Worry-Free Business Security Advanced6

Transkrypt

1 TM Worry-Free Business Security Advanced6 for Small and Medium Business Podręcznik administratora

2

3 Firma Trend Micro Incorporated zastrzega sobie prawo do wprowadzania, bez wcześniejszej zapowiedzi, zmian w tym dokumencie oraz w opisanych w nim produktach. Przed zainstalowaniem i korzystaniem z oprogramowania należy zapoznać się z plikami readme, uwagami do wydania oraz najnowszą wersją właściwej dokumentacji użytkownika, które są dostępne w witrynie internetowej firmy Trend Micro pod adresem: Trend Micro, logo Trend Micro t-ball, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan i ScanMail są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Trend Micro Incorporated. Pozostałe nazwy produktów i firm mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi odpowiednich właścicieli. Copyright Trend Micro Incorporated. Wszelkie prawa zastrzeżone. Numer katalogowy dokumentu: WAEM64048/90311 Data wydania: Maj 2009 Nazwa produktu i numer wersji: Trend Micro Worry-Free Business Security Advanced 6.0 Podlega ochronie patentami USA o numerach: i

4 W dokumentacji użytkownika do programu Trend Micro Worry-Free Business Security Advanced omówiono podstawowe funkcje tego oprogramowania i zamieszczono instrukcję jego instalacji w środowisku produkcyjnym. Należy go przeczytać przed zainstalowaniem lub rozpoczęciem użytkowania oprogramowania. Szczegółowe informacje na temat korzystania z poszczególnych funkcji oprogramowania znajdują się w pliku pomocy elektronicznej oraz w elektronicznej Bazie wiedzy, dostępnej w witrynie internetowej firmy Trend Micro.

5 Spis treści Spis treści Rozdział 1: Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Omówienie programu Trend Micro Worry-Free Business Security Advanced Co nowego w tej wersji Kluczowe funkcje Infrastruktura Trend Micro Smart Protection Network Smart Feedback Web Reputation Reputation Reputacja plików Filtrowanie adresów URL Zalety ochrony Składniki Informacje o zagrożeniach Terminologia związana ze składnikami produktu Rozdział 2: Wprowadzenie Dostęp do konsoli internetowej Stan aktywności Wyświetlanie ustawień zabezpieczeń Rozdział 3: Instalowanie agentów Omówienie instalacji agentów Omówienie instalacji/uaktualniania/migracji agentów Wykonywanie nowej instalacji Instalowanie z wewnętrznej strony internetowej iii

6 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Instalowanie za pomocą skryptu logowania Instalowanie przy użyciu skryptów Instalowanie za pomocą narzędzia Client Packager Instalowanie za pomocą pliku MSI Instalowanie za pomocą instalacji zdalnej Instalowanie za pomocą narzędzia Vulnerability Scanner Instalowanie za pomocą powiadomienia Instalowanie programu MSA z poziomu konsoli internetowej Weryfikowanie instalacji, uaktualnienia lub migracji agenta Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner Testowanie instalacji klienta za pomocą skryptu testowego EICAR Usuwanie agentów Usuwanie agenta przy użyciu programu do odinstalowywania agentów Usuwanie agenta za pomocą konsoli internetowej Usuwanie agenta z serwerów Exchange Uruchamianie programu do odinstalowywania programów Messaging Security Agent Rozdział 4: Zarządzanie grupami Omówienie grup Wyświetlanie klientów w grupie Dodawanie grup Usuwanie komputerów i grup z konsoli internetowej Dodawanie klientów do grup Przenoszenie klientów Replikowanie ustawień grup Importowanie i eksportowanie ustawień iv

7 Spis treści Rozdział 5: Zarządzanie podstawowymi ustawieniami zabezpieczeń Opcje dla grup komputerów i serwerów Informacje dotyczące typów skanowania Konfigurowanie skanowania w czasie rzeczywistym Zarządzanie zaporą System wykrywania włamań (IDS) Kontrola stanowa Konfigurowanie zapory Korzystanie z usługi Web Reputation Konfigurowanie usługi Web Reputation Konfigurowanie filtrowania adresów URL Korzystanie z monitorowania zachowania Konfigurowanie monitorowania zachowania TrendSecure Konfigurowanie usługi TrendSecure Zarządzanie skanowaniem poczty POP Konfigurowanie skanowania poczty Uprawnienia klienta Zarządzanie kwarantanną Rozdział 6: Zarządzanie programem Messaging Security Agent Informacje o programie Messaging Security Agent Operacje programu MSA Zaawansowane skanowanie makr Opcje programu Messaging Security Agent, które można konfigurować Domyślne ustawienia programu Messaging Security Agent v

8 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Antywirus Konfigurowanie skanowania w czasie rzeczywistym dla programów Messaging Security Agent Antyspam Konfigurowanie usługi Reputation Skanowanie zawartości Listy dozwolonych i zablokowanych nadawców Konfigurowanie skanowania zawartości Filtrowanie zawartości Słowa kluczowe Wyrażenia regularne Wyświetlanie reguł filtrowania zawartości Dodawanie/edytowanie reguł filtrowania zawartości Zmiana kolejności reguł Blokowanie załączników Konfigurowanie blokowania załączników Monitor w czasie rzeczywistym Folder kwarantanny programu Messaging Security Agent Konfigurowanie katalogów kwarantanny Tworzenie zapytań dotyczących katalogów kwarantanny Obsługa katalogów kwarantanny Zarządzanie narzędziem End User Quarantine Operacje Ustawienia powiadamiania Obsługa wiadomości typu spam Pomoc techniczna firmy Trend Micro/Diagnostyka Dodawanie serwerów Microsoft Exchange do drzewa grup zabezpieczeń Usuwanie serwerów Microsoft Exchange z konsoli internetowej Replikowanie ustawień na serwerach Microsoft Exchange Dodawanie informacji o wykluczeniu odpowiedzialności do wychodzących wiadomości vi

9 Spis treści Rozdział 7: Korzystanie z funkcji Ochrona przed epidemią Strategia ochrony przed epidemią Bieżący stan funkcji Ochrona przed epidemią Czyszczenie zagrożeń Potencjalne zagrożenie Uruchamianie funkcji Wyczyść teraz Konfigurowanie funkcji Ochrona przed epidemią Konfigurowanie opcji funkcji Ochrona przed epidemią Wyświetlanie szczegółów dotyczących Automatycznej ochrony przed epidemią Konfigurowanie ustawień oceny narażenia na atak Rozdział 8: Zarządzenie skanowaniami Skanowanie informacje Metody skanowania Wybieranie metody skanowania Typy skanowania Konfiguracja opcji skanowania ręcznego i zaplanowanego Edycja listy dozwolonych programów typu spyware/grayware Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange Planowanie skanowania Rozdział 9: Zarządzanie powiadomieniami Powiadomienia informacje Konfigurowanie zdarzeń dla powiadomień Dostosowywanie alarmów powiadomień Konfigurowanie ustawień powiadamiania Konfigurowanie ustawień powiadomień dla serwerów Microsoft Exchange vii

10 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Rozdział 10: Zarządzanie ustawieniami globalnymi Konfigurowanie preferencji globalnych Opcje internetowego serwera proxy Opcje serwera SMTP Opcje komputera/serwera Opcje systemowe Rozdział 11: Zarządzanie aktualizacjami Aktualizacja składników ActiveUpdate informacje Składniki, które można aktualizować Aktualizacja programu Security Server Źródła aktualizacji Konfigurowanie źródła aktualizacji Korzystanie z agentów aktualizacji Aktualizacje ręczne Ręczne aktualizowanie składników Aktualizacje zaplanowane Planowanie aktualizacji składników Wycofywanie lub synchronizacja składników Pakiety hot fix, poprawki i dodatki Service Pack Rozdział 12: Korzystanie z dzienników i raportów Dzienniki Korzystanie z kwerendy dziennika Raporty Interpretowanie raportów Generowanie raportów Zarządzanie dziennikami i raportami Obsługa raportów viii

11 Spis treści Usuwanie dzienników Rozdział 13: Administrowanie programem WFBS-A Zmiana hasła konsoli internetowej Praca z Menedżerem dodatków Wyświetlanie szczegółów licencji produktu Uczestnictwo w infrastrukturze Smart Protection Network Zmiana języka interfejsu agenta Dezinstalacja programu Trend Micro Security Server Dodatek A: Lista wykluczeń produktów Trend Micro Lista wykluczeń dla serwerów Microsoft Exchange... A-5 Dodatek B: Informacje o kliencie Typy klientów...b-2 Ikony klientów zwykłych...b-2 Rozpoznawanie lokalizacji...b-7 Klienty mobilne...b-7 Klienty 32- i 64-bitowe...B-9 Dodatek C: Usługi firmy Trend Micro Reguły ochrony przed epidemią firmy Trend Micro...C-2 Usługi Trend Micro Damage Cleanup Services...C-2 Ocena narażenia na atak firmy Trend Micro...C-4 Trend Micro IntelliScan...C-4 Trend Micro ActiveAction...C-5 Mechanizm Trend Micro IntelliTrap...C-7 Usługi Trend Micro Reputation...C-8 ix

12 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Usługa Trend Micro Web Reputation... C-9 Dodatek D: Najlepsze sposoby zabezpieczania klientów Najlepsze sposoby...d-2 Dodatek E: Używanie narzędzi administracyjnych i klienckich Typy narzędzi... E-2 Narzędzia administracyjne... E-3 Ustawienia skryptu logowania... E-3 Vulnerability Scanner... E-3 Korzystanie z narzędzia Vulnerability Scanner... E-5 Remote Manager Agent... E-9 Narzędzia klienckie... E-9 Client Packager... E-9 Przywracanie zaszyfrowanych wirusów... E-9 Narzędzie Touch Tool...E-12 Narzędzie Client Mover...E-13 Dodatki...E-15 Instalowanie dodatków SBS i EBS...E-15 Dodatek F: Rozwiązywanie problemów i często zadawane pytania Rozwiązywanie problemów...f-2 Nie można replikować ustawień programu Messaging Security Agent... F-10 Często zadawane pytania (FAQ)... F-11 Gdzie znaleźć kod aktywacyjny i klucz rejestracyjny?... F-11 Rejestracja... F-12 Instalacja, uaktualnianie i zgodność... F-12 Jak mogę odzyskać zgubione lub zapomniane hasło?... F-13 Ochrona oprogramowania Intuit... F-13 Konfigurowanie ustawień... F-13 x

13 Spis treści Czy mam najnowszy plik sygnatur lub dodatek Service Pack?...F-16 Skanowanie inteligentne Smart Scan...F-16 Znane problemy...f-17 Dodatek G: Uzyskiwanie pomocy Dokumentacja produktu...g-2 Baza wiedzy...g-3 Pomoc techniczna...g-3 Kontakt z firmą Trend Micro...G-4 Przesyłanie podejrzanych plików do firmy Trend Micro...G-5 Centrum informacji o wirusach firmy Trend Micro...G-5 TrendLabs informacje...g-6 Dodatek H: Glosariusz Indeks xi

14 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora xii

15 Rozdział 1 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Ten rozdział zawiera omówienie najważniejszych funkcji i możliwości programu Trend Micro Worry-Free Business Security Advanced (WFBS-A). Rozdział obejmuje następujące zagadnienia: Omówienie programu Trend Micro Worry-Free Business Security Advanced na str. 1-2 Co nowego w tej wersji na str. 1-2 Kluczowe funkcje na str. 1-4 Zalety ochrony na str. 1-7 Informacje o zagrożeniach na str Terminologia związana ze składnikami produktu na str

16 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Omówienie programu Trend Micro Worry-Free Business Security Advanced Program Trend Micro Worry-Free Business Security Advanced (WFBS-A) zabezpiecza użytkowników i zasoby w małych firmach przed kradzieżą danych, kradzieżą tożsamości, niebezpiecznymi witrynami internetowymi oraz spamem. Wyposażony wfunkcję Trend Micro Smart Protection Network program Worry-Free Business Security Advanced zapewnia: Bezpieczeństwo: zatrzymuje wirusy, spyware, spam i zagrożenia internetowe, zanim dotrą one do komputerów lub serwerów. Funkcja filtrowania adresów URL blokuje dostęp do niebezpiecznych witryn internetowych i pomaga zwiększyć produktywność użytkowników. Inteligentne działanie: szybkie skanowanie i ciągłość aktualizacji chronią przed nowymi zagrożeniami przy minimalnym wpływie na działanie komputerów użytkowników. Prostsze korzystanie: łatwa instalacja i zerowa administracja. Program WFBS-A wykrywa zagrożenia bardziej skutecznie, dzięki czemu można skoncentrować się na działalności firmy zamiast na problemach bezpieczeństwa. Co nowego w tej wersji Skanowanie inteligentne Smart Scan: Inteligentne skanowanie przenosi funkcje skanowania w poszukiwaniu złośliwego oprogramowania i oprogramowania typu spyware na serwer skanowania. Dzięki tej funkcji, wielkość plików klienta jest niewielka i zmniejsza się konieczność ciągłego pobierania aktualizacji przez klientów, co z kolei ogranicza negatywne skutki niespotykanego tempa publikowanych obecnie zagrożeń. Poprzez dostarczanie rozwiązań na serwer zamiast aktualizowania poszczególnych klientów, usługa inteligentnego skanowania zapewnia prawie natychmiast ochronę uwzględniającą najnowsze aktualizacje. Filtrowanie zawartości witryn internetowych na podstawie adresów URL: Rozwiązania firmy Trend Micro umożliwiają blokowanie witryn internetowych zawierających nieodpowiednią zawartość. Filtrowanie adresów URL pomaga zwiększyć wydajność pracowników, zabezpieczyć zasoby sieciowe i chronić poufne informacje. 1-2

17 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Integracja z infrastrukturą Smart Protection Network: Trend Micro Smart Protection Network to zbiór technologii gromadzących różne informacje o zagrożeniach internetowych i zapewniających aktualną ochronę przed najnowszymi zagrożeniami. Funkcje filtrowania adresów URL, Web Reputation i skanowania inteligentnego stanowią integralną część infrastruktury Trend Micro Smart Protection Network. Łatwiejszy w obsłudze pulpit Stan aktywności: Pulpit Stan aktywności jest teraz jeszcze bardziej czytelny. Zintegrowana instalacja z programem Worry-Free Remote Manager 2.1: Sprzedawcy mogą teraz instalować program Worry-Free Remote Manager Agent, który pozwala zdalnie zarządzać zainstalowanym programem WFBS-A Security Server. Nowy interfejs graficzny narzędzia kwarantanny: Łatwiejsza obsługa kwarantanny. Zróżnicowane skanowanie w oparciu o obciążenie procesora: Elastyczność zapewniająca wydajne skanowanie przy wysokim obciążeniu procesora. Program WFBS-A obsługuje teraz różne poziomy obciążenia procesora imoże być konfigurowany tak, aby wstrzymywał działanie podczas okresów dużego obciążenia. Ochrona przed zagrożeniami związanymi z funkcją automatycznego uruchamiania programów na dyskach USB: Uniemożliwia automatyczne uruchamianie plików na dyskach USB w przypadku, gdy dysk jest podłączony do portu USB na komputerze klienckim. 1-3

18 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Kluczowe funkcje Przykładem funkcji tej wersji produktu jest lepsza integracja z infrastrukturą Trend Micro Smart Protection Network. Infrastruktura Trend Micro Smart Protection Network Trend Micro Smart Protection Network to działająca w otoczeniu internetowym infrastruktura zabezpieczeń zawartości klienta, zaprojektowana w celu ochrony klientów przed zagrożeniami internetowymi. Poniżej przedstawiono najważniejsze elementy infrastruktury Smart Protection Network. Smart Feedback Funkcja Trend Micro Smart Feedback zapewnia stałą komunikację pomiędzy produktami firmy Trend Micro oraz działającymi nieprzerwanie centrami badań nad zagrożeniami i technologiami. Każde nowe zagrożenie zidentyfikowane zgodnie zrutynową procedurą sprawdzania reputacji klienta powoduje automatyczną aktualizację wszystkich baz danych zagrożeń firmy Trend Micro w celu ochrony przed tym zagrożeniem kolejnych klientów. Nieustannie usprawniając procedury identyfikacji zagrożeń za pośrednictwem rozległej globalnej sieci klientów i partnerów biznesowych, firma Trend Micro zapewnia automatyczną ochronę w czasie rzeczywistym przed najnowszymi zagrożeniami i lepsze zabezpieczenia, podobnie jak straż sąsiedzka chroni członków lokalnej społeczności. Z uwagi na fakt, że informacje zebrane o zagrożeniu oparte są na reputacji źródła komunikacji, a nie na zawartości określonej korespondencji, prywatność informacji osobistych i firmowych klienta jest zawsze chroniona. 1-4

19 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Web Reputation Technologia Web Reputation korzysta z jednej z największych na świecie baz danych reputacji domen, określając wiarygodność konkretnych domen internetowych na podstawie przyznawanej im oceny punktowej, ustalanej w oparciu o takie czynniki, jak wiek witryny, historyczne zmiany lokalizacji oraz ślady podejrzanych działań odkryte za pomocą analizy złośliwego zachowania. Następnie kontynuowane jest skanowanie witryn i blokowanie dostępu użytkowników do zainfekowanych stron. Aby zwiększyć precyzję iograniczyć liczbę fałszywych alarmów, technologia Trend Micro Web Reputation ocenia poszczególne strony i łącza w witrynach internetowych, zamiast klasyfikować lub blokować całe witryny, ponieważ często tylko fragmenty legalnych witryn są atakowane przez hakerów, a ich reputacja zmienia się dynamicznie. Reputation Technologia Trend Micro Reputation sprawdza adresy IP, korzystając z bazy danych reputacji znanych źródeł spamu i dynamicznej usługi oceniającej reputację nadawcy wiadomości w czasie rzeczywistym. Oceny reputacji są korygowane na podstawie nieustannej analizy zachowania adresów IP, stopnia aktywności i danych historycznych. Złośliwe wiadomości są blokowane jeszcze po stronie Internetu na podstawie adresu IP nadawcy, dzięki czemu pliki typu zombi lub botnet nie docierają w ogóle do sieci lub komputera użytkownika. Reputacja plików Technologia reputacji plików, opracowana przez firmę Trend Micro, umożliwia sprawdzanie reputacji każdego pliku przy użyciu rozległej, internetowej bazy danych przed zezwoleniem użytkownikom na dostęp. Informacje dotyczące złośliwego oprogramowania są przechowywane w otoczeniu internetowym, dlatego są one natychmiast dostępne dla wszystkich użytkowników. Wydajne sieci dostarczania zawartości i lokalne serwery buforujące redukują opóźnienie podczas procesu kontroli do minimum. Architektura typu otoczenie internetowe-klient zapewnia szybszą ochronę, eliminuje obciążenie związane z wdrażaniem plików sygnatur i umożliwia znaczne zmniejszenie ilości zasobów wykorzystywanych przez klienty. 1-5

20 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Skanowanie inteligentne Program Trend Micro Worry-Free Business Security Advanced korzysta z nowej technologii nazywanej skanowaniem inteligentnym (Smart Scan). W przeszłości klienty programu WFBS-A korzystały ze skanowania tradycyjnego, co związane było z koniecznością pobierania przez każdego klienta składników wymaganych do skanowania. Dzięki technologii skanowania inteligentnego Smart Scan, klient korzysta z pliku sygnatur znajdującego się na serwerze Smart Scan. Zalety skanowania inteligentnego: Redukcja zasobów sprzętowych: tylko zasoby serwera skanowania są używane do skanowania plików. Filtrowanie adresów URL Funkcja filtrowania adresów URL pomaga w kontrolowaniu dostępu do witryn internetowych w celu zwiększenia produktywności pracowników, ograniczenia zużycia przepustowości połączenia internetowego i tworzenia bezpieczniejszego środowiska roboczego. Można wybrać poziom filtrowania adresów URL lub dostosować listę blokowanych witryn internetowych. 1-6

21 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Zalety ochrony W poniższej tabeli przedstawiono, w jaki sposób różne składniki programu WFBS-A chronią komputery przed zagrożeniami. TABELA 1-1. Zalety ochrony ZAGROŻENIE OCHRONA Wirusy/złośliwe oprogramowanie. Wirusy, trojany, robaki, umyślnie utworzone luki w zabezpieczeniach i oprogramowanie typu rootkit Spyware/grayware. Spyware, dialery, narzędzia hakerskie, programy do łamania haseł, adware, programy-żarty i keyloggery Wirusy, złośliwe oprogramowanie oraz oprogramowanie typu spyware i grayware przesyłane w wiadomościach oraz spam Robaki sieciowe i wirusy Włamania Potencjalnie szkodliwe strony internetowe i witryny phishingowe Złośliwe zachowanie Fałszywe punkty dostępu Mechanizmy skanowania w poszukiwaniu wirusów i spyware przy użyciu plików sygnatur w programie Client/Server Security Agent i programie Messaging Security Agent Skanowanie poczty POP3 w programie Client/Server Security Agent i skanowanie poczty IMAP w programie Messaging Security Agent Ochrona serwerów Microsoft Exchange za pomocą programu Messaging Security Agent Zapora w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Funkcje Web Reputation i TrendProtect w programie Client/Server Security Agent Funkcja Monitorowanie zachowania programu Client/Server Security Agent Narzędzie Transaction Protector programu Client/Server Security Agent 1-7

22 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 1-1. Zalety ochrony (ciąg dalszy) ZAGROŻENIE OCHRONA Obraźliwa lub poufna treść przesyłana za pomocą komunikatorów internetowych Funkcja Filtrowanie treści przesyłanych przez komunikatory internetowe przez program Client/Server Security Agent Składniki Antywirus Silnik skanowania (32-bitowy/64-bitowy) programu Client/Server Security Agent i Messaging Security Agent: silnik skanowania wykorzystuje plik sygnatur wirusów do wykrywania wirusów, złośliwego oprogramowania i innych zagrożeń bezpieczeństwa plików, które są otwierane i/lub zapisywane przez użytkowników. Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści do spraw wirusów w firmie Trend Micro umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. Plik sygnatur wirusów: plik pomagający programowi Security Agent zidentyfikować sygnatury wirusów unikatowe sekwencje bitów i bajtów, które sygnalizują obecność wirusa. Szablon czyszczenia wirusów: używany przez silnik czyszczenia wirusów pomaga w identyfikacji plików i procesów trojanów, robaków i programów typu spyware/grayware oraz umożliwia silnikowi ich eliminację. Silnik czyszczenia wirusów (32-bitowy/64-bitowy): silnik używany przez usługi czyszczenia do wykrywania i usuwania plików i procesów trojanów, robaków oraz programów typu spyware/grayware. Sygnatura wyjątków technologii IntelliTrap: sygnatura wyjątków używana przez mechanizm IntelliTrap i silniki skanowania do poszukiwania złośliwego kodu w skompresowanych plikach. 1-8

