej reguły uległ zmianie (np. została wyłączona). Zmienił się zestaw reguł (np. ze Zrównoważona na Bezpieczeństwo). Pamięć podręczna pojedynczego pliku lub certyfikatu jest opróżniana w następujących sytuacjach: Zawartość pamięci podręcznej ma ponad 30 dni. Plik zapisany na dysku został zmieniony. Serwer TIE opublikował zdarzenie zmiany reputacji. Gdy moduł Analiza zagrożeń otrzyma następne powiadomienie dotyczące pliku, reputacja zostanie obliczona ponownie. Wprowadzenie Co zrobić po zainstalowaniu modułu Analiza zagrożeń? Aby rozpocząć pracę z modułem Analiza zagrożeń, wykonaj następujące czynności: 1 Utwórz zasady modułu Analiza zagrożeń określające elementy blokowane, dozwolone i izolowane. Następnie uruchom moduł Analiza zagrożeń w trybie obserwacji, aby zgromadzić dane dotyczące powszechności plików i monitorować elementy wykrywane przez moduł Analiza zagrożeń w danym środowisku. Powszechność pliku to miara tego, jak często plik pojawia się w danym środowisku. 2 Monitoruj i dostosuj zasady lub reputacje pojedynczych plików i certyfikatów, aby kontrolować elementy, z których można korzystać w środowisku. Gromadzenie i obserwowanie danych dotyczących rozpowszechnienia plików Po instalacji i wdrożeniu można rozpocząć gromadzenie danych dotyczących rozpowszechnienia plików oraz informacji na temat bieżących zagrożeń. Można przeanalizować elementy uruchamiane w środowisku i dodać informacje dotyczące reputacji plików i certyfikatów do bazy danych TIE. Informacje te wykorzystywane są również w wykresach i pulpitach nawigacyjnych dostępnych w module, w którym wyświetlane są szczegółowe informacje dotyczące reputacji plików i certyfikatów. Aby rozpocząć, utwórz co najmniej jedną zasadę Analiza zagrożeń i uruchom ją na kilku systemach w środowisku. Zasady określają: Kiedy plik lub certyfikat o określonej reputacji może zostać uruchomiony w systemie Kiedy plik lub certyfikat zostaje zablokowany Kiedy aplikacja jest izolowana Kiedy wyświetlony zostaje monit umożliwiający użytkownikowi podjęcie akcji Kiedy plik jest przesyłany do usługi Advanced Threat Defense w celu dalszej analizy 182 McAfee Endpoint Security 10.2 Podręcznik produktu

183 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Podczas gromadzenia danych dotyczących rozpowszechnienia plików można uruchomić zasady w trybie obserwacji. W tym trybie nie są podejmowane żadne działania oprócz dodawania reputacji plików i certyfikatów do bazy danych. Można zobaczyć, które elementy byłyby blokowane, nieblokowane lub izolowane przez moduł Analiza zagrożeń w przypadku wymuszenia zasad. Monitorowanie i dostosowywanie Uruchamianie zasad w środowisku powoduje dodawanie danych dotyczących reputacji do bazy danych. Blokowane, dopuszczone i izolowane pliki i certyfikaty można wyświetlić za pomocą pulpitów nawigacyjnych oraz widoków zdarzeń platformy McAfee epo. Można wyświetlać szczegółowe informacje według systemu końcowego, pliku, reguły lub certyfikatu oraz szybko sprawdzić liczbę zidentyfikowanych elementów i podjętych działań. Klikając dany element, można przejść do poziomu szczegółów i dostosować ustawienia reputacji konkretnych plików lub certyfikatów, aby umożliwić podejmowanie odpowiednich działań. Jeśli domyślna reputacja zaufanego pliku to np. podejrzana lub nieznana, można ją zmienić na zaufaną. W takim przypadku aplikacja nie będzie blokowana podczas uruchamiana w danym środowisku, a użytkownik nie będzie musiał podejmować żadnych działań. Można zmienić reputację wewnętrznych lub niestandardowych plików używanych w danym środowisku. Za pomocą funkcji Reputacje TIE można wyszukać konkretny