23 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Sygnatura IntelliTrap: sygnatura używana przez mechanizm IntelliTrap i silniki skanowania do poszukiwania złośliwego kodu w skompresowanych plikach. Sygnatura programu Smart Scan Agent : plik sygnatur używany przez klienta do identyfikacji zagrożeń. Jest on przechowywany na komputerze z agentem. 32-bitowy i 64-bitowy silnik zbierania informacji: silnik służący do wysyłania informacji do infrastruktury Trend Micro Smart Protection Network. Sygnatura inteligentnego skanowania: plik sygnatur zawierający dane specyficzne dla plików znajdujących się na komputerach klienckich. Antyspyware Silnik skanowania w poszukiwaniu spyware (32-bitowy): odrębny silnik skanowania, skanujący w poszukiwaniu spyware/grayware, wykrywający je iusuwający z zainfekowanych komputerów i serwerów pracujących pod kontrolą 32-bitowych (i386) systemów operacyjnych. Silnik skanowania w poszukiwaniu spyware (64-bitowy): podobny do silnika skanowania w poszukiwaniu spyware/grayware dla systemów 32-bitowych, prowadzący skanowanie pod kątem spyware, wykrywający je i usuwający z 64-bitowych (x64) systemów operacyjnych. Sygnatura spyware: plik zawierający znane sygnatury spyware używany przez silniki skanowania w poszukiwaniu spyware (zarówno 32-bitowe, jak i 64-bitowe) do wykrywania programów spyware/grayware na komputerach i serwerach podczas skanowania ręcznego i zaplanowanego. Sygnatura aktywnego monitorowania spyware: moduł podobny do sygnatury spyware, ale używany przez silnik skanowania podczas skanowania w poszukiwaniu spyware. Antyspam Silnik antyspamowy (32-bitowy/64-bitowy): wykrywa niezamówioną pocztę reklamową (UCE) lub masową (UBE), znaną także pod nazwą spamu. Sygnatura antyspamowa: zawiera definicje spamu umożliwiające wykrywanie spamu przez silnik antyspamowy w wiadomościach . Usługa Reputation (ERS): zatrzymuje znaczną ilość spamu, zanim dotrze on do bramy i doprowadzi do obciążenia infrastruktury przesyłania wiadomości. 1-9

24 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Ochrona przed epidemią Funkcja Ochrona przed epidemią zapewnia wczesne ostrzeganie o zagrożeniu internetowym lub innej epidemii na skalę światową. Funkcja ta reaguje automatycznie, stosując czynności zapobiegawcze chroniące komputery i sieć. Następnie wykonuje czynności zabezpieczające mające na celu zidentyfikowanie problemu i naprawienie uszkodzeń. Sygnatura narażenia na atak: plik zawierający bazę danych wszystkich luk w zabezpieczeniach. Zawiera ona instrukcje dla silnika skanowania, który wyszukuje znane luki w zabezpieczeniach. Wirus sieciowy Ogólny silnik zapory (32-bitowy/64-bitowy): zapora wykorzystuje ten silnik wraz z plikiem sygnatur wirusów sieciowych do ochrony komputerów przed atakami hakerów i wirusów sieciowych. Ogólna sygnatura zapory: podobnie jak plik sygnatur wirusów, plik ten umożliwia programowi WFBS-A identyfikowanie sygnatur wirusów sieciowych. Sterownik TDI (32-bitowy/64-bitowy): moduł przekierowujący ruch sieciowy do modułów skanowania. Sterownik WFP (32-bitowy/64-bitowy): w przypadku klientów z systemem Windows Vista, zapora używa tego sterownika wraz z plikiem sygnatur wirusów sieciowych do skanowania w poszukiwaniu wirusów sieciowych. Web Reputation Baza danych Trend Micro Security: usługa Web Reputation ocenia potencjalne zagrożenie bezpieczeństwa ze strony żądanej witryny internetowej przed jej wyświetleniem. W zależności od oceny zwróconej przez bazę danych i skonfigurowanego poziomu zabezpieczeń, program Client/Server Security Agent zablokuje lub zatwierdzi żądanie. Silnik filtrowania adresów URL (32-bitowy/64-bitowy): silnik wykonujący zapytania do bazy danych Trend Micro Security w celu oceny strony. 1-10

25 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced TrendProtect Baza danych Trend Micro Security: narzędzie TrendProtect ocenia potencjalne zagrożenie bezpieczeństwa ze strony hiperłączy wyświetlanych na stronie internetowej. W zależności od oceny zwróconej przez bazę danych i poziomu zabezpieczeń skonfigurowanego w dodatku przeglądarki, ten dodatek dokona oceny łącza. Ochrona oprogramowania Lista zabezpieczeń oprogramowania: chronione pliki programów (EXE i DLL) nie mogą być modyfikowane lub usuwane. Aby odinstalować, zaktualizować lub uaktualnić program, należy tymczasowo wyłączyć zabezpieczenie folderu. Monitorowanie zachowań Sterownik funkcji monitorowania zachowania: te sterowniki wykrywają zachowanie procesów na klientach. Główna usługa monitorowania zachowania: program CSA używa tej usługi do obsługi sterowników głównego monitora zachowania. Sygnatura stosowania reguł: lista reguł skonfigurowanych w programie Security Server, które muszą być wymuszane przez agentów. Sygnatura podpisu cyfrowego: lista firm zaakceptowanych przez firmę Trend Micro, których oprogramowanie może być bezpiecznie używane. Sygnatura konfiguracji funkcji monitorowania zachowania: ta sygnatura zawiera domyślne reguły monitorowania zachowania. Pliki w tej sygnaturze będą pomijane przez wszystkie reguły. Sygnatura wykrywania funkcji monitorowania zachowania: sygnatura zawierająca reguły do wykrywania podejrzanego zachowania. Narzędzie Transaction Protector Narzędzie Wi-Fi Advisor: sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. 1-11

26 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Filtrowanie zawartości Lista zastrzeżonych słów/wyrażeń: lista zastrzeżonych słów/wyrażeń zawiera słowa i wyrażenia, które nie mogą być przesyłane poprzez aplikacje do obsługi wiadomości błyskawicznych. Stan aktywności i powiadomienia Funkcja Stan aktywności zapewnia natychmiastowy przegląd stanu zabezpieczeń funkcji Ochrona przed epidemią, Antywirus, Oprogramowanie antyspyware i Wirusy sieciowe. Jeżeli program WFBS-A chroni serwery Microsoft Exchange, można również wyświetlać stan ochrony przed spamem. Podobnie program WFBS-A może przesyłać do administratorów powiadomienia o wystąpieniu znaczących zdarzeń. Informacje o zagrożeniach Bezpieczeństwo komputerów jest dziedziną podlegającą szybkim zmianom. Administratorzy i specjaliści od bezpieczeństwa informacji wymyślają iprzyjmują wiele różnych określeń w celu opisania potencjalnych zagrożeń iniepożądanych zdarzeń dotyczących komputerów i sieci. Poniżej znajduje się omówienie tych określeń iich znaczenie zastosowane w tym dokumencie. Wirusy/złośliwe oprogramowanie Wirus komputerowy/złośliwe oprogramowanie to program fragment wykonywalnego kodu który ma unikatową zdolność do replikacji. Wirusy/złośliwe oprogramowanie mogą dołączać się do niemal dowolnego typu pliku wykonywalnego i rozprzestrzeniać się jako pliki przesyłane pomiędzy użytkownikami komputerów. Poza zdolnością do replikacji niektóre wirusy/złośliwe oprogramowanie mają inne cechy wspólne: ich zawartość powoduje szkody. Choć wirusy czasami wyświetlają tylko komunikaty lub obrazy, mogą one również niszczyć pliki, sformatować dysk twardy albo spowodować inne straty. Złośliwe oprogramowanie: złośliwe oprogramowanie zostało zaprojektowane w celu infiltracji lub uszkodzenia systemu komputerowego bez świadomej zgody właściciela. 1-12

27 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Trojany: trojan jest złośliwym programem podszywającym się pod nieszkodliwą aplikację. W przeciwieństwie do wirusów/złośliwego oprogramowania, trojany nie powielają się automatycznie, jednakże potrafią być równie szkodliwe. Aplikacja, która ma według autora usuwać wirusy/złośliwe oprogramowanie z komputera, a w istocie wprowadza wirusy/złośliwe oprogramowanie, jest przykładem trojana. Robaki: robak komputerowy to samodzielny program (lub zbiór programów), który ma zdolność rozpowszechniania własnych funkcjonalnych kopii lub własnych segmentów na inne systemy komputerowe. Rozpowszechnianie zazwyczaj ma miejsce przez połączenia sieciowe lub przez załączniki wiadomości . Wprzeciwieństwie do wirusów/złośliwego oprogramowania robaki nie muszą dołączać się do programów-nosicieli. Umyślnie utworzone luki w zabezpieczeniach: umyślnie utworzona luka w zabezpieczeniach to metoda pomijania normalnego uwierzytelniania, zabezpieczenia zdalnego dostępu do komputera i/lub uzyskiwania dostępu do informacji bez zostania wykrytym. Oprogramowanie typu rootkit: rootkit to zestaw programów, stworzonych w celu zakłócenia prawidłowej kontroli użytkowników nad systemem operacyjnym. Zwykle oprogramowanie typu rootkit ukrywa swoją instalację i próbuje zapobiec swojemu wykryciu poprzez podwersję standardowych zabezpieczeń systemu. Wirusy makr: wirusy makr są związane z konkretnymi aplikacjami. Wirusy te rezydują w plikach aplikacji, takich jak Microsoft Word (.doc) i Microsoft Excel (.xls). W związku z tym można je wykryć w plikach o rozszerzeniach typowych dla aplikacji obsługujących makra, takich jak.doc,.xls czy.ppt. Wirusy makr przemieszczają się pomiędzy plikami danych w aplikacji i jeśli nie zostaną powstrzymane, mogą ostatecznie zarazić setki plików. Programy pełniące rolę agentów (Client/Server Security Agent i Messaging Security Agent) na komputerach klienckich mogą wykrywać wirusy/złośliwe oprogramowanie podczas skanowania antywirusowego. Zalecaną przez firmę Trend Micro operacją w przypadku wirusów/złośliwego oprogramowania jest czyszczenie. Spyware/grayware Oprogramowanie typu grayware to programy wykonujące nieoczekiwane lub nieautoryzowane operacje. Jest to ogólne określenie obejmujące spyware, adware, dialery, programy-żarty, narzędzia dostępu zdalnego oraz inne niepożądane pliki iprogramy. Zależnie od typu, takie oprogramowanie może, ale nie musi, zawierać replikujący się lub niereplikujący się złośliwy kod. 1-13

28 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Spyware: spyware to oprogramowanie komputerowe, które jest instalowane na komputerze bez zgody lub wiedzy użytkownika i gromadzi oraz przesyła informacje osobiste. Dialery: dialery są niezbędne w celu łączenia się z Internetem za pomocą linii telefonicznej. Złośliwe dialery są tworzone w celu łączenia poprzez numery o podwyższonych stawkach, zamiast bezpośrednio z usługodawcą internetowym. Dostawcy takich złośliwych dialerów zarabiają dodatkowe pieniądze. Inne sposoby użycia dialerów obejmują przesyłanie informacji osobistych i pobieranie złośliwego oprogramowania. Narzędzia hakerskie: narzędzie hakerskie to program lub zestaw programów przeznaczonych do pomocy podczas włamań. Adware: adware lub oprogramowanie wspierające reklamy to dowolny pakiet oprogramowania, który automatycznie odtwarza, wyświetla lub pobiera materiały reklamowe na komputer po zainstalowaniu oprogramowania lub podczas korzystania z niego. Keyloggery: keylogger to oprogramowanie komputerowe, które rejestruje wszystkie znaki wpisywane przez użytkownika. Haker może następnie pobrać te informacje i wykorzystać do własnych celów. Boty: bot (skrót od słowa robot ) to program działający jako agent użytkownika lub innego programu bądź symulujący ludzką aktywność. Uruchomiony bot może się replikować, kompresować i rozpowszechniać swoje kopie. Boty mogą służyć do koordynacji zautomatyzowanego ataku na komputery w sieci. Programy Client/Server Security Agent i Messaging Security Agent mogą wykrywać oprogramowanie grayware. Zalecaną przez firmę Trend Micro operacją wprzypadku oprogramowania typu spyware/grayware jest czyszczenie. Wirusy sieciowe Wirus rozpowszechniający się przez sieć nie jest, ściśle rzecz biorąc, wirusem sieciowym. Jedynie kilka wspomnianych w tej sekcji zagrożeń, takich jak robaki, zalicza się do wirusów sieciowych. Wirusy sieciowe używają do replikacji protokołów sieciowych, takich jak TCP, FTP, UDP, HTTP, i protokołów . Zapora umożliwia identyfikację i blokowanie wirusów sieciowych na podstawie pliku sygnatur wirusów. 1-14

29 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Spam Spam obejmuje niezamówione wiadomości (wiadomości-śmieci), często o charakterze reklamowym, wysyłane masowo na wiele list pocztowych, do pojedynczych osób i grup dyskusyjnych. Istnieją dwa rodzaje spamu: niezamawiana poczta reklamowa (UCE) i niezamawiana poczta masowa (UBE). Włamania Włamanie oznacza próbę uzyskania dostępu do sieci lub komputera metodą siłową lub bez uprawnienia. Określenie to może także oznaczać pominięcie zabezpieczeń sieci lub komputera. Złośliwe zachowanie Złośliwe zachowanie oznacza nieautoryzowane zmiany dokonane przez oprogramowanie w systemie operacyjnym, wpisach rejestru, innych programach bądź plikach i folderach. Fałszywe punkty dostępu Fałszywe punkty dostępu, znane także w żargonie jako złe bliźniaki, to punkty dostępu Wi-Fi, które wydają się być prawidłowe, ale zostały skonfigurowane przez hakera w celu podsłuchiwania komunikacji bezprzewodowej. Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Tekst przesyłany za pomocą aplikacji do obsługi wiadomości błyskawicznych, tzw. komunikatorów internetowych, stanowiący treści obraźliwe lub zastrzeżone przez daną organizację (poufne). Mogą to być na przykład poufne informacje firmowe. Programy nasłuchujące naciskane klawisze w trybie online Wersja online keyloggerów. Patrz Spyware/grayware na str. 1-13, aby uzyskać więcej informacji. 1-15

30 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Narzędzia do kompresji Narzędzia do kompresji to narzędzia służące do tzw. pakowania programów wykonywalnych. Skompresowanie programu sprawia, że kod zawarty w pliku wykonywalnym jest trudniejszy do wykrycia dla tradycyjnych programów antywirusowych. Skompresowany plik może ukrywać trojana lub robaka. Silnik skanowania programu Trend Micro może wykrywać spakowane pliki, a zalecaną operacją dla nich jest kwarantanna. Zdarzenie typu phishing Zdarzenie typu phishing zaczyna się od wiadomości , której autorzy podszywają się pod znaną lub legalnie działającą firmę. Wiadomość zachęca adresata do kliknięcia łącza przekierowującego do fałszywej witryny internetowej. Znajduje się na niej monit do użytkownika o uaktualnienie informacji osobistych, na przykład haseł, numerów ubezpieczenia czy numerów kart kredytowych. Ma to na celu oszukanie odbiorcy inakłonienie go do ujawnienia informacji, które mogą zostać użyte w celu kradzieży tożsamości. Program Messaging Security Agent korzysta zfunkcji Antyspam do wykrywania zdarzeń typu phishing. Zalecaną przez firmę Trend Micro operacją w przypadku zdarzeń typu phishing jest usunięcie całej wiadomości, w której wykryto takie zagrożenie. Ataki typu mass-mailing Wirusy/złośliwe oprogramowanie używające poczty elektronicznej mogą rozprzestrzeniać się za pomocą wiadomości , automatyzując działania programu do obsługi poczty elektronicznej zainstalowanego na komputerze, lub poprzez rozprzestrzenianie samego wirusa/złośliwego oprogramowania. Działanie typu mass-mailing to sytuacja, gdy zarażenie rozprzestrzenia się szybko w środowisku Microsoft Exchange. Firma Trend Micro opracowała silnik skanowania do wykrywania zachowań, które wykazują zazwyczaj ataki typu mass-mailing. Zachowania te są zapisane w pliku sygnatur wirusów, który jest aktualizowany poprzez serwery Trend Micro ActiveUpdate. Program Messaging Security Agent może wykrywać ataki typu mass-mailing podczas skanowania antywirusowego. Domyślna operacja ustawiona jako reakcja na działanie typu mass-mailing ma pierwszeństwo przed innymi operacjami. Zalecaną przez firmę Trend Micro operacją przeciw atakom typu mass-mailing jest usunięcie całej wiadomości. 1-16

31 Wprowadzenie do programu Trend Micro Worry-Free Business Security Advanced Terminologia związana ze składnikami produktu W poniższej tabeli zamieszczono definicje terminów, stosowanych w dokumentacji programu WFBS-A: TABELA 1-2. Terminologia związana ze składnikami produktu ELEMENT Security Server Scan Server Agent/CSA/MSA Klient Konsola internetowa OPIS Program Security Server udostępnia konsolę internetową scentralizowaną konsolę zarządzania dla całego rozwiązania WFBS-A. Serwer skanowania Scan Server pomaga skanować klientów skonfigurowanych do skanowania inteligentnego. Domyślnie serwer skanowania jest instalowany na serwerze zabezpieczeń. Client/Server Security Agent lub Messaging Security Agent. Agenty chronią klientów, na których są zainstalowane. Klienty to serwery Microsoft Exchange, komputery stacjonarne i przenośne oraz serwery, na których zainstalowano program Messaging Security Agent lub Client/Server Security Agent. Konsola internetowa jest scentralizowaną, internetową konsolą zarządzania wszystkimi agentami. Konsola internetowa znajduje się w programie Security Server. 1-17

32 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 1-18

33 Rozdział 2 Wprowadzenie Ten rozdział opisuje przygotowanie i uruchomienie programu WFBS-A. Rozdział obejmuje następujące zagadnienia: Dostęp do konsoli internetowej początek na str. 2-2 Stan aktywności początek na str. 2-5 Wyświetlanie ustawień zabezpieczeń początek na str

34 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Dostęp do konsoli internetowej W tej sekcji opisano funkcje i metody dostępu do konsoli internetowej. TABELA 2-1. Główne funkcje konsoli internetowej Funkcja Menu główne Obszar konfiguracji Pasek boczny menu Pasek narzędzi Ustawienia zabezpieczeń Opis W górnej części konsoli internetowej znajduje się menu główne. To menu jest zawsze dostępne. Pod pozycjami menu głównego znajduje się obszar konfiguracji. Ten obszar można wykorzystać do wyboru opcji, zależnych od wybranej pozycji menu. Po wybraniu klienta lub grupy na ekranie Ustawienia zabezpieczeń i kliknięciu opcji Konfiguruj, zostanie wyświetlony pasek boczny menu. Za pomocą paska bocznego można skonfigurować ustawienia zabezpieczeń oraz skanowania komputerów i serwerów. Po wybraniu serwera Microsoft Exchange na ekranie Ustawienia zabezpieczeń można za pomocą paska bocznego skonfigurować ustawienia zabezpieczeń i skanowania dla serwerów Microsoft Exchange. Po otwarciu ekranu Ustawienia zabezpieczeń widoczny jest pasek narzędzi, który zawiera wiele ikon. Po kliknięciu klienta lub grupy na ekranie Ustawienia zabezpieczeń i kliknięciu ikony umieszczonej na pasku narzędzi, program Security Server wykona skojarzone zikoną zadanie. Podczas instalowania programu Trend Micro Security Server jest instalowana scentralizowana internetowa konsola zarządzania. Konsola ta korzysta z technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. Aby otworzyć konsolę internetową: 1. Wybierz jedną znastępujących opcji, aby otworzyć konsolę internetową: Kliknij skrót Worry-Free Business Security na pulpicie. W menu Start systemu Windows kliknij kolejno pozycje Trend Micro Worry-Free Business Security > Worry-Free Business Security. 2-2

35 Wprowadzenie Konsolę internetową można także otworzyć z dowolnego komputera w sieci. Należy otworzyć przeglądarkę internetową i w polu adresu wpisać następujący adres: portu}/smb Na przykład: Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. Domyślny port dla połączeń HTTP to 8059, a dla połączeń HTTPS to Wskazówka: jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera_zabezpieczeń} na {adres_ip_serwera}. 2. W przeglądarce wyświetlony zostanie ekran logowania do programu Trend Micro Worry-Free Business Security. RYSUNEK 2-1. Ekran logowania programu WFBS-A 2-3

36 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 3. W polu tekstowym Hasło wpisz hasło i kliknij przycisk Zaloguj. W przeglądarce wyświetlony zostanie ekran Stan aktywności konsoli internetowej. Ikony konsoli internetowej Poniższa tabela zawiera opis ikon, które są wyświetlane na konsoli internetowej oraz objaśnienia, do czego one służą. TABELA 2-2. Ikony konsoli internetowej Ikona Opis Ikona Pomoc. Służy do otwierania pomocy elektronicznej. Ikona Odśwież. Odświeża widok bieżącego ekranu. / Ikona sekcji zwijania/rozwijania. Powoduje zwinięcie/rozwinięcie sekcji. Można rozwinąć jednocześnie tylko jedną sekcję. Ikona Informacje. Służy do wyświetlania informacji dotyczących określonego elementu. 2-4

37 Wprowadzenie Stan aktywności Ekran Stan aktywności służy do zarządzania programem WFBS-A. Częstotliwość odświeżania informacji na ekranie Stan aktywności różni się wzależności od sekcji. Przeważnie częstotliwość odświeżania wynosi od 1 do 10 minut. Aby ręcznie odświeżyć informacje na ekranie, kliknij opcję Odśwież. RYSUNEK 2-2. Ekran Stan aktywności 2-5