plik lub certyfikat według nazwy. Można wyświetlić szczegóły dotyczące danego pliku lub certyfikatu, w tym nazwę firmy, wartości skrótów SHA-1, SHA-256 i MD5, opis oraz informacje pobrane z usługi McAfee GTI. W przypadku plików można również uzyskać dostęp do dodatkowych danych pobranych z usługi VirusTotal bezpośrednio na stronie szczegółów funkcji Reputacje TIE. Na stronie Reporting Dashboard (Pulpit nawigacyjny raportowania) można wyświetlić jednocześnie wiele typów informacji dotyczących reputacji. Można wyświetlić liczbę nowych plików uruchamianych w środowisku w ostatnim tygodniu, pliki według reputacji, pliki o niedawno zmienionej reputacji, systemy, na których niedawno uruchomiono nowe pliki, i inne statystyki. Kliknięcie elementu na pulpicie nawigacyjnym umożliwia wyświetlenie szczegółowych informacji. Jeśli zidentyfikowano szkodliwy lub podejrzany plik, można szybko sprawdzić, na których systemach był on uruchamiany (co może oznaczać, że zostały zaatakowane). Reputację pliku lub certyfikatu można zmienić w odpowiedni sposób dla danego środowiska. Informacje są natychmiast aktualizowane w bazie danych i przesyłane do wszystkich urządzeń w środowisku. Pliki i certyfikaty są blokowane, dopuszczane lub izolowane w zależności od ich reputacji. W przypadku wątpliwości dotyczących postępowania z określonym plikiem lub certyfikatem można: Zablokować go do czasu uzyskania szczegółowych informacji. W odróżnieniu od czyszczenia w programie Zapobieganie zagrożeniom, co może doprowadzić do usunięcia pliku, blokowanie pozostawia plik w oryginalnej lokalizacji, ale nie pozwala na jego uruchomienie. Plik pozostaje niezmieniony do czasu podjęcia decyzji, co należy z nim zrobić. Zezwolić na jego uruchomienie w trybie izolowanym. Moduł Dynamiczne izolowanie aplikacji uruchamia aplikacje o określonej reputacji w trybie izolowanym, blokując ich działanie zgodnie z regułami izolowania. Aplikacja może być uruchamiana, jednak w zależności od reguł izolowania wykonywanie niektórych działań może nie być możliwe. Reputacje plików lub certyfikatów można zaimportować do bazy danych, aby zezwalać na konkretne pliki lub certyfikaty lub blokować je na podstawie innych źródeł danych dotyczących reputacji. Dzięki temu można korzystać z zaimportowanych ustawień dotyczących konkretnych plików i certyfikatów bez konieczności wprowadzania ich pojedynczo na serwerze. McAfee Endpoint Security 10.2 Podręcznik produktu 183

184 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Przesyłanie plików do dalszej analizy Jeśli reputacja pliku jest nieznana, można przesłać go do usługi Advanced Threat Defense w celu dalszej analizy. W zasadach TIE należy określić, które pliki są przesyłane. Moduł Advanced Threat Defense wykrywa złośliwe oprogramowanie typu zero-day i łączy ochronę za pomocą sygnatur antywirusowych, reputacji i emulacji w czasie rzeczywistym. Pliki można automatycznie przesyłać z modułu Analiza zagrożeń do modułu Advanced Threat Defense na podstawie reputacji i rozmiaru. Informacje dotyczące reputacji pliku przesłane z usługi Advanced Threat Defense są dodawane do bazy danych serwera TIE. Dane telemetryczne usługi McAfee GTI Dane dotyczące plików i certyfikatów przesyłane do usługi McAfee GTI są wykorzystywane do analizowania i aktualizowania informacji na temat reputacji. Poniższa tabela zawiera informacje na temat danych przekazywanych przez usługę McAfee GTI w odniesieniu do plików i certyfikatów, samych plików lub samych certyfikatów. Kategoria Plik i certyfikat Tylko pliki Tylko certyfikaty Opis Wersje serwera i modułu TIE Ustawienia zastępowania reputacji wprowadzane za pomocą serwera TIE Zewnętrzne informacje dotyczące reputacji, na przykład pobrane z usługi Advanced Threat Defense Nazwa, ścieżka, rozmiar, produkt, wydawca i rozpowszechnienie pliku Informacje o skrótach SHA-1, SHA-256 i MD5 Wersja systemu operacyjnego raportującego komputera Maksymalna, minimalna i średnia reputacja ustawiana dla pliku Informacja, czy moduł raportujący pracuje w trybie obserwacji Informacja, czy zezwolono na uruchomienie pliku, zablokowano go, odizolowano czy wyczyszczono Nazwa produktu, który wykrył plik, na przykład Advanced Threat Defense lub Zapobieganie zagrożeniom Informacje o skrócie SHA-1 Nazwa wystawcy i podmiotu certyfikatu Data ważności certyfikatu i data wygaśnięcia Firma McAfee nie gromadzi danych umożliwiających identyfikację tożsamości użytkowników ani nie udostępnia informacji stronom trzecim. Dynamiczne izolowanie aplikacji Dynamiczne izolowanie aplikacji pozwala określić, przy jakim poziomie reputacji aplikacje mają być uruchamiane w trybie izolowanym. Na podstawie progu reputacji moduł Analiza zagrożeń żąda od modułu Dynamiczne izolowanie aplikacji izolowania danej aplikacji. Izolowane aplikacje mogą wykonywać określone działania zgodnie z regułami izolowania. Technologia ta umożliwia ocenę nieznanych i potencjalnie niebezpiecznych aplikacji poprzez uruchomienie ich w danym środowisku przy jednoczesnym ograniczeniu działań, jakie mogą wykonywać. Użytkownicy mogą korzystać z aplikacji, jednak działanie aplikacji może odbiegać od 184 McAfee Endpoint Security 10.2 Podręcznik produktu

185 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 oczekiwanego, jeśli moduł dynamicznego izolowania aplikacji uniemożliwi im wykonywanie określonych działań. Po uznaniu aplikacji za bezpieczną można skonfigurować moduł Analiza zagrożeń programu Endpoint Security lub serwer TIE w taki sposób, aby zezwalał na normalne uruchamianie aplikacji. Korzystanie z funkcji Dynamiczne izolowanie aplikacji: 1 Włącz moduł Analiza zagrożeń i w sekcji Opcje określ próg reputacji, przy którym nastąpi aktywacja dynamicznego izolowania aplikacji. 2 W ustawieniach modułu Dynamiczne izolowanie aplikacji skonfiguruj reguły izolowania i elementy wykluczone zdefiniowane przez firmę McAfee. Patrz także Zezwalanie izolowanym aplikacjom na normalne uruchamianie na stronie 187 Konfigurowanie reguł izolowania zdefiniowanych przez firmę McAfee na stronie 188 Włączanie progu aktywowania funkcji Dynamiczne izolowanie aplikacji na stronie 187 Działanie funkcji Dynamiczne izolowanie aplikacji Na podstawie reputacji aplikacji moduł Analiza zagrożeń określa, czy funkcja Dynamiczne izolowanie aplikacji powinna uruchomić daną aplikację w trybie izolowanym. Gdy plik o określonej reputacji jest uruchamiany w danym środowisku, funkcja Dynamiczne izolowanie aplikacji blokuje lub rejestruje niebezpieczne działania zgodnie z regułami izolowania. Jeśli wiele technologii zarejestrowanych w module Dynamiczne izolowanie aplikacji zgłosi żądanie izolowania aplikacji, żądania się kumulują. Aplikacja będzie izolowana do czasu zwolnienia jej przez wszystkie technologie. Jeśli technologia, która zażądała izolowania aplikacji, zostanie wyłączona lub usunięta, moduł Dynamiczne izolowanie aplikacji zwolni daną aplikację. Przepływ pracy w module Dynamiczne izolowanie aplikacji 1 Proces jest uruchamiany. 