38 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Sposób działania ikon Ikony powiadamiają o konieczności przeprowadzenia operacji w celu zabezpieczenia komputerów w sieci. Rozwiń sekcję, aby wyświetlić więcej informacji. Można także kliknąć elementy tabeli w celu wyświetlenia określonych szczegółów. Aby dowiedzieć się więcej o poszczególnych klientach, klikaj łącza z numerami w tabelach. TABELA 2-3. Ikony na ekranie Stan aktywności Ikona Opis Normalny Wymagane jest zainstalowanie poprawki tylko na kilku klientach. Aktywność wirusów, spyware i złośliwego oprogramowania na komputerach oraz w sieci stanowi nieznaczne zagrożenie. Ostrzeżenie Należy podjąć działania w celu ograniczenia stopnia zagrożenia sieci. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje określona liczba komputerów narażonych na atak, które raportują zbyt wiele przypadków wystąpienia wirusów lub innego złośliwego oprogramowania. W przypadku ogłoszenia przez firmę Trend Micro żółtego alarmu, jest wyświetlane ostrzeżenie funkcji Ochrona przed epidemią. Wymagane działanie Ikona ostrzeżenia oznacza, że administrator musi wykonać operację wcelu rozwiązania problemu dotyczącego zabezpieczeń. Informacje wyświetlane na ekranie Stan aktywności są generowane przez program Security Server i opierają się na danych zebranych z klientów. 2-6

39 Wprowadzenie Stan zagrożenia Ekran Stan zagrożenia wyświetla informacje na następujące tematy: Antywirus: przypadki wykrycia wirusów. Rozpoczynając od 5. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Jeśli jest wymagane wykonanie operacji: Program Client/Server Security Agent nie ukończył pomyślnie operacji, którą miał wykonać. Kliknij łącze z numerem, aby uzyskać szczegółowe informacje na temat komputerów, na których program Client/Server Security Agent nie mógł wykonać operacji. Skanowanie w czasie rzeczywistym jest wyłączone w programie Client/Server Security Agent. Kliknij pozycję Włącz teraz, aby uruchomić ponownie skanowanie w czasie rzeczywistym. Skanowanie w czasie rzeczywistym jest wyłączone w programie Messaging Security Agent. Oprogramowanie antyspyware: w sekcji Oprogramowanie antyspyware wyświetlane są wyniki ostatniego skanowania w poszukiwaniu spyware i wpisy dziennika spyware. Kolumna Liczba przypadków w tabeli Przypadki zagrożenia spyware przedstawia wyniki ostatniego skanowania w poszukiwaniu spyware. Aby dowiedzieć się więcej o poszczególnych klientach, kliknij łącze z numerem w kolumnie Wykryte przypadki w tabeli Przypadki zagrożenia spyware. W tym miejscu można uzyskać informacje o wybranym zagrożeniu spyware, które wpływa na działanie klientów. Filtrowanie adresów URL: witryny internetowe z ograniczeniami określone przez administratora. Rozpoczynając od 300. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Monitorowanie zachowania: naruszenia reguł monitorowania zachowania. Wirusy sieciowe: przypadki wykrycia wirusów sieciowych określonych przez ustawienia zapory. Ochrona przed epidemią: możliwa epidemia wirusów w sieci. Antyspam: przypadki wykrycia spamu. Należy kliknąć łącze Wysoki, Średni lub Niski, aby nastąpiło przekierowanie do ekranu konfiguracji wybranego serwera Microsoft Exchange, gdzie na ekranie Antyspam można ustawić wartość progu. Należy kliknąć pozycję Wyłączone, aby nastąpiło przekierowanie do odpowiedniego ekranu. Te informacje są aktualizowane co godzinę. 2-7

40 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Web Reputation: witryny internetowe określone przez firmę Trend Micro jako potencjalnie niebezpieczne. Rozpoczynając od 200. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Stan systemu Umożliwia wyświetlanie informacji dotyczących zaktualizowanych składników oraz ilości wolnego miejsca na komputerach z zainstalowanymi agentami. Aktualizacje składników: stan aktualizacji składników programu Security Server lub instalacji zaktualizowanych składników na komputerach z agentami. Nietypowe zdarzenia systemowe: informacje dotyczące ilości miejsca na dyskach klientów pełniących funkcje serwerów (z zainstalowanymi serwerowymi systemami operacyjnymi). Skanowanie inteligentne: klienty, które nie mogą nawiązać połączenia z przypisanym serwerem skanowania. Wskazówka: parametry, które powodują, że w konsoli internetowej wyświetlane są ikony Ostrzeżenie lub Wymagane działanie, można dostosować, przechodząc do ekranu Preferencje > Powiadomienia. Stan licencji Wyświetlanie informacji o stanie licencji. Licencja: informacje o stanie licencji produktu, szczególnie o czasie jej wygaśnięcia. 2-8

41 Wprowadzenie Odstępy czasowe między aktualizacjami ekranu Stan aktywności Częstotliwość aktualizacji ekranu Stan aktywności została przedstawiona w poniższej tabeli. TABELA 2-4. Odstępy czasowe między aktualizacjami ekranu Stan aktywności Element Ochrona przed epidemią Odstęp czasowy między aktualizacjami (minuty) 3 nd. Agent wysyła dzienniki na serwer po... (minuty) Antywirus 1 CSA: natychmiast MSA: 5 Oprogramowanie antyspyware 3 1 Antyspam 3 60 Web Reputation 3 60 Filtrowanie adresów URL Monitorowanie zachowań Wirus sieciowy 3 60 Skanowanie inteligentne 10 nd. Licencja 10 nd. Aktualizacje składników Nietypowe zdarzenia systemowe 3 nd. 10 Gdy uruchomiono usługę nasłuchu TmListen 2-9

42 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Wyświetlanie ustawień zabezpieczeń Ekran Ustawienia zabezpieczeń umożliwia zarządzanie wszystkimi komputerami, na których zainstalowano agentów. Wybranie grupy z drzewa grup zabezpieczeń powoduje wyświetlenie listy komputerów z tej grupy w tabeli po prawej stronie. Ekran Ustawienia zabezpieczeń jest podzielony na dwie (2) główne sekcje: Globalne menu nawigacyjne Te pozycje menu pozostają dostępne niezależnie od opcji wybranych na ekranie Ustawienia zabezpieczeń. Są takie same dla wszystkich pozostałych ekranów. Obszar konfiguracji Obszar konfiguracji zawiera pasek informacji dotyczących programu Security Server, pasek narzędzi konfiguracji, a pod nim drzewo grup zabezpieczeń itabelę informacji o programie Security Agent. Pasek informacji dotyczących programu Security Server: Wyświetla informacje o serwerze zabezpieczeń, takie jak nazwa domeny, numer portu oraz liczba zarządzanych serwerów i komputerów. Pasek narzędzi: Konfiguruj: narzędzie konfiguracji jest dostępne tylko wtedy, gdy zaznaczono jeden z elementów drzewa grup zabezpieczeń. Umożliwia ono konfigurowanie zabezpieczeń dla wszystkich agentów w obrębie tej grupy. Wszystkie komputery wgrupie muszą korzystać z tej samej konfiguracji. Można skonfigurować następujące ustawienia: Metoda skanowania, Oprogramowanie antywirusowe/anty-spyware, Zapora, Web Reputation, Filtrowanie adresów URL, Monitorowanie zachowań, paski narzędzi TrendSecure oraz Uprawnienia klienta, Skanowanie poczty i Katalog kwarantanny dla komputerów i serwerów. Uwaga: jeżeli używany jest program Internet Explorer 8, kliknięcie przycisku Konfiguruj w przypadku programu Messaging Security Agent powoduje wyświetlenie komunikatu proponującego przeglądanie tylko bezpiecznej zawartości strony sieci Web. Aby wyświetlić stronę ustawień programu MSA, należy kliknąć przycisk Nie. 2-10

43 Wprowadzenie Ustawienia replikacji: to narzędzie jest dostępne tylko wtedy, gdy zaznaczono jeden z elementów drzewa grup zabezpieczeń i drzewo to zawiera przynajmniej jeden element tego samego typu. Ustawienia importu/eksportu: zapisywanie ustawień konfiguracji lub importowanie wcześniej zapisanych ustawień. Dodaj grupę: to narzędzie umożliwia dodawanie nowych grup komputerów iserwerów. Dodaj: to narzędzie umożliwia dodawanie komputerów do określonych grup przez instalację na wybranych komputerach programu Client/Server Security Agent. Usuń: to narzędzie służy do usuwania agentów z określonych komputerów. Przenieś: to narzędzie umożliwia przenoszenie wybranych komputerów lub serwerów między programami Security Server. Zeruj liczniki: to narzędzie działa na wszystkich komputerach w grupie. Po kliknięciu tej opcji, w tabeli informacji programu Security Agent zostaną wyzerowane wartości w kolumnach Wykryte wirusy i Wykryte spyware. Drzewo grup zabezpieczeń: wybierz grupę w drzewie grup zabezpieczeń, aby po prawej stronie wyświetlić listę znajdujących się w niej komputerów. Tabela informacji programu Security Agent: po wybraniu klienta i kliknięciu narzędzia na pasku narzędzi w konsoli internetowej wyświetlany jest nowy obszar konfiguracji. 2-11

44 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 2-12

45 Rozdział 3 Instalowanie agentów W tym rozdziale opisano czynności wymagane w przypadku instalacji i uaktualniania agentów. Zamieszczono również informacje dotyczące usuwania agentów. Rozdział obejmuje następujące zagadnienia: Omówienie instalacji agentów na str. 3-2 Omówienie instalacji/uaktualniania/migracji agentów na str. 3-4 Wykonywanie nowej instalacji na str. 3-4 Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR na str Usuwanie agentów na str

46 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Omówienie instalacji agentów Program WFBS-A oferuje kilka metod instalacji programu Client/Server Security Agent. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: w organizacjach, w których reguły są ściśle przestrzegane firma Trend Micro zaleca instalację zdalną lub za pomocą skryptu logowania. Wewnętrzna strona internetowa: w tej metodzie należy polecić wszystkim użytkownikom w organizacji, aby odwiedzili wewnętrzną stronę Web i pobrali pliki instalacyjne programu Client/Server Security Agent (patrz sekcja Instalowanie zwewnętrznej strony internetowej na str. 3-4). Ustawienia skryptu logowania: ta metoda umożliwia zautomatyzowanie procesu instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po zalogowaniu się w domenie (patrz sekcja Instalowanie za pomocą skryptu logowania na str. 3-6). Program Client Packager: ta metoda umożliwia instalację lub aktualizację plików programu Client/Server Security Agent na klientach za pomocą poczty (patrz Instalowanie za pomocą narzędzia Client Packager na str. 3-9). Instalacja zdalna: ta metoda umożliwia zainstalowanie agenta na wszystkich klientach z systemem Windows Vista/2000/XP/Server 2003/Server 2008 za pomocą konsoli internetowej (patrz Instalowanie za pomocą instalacji zdalnej na str. 3-13). Vulnerability Scanner (TMVS): instalowanie programu Client/Server Security Agent na wszystkich klientach z systemem Windows 2000/Server 2003 za pomocą narzędzia Trend Micro Vulnerability Scanner (Instalowanie za pomocą narzędzia Vulnerability Scanner na str. 3-15) 3-2

47 Instalowanie agentów TABELA 3-1. Metody instalacji agentów Odpowiednia do instalacji w sieci rozległej WAN Odpowiednia do scentralizowanej administracji izarządzania Wymaga udziału użytkownika Wymaga zasobów informatycznych Odpowiednia do instalacji masowej Wykorzystanie pasma Wymagane uprawnienia Strona internetowa Skrypty logowania Client Packager Instalacja zdalna TMVS Tak Nie Tak Nie Nie Tak Tak Nie Tak Tak Tak Nie Tak Nie Nie Nie Tak Tak Tak Tak Nie Tak Nie Tak Tak Niskie (przy instalacji zaplanowanej) Wysokie (jeśli klienty zostału uruchomione jednocześnie) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) We wszystkich metodach instalacji wymagane są uprawnienia administratora. Uwaga: aby skorzystać z dowolnej z powyższych metod instalacji programu Client/Server Security Agent, należy mieć lokalne uprawnienia administratora na klientach docelowych. 3-3

48 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Omówienie instalacji/uaktualniania/migracji agentów W niniejszej sekcji znajdują się informacje na następujące tematy: Wykonywanie nowej instalacji programu Client/Server Security Agent za pomocą wybranej metody instalacji (patrz sekcja Omówienie instalacji agentów na str. 3-2). Uaktualnianie z poprzedniej wersji programu Client/Server Security Agent do wersji bieżącej (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-19). Migracja z programu antywirusowego innej firmy do bieżącej wersji programu WFBS-A (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-19). Uwaga: przed rozpoczęciem instalacji programu Client/Server Security Agent na klientach należy zamknąć wszystkie uruchomione aplikacje. Jeżeli podczas instalacji uruchomione są inne programy, proces ten może potrwać dłużej. Wykonywanie nowej instalacji Jeśli program Client/Server Security Agent jest instalowany po raz pierwszy na docelowym komputerze, należy wykonać następujące procedury. Instalowanie z wewnętrznej strony internetowej Jeżeli program Trend Micro Security Server zainstalowano na komputerze z systemem Windows 2000, Windows XP lub Windows Server 2003 z serwerem Internet Information Server (IIS) 5.0, 6.0 lub 7.0 bądź Apache , użytkownicy mogą zainstalować program Client/Server Security Agent z wewnętrznej witryny internetowej utworzonej podczas instalacji głównej. 3-4

49 Instalowanie agentów Jest to wygodny sposób instalacji programu Client/Server Security Agent. Wystarczy polecić wszystkim użytkownikom, aby odwiedzili wewnętrzną witrynę internetową i pobrali pliki instalacyjne programu Client/Server Security Agent. Wskazówka: aby sprawdzić, którzy użytkownicy nie zastosowali się do instrukcji instalacji z poziomu konsoli internetowej, można skorzystać znarzędzia Vulnerability Scanner (więcej informacji zawiera sekcja Weryfikowanie instalacji klienta zwykorzystaniem narzędzia Vulnerability Scanner na str. 3-19). Aby pobrać pliki instalacyjne programu Client/Server Security Agent, na komputerach użytkowników musi być zainstalowany program Microsoft Internet Explorer 5.5 lub nowszy z poziomem zabezpieczeń umożliwiającym uruchamianie formantów ActiveX. Poniższe instrukcje zostały sformułowane z punktu widzenia użytkownika. Należy je przesłać użytkownikom pocztą w celu zainstalowania programu Client/Server Security Agent z wewnętrznego serwera WWW. Aby przeprowadzić instalację zwewnętrznej witryny internetowej: 1. Otwórz okno programu Internet Explorer i wpisz: Micro Security Server}:{port}/SMB/console/html/client Na przykład: Można również skorzystać zadresu URL konsoli zarządzania. Na ekranie hasła widoczne jest łącze Kliknij tutaj służące do instalacji klientów. Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. 3-5

50 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 2. Kliknij opcję Instaluj teraz, aby rozpocząć instalację programu Client/Server Security Agent. Uwaga: w przypadku systemu Windows Vista należy sprawdzić, czy włączono opcję Tryb chroniony. Aby włączyć opcję Tryb chroniony, w programie Internet Explorer kliknij kolejno polecenia Narzędzia > Opcje internetowe > Zabezpieczenia. Rozpocznie się instalacja. Po zakończeniu instalacji na ekranie zostanie wyświetlony komunikat Instalacja agenta została zakończona. 3. Należy zweryfikować poprawność instalacji, sprawdzając, czy ikona programu Client/Server Security Agent jest widoczna w pasku zadań systemu Windows. Skanowanie tradycyjne: Skanowanie inteligentne: Instalowanie za pomocą skryptu logowania Stosując skrypt logowania, można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po ich zalogowaniu się do domeny. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Określa system operacyjny niezabezpieczonego komputera i programu Client/Server Security Agent. Aktualizuje silnik skanowania, plik sygnatur wirusów, składniki usługi Damage Cleanup Services, pliki czyszczenia i pliki programowe. Uwaga: aby wymusić zastosowanie metody instalacji z wykorzystaniem skryptu logowania, klienty muszą znajdować się na liście usługi Windows Active Directory serwera, który przeprowadza instalację. 3-6

51 Instalowanie agentów Aby dodać program autopcc.exe do skryptu logowania za pomocą Ustawień skryptu logowania: 1. Na komputerze z zainstalowanym programem WFBS-A uruchom plik C:\Program Files\Trend Micro\Security Server\PCCSRV\Admin\ SetupUsr.exe. Zostanie załadowane narzędzie Ustawienia skryptu logowania. Na konsoli zostanie wyświetlone drzewo ze wszystkimi domenami sieci. 2. Znajdź komputer z systemem Windows 2000/Server 2003/Server 2008, którego skrypt logowania chcesz zmodyfikować, wybierz go, a następnie kliknij przycisk Wybierz. Ten serwer musi być podstawowym kontrolerem domeny. Należy mieć uprawnienia administratora tego komputera. W programie Ustawienia skryptu logowania zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. 3. Wpisz nazwę użytkownika i hasło. Kliknij przycisk OK, aby kontynuować. Zostanie wyświetlony ekran Wybór użytkownika. Lista Użytkownicy zawiera profile użytkowników, którzy logują się na serwerze. Lista Wybrani użytkownicy zawiera użytkowników, których skrypty logowania zostaną zmienione. Aby zmodyfikować skrypt logowania jednego lub kilku użytkowników, należy ich wybrać zlisty Użytkownicy, a następnie kliknąć Dodaj. Aby zmienić skrypty logowania wszystkich użytkowników, kliknij przycisk Dodaj wszystkich. Aby wykluczyć użytkownika, którego komputer został wcześniej zmodyfikowany, należy wybrać nazwę z listy Wybrani użytkownicy i kliknąć opcję Usuń. Aby anulować zaznaczenie wszystkich opcji, kliknij przycisk Usuń wszystkie. 4. Kliknij przycisk Zastosuj, gdy wszystkie docelowe profile użytkowników znajdują się na liście Wybrani użytkownicy. Zostanie wyświetlony komunikat informujący o pomyślnej modyfikacji skryptów logowania serwera. 5. Kliknij przycisk OK. Narzędzie Ustawienia skryptu logowania powróci do ekranu początkowego. Aby zmodyfikować skrypty logowania na innych serwerach, powtórz kroki od 2 do

52 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby zamknąć narzędzie Ustawienia skryptu logowania, kliknij przycisk Zakończ. Uwaga: kiedy niezabezpieczony komputer loguje się na serwerze ze zmodyfikowanymi skryptami logowania, program autopcc.exe automatycznie instaluje na tym serwerze agenta. Instalowanie przy użyciu skryptów Jeżeli istnieje gotowy skrypt logowania dla systemu Windows 2000/Server 2003/ Server 2008, narzędzie Ustawienia skryptu logowania doda polecenie, które uruchomi program autopcc.exe. W przeciwnym wypadku utworzy plik wsadowy o nazwie ofcscan.bat (zawierający polecenie uruchamiające program autopcc.exe). Na końcu skryptu narzędzie Ustawienia skryptu logowania dopisuje następujące informacje: \\{nazwa_serwera}\ofcscan gdzie: {nazwa_serwera} to nazwa lub adres IP komputera, na którym zainstalowano program Trend Micro Security Server. Wskazówka: jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera} na {adres_ip_serwera}. Skrypt logowania systemu Windows 2000 znajduje się na serwerze Windows 2000 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2000 server\{dysk_systemowy}\winnt\sysvol\domain\scripts\ofcscan. bat Skrypt logowania systemu Windows Server 2003 znajduje się na serwerze Windows Server 2003 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2003 server\{dysk_systemowy}\%windir%\sysvol\ domain\scripts\ofcscan.bat 3-8

53 Instalowanie agentów Skrypt logowania systemu Windows Server 2008 znajduje się na serwerze Windows Server 2008 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2008 server\{dysk_systemowy}\%windir%\sysvol\ domain\scripts\ofcscan.bat Instalowanie za pomocą narzędzia Client Packager Narzędzie Client Packager może kompresować pliki instalacyjne i aktualizacyjne do postaci samorozpakowującej się, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Użytkownicy po otrzymaniu tego pakietu muszą tylko dwukrotnie kliknąć plik, aby uruchomić program instalacyjny. Agenci zainstalowani przy użyciu programu Client Packager przekazują raporty do serwera, na którym program Client Packager utworzył pakiet instalacyjny. To narzędzie jest szczególnie przydatne podczas instalacji agenta lub aktualizacji plików na klientach w oddalonych biurach z sieciami o niskiej przepustowości. Uwagi dotyczące instalacji przy użyciu programu Client Packager Instalacja: jeżeli agent nie może połączyć się z programem Security Server, klient zachowa ustawienia domyślne. Klient może uzyskać ustawienia grup tylko po nawiązaniu połączenia z programem Security Server. Uaktualnianie: jeżeli występują problemy z uaktualnianiem agenta przy użyciu programu Client Packager, firma Trend Micro zaleca odinstalowanie poprzedniej wersji agenta, a następnie zainstalowanie nowej wersji. Uwaga: program Client Packager wymaga przynajmniej 370 MB wolnego miejsca na dysku komputera klienckiego. Aby klient uruchomił pakiet MSI, niezbędny jest program Instalator Windows

54 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Program Client Packager może utworzyć dwa typy samorozpakowujących się plików: Wykonywalne Uwaga: w przypadku systemu Windows Vista program musi być uruchamiany z uprawnieniami administratora (Uruchom jako administrator). Format Microsoft Installer Package (MSI): ten typ plików odpowiada specyfikacji pakietu Microsoft Windows Installer i można go używać do instalacji dyskretnej i/lub instalacji za pomocą usługi Active Directory. Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Wskazówka: firma Trend Micro zaleca instalację pakietu MSI za pomocą usługi Active Directory i opcji Computer Configuration zamiast User Configuration. Dzięki temu pakiet MSI zostanie zainstalowany niezależnie od tego, który użytkownik zaloguje się na komputerze. Aby utworzyć pakiet za pomocą interfejsu graficznego programu Client Packager: 1. Na komputerze z programem Trend Micro Security Server otwórz Eksploratora Windows. 2. Przejdź do folderu \PCCSRV\Admin\Utility\ClientPackager. 3. Kliknij dwukrotnie plik ClnPack.exe, aby uruchomić narzędzie. Zostanie otwarta konsola programu Client Packager. Uwaga: program powinien być uruchamiany wyłącznie na komputerze z programem Trend Micro Security Server. 4. W polu Target operating system wybierz system operacyjny, dla którego chcesz utworzyć pakiet instalacyjny. 5. Wybierz tryb skanowania. Skanowanie tradycyjne: do skanowania klienta wykorzystywany jest lokalny silnik skanowania zlokalizowany na tym komputerze. 3-10