2 Moduł Analiza zagrożeń sprawdza reputację pliku. Moduł Analiza zagrożeń pobiera informacje na temat reputacji aplikacji z serwera TIE (jeśli jest dostępny). Jeśli serwer TIE nie jest dostępny, moduł Analiza zagrożeń pobiera informacje na temat reputacji z usługi McAfee GTI. 3 Jeśli reputacja aplikacji jest nieznana lub niższa od progu dynamicznego izolowania aplikacji modułu Analiza zagrożeń, moduł Analiza zagrożeń powiadomi funkcję Dynamiczne izolowanie aplikacji o uruchomieniu procesu i zażąda jego izolowania. 4 Funkcja Dynamiczne izolowanie aplikacji izoluje proces. Zdarzenia modułu Dynamiczne izolowanie aplikacji można przeglądać w Dzienniku zdarzeń związanych z zagrożeniami w oprogramowaniu McAfee epo. 5 Jeśli izolowana aplikacja jest uznawana za bezpieczną, można uruchomić ją w trybie normalnym (nieizolowanym). McAfee Endpoint Security 10.2 Podręcznik produktu 185

186 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Patrz także Konfigurowanie reguł izolowania zdefiniowanych przez firmę McAfee na stronie 188 Zezwalanie izolowanym aplikacjom na normalne uruchamianie na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

187 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Zezwalanie izolowanym aplikacjom na normalne uruchamianie Gdy izolowana aplikacja zostanie uznana za bezpieczną, można zezwolić jej na normalne uruchamianie w danym środowisku. Dodaj aplikację do globalnej listy wykluczeń w ustawieniach dynamicznego izolowania aplikacji. W takim przypadku aplikacja przestanie być izolowana i będzie uruchamiana normalnie, bez względu na liczbę technologii, które żądały jej izolacji. W module Analiza zagrożeń ustaw wyższy próg reputacji, aby uwolnić aplikację z izolacji. W takim przypadku aplikacja przestanie być izolowana i będzie uruchamiana normalnie do czasu, gdy inna technologia zażąda jej izolacji. Jeśli dostępny jest serwer TIE, zmień poziom reputacji pliku na umożliwiający uruchamianie, na przykład na Może być zaufane. W takim przypadku aplikacja przestanie być izolowana i będzie uruchamiana normalnie do czasu, gdy inna technologia zażąda jej izolacji. Patrz podręcznik produktu McAfee Threat Intelligence Exchange. Patrz także Wykluczanie procesów z modułu Dynamiczne izolowanie aplikacji na stronie 191 Włączanie progu aktywowania funkcji Dynamiczne izolowanie aplikacji Technologia dynamicznego izolowania aplikacji pozwala określić, przy jakim poziomie reputacji aplikacje mają być uruchamiane w trybie izolowanym, co ogranicza operacje, jakie mogą wykonywać. Włącz wymuszanie działań dynamicznego izolowania aplikacji i określ próg reputacji, przy jakim aplikacje będą uruchamiane w trybie izolowanym. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij opcję Analiza zagrożeń. Alternatywnie w menu Akcja Analiza zagrożeń. wybierz opcję Ustawienia, a następnie na stronie Ustawienia kliknij opcję 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Opcje. 5 Upewnij się, że moduł Analiza zagrożeń jest włączony. 6 Wybierz opcję Uaktywnij dynamiczne izolowanie aplikacji, kiedy próg reputacji osiągnie. 7 Określ próg reputacji, przy którym aplikacje będą uruchamiane w trybie izolowanym. Może być zaufane (domyślna wartość dla grupy reguł Bezpieczeństwo) Nieznane (domyślna wartość dla grupy reguł Zrównoważona) Może być złośliwe (domyślna wartość dla grupy reguł Wydajność) McAfee Endpoint Security 10.2 Podręcznik produktu 187