55 Instalowanie agentów Skanowanie inteligentne: w skanowaniu klienta pomaga serwer skanowania. Serwer skanowania jest automatycznie instalowany z programem Security Server. Metodę skanowania można wybrać na ekranie Ustawienia zabezpieczeń. Tryby skanowania wykorzystują różne pliki sygnatur. W przypadku skanowania tradycyjnego używany jest tradycyjny plik sygnatur wirusów. 6. Wybierz typ pakietu, który chcesz utworzyć: Instaluj: wybierz w przypadku instalacji agenta. Aktualizacja: wybierz, jeśli ma być przeprowadzona tylko aktualizacja składników programu Client/Server Security Agent. 7. W obszarze Options wybierz odpowiednie opcje instalacji: Tryb cichy: tworzy pakiet, który jest instalowany na kliencie w tle, niezauważalnie dla użytkownika. Okno stanu instalacji nie zostanie wyświetlone. Pakiet MSI: tworzy pakiet zgodny z formatem Microsoft Windows Installer Package. Uwaga: pakiet MSI należy instalować wyłącznie za pomocą usługi Active Directory. Aby zainstalować pakiet lokalnie, należy utworzyć plik.exe. Wyłącz skanowanie wstępne (tylko w przypadku nowej instalacji): wyłącza standardowe skanowanie plików, które program WFBS-A wykonuje przed rozpoczęciem instalacji. 8. Na stronie Składniki wybierz składniki, które mają zostać uwzględnione w pakiecie instalacyjnym: Program: wszystkie składniki. Silnik skanowania: najnowszy silnik skanowania znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura wirusów: najnowszy plik sygnatur wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura narażenia na atak: najnowszy plik sygnatur narażenia na atak znajdujący się na komputerze z programem Trend Micro Security Server. Elementy spyware: najnowsze elementy spyware znajdujące się na komputerze z programem Trend Micro Security Server. Ogólny sterownik zapory: sterownik zapory. 3-11

56 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Sygnatura wirusa sieciowego: najnowszy plik sygnatur wirusów sieciowych. DCE/DCT: najnowszy silnik i szablon czyszczenia wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura IntelliTrap: najnowszy plik sygnatur IntelliTrap znajdujący się na komputerze z programem Trend Micro Security Server. 9. Upewnij się, że lokalizacja pliku ofcscan.ini jest poprawna, sprawdzając ją obok pola Source file. Aby zmienić ścieżkę, kliknij przycisk w celu odnalezienia pliku ofcscan.ini. Domyślnie plik jest umieszczony w folderze \PCCSRV programu Trend Micro Security Server. 10. W obszarze Output file kliknij przycisk, aby określić nazwę pliku (na przykład ClientSetup.exe) oraz miejsce, w którym ma zostać utworzony pakiet. 11. Kliknij przycisk Create, aby utworzyć pakiet. Po utworzeniu pakietu w programie Client Packager pojawi się komunikat Tworzenie pakietu zakończone powodzeniem. Aby zweryfikować poprawność utworzonego pakietu, sprawdź określony katalog wyjściowy. 12. Prześlij pakiet instalacyjny do użytkowników za pomocą poczty lub skopiuj go na dysk CD lub podobny nośnik, a następnie roześlij go do użytkowników. OSTRZEŻENIE! Pakiet można przesłać tylko do programów Client/Server Security Agent przekazujących raporty do serwera, na którym dany pakiet został utworzony. Nie należy przesyłać pakietów do programów Client/Server Security Agent przekazujących raporty do innych komputerów z programem Trend Micro Security Server. Instalowanie za pomocą pliku MSI Jeśli używana jest usługa Active Directory, program Client/Server Security Agent można zainstalować, tworząc plik programu Microsoft Windows Installer. Aby utworzyć plik z rozszerzeniem msi, należy użyć narzędzia Client Packager. Funkcje usługi Active Directory umożliwiają automatyczną instalację agenta na wszystkich klientach równocześnie za pomocą pliku MSI. Eliminuje to potrzebę instalacji programu Client/Server Security Agent na każdym komputerze oddzielnie. 3-12

57 Instalowanie agentów Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Instrukcje dotyczące tworzenia pliku MSI zawiera sekcja Instalowanie za pomocą narzędzia Client Packager na str Instalowanie za pomocą instalacji zdalnej Program Client/Server Security Agent można zainstalować zdalnie na wielu komputerach z zainstalowanym systemem operacyjnym Windows Vista, 2000, XP (tylko w wersji Professional Edition), Server 2003, Server 2008, SBS 2008 lub EBS Uwaga: aby korzystać z funkcji instalacji zdalnej, należy posiadać uprawnienia administratora na komputerach docelowych. W przypadku systemów Windows Vista, Server 2008, SBS 2008 oraz EBS 2008 konieczne będzie użycie hasła wbudowanego konta administratora domeny ze względu na kontrolę konta użytkownika w systemie Windows. Aby wykonać instalację programu CSA za pomocą funkcji instalacji zdalnej: Uwaga: instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga kilku czynności dodatkowych. Dodatkowe informacje zawiera sekcja Włączanie opcji zdalnej instalacji programu Client Server/Security Agent na klientach z systemem Windows Vista na str W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. W obszarze Typ komputera wybierz pozycję Komputer lub serwer. 3. W obszarze Metoda wybierz opcję Zdalna instalacja. 4. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Instalacja zdalna. 5. Z listy komputerów w oknie Grupy i komputery wybierz klienta i kliknij przycisk Dodaj. Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła dla komputera docelowego. 6. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk Zaloguj. Komputer docelowy pojawi się na liście Wybrane komputery. 7. Powtarzaj te etapy, aż lista w oknie Wybrane komputery będzie zawierać wszystkie komputery z systemem Windows. 3-13

58 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 8. Kliknij przycisk Instaluj, aby zainstalować program Client/Server Security Agent na komputerach docelowych. Zostanie wyświetlone okno potwierdzenia. 9. Kliknij przycisk Tak, aby potwierdzić chęć instalacji agenta na komputerze klienckim. Podczas kopiowania plików programu Client/Server Security Agent na każdy komputer docelowy zostanie wyświetlony ekran postępu. Po zakończeniu instalacji programu WFBS-A na komputerze docelowym, w polu Wynik listy wybranych komputerów, zostanie wyświetlony stan instalacji, a obok nazwy komputera pojawi się zielony znacznik wyboru. Uwaga: funkcja instalacji zdalnej nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony program Trend Micro Security Server. Włączanie opcji zdalnej instalacji programu Client Server/Security Agent na klientach z systemem Windows Vista Instalacja programu Client/Server Security Agent na klientach z systemem Windows Vista wymaga czynności dodatkowych. Aby umożliwić zdalną instalację na klientach z zainstalowanym systemem Windows Vista: 1. Na kliencie włącz tymczasowo usługę Udostępnianie plików i drukarek. Uwaga: w przypadku, gdy reguły firmy dotyczące ochrony nakazują wyłączenie zapory systemu Windows, przejdź do kroku 2, aby uruchomić usługę Rejestr zdalny. a. Uruchom zaporę systemu Windows w Panelu sterowania. b. Kliknij polecenie Zezwalaj programowi na dostęp przez Zaporę systemu Windows. Jeśli zostanie wyświetlony monit o wpisanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź. Zostanie wyświetlone okno ustawień Zapory systemu Windows. c. Sprawdź, czy zaznaczone jest pole wyboru Udostępnianie plików i drukarek na karcie Wyjątki wobszarze Lista programów lub portów. d. Kliknij przycisk OK. 3-14

59 Instalowanie agentów 2. Uruchom tymczasowo usługę Rejestr zdalny. a. Otwórz konsolę Microsoft Management Console. Wskazówka: w oknie Uruchom wpisz ciąg services.msc, aby uruchomić konsolę Microsoft Management Console. b. Kliknij prawym przyciskiem myszy pozycję Rejestr zdalny i wybierz opcję Uruchom. 3. W razie potrzeby przywróć oryginalne ustawienia po zainstalowaniu programu Client/Server Security Agent na komputerze klienckim z zainstalowanym systemem Windows Vista. Instalowanie za pomocą narzędzia Vulnerability Scanner Narzędzie Trend Micro Vulnerability Scanner (TMVS) służy do wykrywania zainstalowanych rozwiązań antywirusowych, wyszukiwania w sieci niechronionych komputerów oraz instalowania na nich programu Client/Server Security Agent. Aby określić, czy komputer potrzebuje zabezpieczenia, narzędzie Vulnerability Scanner wysyła polecenie ping do portów używanych zwykle przez rozwiązania antywirusowe. W tej sekcji opisano sposób instalowania agenta za pomocą narzędzia Vulnerability Scanner. Instrukcje dotyczące korzystania z narzędzia Vulnerability Scanner do wykrywania rozwiązań antywirusowych znajdują się w sekcji Weryfikowanie instalacji klienta zwykorzystaniem narzędzia Vulnerability Scanner na str Uwaga: narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem, że nie jest na nich uruchomiona usługa Terminal Server. Nie można zainstalować programu Client/Server Security Agent na kliencie z wykorzystaniem narzędzia Vulnerability Scanner, jeśli na tym komputerze zainstalowano już program Trend Micro Security Server. Aby zainstalować program Client/Server Security Agent z wykorzystaniem narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do następującej lokalizacji: {lokalizacja serwera} > PCCSRV > Admin > 3-15

60 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. RYSUNEK 3-1. Ekran Ustawienia TMVS 3-16

61 Instalowanie agentów 3. W obszarze Trend Micro Security Server Ustawienia (raporty z instalacji i dzienniki) wpisz nazwę lub adres IP i numer portu komputera z programem Trend Micro Security Server. 4. Zaznacz pole wyboru Automatycznie instaluj program Client/Server Security Agent na niezabezpieczonych komputerach. 5. Kliknij przycisk Konto instalacyjne. 6. Podaj nazwę użytkownika i hasło dające uprawnienia administratora do serwera (lub domeny) i kliknij przycisk OK. 7. Kliknij przycisk OK, aby wrócić do głównego ekranu programu TMVS. 8. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci oraz instalację programu Client/Server Security Agent. Instalowanie za pomocą powiadomienia Opcji tej należy użyć, aby wysłać wiadomość zawierającą łącze do programu instalacyjnego produktu. Aby powiadomić o lokalizacji pakietu z poziomu konsoli: 1. W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. Wybierz Komputer lub Serwer w sekcji Typ komputera. 3. Wybierz opcję Instalacja za pomocą powiadomienia w sekcji Metoda. 4. Kliknij przycisk Dalej. Pojawi się ekran Instalacja za pomocą powiadomienia Wprowadź temat wiadomości i odbiorców. 6. Kliknij przycisk Zastosuj. Zostanie otwarte okno domyślnego programu do obsługi poczty elektronicznej z wprowadzonymi odbiorcami, tematem oraz łączem do programu instalacyjnego produktu. 3-17

62 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Instalowanie programu MSA z poziomu konsoli internetowej Program Messaging Security Agent (MSA) może być także zainstalowany z poziomu konsoli internetowej. Aby zainstalować program MSA z poziomu konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń, a następnie kliknij przycisk Dodaj. 3. W obszarze Typ komputera kliknij ikonę Serwer Microsoft Exchange. 4. W obszarze Informacje o serwerze Microsoft Exchange wpisz następujące informacje: Nazwa serwera: nazwa serwera Microsoft Exchange, na którym chcesz zainstalować program MSA. Konto: nazwa konta administratora domeny. Hasło: hasło administratora domeny. 5. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Ustawienia serwera Microsoft Exchange. 6. W obszarze Typ serwera Web wybierz typ serwera internetowego, który chcesz zainstalować na serwerze Microsoft Exchange. Możesz wybrać opcję Serwer IIS lub Serwer Apache. 7. W przypadku opcji Typ zarządzania spamem będzie używane narzędzie End User Quarantine. 8. W obszarze Katalogi zmień lub zaakceptuj domyślne katalogi docelowe iudostępnione dla instalacji programu MSA. Domyślne katalogi docelowe iudostępniane to odpowiednio C:\Program Files\Trend Micro\Messaging Security Agent i C$. 9. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Ustawienia serwera Microsoft Exchange. 10. Sprawdź, czy ustawienia serwera Microsoft Exchange określone na poprzednich ekranach są poprawne, a następnie kliknij przycisk Dalej, aby rozpocząć instalację programu MSA. 11. Aby wyświetlić stan instalacji programu MSA, kliknij kartę Stan aktywności. 3-18

63 Instalowanie agentów Weryfikowanie instalacji, uaktualnienia lub migracji agenta Po zakończeniu instalacji lub uaktualnienia należy sprawdzić, czy program Client/Server Security Agent został prawidłowo zainstalowany. Aby zweryfikować instalację: Zlokalizuj skróty programu WFBS-A w menu Start systemu Windows na kliencie z uruchomionym agentem. Następnie należy sprawdzić, czy program WFBS-A znajduje się na liście Dodaj/usuń programy w Panelu sterowania klienta. Następnie zastosuj narzędzie Vulnerability Scanner (patrz sekcja Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner na str. 3-19). Skorzystaj z narzędzia Client Mover. Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner Istnieje możliwość sprawdzenia, czy na wszystkich klientach w sieci zainstalowani są agenci. Narzędzie Vulnerability Scanner można zautomatyzować, tworząc zadania zaplanowane. Informacje na temat automatyzacji narzędzia Vulnerability Scanner znajdują się w pomocy elektronicznej programu WFBS-A. Uwaga: narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem że nie jest na nich uruchomiona usługa Terminal Server. Aby zweryfikować instalację agenta za pomocą narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do katalogu Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. 3. W obszarze Kwerenda dotycząca produktu zaznacz pole wyboru Security Server iokreśl port używany przez serwer do komunikacji z klientami. 3-19

64 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 4. W obszarze Ustawienia pobierania opisów wybierz metodę pobierania. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Wyszukiwanie zwykłe, a następnie zaznaczając pole wyboru Wyszukaj dostępne opisy komputerów, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, należy zaznaczyć pole wyboru Wyślij wyniki pocztą do administratora systemu wobszarze Ustawienia ostrzeżeń. Następnie należy kliknąć opcję Konfiguruj, aby określić ustawienia poczty . W polu Do wpisz adres odbiorcy. W polu Od wpisz swój adres . W polu Serwer SMTP wpisz adres serwera SMTP. Przykładowy adres to smtp.przyklad.com. Informacja o serwerze SMTP jest wymagana. W polu Temat wpisz nowy temat wiadomości lub zatwierdź domyślny. 6. Kliknij przycisk OK, aby zapisać ustawienia. 7. Aby na niezabezpieczonych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Wyświetl ostrzeżenie na niezabezpieczonych komputerach. Następnie kliknij opcję Dostosuj, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Komunikat ostrzeżenia. 8. W polu tekstowym wpisz nowy komunikat ostrzeżenia lub zaakceptuj komunikat domyślny, a następnie kliknij przycisk OK. 9. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatycznie zapisuj wyniki do pliku CSV. Narzędzie Vulnerability Scanner domyślnie zapisuje pliki CSV w folderze TMVS. Aby zmienić folder domyślny z plikami CSV, kliknij przycisk Przeglądaj, a następnie wybierz folder docelowy na swoim komputerze lub w sieci i kliknij przycisk OK. 10. W obszarze Ustawienia polecenia Ping określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Rozmiar pakietu i Limit czasu. 11. Kliknij przycisk OK. Zostanie wyświetlona konsola narzędzia Vulnerability Scanner. 3-20

65 Instalowanie agentów 12. Aby uruchomić skanowanie ręczne narażenia na atak w zakresie adresów IP, wykonaj następujące czynności: a. W polu Zakres IP do sprawdzenia wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. b. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. 13. Aby uruchomić skanowanie ręczne narażenia na atak na komputerach uzyskujących adres IP z serwera DHCP, wykonaj następujące czynności: a. Kliknij kartę Skanowanie DHCP wpolu Wyniki. Zostanie wyświetlony przycisk Uruchom DHCP. b. Kliknij przycisk Uruchom DHCP. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie klientów na atak, kiedy będą się logować do sieci. Narzędzie Vulnerability Scanner sprawdzi sieć, a wyniki zostaną wyświetlone w tabeli Wyniki. Można sprawdzić, czy agent jest zainstalowany na wszystkich serwerach oraz komputerach stacjonarnych i przenośnych. Jeżeli narzędzie Vulnerability Scanner znajdzie niechronione serwery bądź komputery stacjonarne lub przenośne, należy zainstalować na nich agenta przy użyciu wybranej metody. Testowanie instalacji klienta za pomocą skryptu testowego EICAR Europejski Instytut Badań Nad Wirusami Komputerowymi (European Institute for Computer Antivirus Research, EICAR) opracował testowego wirusa, którego można używać do sprawdzenia instalacji i konfiguracji. Plik ten jest plikiem tekstowym, którego sygnatura binarna jest zawarta w pliku sygnatur wirusów dostarczanym przez większość producentów oprogramowania antywirusowego. Nie jest on wirusem i nie zawiera żadnego kodu programowego. 3-21

66 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Uzyskiwanie pliku testowego instytutu EICAR: Wirusa testowego instytutu EICAR można pobrać zwitryny dostępnej pod następującym adresem URL: Można także utworzyć własnego wirusa testowego EICAR, wpisując następujący ciąg w pliku tekstowym, a następnie nadając mu nazwę eicar.com : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H* Uwaga: przed rozpoczęciem testów należy oczyścić pamięć podręczną serwera i lokalnej przeglądarki internetowej. Usuwanie agentów Agenty można usunąć, stosując jedną zdwóch metod: uruchomić programu do odinstalowywania agentów, skorzystać z konsoli internetowej. OSTRZEŻENIE! Usunięcie agentów powoduje, że klienty stają się podatni na zagrożenia. Usuwanie agenta przy użyciu programu do odinstalowywania agentów Jeżeli użytkownikom przyznano uprawnienie do usuwania agenta, można im polecić, aby uruchomili program odinstalowujący agenta z ich komputera. Aby uruchomić program odinstalowujący agenta: 1. W menu Start systemu Windows należy kliknąć opcję Ustawienia > Panel sterowania > Dodaj lub usuń Programy. 2. Wybierz pozycję Trend Micro Client/Server Security Agent i kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran Dezinstalacja programu 3-22

67 Instalowanie agentów Client/Server Security Agent i monit o podanie hasła dezinstalacji, jeśli jest ono ustawione. 3. Wpisz hasło dezinstalacji i kliknij opcję OK. Usuwanie agenta za pomocą konsoli internetowej Program Client/Server Security Agent można także usunąć za pomocą konsoli internetowej. Aby zdalnie usunąć agenta za pomocą konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń. 3. W drzewie grup zabezpieczeń wybierz klienta, z którego chcesz usunąć agenta, anastępnie kliknij przycisk Usuń. Zostanie wyświetlony ekran Usuń komputer. 4. W obszarze Typ usuwania kliknij opcję Odinstaluj wybranych agentów, anastępnie kliknij przycisk Zastosuj. Zostanie wyświetlona prośba o potwierdzenie. 5. Kliknij przycisk OK. Zostanie wyświetlony ekran zawierający informacje o liczbie powiadomień wysłanych do serwera i otrzymanych przez klienta. 6. Kliknij przycisk OK. Aby sprawdzić, czy agent został usunięty, odśwież ekran Ustawienia zabezpieczeń. Klient nie powinien już być widoczny w drzewie grup zabezpieczeń. Usuwanie agenta z serwerów Exchange Aby usunąć program Messaging Security Agent za pomocą konsoli internetowej: 1. Zaloguj się na serwerze Microsoft Exchange z uprawnieniami administratora. 2. Na serwerze Microsoft Exchange kliknij przycisk Start, a następnie pozycję Panel sterowania. 3. Otwórz okno Dodawanie lub usuwanie programów. 4. Wybierz program Trend Micro Messaging Security Agent i kliknij przycisk Usuń. Postępuj zgodnie z instrukcjami na ekranie. 3-23

68 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Uruchamianie programu do odinstalowywania programów Messaging Security Agent Aby usunąć program Messaging Security Agent: 1. Zaloguj się na serwerze Microsoft Exchange z uprawnieniami administratora. 2. Na serwerze Microsoft Exchange kliknij przycisk Start, a następnie pozycję Panel sterowania. 3. Otwórz okno Dodawanie lub usuwanie programów. 4. Wybierz program Trend Micro Messaging Security Agent i kliknij przycisk Usuń. Postępuj zgodnie z instrukcjami na ekranie. 3-24

69 Rozdział 4 Zarządzanie grupami W tym rozdziale omówiono pojęcie grup i korzystanie z grup w programie WFBS-A. Rozdział obejmuje następujące zagadnienia: Omówienie grup początek na str. 4-2 Wyświetlanie klientów w grupie początek na str. 4-3 Dodawanie grup początek na str. 4-5 Usuwanie komputerów i grup z konsoli internetowej początek na str. 4-6 Dodawanie klientów do grup początek na str. 4-7 Przenoszenie klientów początek na str. 4-9 Replikowanie ustawień grup początek na str Importowanie i eksportowanie ustawień początek na str

70 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Omówienie grup W programie WFBS-A grupy stanowią zbiór komputerów i serwerów (ale nie serwerów Microsoft Exchange) skonfigurowanych w ten sam sposób i wykonujących te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wielu agentów izarządzać nimi. W celu łatwiejszego zarządzania można grupować klientów według działów, do których należą lub wykonywanych funkcji. Można też grupować klientów o większym ryzyku zarażenia, aby zastosować dla nich bardziej bezpieczną konfigurację za pomocą jednego ustawienia. Serwerów Microsoft Exchange nie można grupować. Informacje na temat konfiguracji serwerów Microsoft Exchange znajdują się w sekcji Opcje programu Messaging Security Agent, które można konfigurować na str Program Security Server domyślnie przypisuje klienty (komputery, serwery lub serwery Exchange) do grup na podstawie typu zainstalowanego agenta. 4-2

71 Zarządzanie grupami Wyświetlanie klientów w grupie Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Na ekranie Ustawienia zabezpieczeń można zarządzać wszystkimi klientami, na których zainstalowano programy Client/Server Security Agent i Messaging Security Agent, oraz dostosować ustawienia zabezpieczeń dla agentów. RYSUNEK 4-1. Klienty należące do jednej grupy, wyświetlone na ekranie Ustawienia zabezpieczeń W drzewie grup zabezpieczeń klienty są wyświetlane zgodnie z przynależnością do grup. Drzewo grup zabezpieczeń jest rozwijaną listą logicznych grup klientów. 4-3

72 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Po wybraniu grupy z listy po lewej stronie i kliknięciu opcji Konfiguruj, w konsoli internetowej zostanie wyświetlony nowy obszar konfiguracji. Wskazówka: aby zaznaczyć wiele sąsiadujących klientów, należy kliknąć pierwszy komputer w danym zakresie, przytrzymać klawisz SHIFT i kliknąć ostatni komputer w zakresie. Aby zaznaczyć grupę niesąsiadujących ze sobą klientów, należy kliknąć pierwszy komputer z tego zakresu. Przytrzymując naciśnięty klawisz CTRL, należy kliknąć klientów, którzy mają zostać wybrani. Uwaga: serwery Microsoft Exchange z zainstalowanym programem Messaging Security Agent są rejestrowane w grupie serwerów. Jednak w drzewie grup zabezpieczeń są wyświetlane pojedynczo. Gdy z drzewa grup zabezpieczeń po lewej stronie zostanie wybrana grupa, po prawej stronie pojawi się lista klientów. Informacje wyświetlane na tym ekranie można wykorzystać do: Upewnienia się, czy agenty korzystają z najnowszych silników. Dostosowania ustawień zabezpieczeń wzależności od liczby przypadków wykrycia wirusów i programów typu spyware. Podjęcia specjalnych działań wobec klientów ze zbyt wysokimi wartościami liczników. Poznania ogólnego stanu sieci. Zweryfikowania wybranej dla agentów metody skanowania. Na tym ekranie można: Skonfigurować grupy: patrz Dodawanie grup na str Replikować ustawienia między grupami: patrz sekcja Replikowanie ustawień grup na str Dodać nowe grupy: patrz sekcja Dodawanie grup na str Usuwać grupy: patrz sekcja Usuwanie komputerów i grup z konsoli internetowej na str Przenosić klientów między grupami lub programami Security Server: patrz sekcja Przenoszenie klientów na str

73 Zarządzanie grupami Zeruj liczniki: na pasku narzędzi ekranu Ustawienia zabezpieczeń kliknij przycisk Zeruj liczniki. Powoduje to wyzerowanie liczników wiadomości typu spam, wirusów/złośliwego oprogramowania, programów typu spyware/grayware inaruszeń adresów URL. Dodawanie grup Ścieżka nawigacji: Ustawienia zabezpieczeń > Dodaj grupę Grupy można tworzyć w celu zarządzania wieloma klientami jednocześnie. Uwaga: klienty muszą być powiązani z grupą. Klient nie może znajdować się poza grupą. RYSUNEK 4-2. Ekran Dodaj grupę Aby dodać grupę: 1. Zmień odpowiednio następujące ustawienia na ekranie Dodawanie grupy: Typ grupy: wybierz opcję Komputer lub Serwer. Importuj ustawienia z grupy: importuje ustawienia zabezpieczeń zwybranej grupy. 2. Kliknij przycisk Zapisz. 4-5

74 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Usuwanie komputerów i grup z konsoli internetowej Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Za pomocą opcji Usuń można wykonać dwie czynności: Usunąć ikonę klienta z konsoli internetowej: w niektórych sytuacjach klient może być nieaktywny (na przykład wówczas, gdy dysk komputera został ponownie sformatowany lub użytkownik wyłączył program Client/Server Security Agent na dłuższy czas). W tych sytuacjach konieczne może być usunięcie ikony komputera z konsoli internetowej. Odinstalować program Client/Server Security Agent z klienta (usuwając w efekcie ikonę klienta z konsoli internetowej): dopóki na komputerze lub serwerze jest zainstalowany program Client/Server Security Agent, może on być uaktywniany i wyświetlany w konsoli internetowej. Aby usunąć na stałe nieaktywnego klienta, należy najpierw odinstalować program Client/Server Security Agent. Z konsoli internetowej można usunąć zarówno pojedynczy komputer, jak i grupę. OSTRZEŻENIE! Usunięcie agenta z komputera może narazić komputer na ataki wirusów i innego złośliwego oprogramowania. Aby usunąć klienta lub grupę: 1. Kliknij grupę lub komputer, który chcesz usunąć. 2. Na pasku narzędzi kliknij opcję Usuń. Wybierz opcję Usuń wybranych nieaktywnych agentów, aby usunąć ikonę klienta z konsoli internetowej. Wybierz opcję Odinstaluj wybranych agentów, aby usunąć program Client/Server Security Agent z wybranych komputerów i usunąć ikony tych komputerów z konsoli internetowej. 4-6

75 Zarządzanie grupami 3. Kliknij przycisk Zastosuj. Uwaga: jeśli w grupie nadal są zarejestrowane klienty, nie będzie można usunąć grupy. Przed usunięciem grupy należy usunąć lub odinstalować agentów. Dodawanie klientów do grup Program Worry-Free Business Security udostępnia kilka metod instalowania programu Client/Server Security Agent. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: w organizacjach, w których reguły IT są ściśle przestrzegane, zalecana jest instalacja zdalna i za pomocą skryptu logowania. Wewnętrzna strona internetowa: należy polecić użytkownikom w firmie przejście do wewnętrznej witryny sieci Web i pobranie plików instalacji programu Client/Server Security Agent. Ustawienia skryptu logowania: ustawienia te automatyzują instalację programu Client/Server Security Agent na niezabezpieczonych komputerach podczas ich logowania do domeny. Program Client Packager: ta metoda umożliwia wdrożenie lub aktualizację plików programu Client/Server Security Agent na klientach za pomocą poczty . Instalowanie za pomocą powiadomienia wysyłana jest wiadomość z łączem do programu instalacyjnego. Instalacja zdalna: ta metoda umożliwia zainstalowanie agenta na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP/Server 2003/ Server 2008 za pomocą konsoli internetowej. Narzędzie Vulnerability Scanner (TMVS): instalowanie programu Client/Server Security Agent na wszystkich klientach z systemem Windows 2000/Server 2003 za pomocą narzędzia Trend Micro Vulnerability Scanner. Gdy zostanie dodany komputer lub serwer, program Security Server instaluje na nim agenta i dodaje dla tego klienta ikonę na ekranie Ustawienia zabezpieczeń. Po zainstalowaniu agenta na kliencie rozpoczyna on zgłaszanie informacji dotyczących zabezpieczeń do programu Security Server. 4-7

76 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Program Security Server domyślnie tworzy grupy na podstawie istniejących domen systemu Windows, a jako nazwy klienta używa nazwy komputera. Można usuwać grupy utworzone w programie Security Server lub przenosić klientów z jednej grupy do innej. Aby dodać klienta do grupy: 1. Na ekranie Ustawienia zabezpieczeń kliknij przycisk Dodaj na pasku narzędzi. 2. Zmień odpowiednio następujące ustawienia: Typ komputera: typ klienta. Komputer lub serwer Serwer Microsoft Exchange Metoda Instalacja zdalna: umożliwia zdalną instalację agenta na kliencie. Patrz Instalowanie za pomocą instalacji zdalnej na str. 3-13, aby uzyskać więcej informacji. Utwórz skrypt logowania do domeny: umożliwia instalację agenta przy użyciu skryptu logowania do domeny. Agent zostanie zainstalowany po następnym zalogowaniu klienta do sieci. Patrz Instalowanie za pomocą skryptu logowania na str. 3-6, aby uzyskać więcej informacji. Informacje o serwerze Microsoft Exchange Nazwa serwera: nazwa lub adres IP docelowego serwera Microsoft Exchange. Konto: nazwa konta administratora domeny. Hasło: hasło konta administratora domeny. 3. Kliknij przycisk Dalej. Postępuj zgodnie z instrukcjami na ekranie. 4-8

77 Zarządzanie grupami Przenoszenie klientów Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Program WFBS-A umożliwia przenoszenie klientów między grupami lub serwerami zabezpieczeń. RYSUNEK 4-3. Ekran Przenieś komputer/serwer Aby przenieść klienta z jednej grupy do innej: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Przeciągnij klienta do innej grupy. Klient odziedziczy ustawienia nowej grupy. Aby przenieść klienta z jednego serwera zabezpieczeń do innego: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Kliknij opcję Przenieś. 3. Wprowadź nazwę nowego serwera i numer portu. Aby odczytać numer portu na ekranie Ustawienia zabezpieczeń, należy kliknąć jeden z serwerów (patrz Rysunek 4-1. Klienty należące do jednej grupy, wyświetlone na ekranie Ustawienia zabezpieczeń). Numer portu zostanie wyświetlony u góry. 4. Kliknij opcję Przenieś. 4-9

78 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Replikowanie ustawień grup Za pomocą opcji Replikowanie ustawień można kopiować ustawienia między grupami lub sieciami. Ustawienia zostaną zastosowane do wszystkich klientów, którzy są częścią grupy docelowej. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-4. Ekran Ustawienia replikacji Aby replikować ustawienia między grupami: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, której ustawienia mają być replikowane do innych grup. 2. Kliknij opcję Replikuj ustawienia. 3. Wybierz grupy docelowe, które mają odziedziczyć ustawienia z grupy źródłowej. 4. Kliknij przycisk Zastosuj. 4-10

79 Zarządzanie grupami Importowanie i eksportowanie ustawień Ustawienia komputerów i serwerów można zapisać, a następnie zaimportować je celem użycia na nowych komputerach i serwerach. Ustawienia są zapisywane w postaci pliku danych (.dat). Można importować i eksportować następujące ustawienia: W ustawieniach zabezpieczeń: Oprogramowanie antywirusowe/anty-spyware, Zapora, Web Reputation, Filtrowanie adresów URL, Monitorowanie zachowania, Pasek narzędzi usługi Trend Secure, Skanowanie poczty, Uprawnienia klienta, Kwarantanna W ustawieniach skanowania: Skanowanie ręczne, Skanowanie zaplanowane Uwaga: ustawienia można importować/eksportować z/do komputerów i serwerów. Ustawienia są niezależne od typu grupy. Aby zaimportować ustawienia: 1. Na ekranie Ustawienia zabezpieczeń wybierz komputer lub serwer. 2. Kliknij przycisk Importuj. Zostanie wyświetlony ekran Importowanie ustawień. 3. Kliknij przycisk Przeglądaj, znajdź plik, a następnie kliknij przycisk Importuj. Aby wyeksportować ustawienia: 1. Na ekranie Ustawienia zabezpieczeń wybierz komputer lub serwer. 2. Kliknij przycisk Eksportuj. Zostanie wyświetlony ekran Eksportowanie ustawień. 3. Kliknij przycisk Eksportuj. W oknie dialogowym systemu Windows kliknij przycisk Zapisz i wybierz lokalizację. Aby wyeksportować ustawienia do co najmniej jednej domeny, którymi również zarządza ten serwer, należy użyć funkcji Replikuj ustawienia. 4-11

80 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 4-12

81 Rozdział 5 Zarządzanie podstawowymi ustawieniami zabezpieczeń W tym rozdziale wyjaśniono, jak należy konfigurować ustawienia w celu ochrony sieci. Rozdział obejmuje następujące zagadnienia: Opcje dla grup komputerów i serwerów początek na str. 5-2 Informacje dotyczące typów skanowania początek na str. 5-3 Konfigurowanie skanowania w czasie rzeczywistym początek na str. 5-5 Zarządzanie zaporą początek na str. 5-8 Korzystanie z usługi Web Reputation początek na str Konfigurowanie filtrowania adresów URL początek na str Korzystanie z monitorowania zachowania początek na str TrendSecure początek na str Zarządzanie skanowaniem poczty POP3 początek na str Uprawnienia klienta początek na str Zarządzanie kwarantanną początek na str

82 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Opcje dla grup komputerów i serwerów W programie WFBS-A grupa to zbiór klientów korzystających z takiej samej konfiguracji i wykonujących te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wielu klientów i zarządzać nimi. Więcej informacji znajduje się w sekcji Omówienie grup na str Poniższe funkcje są dostępne po wybraniu grupy i kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: TABELA 5-1. Opcje konfiguracji dla grup komputerów i serwerów Opcja Opis Ustawienie domyślne Metoda skanowania Oprogramowanie antywirusowe/ anty-spyware Przełączanie między skanowaniem inteligentnym i tradycyjnym Konfigurowanie opcji skanowania w czasie rzeczywistym, ochrony antywirusowej i przeciwdziałania oprogramowaniu typu spyware. Zapora Konfigurowanie opcji zapory Wyłączone Web Reputation Monitorowanie zachowania Filtrowanie adresów URL Konfigurowanie opcji W biurze i Poza biurem usługi Web Reputation Konfigurowanie opcji monitorowania zachowań Filtrowanie adresów URL blokuje witryny internetowe naruszające skonfigurowane reguły. Skanowanie tradycyjne (w przypadku uaktualnienia) Skanowanie inteligentne (w przypadku nowej instalacji) Włączone (skanowanie w czasie rzeczywistym) W biurze: Włączone, Niski Poza biurem: Włączone, Średni Włączone Włączone 5-2

83 Zarządzanie podstawowymi ustawieniami zabezpieczeń TABELA 5-1. Opcje konfiguracji dla grup komputerów i serwerów (ciąg dalszy) Opcja Opis Ustawienie domyślne TrendSecure Skanowanie poczty POP3 Uprawnienia klienta Kwarantanna Konfigurowanie opcji W biurze i Poza biurem ochrony narzędzi Transaction Protector i TrendProtect Konfigurowanie opcji skanowania wiadomości POP3 Konfigurowanie dostępu do ustawień z konsoli klienta Należy określić katalog kwarantanny W biurze: Wyłączone Poza biurem: Włączone Wyłączone nd. nd. Uwaga: inne ustawienia klienta, jak na przykład Filtrowanie komunikacji prowadzonej za pomocą komunikatorów internetowych, oraz ich zastosowanie do wszystkich klientów jest możliwe z poziomu karty Komputer/serwer na ekranie Preferencje > Ustawienia globalne. Informacje dotyczące typów skanowania Skanowanie antywirusowe jest kluczowym elementem strategii programu Worry-Free Business Security. Podczas skanowania współpracujący z plikiem sygnatur wirusów silnik skanowania firmy Trend Micro przeprowadza wykrywanie na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści do spraw wirusów z laboratorium TrendLabs umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. W razie wykrycia pliku zawierającego wirus lub inny złośliwy kod, silnik skanowania wykona operację czyszczenia, poddania kwarantannie, usunięcia lub zamiany na tekst/plik. Te operacje można dostosować podczas konfigurowania zadań skanowania. 5-3

84 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Program WFBS-A oferuje trzy rodzaje skanowania w celu ochrony klientów przed zagrożeniami internetowymi: Skanowanie w czasie rzeczywistym: skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. W przypadku wiadomości program Messaging Security Agent chroni wszystkie znane punkty wejścia wirusów, skanując w czasie rzeczywistym wszystkie przychodzące wiadomości , wiadomości SMTP, dokumenty wysyłane do folderów publicznych oraz pliki replikowane z innych serwerów Microsoft Exchange. Skanowanie ręczne: skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia związane z plikami. Ten rodzaj skanowania usuwa także wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego agenci podejmują działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora (lub użytkownika). Aby zatrzymać skanowanie, należy kliknąć przycisk Zatrzymaj skanowanie w trakcie skanowania. Uwaga: czas trwania skanowania zależy od zasobów sprzętowych komputera klienckiego i liczby plików do przeskanowania. Skanowanie zaplanowane: skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości skanowane są wokreślonym czasie iz ustaloną częstotliwością. Skanowanie zaplanowane służy do automatyzowania rutynowych operacji skanowania klientów i poprawy skuteczności zarządzania zagrożeniami. Aby skonfigurować skanowanie zaplanowane, kliknij kolejno opcje Skanuj > Skanowanie zaplanowane. Patrz Planowanie skanowania, aby uzyskać więcej informacji. Uwaga: nie należy mylić powyższych rodzajów skanowania z metodami skanowania. Metody skanowania to skanowanie inteligentne oraz skanowanie tradycyjne (Metody skanowania na str. 8-2). 5-4

85 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie skanowania w czasie rzeczywistym Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Oprogramowanie antywirusowe/anty-spyware RYSUNEK 5-1. Ekran Ustawienia zabezpieczeń > Oprogramowanie antywirusowe/anty-spyware Aby skonfigurować skanowanie w czasie rzeczywistym: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Oprogramowanie antywirusowe/anty-spyware: Włącz oprogramowanie antywirusowe/anty-spyware działające w czasie rzeczywistym Pliki do skanowania Wszystkie pliki możliwe do skanowania: wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. 5-5

86 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora IntelliScan: skanuje pliki na podstawie ich rzeczywistego typu. Patrz Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: program WFBS-A skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Określ, kiedy pliki mają być skanowane: Skanuj pliki tworzone, modyfikowane lub pobierane Skanuj pliki pobierane Skanuj pliki tworzone lub modyfikowane Wykluczenia: umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro Nie skanuj następujących katalogów: wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj następujących plików: wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj plików o następujących rozszerzeniach: wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Uwaga: jeżeli na kliencie zainstalowany jest program Microsoft Exchange Server, firma Trend Micro zaleca wyłączenie wszystkich folderów programu Microsoft Exchange Server ze skanowania. Aby wyłączyć ze skanowania wszystkie foldery serwera Exchange, przejdź do pozycji Preferencje > Ustawienia globalne, kliknij kartę Komputer/serwer i zaznacz opcję Wyklucz foldery Microsoft Exchange, jeśli program jest zainstalowany na serwerze Microsoft Exchange. Ustawienia zaawansowane 5-6

87 Zarządzanie podstawowymi ustawieniami zabezpieczeń Włącz mechanizm IntelliTrap (w przypadku skanowania antywirusowego): mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-7, aby uzyskać więcej informacji. Skanuj zmapowane dyski i udostępnione foldery sieciowe (w przypadku skanowania antywirusowego) Skanuj dyskietkę podczas zamykania systemu (w przypadku skanowania antywirusowego) Skanuj pliki skompresowane (w przypadku skanowania antywirusowego): wybierz liczbę warstw do skanowania. Lista dozwolonych programów spyware/grayware (w przypadku skanowania antyspyware): ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 8-7, aby uzyskać więcej informacji. 2. Na karcie Operacja ekranu Oprogramowanie antywirusowe/anty-spyware określ sposób postępowania programu WFBS-A w przypadku wykrycia zagrożeń: Operacja w przypadku wykrycia wirusa ActiveAction: powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Wykonaj taką samą operację w przypadku wszystkich wykrytych zagrożeń internetowych: można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: zaszyfrowana kopia zarażonego pliku zostanie zapisana w następującym katalogu klienta: C:\Program Files\Trend Micro\Client Server Security Agent\Backup 5-7

88 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Operacja w przypadku wykrycia spyware/grayware Wyczyść: podczas czyszczenia oprogramowania typu spyware/grayware program WFBS-A może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Odmów dostępu OSTRZEŻENIE! Odmawianie dostępu aplikacji typu spyware/grayware do komputera nie usuwa takiej aplikacji z zainfekowanych klientów. Ustawienia zaawansowane W przypadku wykrycia wirusa/spyware wyświetl komunikat ostrzeżenia na komputerze lub serwerze 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień wprzypadku wystąpienia zdarzenia. Patrz Konfigurowanie zdarzeń dla powiadomień na str Zarządzanie zaporą Zapora pomaga chronić klientów przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między klientem a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Dodatkowo zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na klientów. Program WFBS-A umożliwia wybranie jednej z dwóch opcji konfigurowania zapory: tryb prosty lub zaawansowany. W trybie prostym włączane są domyślne ustawienia zapory, zalecane przez firmę Trend Micro. Aby dostosować ustawienia zapory, należy użyć trybu zaawansowanego. Wskazówka: firma Trend Micro zaleca odinstalowanie innych zapór z komputerów klienckich przed zainstalowaniem i włączeniem zapory. 5-8

89 Zarządzanie podstawowymi ustawieniami zabezpieczeń Domyślne ustawienia trybu prostego zapory Zapora zapewnia ustawienia domyślne, które stanowią podstawę opracowania strategii ochrony klientów. Domyślne reguły i wyjątki powinny obejmować sytuacje często występujące podczas pracy na klientach, takie jak potrzeba dostępu do Internetu bądź pobierania lub przesyłania plików przy użyciu protokołu FTP. Uwaga: domyślnie w programie WFBS-A zapora jest wyłączona we wszystkich nowych grupach i klientach. TABELA 5-2. Domyślne ustawienia zapory Poziom zabezpieczeń Niski Opis Dozwolony ruch przychodzący i wychodzący, zablokowane tylko wirusy sieciowe. Ustawienia System wykrywania włamań (IDS) Komunikat ostrzeżenia (wysyłanie) Stan Wyłączone Wyłączone Nazwa wyjątku Operacja Kierunek Protokół Port DNS Zezwól Przychodzące i wychodzące NetBIOS Zezwól Przychodzące i wychodzące HTTPS Zezwól Przychodzące i wychodzące HTTP Zezwól Przychodzące i wychodzące Telnet Zezwól Przychodzące i wychodzące TCP/UDP 53 TCP/UDP 137, 138, 139, 445 TCP 443 TCP 80 TCP

90 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Nazwa wyjątku Operacja Kierunek Protokół Port SMTP Zezwól Przychodzące i wychodzące FTP Zezwól Przychodzące i wychodzące POP3 Zezwól Przychodzące i wychodzące MSA Zezwól Przychodzące i wychodzące TCP 25 TCP 21 TCP 110 TCP 16372, Lokalizacja W biurze Poza biurem Ustawienia zapory Wył. Wył. Filtrowanie ruchu Zapora monitoruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów: Kierunek (przychodzący lub wychodzący) Protokoły (TCP/UDP/ICMP) Porty docelowe Komputer docelowy Skanowanie w poszukiwaniu wirusów sieciowych Zapora sprawdza każdy pakiet, badając, czy nie jest on zarażony wirusem sieciowym. Kontrola stanowa Zapora przetwarza z pełną analizą pakietów i monitoruje wszystkie połączenia zklientem, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia 5-10