188 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Najprawdopodobniej złośliwe Znane jako złośliwe Próg reputacji dynamicznego izolowania aplikacji musi być wyższy niż progi blokowania i czyszczenia. Jeśli na przykład próg blokowania to Znane jako złośliwe, próg dynamicznego izolowania aplikacji musi być ustawiony na poziomie Najprawdopodobniej złośliwe lub wyższym. 8 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Konfigurowanie reguł izolowania zdefiniowanych przez firmę McAfee Reguły izolowania zdefiniowane przez firmę McAfee blokują lub rejestrują działania wykonywane przez izolowane aplikacje. Użytkownik może zmienić ustawienia blokowania i raportowania, jednak dokonywanie innych zmian ani usunięcie tych reguł nie jest możliwe. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Analiza zagrożeń programu Endpoint Security. 2 Otwórz Klient Endpoint Security. 3 Na głównej stronie Stan kliknij opcję Analiza zagrożeń. Alternatywnie w menu Akcja Analiza zagrożeń. wybierz opcję Ustawienia, a następnie na stronie Ustawienia kliknij opcję 4 Kliknij przycisk Wyświetl zaawansowane. 5 Kliknij Dynamiczne izolowanie aplikacji. 6 W sekcji Reguły izolowania wybierz opcję Blokuj, Raportuj lub obie dla danej reguły. Aby blokować lub raportować wszystkie, wybierz opcję Blokuj lub Raportuj w pierwszym wierszu. Aby wyłączyć regułę, usuń zaznaczenia zarówno opcji Blokuj, jak i Raportuj. 7 W sekcji Wykluczenia skonfiguruj pliki wykonywalne, które mają zostać wykluczone z modułu Dynamiczne izolowanie aplikacji. Procesy z listy Wykluczenia są uruchamiane w trybie normalnym (nieizolowanym). 8 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. Patrz także Wykluczanie procesów z modułu Dynamiczne izolowanie aplikacji na stronie 191 Reguły izolowania zdefiniowane przez firmę McAfee na stronie McAfee Endpoint Security 10.2 Podręcznik produktu

189 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Reguły izolowania zdefiniowane przez firmę McAfee Reguły izolowania zdefiniowane przez firmę McAfee określają, jakie zmiany izolowane aplikacje mogą wprowadzać w danym systemie. Użytkownik może zmienić ustawienia blokowania i raportowania, jednak dokonywanie innych modyfikacji ani usunięcie tych reguł nie jest możliwe. Uzyskiwanie dostępu do niezabezpieczonych skrótów LM hasła Uzyskiwanie dostępu do lokalizacji plików cookie użytkownika Przydzielanie pamięci w innym procesie Tworzenie wątku w innym procesie Tworzenie plików w dowolnej lokalizacji sieciowej Tworzenie plików na dyskach CD, dyskietkach i dyskach wymiennych Tworzenie plików z rozszerzeniem.bat Tworzenie plików z rozszerzeniem.exe Tworzenie plików z rozszerzeniem.html,.jpg lub.bmp Tworzenie plików z rozszerzeniem.job Tworzenie plików z rozszerzeniem.vbs Tworzenie nowych elementów CLSID, APPID i TYPELIB Usuwanie plików najczęściej stanowiących cel złośliwego oprogramowania typu ransomware Wyłączanie plików wykonywalnych systemu operacyjnego o znaczeniu krytycznym Wykonywanie dowolnego procesu podrzędnego Modyfikowanie wpisów rejestru bibliotek DLL AppInit Modyfikowanie podkładek zgodności aplikacji Modyfikowanie lokalizacji rejestru i plików systemu Windows o znaczeniu krytycznym Modyfikowanie ustawień tła pulpitu Modyfikowanie skojarzeń rozszerzeń plików Modyfikowanie plików z rozszerzeniem.bat Modyfikowanie plików z rozszerzeniem.vbs Modyfikowanie wpisów rejestru opcji wykonywania pliku obrazu Modyfikowanie przenośnych plików wykonywalnych Modyfikowanie ustawień wygaszacza ekranu Modyfikowanie lokalizacji autostartu w rejestrze Modyfikowanie debugera automatycznego Modyfikowanie bitu atrybutu Ukryty Modyfikowanie bitu atrybutu Tylko do odczytu Modyfikowanie lokalizacji rejestru usług McAfee Endpoint Security 10.2 Podręcznik produktu 189