91 Zarządzanie podstawowymi ustawieniami zabezpieczeń normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach iregułach, ale także na kontekście, który jest identyfikowany na podstawie analizy połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. System wykrywania włamań (IDS) Zapora zawiera również system wykrywania intruzów (IDS, ang. Intrusion Detection System). System IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą oznaczać atak na klienta. Zapora umożliwia zapobieganie następującym typom ataków: Ponadwymiarowy fragment: ta luka obejmuje wyjątkowo duże fragmenty w datagramie IP. Niektóre systemy operacyjne nie obsługują prawidłowo dużych fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Atak Ping of Death: Ping of Death (w skrócie POD ) to typ ataku polegający na wysłaniu zniekształconego lub złośliwego polecenia ping do komputera. Polecenie ping ma zwykle wielkość 64 bajtów (lub 84 bajtów po uwzględnieniu nagłówka IP). Wiele systemów komputerowych nie może obsłużyć polecenia ping przekraczającego maksymalną wielkość pakietu IP, która wynosi bajtów. Wysłanie polecenia ping o tej wielkości może spowodować zawieszenie komputera docelowego. Skonfliktowane ARP: ten atak występuje, kiedy źródłowe i docelowe adresy IP są identyczne. Atak typu SYN flood: atak typu SYN flood to forma ataku typu "odmowa usługi", w którym osoba atakująca wysyła kolejne żądania SYN do systemu docelowego. Pokrywający się fragment: ta luka obejmuje dwa fragmenty w obrębie tego samego datagramu IP, których przesunięcie wskazuje na współdzielenie położenia wdatagramie. Może to oznaczać, że fragment A zostaje całkowicie lub częściowo nadpisany przez fragment B. Niektóre systemy operacyjne nie obsługują prawidłowo pokrywających się fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Jest to podstawa do tzw. ataków DoS typu teardrop. Atak typu Teardrop: atak typu teardrop jest związany z wysyłaniem do komputera docelowego fragmentów IP z pokrywającą się zawartością o nadmiernej wielkości. Błąd w kodzie ponownego asemblowania fragmentacji TCP/IP w różnych systemach operacyjnych powoduje, że fragmenty takie są niepoprawnie obsługiwane, co prowadzi do zawieszenia tych systemów. 5-11

92 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Niewielki fragment: jeśli dowolny fragment poza końcowym ma wielkość mniejszą niż 400 bajtów, oznacza to, że fragment ten został specjalnie utworzony. Małe fragmenty mogą być używane w atakach typu DoS lub w przypadku próby pominięcia zabezpieczeń lub wykrywania. Pofragmentowany IGMP: kiedy klient odbiera pofragmentowany pakiet IGMP (Internet Group Management Protocol), wydajność klienta może się obniżyć lub komputer może przestać reagować (zawiesić się), co wymaga ponownego uruchomienia w celu przywrócenia działania. Atak typu LAND: atak typu LAND to atak typu DoS, który obejmuje wysyłanie specjalnie sfałszowanego, toksycznego pakietu do komputera, powodując niepożądane działanie sprzętu. Ten atak jest związany z wysyłaniem sfałszowanego pakietu TCP SYN (inicjacja połączenia) z adresem IP hosta docelowego i otwartym portem zarówno jako źródło, jak i miejsce docelowe. Kontrola stanowa Zapora przetwarza z pełną analizą pakietów i monitoruje wszystkie połączenia zklientem, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach iregułach, ale także na kontekście ustanowionym w czasie analizowania połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. 5-12

93 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie zapory Uwaga: zaporę należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem RYSUNEK 5-2. Ekran Zapora - W biurze Aby skonfigurować zaporę: 1. Zmień odpowiednio następujące opcje na ekranie Zapora: Włącz zaporę: wybierz, aby włączyć zaporę dla grupy i lokalizacji. Tryb prosty: włącza zaporę z ustawieniami domyślnymi. Patrz Domyślne ustawienia zapory na str

94 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Tryb zaawansowany: włącza zaporę z ustawieniami niestandardowymi. Informacje na temat opcji konfiguracji znajdują się wsekcji Zaawansowane opcje zapory na str Kliknij przycisk Zapisz. Zmiany zostają zastosowane natychmiast. Zaawansowane opcje zapory Zaawansowane opcje zapory umożliwiają skonfigurowanie niestandardowych ustawień zapory dla określonej grupy klientów. Aby skonfigurować zaawansowane opcje zapory: 1. Na ekranie Zapora wybierz pozycję Tryb zaawansowany. 2. Zmień odpowiednio następujące opcje: Poziom zabezpieczeń: poziom zabezpieczeń określa reguły ruchu, które mają być stosowane na portach spoza listy wyjątków. Wysoki: blokuje cały ruch przychodzący i wychodzący. Średni: blokuje cały ruch przychodzący, ruch wychodzący jest dozwolony. Niski: zezwala na cały ruch przychodzący i wychodzący. Ustawienia Włącz system wykrywania intruzów: system wykrywania intruzów identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak. Patrz System wykrywania włamań (IDS) na str. 5-11, aby uzyskać więcej informacji. Włącz komunikaty ostrzeżeń: gdy program WFBS-A wykryje naruszenie, klient zostanie powiadomiony. Wyjątki: porty na liście wyjątków nie będą blokowane. Patrz Praca z wyjątkami zapory na str. 5-15, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. 5-14

95 Zarządzanie podstawowymi ustawieniami zabezpieczeń Wyłączanie zapory Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem Aby wyłączyć zaporę: 1. Aby wyłączyć zaporę dla grupy i typu połączenia, usuń zaznaczenie pola wyboru Włącz zaporę. 2. Kliknij przycisk Zapisz. Uwaga: aby całkowicie wyłączyć zaporę, należy powtórzyć powyższy proces dla obu typów połączenia (W biurze i Poza biurem). Praca z wyjątkami zapory Wyjątki obejmują określone ustawienia, które zezwalają na różny typ ruchu lub blokują go na podstawie kierunku, protokołu, portu i komputerów. Na przykład podczas epidemii można zablokować cały ruch kliencki, łącznie z ruchem przez port HTTP (port 80). Jeżeli jednak zablokowani klienci mają mieć dostęp do Internetu, można dodać serwer proxy sieci Internet do listy wyjątków. Dodawanie wyjątków Aby dodać wyjątek: 1. Na ekranie Zapora tryb zaawansowany kliknij przycisk Dodaj w sekcji Wyjątki. 2. Zmień odpowiednio opcje: Nazwa: wpisz unikatową nazwę wyjątku. Akcja: blokowanie lub zezwolenie na ruch dla wybranego protokołu, portów i klientów. Kierunek: opcja Przychodzące oznacza ruch z Internetu do sieci. Opcja Wychodzące oznacza ruch z sieci do Internetu. Protokół: protokół ruchu sieciowego dla tego wyjątku. Porty Wszystkie porty (domyślne) 5-15

96 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zakres Określone porty: poszczególne wpisy należy oddzielać przecinkami. Komputer Wszystkie adresy IP (domyślne) Zakres IP Pojedynczy adres IP: adres IP określonego klienta. 3. Kliknij przycisk Zapisz. Wyświetlony zostanie ekran Konfiguracja zapory. Na liście wyjątków znajduje się nowy wyjątek. Edytowanie wyjątków Aby edytować wyjątek: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek, który chcesz edytować. 2. Kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. Patrz Dodawanie wyjątków na str. 5-15, aby uzyskać więcej informacji. 4. Kliknij przycisk Zapisz. Usuwanie wyjątków Aby usunąć wyjątek: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek do usunięcia. 2. Kliknij przycisk Usuń. Korzystanie z usługi Web Reputation Usługa Web Reputation uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. 5-16

97 Zarządzanie podstawowymi ustawieniami zabezpieczeń Jeśli usługa Web Reputation blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawiera sekcja Dozwolone adresy URL na str Konfigurowanie usługi Web Reputation Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Web Reputation > W biurze/poza biurem Usługa Web Reputation ocenia potencjalne zagrożenia wszystkich żądanych adresów URL, przeglądając bazę danych Trend Micro Security dla każdego żądania HTTP. Uwaga: ustawienia usługi Web Reputation należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str RYSUNEK 5-3. Ekran Ustawienia zabezpieczeń > Web Reputation 5-17

98 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby edytować ustawienia usługi Web Reputation: 1. Zmień odpowiednio następujące ustawienia na ekranie Web Reputation: Włącz usługę Web Reputation Poziom zabezpieczeń Wysoki: blokowane są strony, które zostały uznane za strony prowadzące do nadużyć lub źródła zagrożenia sieciowego, są podejrzewane o sprzyjanie nadużyciom lub powodowanie zagrożenia sieciowego albo kojarzone ze spamem lub ewentualnym zagrożeniem sieciowym i nie zostały uwzględnione w klasyfikacji. Średni: blokowane są strony, które zostały uznane za strony prowadzące do nadużyć lub źródła zagrożenia sieciowego, są podejrzewane o sprzyjanie nadużyciom lub powodowanie zagrożenia sieciowego. Niski: blokowane są strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. 2. Aby zmodyfikować listę dozwolonych witryn internetowych, kliknij opcję Dozwolone globalnie adresy URL izmień ustawienia na ekranie Ustawienia globalne. 3. Kliknij przycisk Zapisz. Konfigurowanie filtrowania adresów URL Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Filtrowanie adresów URL Filtrowanie adresów URL służy do blokowania niechcianej zawartości internetowej. Można wybrać określone typy witryn internetowych, które będą blokowane w różnych porach dnia. W tym celu należy wybrać opcję Niestandardowy. Można także określić godziny pracy oraz godziny wolne, aby blokować witryny internetowe o różnych porach dnia. 5-18

99 Zarządzanie podstawowymi ustawieniami zabezpieczeń RYSUNEK 5-4. Ekran Ustawienia zabezpieczeń > Filtrowanie adresów URL Aby skonfigurować filtrowanie adresów URL: 1. Na ekranie Filtrowanie adresów URL zmień odpowiednio następujące ustawienia: Włącz filtrowanie adresów URL Poziom filtrowania Wysoki: blokowane są znane lub potencjalne zagrożenia bezpieczeństwa, nieodpowiednia lub obraźliwa zawartość, treści, które mogą wpływać na produktywność czy przepustowość oraz strony niesklasyfikowane. Średni: blokowane są znane zagrożenia bezpieczeństwa oraz nieodpowiednia zawartość. Niski: blokowane są znane zagrożenia bezpieczeństwa. Niestandardowa: można wybrać własne kategorie oraz określić, czy mają one być blokowane w godzinach pracy czy w godzinach wolnych. 2. Określ godziny pracy. 3. Aby zmodyfikować listę dozwolonych witryn internetowych, kliknij opcję Dozwolone globalnie adresy URL izmień ustawienia na ekranie Ustawienia globalne. 4. Kliknij przycisk Zapisz. 5-19

100 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Korzystanie z monitorowania zachowania Agenci stale monitorują klientów pod kątem nietypowych modyfikacji systemu operacyjnego lub zainstalowanego oprogramowania. Administratorzy (lub użytkownicy) mogą tworzyć listy wyjątków umożliwiające działanie niektórych programów z naruszeniem monitorowanej zmiany, bądź całkowicie zablokować określone programy. Ponadto zawsze jest możliwe uruchomienie programów z prawidłowymi podpisami cyfrowymi. Poniższa tabela zawiera opis i ustawienia domyślne dla monitorowanych zmian. TABELA 5-3. Monitorowane możliwe zmiany Monitorowana zmiana Zduplikowany system plików Modyfikacja pliku hosts Podejrzane zachowanie Opis Wiele złośliwych programów tworzy kopie siebie lub innych złośliwych programów przy użyciu nazw plików systemowych Windows. Zwykle ma to na celu nadpisanie lub zastąpienie plików systemowych, zapobieżenie wykryciu lub zniechęcenie użytkowników do usuwania złośliwych plików. Plik hosts porównuje nazwy domen z adresami IP. Wiele złośliwych programów modyfikuje plik hosts, przez co przeglądarka internetowa zostaje przekierowana do zainfekowanych, nieistniejących lub fałszywych witryn internetowych. Podejrzane zachowanie to określone działanie lub seria działań, które nie są zwykle wykonywane przez legalne programy. Należy zachować ostrożność w przypadku programów, które cechuje podejrzane zachowanie. Wartość domyślna Pytaj w razie konieczności Zawsze blokuj Pytaj w razie konieczności 5-20

101 Zarządzanie podstawowymi ustawieniami zabezpieczeń TABELA 5-3. Monitorowane możliwe zmiany (ciąg dalszy) Monitorowana zmiana Modyfikacja systemu plików Nowy dodatek do przeglądarki Internet Explorer Modyfikacja ustawień przeglądarki Internet Explorer Modyfikacja reguł zabezpieczeń Modyfikacja reguł zapory Wstrzykiwanie biblioteki programu Opis Niektóre pliki systemowe Windows określają zachowanie systemu, włącznie z programami startowymi i ustawieniami wygaszacza ekranu. Wiele złośliwych programów modyfikuje pliki systemowe w celu automatycznego uruchamiania podczas startu komputera i kontrolowania działania systemu. Programy spyware/grayware często instalują niechciane dodatki do przeglądarki Internet Explorer, włącznie z paskami narzędzi i obiektami pomocniczymi przeglądarki. Wiele wirusów i złośliwych programów zmienia ustawienia przeglądarki Internet Explorer, takie jak strona domowa, zaufane witryny internetowe, ustawienia serwera proxy i rozszerzenia menu. Modyfikacje reguł zabezpieczeń systemu Windows mogą umożliwić uruchamianie niechcianych aplikacji oraz zmianę przez nie ustawień systemu. Reguły zapory systemu Windows określają aplikacje mające dostęp do sieci, porty otwarte do komunikacji oraz adresy IP, które mogą komunikować się z komputerem. Wiele złośliwych programów modyfikuje reguły, aby zapewnić sobie dostęp do sieci i Internetu. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Wartość domyślna Zawsze blokuj Pytaj w razie konieczności Zawsze blokuj Zawsze blokuj Pytaj w razie konieczności Pytaj w razie konieczności 5-21

102 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 5-3. Monitorowane możliwe zmiany (ciąg dalszy) Monitorowana zmiana Modyfikacja powłoki Nowa usługa Modyfikacja procesów systemowych Nowy program startowy Opis Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows, aby utworzyć powiązania z określonymi typami plików. W ten sposób złośliwe programy mogą być uruchamiane automatycznie, jeśli użytkownik otworzy powiązane pliki w Eksploratorze Windows. Zmiany w ustawieniach powłoki systemu Windows umożliwiają złośliwym programom także śledzenie używanych programów i uruchamianie się wraz z autentycznymi aplikacjami. Usługi systemu Windows to procesy mające specjalne funkcje, które zwykle działają wtle, zpełnym dostępem administracyjnym. Złośliwe programy czasami instalują się jako usługi w celu pozostania w ukryciu. Wiele złośliwych programów wykonuje różne działania na wbudowanych procesach systemu Windows. Te działania mogą obejmować przerywanie lub modyfikowanie aktywnych procesów. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Wartość domyślna Pytaj w razie konieczności Pytaj w razie konieczności Pytaj w razie konieczności Pytaj w razie konieczności Inną opcją funkcji Monitorowanie zachowania jest ochrona plików EXE i DLL przed usunięciem lub modyfikacją. Użytkownicy z tym uprawnieniem mogą zabezpieczać określone foldery. Ponadto użytkownicy mogą wybrać wspólną ochronę wszystkich programów Intuit QuickBooks. 5-22

103 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie monitorowania zachowania Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Monitorowanie zachowania Funkcja Monitorowanie zachowania chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. RYSUNEK 5-5. Ekran Monitorowanie zachowania 5-23

104 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby edytować ustawienia funkcji Monitorowanie zachowania: 1. Zmień odpowiednio następujące ustawienia na ekranie Monitorowanie zachowania: Włącz monitorowanie zachowania Uwaga: przejdź do opcji Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta i w sekcji Monitorowanie zachowania wybierz polecenie Edytuj listę wyjątków. Włącz ochronę programu Intuit QuickBooks : ochrona plików i folderów oprogramowania Intuit QuickBooks przed nieautoryzowanymi zmianami przez inne programy. Włączenie tej funkcji nie wpłynie na zmiany dokonywane z poziomu programów Intuit QuickBooks, ale uniemożliwi dokonanie zmian w plikach poprzez inne nieautoryzowane aplikacje. Obsługiwane są następujące produkty: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Zapobiegaj automatycznemu uruchamianiu aplikacji po podłączeniu urządzenia do portu USB: opcja zapobiega uruchamianiu na komputerach klienckich programów z urządzeń USB. Monitorowanie możliwych zmian: wybierz opcję Zawsze zezwalaj, Pytaj w razie konieczności lub Zawsze blokuj dla każdej monitorowanej zmiany. Informacje na temat różnych zmian znajdują się w tabeli Tabela 5-3 na str Wyjątki: wyjątki obejmują Listę dozwolonych programów i Listę zablokowanych programów: programy z Listy dozwolonych programów mogą być uruchamiane, nawet jeśli naruszają monitorowaną zmianę, natomiast programów z listy Listy zablokowanych programów nie można nigdy uruchamiać. 5-24

105 Zarządzanie podstawowymi ustawieniami zabezpieczeń Pełna ścieżka programu: wpisz pełną ścieżkę programu. Poszczególne wpisy należy oddzielać średnikami (;). Kliknij przycisk Dodaj do listy dozwolonych programów lub Dodaj do listy zablokowanych programów. W razie potrzeby użyj zmiennych środowiskowych do określenia ścieżek. Lista obsługiwanych zmiennych znajduje się w tabeli Tabela 5-4 na str Lista dozwolonych programów: programy (maksymalnie 100) z tej listy mogą być uruchamiane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Lista zablokowanych programów: programy (maksymalnie 100) z tej listy nigdy nie mogą być uruchomione. Kliknij odpowiednią ikonę, aby usunąć pozycję. 2. Kliknij przycisk Zapisz. Zmienne środowiskowe Program WFBS-A umożliwia użycie zmiennych środowiskowych w celu określenia konkretnych folderów na kliencie. Za pomocą tych zmiennych można utworzyć wyjątki dla określonych folderów. Poniższa tabela przedstawia dostępne zmienne: TABELA 5-4. Obsługiwane zmienne Zmienna środowiskowa $windir$ $rootdir$ $tempdir$ $programdir$ Wskazuje na... Folder Windows Folder główny Folder tymczasowy systemu Windows Folder Program Files 5-25

106 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TrendSecure Usługa TrendSecure obejmuje zestaw narzędzi działających w oparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach. Narzędzie Transaction Protector ustala poziom bezpieczeństwa połączenia bezprzewodowego, sprawdzając autentyczność punktu dostępu. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor: sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Oceny stron: określa bezpieczeństwo bieżącej strony. Uwaga: ustawienia usługi TrendSecure należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str

107 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie usługi TrendSecure Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Paski narzędzi TrendSecure > W biurze/poza biurem Istnieje możliwość skonfigurowania dostępności narzędzi TrendSecure dla użytkowników w zależności od ich lokalizacji. RYSUNEK 5-6. Ekran Paski narzędzi TrendSecure W biurze Aby edytować dostępności narzędzi TrendSecure: 1. Zmień odpowiednio następujące ustawienia na ekranie Paski narzędzi TrendSecure W biurze/poza biurem: Włącz narzędzie Wi-Fi Advisor: sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Włącz ocenę stron: określa bezpieczeństwo bieżącej strony. 5-27

108 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 2. Kliknij przycisk Zapisz. Uwaga: paski narzędzi TrendSecure można udostępnić dla agentów tylko z poziomu konsoli internetowej. Użytkownicy muszą instalować iodinstalowywać narzędzia z poziomu konsoli agenta. Zarządzanie skanowaniem poczty POP3 Skanowanie poczty POP3 oraz użycie dodatku Trend Micro Anti-Spam chroni klientów przez spamem i zagrożeniami przesyłanymi w wiadomościach POP3. Uwaga: domyślnie skanowanie poczty POP3 obsługuje tylko nowe wiadomości wysyłane za pośrednictwem portu 110 w folderze wiadomości przychodzących i folderze wiadomości-śmieci. Nie obsługuje bezpiecznego skanowania poczty POP3 (SSL-POP3), z którego domyślnie korzysta program Exchange Server Wymagania skanowania poczty POP3 Skanowanie poczty POP3 obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 z dodatkiem Service Pack 2 (tylko w systemie Windows XP) Windows Mail (tylko w systemie Microsoft Vista) Mozilla Thunderbird w wersji 1.5 i 2.0 Uwaga: skanowanie poczty POP3 nie wykrywa zagrożeń ispamu wwiadomościach IMAP. W celu wykrywania zagrożeń ispamu wwiadomościach IMAP należy użyć programu Messaging Security Agent. 5-28

109 Zarządzanie podstawowymi ustawieniami zabezpieczeń Wymagania dotyczące paska narzędzi Anti-Spam Pasek narzędzi Trend Micro Anti-Spam obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Windows Vista) Pasek narzędzi Anti-Spam obsługuje następujące systemy operacyjne: Windows XP SP2 (wersja 32-bitowa) Windows Vista 32- i 64-bitowy Konfigurowanie skanowania poczty Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Skanowanie poczty Aby dokonać edycji dostępności funkcji skanowania poczty: 1. Zmień odpowiednio następujące ustawienia na ekranie Skanowanie poczty: Włącz skanowanie POP3 w czasie rzeczywistym Włącz pasek narzędzi antyspamowych Trend Micro 2. Kliknij przycisk Zapisz. 5-29

110 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Uprawnienia klienta Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta Uprawnienia klienta należy przyznać, aby umożliwić użytkownikom modyfikowanie ustawień agenta zainstalowanego na komputerze. Wskazówka: aby zachować określone reguły zabezpieczeń wcałej organizacji, firma Trend Micro zaleca nadanie użytkownikom ograniczonych uprawnień. Dzięki temu użytkownicy nie będą mogli modyfikować ustawień skanowania ani wyłączać programu Client/Server Security Agent. 5-30

111 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie uprawnień klienta RYSUNEK 5-7. Ekran Uprawnienia klienta Aby przyznać uprawnienia klientom: 1. Zmień odpowiednio następujące ustawienia na ekranie Uprawnienia klienta: Oprogramowanie antywirusowe/anty-spyware Ustawienia skanowania ręcznego Ustawienia skanowania zaplanowanego Ustawienia skanowania w czasie rzeczywistym 5-31

112 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zatrzymaj skanowanie zaplanowane Włącz tryb mobilny Zapora Wyświetlaj kartę Zapora Zezwalaj klientom na włączanie/wyłączanie zapory Uwaga: jeśli użytkownikom zezwolono na włączanie i wyłączanie zapory, nie można zmieniać tych ustawień w konsoli internetowej. Jeśli użytkownikom nie przyznano tego uprawnienia, ustawienia można zmienić za pomocą konsoli internetowej. Informacje wyświetlane w obszarze ustawień zapory lokalnej agenta zawsze przedstawiają ustawienia skonfigurowane z poziomu agenta, a nie konsoli internetowej. Web Reputation Edytuj listę dozwolonych adresów URL Monitorowanie zachowania Wyświetl kartę Monitorowanie zachowania i pozwól użytkownikom na dostosowywanie list: pozwól użytkownikom na włączanie iwyłączanie monitorowania zachowania oraz konfigurowanie listy wyjątków i listy zabezpieczeń oprogramowania. Skanowanie poczty Umożliwia użytkownikom konfigurację skanowania poczty POP3 w czasie rzeczywistym Ustawienia proxy Zezwalaj użytkownikom na konfigurację ustawień serwera proxy Aktualizuj uprawnienia Wykonaj polecenie Aktualizuj teraz Włącz/wyłącz zaplanowaną aktualizację Ustawienia aktualizacji Pobieraj pliki z serwera Trend Micro ActiveUpdate: kiedy użytkownicy zainicjują aktualizację, agent pobierze aktualizacje ze źródła określonego na ekranie Źródło aktualizacji. W przypadku niepowodzenia aktualizacji agent próbuje przeprowadzić aktualizację zprogramu Security 5-32

113 Zarządzanie podstawowymi ustawieniami zabezpieczeń Server. Wybranie opcji Pobieraj pliki z serwera Trend Micro ActiveUpdate umożliwi agentowi próbę pobrania aktualizacji z serwera Trend Micro ActiveUpdate w przypadku niepowodzenia aktualizacji z programu Security Server. Wskazówka: aby zapewnić aktualizację agentów na przenośnych komputerach klienckich poza biurem, należy włączyć opcję Pobieraj pliki z serwera Trend Micro ActiveUpdate. Włącz zaplanowaną aktualizację Wyłącz aktualizację programu i instalację pakietu hot fix Bezpieczeństwo klienta Wysokie: uniemożliwia dostęp do folderów, plików i pozycji rejestru agenta. Normalne: umożliwia dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru agenta. Uwaga: w przypadku wybrania opcji Wysokie ustawienia uprawnień dostępu do folderów, plików i pozycji rejestru agenta będą dziedziczone z folderu Program Files (w przypadku klientów z systemem Windows Vista/2000/XP/Server 2003). Jeśli więc ustawienia uprawnień (ustawienia zabezpieczeń systemu Windows) pliku systemu Windows lub folderu Program Files zostaną ustawione na pełny dostęp w trybie odczytu/zapisu, wybranie opcji Wysokie nadal umożliwi klientom dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru programu Client/Server Security Agent. 2. Kliknij przycisk Zapisz. 5-33

114 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zarządzanie kwarantanną W katalogu kwarantanny przechowywane są zarażone pliki. Katalog kwarantanny może znajdować się na kliencie lub innym serwerze. Jeżeli określono nieprawidłowy katalog kwarantanny, agent użyje domyślnego katalogu kwarantanny na kliencie: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT Domyślny folder na serwerze to: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: jeżeli program CSA nie może z jakiegoś powodu wysłać pliku do programu Security Server (np. ze względu na problem z siecią), plik pozostaje w folderze z podejrzanymi plikami klienta. Agent ponowi próbę wysłania pliku po ponownym nawiązaniu połączenia z programem Security Server. Konfigurowanie katalogu kwarantanny Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Kwarantanna RYSUNEK 5-8. Ekran Katalog kwarantanny 5-34

115 Zarządzanie podstawowymi ustawieniami zabezpieczeń Aby skonfigurować katalog kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Katalog kwarantanny: Katalog kwarantanny: wpisz adres URL lub ścieżkę UNC wskazujące miejsce przechowywania zarażonych plików. Przykład: lub \\TymczSerwer\Kwarantanna. 2. Kliknij przycisk Zapisz. 5-35

116 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 5-36

117 Rozdział 6 Zarządzanie programem Messaging Security Agent W tym rozdziale opisano program Messaging Security Agent i wyjaśniono sposób korzystania z opcji skanowania w czasie rzeczywistym, konfigurowania ustawień ochrony antyspamowej, filtrowania zawartości, blokowania załączników oraz opcji obsługi kwarantanny dla serwerów Microsoft Exchange. Rozdział obejmuje następujące zagadnienia: Informacje o programie Messaging Security Agent na str. 6-2 Opcje programu Messaging Security Agent, które można konfigurować na str. 6-6 Antywirus na str. 6-9 Antyspam na str Skanowanie zawartości na str Filtrowanie zawartości na str Blokowanie załączników na str Folder kwarantanny programu Messaging Security Agent na str Operacje na str Dodawanie serwerów Microsoft Exchange do drzewa grup zabezpieczeń na str Replikowanie ustawień na serwerach Microsoft Exchange na str Dodawanie informacji o wykluczeniu odpowiedzialności do wychodzących wiadomości na str

118 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Informacje o programie Messaging Security Agent Programy Messaging Security Agent (MSA) chronią serwery Microsoft Exchange. Program Messaging Security Agent pomaga eliminować zagrożenia rozprzestrzeniające się za pośrednictwem poczty przez skanowanie wiadomości przychodzących i wychodzących z magazynu skrzynek pocztowych programu Microsoft Exchange, jak również poczty przesyłanej między serwerem Microsoft Exchange a adresami zewnętrznymi. Ponadto program Messaging Security Agent pozwala: zmniejszać ilość spamu, blokować wiadomości na podstawie zawartości, blokować lub ograniczać wiadomości z załącznikami. Program Messaging Security Agent można instalować tylko na serwerach Microsoft Exchange. W drzewie grup wyświetlane są wszystkie programy Messaging Security Agent w sieci. Uwaga: nie można połączyć wielu programów Messaging Security Agent w grupę. Każdym programem Messaging Security Agent należy administrować izarządzać oddzielnie. Program WFBS-A używa programu Messaging Security Agent do zbierania informacji na temat bezpieczeństwa z serwerów Microsoft Exchange. Program Messaging Security Agent zgłasza, na przykład, wykrycie spamu lub zakończenie aktualizacji składników programu Trend Micro Security Server. Informacje te są wyświetlane w konsoli internetowej. Program Trend Micro Security Server używa także tych informacji do generowania dzienników i raportów dotyczących stanu zabezpieczeń serwerów Microsoft Exchange. Uwaga: każde wykrycie zagrożenia powoduje wygenerowanie jednego wpisu w dzienniku/ powiadomienia. Oznacza to, że wykrycie wielu zagrożeń w pojedynczej wiadomości przez program Messaging Security Agent spowoduje wygenerowanie wielu wpisów w dzienniku i powiadomień. To samo zagrożenie może zostać wykryte wielokrotnie, szczególnie w przypadku pracy w trybie buforowym w programie Outlook Po uruchomieniu trybu buforowego to samo zagrożenie może zostać wykryte w folderze kolejki transportu oraz folderze Elementy wysłane lub w folderze Skrzynka nadawcza. 6-2

119 Zarządzanie programem Messaging Security Agent Skanowanie wiadomości przez program Messaging Security Agent Program Messaging Security Agent (MSA) korzysta z następującej procedury w celu skanowania wiadomości 1. skanowanie pod kątem spamu (funkcja Antyspam), a. porównywanie wiadomości z listą dozwolonych/zablokowanych nadawców administratora, b. sprawdzanie pod kątem zagrożeń typu phishing, c. porównywanie wiadomości z listą wyjątków dostarczoną przez firmę Trend Micro, d. porównywanie wiadomości z bazą danych sygnatur spamu, e. stosowanie reguł skanowania heurystycznego, 2. skanowanie pod kątem naruszenia reguł filtrowania zawartości, 3. skanowanie pod kątem załączników przekraczających parametry zdefiniowane przez użytkownika, 4. skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania (funkcja antywirusowa). 6-3

120 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Operacje programu MSA Administratorzy mogą skonfigurować program Messaging Security Agent w taki sposób, aby wykonywał operacje w zależności od typu zagrożenia, jakie stanowią wirusy/ złośliwe oprogramowanie, trojany i robaki. Jeśli stosowane są operacje niestandardowe, należy określić odpowiednią operację dla każdego typu zagrożenia. TABELA 6-1. Niestandardowe operacje programu Messaging Security Agent Operacja Wyczyść Opis Usuwa złośliwy kod z treści zarażonych wiadomości izałączników. Pozostała treść wiadomości, niezarażone pliki oraz wyczyszczone pliki są dostarczane do określonych odbiorców. Firma Trend Micro w przypadku wirusów/złośliwego oprogramowania zaleca używanie domyślnej operacji skanowania Wyczyść. W niektórych przypadkach program Messaging Security Agent nie może wyczyścić pliku. Podczas skanowania ręcznego lub zaplanowanego program Messaging Security Agent aktualizuje magazyn informacji izastępuje plik jego wyczyszczoną wersją. Zastąp tekstem/ plikiem Poddaj kwarantannie całą wiadomość Program Messaging Security Agent usuwa zarażoną zawartość izastępuje ją tekstem lub plikiem. Wiadomość zostaje dostarczona do określonego odbiorcy, ale tekst zastępczy informuje o zarażeniu i zastąpieniu oryginalnej zawartości. Przenosi wiadomość do folderu z ograniczonym dostępem, eliminując zagrożenie bezpieczeństwa środowiska Microsoft Exchange. Pierwotny odbiorca nie otrzyma wiadomości. Opcja ta jest niedostępna przy skanowaniu ręcznym i zaplanowanym. Więcej informacji na temat folderu kwarantanny zawiera sekcja Konfigurowanie katalogów kwarantanny na str

121 Zarządzanie programem Messaging Security Agent TABELA 6-1. Niestandardowe operacje programu Messaging Security Agent (ciąg dalszy) Operacja Poddaj część wiadomości kwarantannie Usuń całą wiadomość Pomiń Archiwizuj Poddaj wiadomość kwarantannie w folderze spamu na serwerze Poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika Zaznacz i dostarcz Opis Przeniesiona do folderu kwarantanny i poddana kwarantannie zostaje tylko zarażona zawartość. Odbiorca otrzymuje wiadomość bez tej zawartości. Podczas skanowania w czasie rzeczywistym program Messaging Security Agent usuwa całą wiadomość . Pierwotny odbiorca nie otrzyma wiadomości. Opcja ta jest niedostępna przy skanowaniu ręcznym i zaplanowanym. Tworzy w dzienniku wirusów wpis o zarażeniu plików złośliwym wirusem, ale nie wykonuje żadnej operacji. Wykluczone, zaszyfrowane lub chronione hasłem pliki są dostarczane do odbiorcy bez aktualizowania dzienników. Umieszcza wiadomość w katalogu archiwum i dostarcza ją oryginalnemu odbiorcy. Program Messaging Security Agent wysyła całą wiadomość na serwer zabezpieczeń w celu poddania kwarantannie. Program Messaging Security Agent wysyła całą wiadomość do folderu spamu użytkownika w celu poddania kwarantannie. Program Messaging Security Agent dodaje do informacji nagłówka wiadomości znacznik, który określa ją jako spam, a następnie dostarcza ją do odbiorcy. 6-5

122 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zaawansowane skanowanie makr Program Messaging Security Agent używa pliku sygnatur wirusów do identyfikacji znanych, złośliwych kodów makr podczas zwykłego skanowania. Program Messaging Security Agent wykonuje odpowiednią operację dla złośliwego kodu makra w zależności od operacji skonfigurowanej na ekranie Antywirus. Użycie funkcji zaawansowanego skanowania makr pozwala uzyskać dodatkową ochronę przed złośliwymi kodami makr. Funkcja zaawansowanego skanowania makr uzupełnia zwykłe skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania. Funkcja ta korzysta z technologii skanowania heurystycznego w celu wykrywania wirusów makr lub usuwania wszystkich wykrytych kodów makr. Skanowanie heurystyczne to metoda badawcza wykrywania wirusów, która wykorzystuje rozpoznawanie sygnatur i technologie oparte na regułach do wyszukiwania złośliwego kodu makr. Metoda ta sprawdza się najlepiej przy wykrywaniu nieznanych wirusów i zagrożeń, dla których nie istnieją jeszcze sygnatury wirusów. Po wykryciu złośliwego kodu makra przy użyciu skanowania heurystycznego program Messaging Security Agent wykonuje operację odpowiednią dla złośliwego kodu w zależności od operacji skonfigurowanej na ekranie Antywirus. Jeśli wybrana została opcja Usuń wszystkie makra wykryte przez funkcję zaawansowanego skanowania makr, program Messaging Security Agent usuwa wszystkie kody makr z przeskanowanych plików. Opcje programu Messaging Security Agent, które można konfigurować Poniższe funkcje są dostępne po kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: Antywirus: konfigurowanie opcji skanowania w czasie rzeczywistym dla programu Messaging Security Agent. Antyspam (skanowanie zawartości): służy do ustawiania poziomu wykrywania spamu, konfigurowania list dozwolonych/zablokowanych nadawców i ustawiania operacji dotyczących spamu. Antyspam (usługa Reputation): usługę Reputation należy skonfigurować w celu blokowania wiadomości ze znanych lub podejrzanych źródeł spamu. Ponadto można utworzyć wykluczenia, aby dopuścić lub blokować wiadomości od innych nadawców. 6-6

123 Zarządzanie programem Messaging Security Agent Filtrowanie zawartości: umożliwia włączanie i konfigurowanie funkcji filtrowania zawartości. Blokowanie załączników: służy do określania wymagań dotyczących blokowania załączników. Kwarantanna: służy do wykonywania zapytań, obsługi kwarantanny i ustawiania katalogów kwarantanny. Operacje: służy do obsługi wiadomości typu spam, ustawiania wewnętrznych adresów i opcji diagnostyki systemu. Domyślne ustawienia programu Messaging Security Agent Opcje uwzględnione w tabeli ułatwiają optymalizację konfiguracji programu Messaging Security Agent. TABELA 6-2. Operacje domyślne programu Messaging Security Agent Opcja skanowania Antyspam Spam Skanowanie w czasie rzeczywistym Poddaj wiadomość kwarantannie w folderze spamu użytkownika (domyślna opcja, jeżeli zainstalowano filtr wiadomości-śmieci w programie Outlook lub narzędzie End User Quarantine) Skanowanie ręczne izaplanowane Nie dotyczy Phishing Usuń całą wiadomość Nie dotyczy Filtrowanie zawartości Filtruj wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków Poddaj całą wiadomość kwarantannie Zastąp 6-7

124 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 6-2. Operacje domyślne programu Messaging Security Agent (ciąg dalszy) Opcja skanowania Filtruj wiadomości, które spełniają wszystkie zdefiniowane warunki Monitoruj zawartość wiadomości z konkretnych kont Utwórz wyjątki dla konkretnych kont Blokowanie załączników Operacja Inne Pliki zaszyfrowane i chronione hasłem Pliki wykluczone (pliki wykraczające poza określone ograniczenia skanowania) Skanowanie w czasie rzeczywistym Poddaj całą wiadomość kwarantannie Poddaj całą wiadomość kwarantannie Pomiń Zastąp załącznik tekstem/plikiem Pomiń (po skonfigurowaniu operacji Pomiń pliki zaszyfrowane oraz pliki chronione hasłem są pomijane, a zdarzenie nie jest rejestrowane). Pomiń (po skonfigurowaniu operacji Pomiń pliki lub treść wiadomości wykraczające poza określone ograniczenia skanowania są pomijane, a zdarzenie nie jest rejestrowane). Skanowanie ręczne izaplanowane Niedostępne Zastąp Pomiń Zastąp załącznik tekstem/plikiem Pomiń (po skonfigurowaniu operacji Pomiń pliki zaszyfrowane oraz pliki chronione hasłem są pomijane, a zdarzenie nie jest rejestrowane). Pomiń (po skonfigurowaniu operacji Pomiń pliki lub treść wiadomości wykraczające poza określone ograniczenia skanowania są pomijane, a zdarzenie nie jest rejestrowane). 6-8

125 Zarządzanie programem Messaging Security Agent Antywirus Program WFBS-A udostępnia trzy rodzaje skanowania w celu ochrony serwerów Microsoft Exchange przed zagrożeniami rozprzestrzeniającymi się za pośrednictwem poczty Skanowanie w czasie rzeczywistym: skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Program Messaging Security Agent chroni wszystkie znane punkty wejścia wirusów, skanując w czasie rzeczywistym wszystkie przychodzące wiadomości , wiadomości SMTP, dokumenty wysyłane do folderów publicznych oraz pliki replikowane z innych serwerów Microsoft Exchange. Po wykryciu zagrożenia bezpieczeństwa program automatycznie wykonuje operację przeciwdziałającą tym zagrożeniom zgodnie z konfiguracją. Program Messaging Security Agent skanuje następujące elementy w czasie rzeczywistym: wszystkie przychodzące i wychodzące wiadomości , elementy wysyłane do folderu publicznego, wszystkie replikacje między serwerami. Szybkość skanowania w czasie rzeczywistym zależy od ustawień skanowania. Wydajność skanowania w czasie rzeczywistym można zwiększyć, określając pewne typy plików, które są narażone na działanie wirusów/złośliwego oprogramowania. Skanowanie ręczne: skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia ze strony plików na klientach i w skrzynkach pocztowych programu Microsoft Exchange. Ten rodzaj skanowania usuwa także wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego program WFBS-A wykonuje działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora. Skanowanie zaplanowane: skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości skanowane są wokreślonym czasie i z ustaloną częstotliwością. Funkcję skanowania zaplanowanego stosuje się w celu zwiększenia wydajności zarządzania ochroną przed zagrożeniami, jak również do zautomatyzowania zaplanowanego skanowania klientów. 6-9

126 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Konfigurowanie skanowania w czasie rzeczywistym dla programów Messaging Security Agent Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Antywirus Programy Messaging Security Agent należy skonfigurować w celu określenia elementów docelowych skanowania oraz operacji wykonywanych po wykryciu zagrożenia w docelowych wiadomościach i plikach. Ponadto należy skonfigurować agentów, aby po wykonaniu operacji przeciwdziałających zagrożeniom wysyłane były powiadomienia. Dodatkowe informacje na temat ustawień domyślnych można znaleźć w sekcji Tabela 6-2 na str

127 Zarządzanie programem Messaging Security Agent RYSUNEK 6-1. Ustawienia zabezpieczeń > ekran Antywirus Aby skonfigurować skanowanie w czasie rzeczywistym dla programu Messaging Security Agent: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Antywirus: Włącz program antywirusowy działający w czasie rzeczywistym OSTRZEŻENIE! Wyłączenie skanowania w czasie rzeczywistym sprawia, że serwer Microsoft Exchange staje się podatny na zarażenie. 6-11

128 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Pliki do skanowania IntelliScan: skanuje pliki na podstawie ich rzeczywistego typu. Patrz Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Wszystkie pliki możliwe do skanowania: wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. Określone typy plików: program WFBS-A skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Uwaga: typy plików, które są zawsze skanowane:.com, ASCII, TEXT, HTML iasp. Włącz mechanizm IntelliTrap: funkcja IntelliTrap wykrywa w plikach skompresowanych złośliwy kod, na przykład boty. Patrz Mechanizm Trend Micro IntelliTrap na str. C-7, aby uzyskać więcej informacji. Skanuj treść wiadomości: powoduje skanowanie treści wiadomości , która może zawierać osadzone zagrożenia. Dodatkowe skanowanie w poszukiwaniu zagrożeń: umożliwia wybranie dodatkowych zagrożeń, które powinny być skanowane przez program WFBS-A. Definicje zagrożeń zawiera sekcja Informacje o zagrożeniach na str Wyłączenia: umożliwia wykluczenie ze skanowania wiadomości , które spełniają następujące kryteria: Rozmiar treści wiadomości przekracza Rozmiar załącznika przekracza Liczba rozpakowanych plików przekracza Rozmiar rozpakowanego pliku przekracza Liczba warstw kompresji przekracza Rozmiar rozpakowanego pliku jest x razy większy od rozmiaru pliku skompresowanego 2. Zmień odpowiednio następujące opcje na karcie Operacja: Operacja w przypadku wykrycia wirusa ActiveAction: powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. 6-12

129 Zarządzanie programem Messaging Security Agent Wykonuj tę samą operację dla wszystkich wykrytych zagrożeń internetowych: umożliwia wybranie opcji Wyczyść, Zastąp tekstem/ plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Określ operację dla wykrytego zagrożenia: umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń, Poddaj całą wiadomość kwarantannie lub Poddaj kwarantannie część wiadomości dla każdego typu zagrożenia. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Włącz operację jako reakcję na działanie typu mass mailing : umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości wprzypadku zagrożeń typu mass-mailing. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Należy wybrać dodatkową operację dla nieudanych prób czyszczenia. Możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Przed czyszczeniem utwórz kopię zapasową zarażonego pliku: utworzenie kopii zapasowej zagrożenia stanowi zabezpieczenie chroniące pierwotny plik przed uszkodzeniem. Uwaga: firma Trend Micro zaleca usunięcie kopii zapasowych plików natychmiast po określeniu, czy pierwotne pliki nie są uszkodzone i mogą być używane. Jeśli plik jest uszkodzony lub nie nadaje się do użytku, należy przesłać go do firmy Trend Micro w celu przeprowadzenia analizy. (Nawet jeśli program Messaging Security Agent całkowicie wyczyścił plik i usunął wirusa, niektóre wirusy/złośliwe progamy powodują uszkodzenie pierwotnego kodu pliku w sposób uniemożliwiający jego naprawę). Nie czyść zarażonych skompresowanych plików, aby podnieść wydajność: jeśli agent wykryje zagrożenie w pliku skompresowanym, nie czyści on pliku. Zamiast tego przetwarza pliki w taki sposób, jakby jego wyczyszczenie nie było możliwe. Powiadomienia: program WFBS-A będzie wysyłać powiadomienia do wybranych osób. Administratorzy mogą także wyłączyć wysyłanie powiadomień do fałszywych nadawców. 6-13