190 6 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń Modyfikowanie zasad Zapory systemu Windows Modyfikowanie folderu zadań systemu Windows Modyfikowanie zasad użytkownika Modyfikowanie folderów danych użytkowników Odczytywanie plików najczęściej stanowiących cel złośliwego oprogramowania typu ransomware Odczytywanie z pamięci innego procesu Odczytywanie lub modyfikowanie plików w dowolnej lokalizacji sieciowej Odczytywanie lub modyfikowanie plików na dyskach CD, dyskietkach i dyskach wymiennych Zawieszanie procesu Kończenie innego procesu Zapisywanie w pamięci innego procesu Zapisywanie do plików najczęściej stanowiących cel złośliwego oprogramowania typu ransomware Zarządzanie izolowanymi aplikacjami Gdy moduł Dynamiczne izolowanie aplikacji izoluje zaufaną aplikację, możliwe jest wykluczenie jej z izolacji za pomocą Klient Endpoint Security. Wykluczenie aplikacji powoduje jej uwolnienie, usunięcie z listy Izolowane aplikacje i dodanie do listy Wykluczenia, dzięki czemu nie będzie izolowana w przyszłości. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij opcję Analiza zagrożeń. Alternatywnie w menu Akcja Analiza zagrożeń. wybierz opcję Ustawienia, a następnie na stronie Ustawienia kliknij opcję 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Dynamiczne izolowanie aplikacji. 5 W sekcji Izolowane aplikacje wybierz aplikację i kliknij przycisk Wyklucz. Aplikacja pojawi się na liście Wykluczenia. Aplikacja będzie widoczna na liście Izolowane aplikacje do czasu kliknięcia przycisku Zastosuj. Po powrocie do strony Ustawienia aplikacja będzie widoczna wyłącznie na liście Wykluczenia. 6 Kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. 190 McAfee Endpoint Security 10.2 Podręcznik produktu

191 Używanie modułu Analiza zagrożeń Zarządzanie modułem Analiza zagrożeń 6 Wykluczanie procesów z modułu Dynamiczne izolowanie aplikacji Jeśli zaufany program jest izolowany, można go wykluczyć poprzez utworzenie wykluczenia w module Dynamiczne izolowanie aplikacji. Wykluczenia utworzone za pomocą Klient Endpoint Security obowiązują wyłącznie w systemie klienckim. Wykluczenia te nie są przesyłane do systemu McAfee epo ani nie pojawiają się w sekcji Wykluczenia w ustawieniach Dynamicznego izolowania aplikacji. W przypadku systemów zarządzanych istnieje możliwość tworzenia wykluczeń globalnych w ustawieniach Dynamicznego izolowania aplikacji w systemie McAfee epo. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij opcję Analiza zagrożeń. Alternatywnie w menu Akcja Analiza zagrożeń. wybierz opcję Ustawienia, a następnie na stronie Ustawienia kliknij opcję 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Dynamiczne izolowanie aplikacji. 5 W sekcji Wykluczenia kliknij opcję Dodaj, aby dodać procesy do wykluczenia ze wszystkich reguł. 6 Na stronie Dodaj plik wykonywalny skonfiguruj właściwości pliku wykonywalnego. 7 Kliknij opcję Zapisz, a następnie Zastosuj, aby zapisać ustawienia. Konfiguracja opcji modułu Analiza zagrożeń Skorzystaj z ustawień, aby określić, kiedy plik lub certyfikat może zostać uruchomiony, kiedy będzie wyczyszczony lub zablokowany albo czy użytkownicy będą mogli decydować, jakie działanie podjąć. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Zmiany zasad z poziomu platformy McAfee epo zastępują zmiany wprowadzone na stronie Ustawienia. Zadanie Aby uzyskać więcej informacji o funkcjach produktu, korzystaniu z niego i dobrych praktykach, kliknij przycisk? lub Pomoc. 1 Otwórz Klient Endpoint Security. 2 Na głównej stronie Stan kliknij opcję Analiza zagrożeń. Alternatywnie w menu Akcja Analiza zagrożeń. wybierz opcję Ustawienia, a następnie na stronie Ustawienia kliknij opcję 3 Kliknij przycisk Wyświetl zaawansowane. 4 Kliknij Opcje. 5 Skonfiguruj ustawienia na stronie, następnie kliknij przycisk Zastosuj, aby zapisać wprowadzone zmiany, lub kliknij przycisk Anuluj. McAfee Endpoint Security 10.2 Podręcznik produktu 191