130 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Makra: typ wirusów zakodowanych jako makra aplikacji i często dołączonych do dokumentów. Wybierz opcję Włącz zaawansowane skanowanie makr i skonfiguruj następujące ustawienia: Poziom skanowania heurystycznego: skanowanie heurystyczne jest szacunkową metodą wykrywania wirusów. Metoda ta sprawdza się najlepiej przy wykrywaniu nieznanych wirusów i zagrożeń, dla których nie istnieją jeszcze sygnatury wirusów. Usuń wszystkie makra wykryte przez funkcję zaawansowanego skanowania makr: więcej informacji zawiera sekcja Zaawansowane skanowanie makr na str Części wiadomości, których nie można przeskanować: ustaw operację i warunek powiadamiania w przypadku plików zaszyfrowanych i/lub zabezpieczonych hasłem. Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Części wiadomości, które zostały wyłączone: ustaw operację iwarunek powiadamiania w przypadku części wiadomości, które zostały wykluczone. Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Ustawienia kopii zapasowych: miejsce zapisu kopii zapasowych plików. Ustawienia zastępowania: skonfiguruj tekst i plik dla tekstu zastępczego. Jeśli wybrano operację Zastąp tekstem/plikiem, program WFBS-A będzie zastępował zagrożenie wskazanym łańcuchem tekstowym i plikiem. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień wprzypadku wystąpienia zdarzenia. Patrz Konfigurowanie zdarzeń dla powiadomień na str

131 Zarządzanie programem Messaging Security Agent Antyspam Program WFBS-A udostępnia dwa sposoby zwalczania spamu usługę Reputation i Skanowanie zawartości. Reputation Istnieją dwa poziomy usługi dla usługi Reputation. Zostały one przedstawione poniżej: Standardowy: usługa standardowa korzysta z bazy danych, która śledzi reputację około dwóch miliardów adresów IP. Adresy IP, które są stale powiązane z dostarczaniem wiadomości typu spam, zostają dodane do bazy danych i rzadko są z niej usuwane. Zaawansowany: poziom zaawansowany to usługa DNS, która jest oparta na zapytaniach i przypomina usługę standardową. Podstawą tej usługi jest standardowa baza danych reputacji oraz dynamiczna baza danych reputacji, która blokuje wiadomości ze znanych i podejrzanych źródeł spamu. Po znalezieniu wiadomości z zablokowanego lub podejrzanego adresu IP funkcja Reputation blokuje tę wiadomość, zanim osiągnie ona bramę. Konfigurowanie usługi Reputation Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Antyspam > Reputation Usługę Reputation należy skonfigurować w celu blokowania wiadomości ze znanych lub podejrzanych źródeł spamu. Ponadto można utworzyć wyłączenia, aby dopuścić lub blokować wiadomości od innych nadawców. 6-15

132 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK 6-2. Ekran Reputation Aby skonfigurować usługę Reputation: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Reputation: Włącz oprogramowanie antyspamowe działające w czasie rzeczywistym (usługa Reputation) Poziom usługi: więcej informacji na temat dostępnych usług zawiera sekcja Reputation na str Standardowy Zaawansowany Dozwolone adresy IP: wiadomości z tych adresów IP nigdy nie będą blokowane. Wpisz adres IP do zatwierdzenia i kliknij przycisk Dodaj. Wrazie potrzeby można zaimportować listę adresów IP z pliku tekstowego. Aby usunąć adres IP, wybierz adres i kliknij przycisk Usuń. Zablokowane adresy IP: wiadomości z tych adresów IP będą zawsze blokowane. Wpisz adres IP do zablokowania i kliknij przycisk Dodaj. Wrazie potrzeby można zaimportować listę adresów IP z pliku tekstowego. Aby usunąć adres IP, wybierz adres i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. 6-16

133 Zarządzanie programem Messaging Security Agent 3. Przejdź do: w celu wyświetlenia raportów. Więcej informacji znajduje się w dokumentacji usługi Reputation. Uwaga: Reputation jest usługą internetową. Administrator z poziomu konsoli internetowej może skonfigurować tylko poziom usługi. Skanowanie zawartości Skanowanie zawartości określa spam na podstawie zawartości wiadomości, a nie jej źródłowego adresu IP. Program Messaging Security Agent używa silnika antyspamowego i plików sygnatur spamu firmy Trend Micro do badania wszystkich wiadomości pod względem spamu przed dostarczeniem ich do magazynu informacji. Serwer Microsoft Exchange nie przetwarza odrzuconych wiadomości zawierających spam, dzięki czemu nie trafiają one do skrzynek pocztowych użytkowników. Wykrywanie spamu W celu filtrowania wiadomości silnik antyspamowy korzysta z sygnatur spamu ireguł heurystycznych. Skanuje on wiadomości i na podstawie stopnia dopasowania do reguł i sygnatur zawartych w pliku sygnatur przypisuje każdej z nich ocenę dotyczącą zawartości spamu. Program Messaging Security Agent porównuje stopień dopasowania do reguł zokreślonym przez użytkownika poziomem wykrywania spamu. Kiedy stopień dopasowania do reguł przekracza poziom wykrywania, program Messaging Security Agent wykonuje operację w celu eliminacji spamu. Na przykład, spamerzy często używają wwiadomościach wielu wykrzykników lub ciągów znaków składających się z kilku wykrzykników (!!!!). Gdy program Messaging Security Agent wykryje wiadomość charakteryzującą się takim użyciem znaków wykrzyknienia, podwyższa ocenę dotyczącą zawartości spamu dla danej wiadomości

134 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Należy wybrać jedną zponiższych opcji wykrywania spamu: Wysoki: to najbardziej rygorystyczny poziom wykrywania spamu, ale powoduje zwiększenie liczby fałszywych alarmów. Fałszywe alarmy to wiadomości , które program Messaging Security Agent odfiltrował jako spam, mimo że są to prawidłowe wiadomości. Średni: jest to ustawienie domyślne. Program Messaging Security Agent monitoruje na wysokim poziomie wykrywania spamu przy średnim ryzyku wystąpienia fałszywych alarmów. Niski: jest to najmniej rygorystyczny poziom wykrywania spamu. Program Messaging Security Agent filtruje jedynie najbardziej oczywiste i powszechne wiadomości typu spam, z najniższym ryzykiem wystąpienia fałszywych alarmów. Program Messaging Security Agent używa silnika skanowania i pliku sygnatur spamu firmy Trend Micro do badania wszystkich wiadomości pod względem spamu przed dostarczeniem ich do magazynu informacji. Serwer Microsoft Exchange nie przetwarza odrzuconych wiadomości zawierających spam, dzięki czemu nie trafiają one do skrzynek pocztowych użytkowników. Program Messaging Security Agent wykonuje jedną z poniższych operacji dla spamu wykrytego podczas skanowania w czasie rzeczywistym: Poddaje spam kwarantannie w folderze wiadomości typu spam na serwerze Poddaje spam kwarantannie w folderze wiadomości typu spam użytkownika Usuwa wiadomość typu spam Oznacza wiadomości jako spam i dostarcza je Uwaga: program Microsoft Outlook może automatycznie filtrować iprzesyłać wiadomości, które program MSA wykrył jako spam, do folderu wiadomości-śmieci. Phishing Zdarzenie typu phishing zaczyna się od wiadomości , której autorzy podszywają się pod znaną lub legalnie działającą firmę. Wiadomość zachęca adresata do kliknięcia łącza przekierowującego do fałszywej witryny internetowej. Znajduje się na niej monit do użytkownika o uaktualnienie informacji osobistych, na przykład haseł, numerów ubezpieczenia i numerów kart kredytowych. Ma to na celu oszukanie odbiorcy 6-18

135 Zarządzanie programem Messaging Security Agent inakłonienie go do ujawnienia informacji, które mogą zostać użyte do kradzieży tożsamości. Gdy program Messaging Security Agent wykryje wiadomość typu phishing, może wykonać następujące operacje: Poddaj wiadomość kwarantannie w folderze spamu na serwerze: program Messaging Security Agent wysyła całą wiadomość na serwer zabezpieczeń wcelu poddania kwarantannie. Usuń całą wiadomość: program Messaging Security Agent usuwa całą wiadomość, a serwer Microsoft Exchange jej nie dostarcza. Zaznacz i dostarcz: program Messaging Security Agent dodaje do informacji nagłówka wiadomości znacznik, który identyfikuje tę wiadomość jako phishing, a następnie dostarcza ją do określonego odbiorcy. Listy dozwolonych i zablokowanych nadawców Lista dozwolonych nadawców to lista zaufanych nadawców wiadomości . Program Messaging Security Agent nie filtruje pod kątem spamu wiadomości nadesłanych z tych adresów, z wyjątkiem sytuacji, w których opcja Wykrywanie zdarzeń typu phishing jest włączona. Jeżeli opcja Wykrywanie zdarzeń typu phishing jest włączona i program Messaging Security Agent wykryje zdarzenie typu phishing w wiadomości , taka wiadomość nie zostanie dostarczona, nawet jeśli pochodzi od nadawcy umieszczonego na liście dozwolonych nadawców. Lista zablokowanych nadawców to lista podejrzanych adresów . Program Messaging Security Agent zawsze określa wiadomości od nadawców zablokowanych jako spam i podejmuje odpowiednie działania. Istnieją dwie listy dozwolonych nadawców: lista dla administratora serwera Microsoft Exchange i lista dla użytkowników końcowych. Lista dozwolonych nadawców i lista zablokowanych nadawców administratora serwera Microsoft Exchange (na ekranie Antyspam) umożliwia kontrolowanie, w jaki sposób program Messaging Security Agent obsługuje wiadomości wysyłane na serwer Microsoft Exchange. Użytkownicy końcowi zarządzają folderem spamu, który jest dla nich tworzony podczas instalacji programu. Listy użytkowników końcowych wpływają tylko na 6-19

136 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora wiadomości wysłane do magazynu skrzynek pocztowych poszczególnych użytkowników końcowych po stronie serwera. Uwaga: listy dozwolonych i zablokowanych nadawców na serwerze Microsoft Exchange mają wyższy priorytet niż listy dozwolonych i zablokowanych nadawców na kliencie. Na przykład, nadawca uzytkownik@przyklad.com znajduje się na liście zablokowanych nadawców administratora, ale użytkownik końcowy dodał ten adres do swojej listy dozwolonych nadawców. Wiadomości od tego nadawcy docierają do magazynu serwera Microsoft Exchange, a program Messaging Security Agent wykrywa je jako spam i wykonuje na nich operacje. Jeśli program Messaging Security Agent wykona operację Poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika, spróbuje on dostarczyć wiadomość do folderu spamu użytkownika końcowego, jednak wiadomość zostanie przekierowana do skrzynki odbiorczej tego użytkownika, ponieważ użytkownik końcowy zezwolił na odbieranie wiadomości od tego nadawcy. Uwaga: w przypadku programu Outlook istnieje limit wielkości, który dotyczy liczby idługości adresów na liście. W celu uniknięcia błędu systemowego, program Messaging Security Agent ogranicza ilość adresów, które użytkownik końcowy może umieścić na swojej liście dozwolonych nadawców (ten limit oblicza się zależnie od długości i liczby adresów ). Program Messaging Security Agent pozwala stosować na listach nadawców dozwolonych i zablokowanych symbole wieloznaczne. Jako symbol wieloznaczny używana jest gwiazdka (*). Program Messaging Security Agent nie pozwala stosować symboli wieloznacznych wczęści nazwa użytkownika. Wzorzec wprowadzony w postaci *@trend.com program Messaging Security Agent potraktuje Symbolu wieloznacznego można używać tylko w następujących miejscach: obok tylko jednej kropki i pierwszego lub ostatniego znaku łańcucha, po lewej stronie i pierwszego znaku łańcucha, 6-20

137 Zarządzanie programem Messaging Security Agent dowolna brakująca część łańcucha na jego początku lub końcu pełni taką samą rolę, co symbol wieloznaczny. TABELA 6-3. Dopasowanie adresu z zastosowaniem symboli wieloznacznych Wzorzec Przykłady dopasowania Przykłady niedopasowania jan@przyklad.com jan@przyklad.com Każdy adres inny niż *@przyklad.com przyklad.com *.przyklad.com przyklad.com.* *.przyklad.com.* jan@przyklad.com maria@przyklad.com jan@przyklad.com jan@ms1.przyklad.com maria@ms1.rd.przyklad.com maria@przyklad.com jan@ms1.przyklad.com maria@ms1.rd.przyklad.com jurek@ms1.przyklad.com. jan@przyklad.com.pl jan@ms1.przyklad.com.pl jan@ms1.rd.przyklad.com.pl maria@przyklad.com.pl jan@ms1.przyklad.com.pl jan@ms1.rd.przyklad.com.pl maria@ms1.przyklad.com.pl jan@ms1.przyklad.com jan@przyklad.com.pl maria@przyklad.com.pl jan@przyklad.com.pl maria@mojprzyklad.com. pl jurek@przyklad.comon jan@przyklad.com jan@mojprzyklad.com.pl maria@ms1.przyklad.com on jan@przyklad.com maria@ms1.przyklad.com jan@mojprzyklad.com.pl jan@przyklad.com jan@ms1.przyklad.com jan@trend.przyklad.pl *.*.*.przyklad.com *****.przyklad.com Takie same jak *.przyklad.com 6-21

138 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 6-3. Dopasowanie adresu z zastosowaniem symboli wieloznacznych (ciąg dalszy) Wzorzec Przykłady dopasowania Przykłady niedopasowania *przyklad.com przyklad.com* Nieprawidłowe wzorce Konfigurowanie skanowania zawartości Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Antyspam > Skanowanie zawartości Konfigurowanie skanowania zawartości w celu poszukiwania spamu w ruchu SMTP to proces składający się z dwóch kroków. Najpierw należy wybrać poziom wykrywania spamu oraz skonfigurować listy dozwolonych/zablokowanych nadawców. Następnie należy wybrać operację wykonywaną, kiedy program WFBS-A wykryje spam. 6-22

139 Zarządzanie programem Messaging Security Agent RYSUNEK 6-3. Ekran Skanowanie zawartości Aby skonfigurować skanowanie zawartości: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Skanowanie zawartości: Włącz ochronę antyspamową działająca w czasie rzeczywistym (skanowanie zawartości) Poziom wykrywania spamu: więcej informacji na temat dostępnych usług zawiera sekcja Wykrywanie spamu na str Wykrywanie zdarzeń typu phishing: zdarzenie typu phishing zachęca użytkowników do kliknięcia łącza, które przekierowuje przeglądarkę do fałszywej witryny internetowej. Więcej informacji znajduje się w sekcji Phishing na str Dozwoleni nadawcy: wiadomości z tych adresów lub nazw domen nigdy nie będą blokowane. Wpisz adresy lub nazwy domen do zatwierdzenia i kliknij przycisk Dodaj. Jeżeli jest to wymagane, można zaimportować listę adresów lub nazw domen z pliku tekstowego. Aby usunąć adresy lub nazwy 6-23

140 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora domen, wybierz adres i kliknij przycisk Usuń. Więcej informacji znajduje się wsekcji Listy dozwolonych i zablokowanych nadawców na str Zablokowani nadawcy: wiadomości z tych adresów lub nazw domen będą zawsze blokowane. Wpisz adresy lub nazwy domen do zablokowania, anastępnie kliknij przycisk Dodaj. W razie potrzeby można zaimportować listę adresów lub nazw domen z pliku tekstowego. Aby usunąć adresy lub nazwy domen, wybierz adres i kliknij przycisk Usuń. Więcej informacji znajduje się wsekcji Listy dozwolonych i zablokowanych nadawców na str Uwaga: Lista zablokowanych adresów IP ma pierwszeństwo przed skanowaniem zawartości. 2. Kliknij przycisk Zapisz. 3. Zmień odpowiednio następujące opcje na karcie Operacja ekranu Skanowanie zawartości: Spam Poddaj wiadomość kwarantannie w folderze spamu na serwerze Poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika Usuń całą wiadomość Zaznacz i dostarcz: dołącza znacznik do tematu wiadomości . Zdarzenie typu phishing Poddaj wiadomość kwarantannie w folderze spamu na serwerze Usuń całą wiadomość Zaznacz i dostarcz: dołącza znacznik do tematu wiadomości Kliknij przycisk Zapisz. 6-24

141 Zarządzanie programem Messaging Security Agent Filtrowanie zawartości Funkcja Filtrowanie zawartości ocenia przychodzące i wychodzące wiadomości na podstawie reguł określonych przez użytkownika. Każda reguła zawiera listę słów kluczowych i fraz. Funkcja Filtrowanie zawartości ocenia nagłówek i/lub zawartość wiadomości przez ich porównanie z listą słów kluczowych. Gdy filtr zawartości znajdzie słowo zgodne ze słowem kluczowym, może wykonać operację, która zapobiega dostarczeniu niepożądanej zawartości do klientów Microsoft Exchange. Program Messaging Security Agent może wysyłać powiadomienia za każdym razem, gdy podejmuje operacje przeciw niepożądanej zawartości. Filtr zawartości umożliwia administratorom ocenę i kontrolę dostarczania poczty na podstawie samego tekstu wiadomości. Można go użyć do monitorowania przychodzących i wychodzących wiadomości w celu sprawdzenia ich pod kątem występowania napastliwych, obraźliwych lub innych niepożądanych treści. Filtr zawartości zawiera także funkcję sprawdzania synonimów, która umożliwia rozszerzenie zasięgu reguł. Można na przykład utworzyć reguły sprawdzające: Napastliwe treści o charakterze seksualnym Treści rasistowskie Spam osadzony w treści wiadomości Uwaga: domyślnie filtrowanie zawartości jest wyłączone. Operacje skanowania Jeśli podczas filtrowania zawartości wiadomość będzie zgodna z regułą, można skonfigurować dowolną z poniższych operacji: Zamień na tekst/plik: zastępuje przefiltrowaną zawartość plikiem tekstowym. Nie można zastąpić tekstu w polach: Od, Do, DW czy Temat. Poddaj całą wiadomość kwarantannie: przenosi całą wiadomość do katalogu kwarantanny. Poddaj część wiadomości kwarantannie: tylko filtrowana zawartość zostaje przeniesiona do folderu kwarantanny i poddana kwarantannie. Odbiorca otrzymuje wiadomość bez tej zawartości. Usuń całą wiadomość: usuwa całą wiadomość

142 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Archiwizuj: umieszcza wiadomość w katalogu archiwum i dostarcza ją oryginalnemu odbiorcy. Pomiń: dostarcza wiadomość bez żadnych zmian. Uwaga: operacja kwarantanny jest niedostępna podczas skanowania ręcznego lub zaplanowanego. Słowa kluczowe W programie WFBS-A do filtrowania wiadomości są używane następujące słowa kluczowe: słowa (pistolety, bomby itd.); cyfry (1, 2, 3 itd.); znaki specjalne (&, #, + itd.); krótkie frazy (niebieska ryba, czerwony telefon, duży dom itd.); słowa lub frazy połączone operatorami logicznymi (jabłka.and. pomarańcze); słowa lub frazy oparte na wyrażeniach regularnych (na przykład wzorzec.reg. a.*e spowoduje trafienie w przypadku słów ale, ave i apanaże, ale nie akt, aby czy antywirus ). Importowanie słów kluczowych Program WFBS-A umożliwia importowanie istniejącej listy słów kluczowych z pliku tekstowego (.txt). Zaimportowane słowa kluczowe pojawiają się na liście. 6-26

143 Zarządzanie programem Messaging Security Agent Korzystanie z operatorów dla słów kluczowych Operatory to polecenia łączące wiele słów kluczowych. Operatory mogą rozszerzać lub zawężać wyniki dla danych kryteriów. Operatory należy otoczyć kropkami (.). Na przykład: jabłka.and. pomarańcze lub jabłka.not. pomarańcze Uwaga: bezpośrednio przed i za operatorem występuje kropka. Między kropką kończącą asłowem kluczowym znajduje się znak spacji. TABELA 6-4. Korzystanie z operatorów OPERATOR SPOSÓB DZIAŁANIA PRZYKŁAD dowolne słowo kluczowe OR Program MSA wyszukuje zawartość pasującą do słowa. Program MSA będzie szukał zawartości, w której występuje którekolwiek ze słów kluczowych rozdzielonych operatorem OR. Na przykład: jabłka OR pomarańcze. Program MSA będzie szukał zawartości, wktórej występuje słowo jabłka bądź pomarańcze. Jeśli treść zawiera któreś znich, zgłaszane jest dopasowanie. Wpisz słowo i dodaj je do listy słów kluczowych. Wpisz.OR. między wszystkimi słowami, które mają zostać uwzględnione. Na przykład: jabłka.or. pomarańcze 6-27

144 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 6-4. Korzystanie z operatorów (ciąg dalszy) OPERATOR SPOSÓB DZIAŁANIA PRZYKŁAD AND NOT Program MSA będzie szukał zawartości, w której występują wszystkie słowa kluczowe rozdzielone operatorem AND. Na przykład: jabłka AND pomarańcze. Program MSA będzie szukał zawartości zarówno ze słowem jabłka, jak i słowem pomarańcze. Jeśli treść nie zawiera obydwu słów, nie ma dopasowania. Słowa kluczowe poprzedzone operatorem NOT są wykluczane z wyszukiwania. Wpisz.AND. między wszystkimi słowami, które mają zostać uwzględnione. Na przykład: jabłka.and. pomarańcze Wpisz.NOT. przed słowem, które chcesz wykluczyć. Na przykład:.not. duże. Program MSA wyszukuje treści niezawierające słowa duże. Jeśli w wiadomości obecny jest tekst dojrzałe pomarańcze, to dopasowanie istnieje; jeśli jednak obecny jest tekst duże pomarańcze, to dopasowanie nie istnieje. Na przykład:.not. duże 6-28

145 Zarządzanie programem Messaging Security Agent TABELA 6-4. Korzystanie z operatorów (ciąg dalszy) OPERATOR SPOSÓB DZIAŁANIA PRZYKŁAD WILD REG Symbol wieloznaczny zastępuje brakującą część słowa. Zwracane są wszystkie wpisane słowa z dowolnymi znakami odpowiadającymi symbolowi wieloznacznemu. Uwaga: program MSA nie umożliwia stosowania znaku? w poleceniu symbolu wieloznacznego.wild.. Aby określić wyrażenie regularne, poprzedź wzorzec operatorem.reg. (na przykład:.reg. a.*e). Więcej informacji zawiera sekcja Wyrażenia regularne na str Wpisz.WILD. przed częściami słów, które mają zostać uwzględnione. Na przykład, jeśli za pasujące mają być uznawane wszystkie słowa zawierające ciąg wart, wpisz;.wild.wart. Pasować będą wszystkie słowa spośród: Wartburg, wartko i wartownicy. Wpisz.REG. przed wzorcem słowa, który chcesz wykryć. Na przykład do wzorca.reg. a.*e pasują: ale, ave i apanaże, ale nie akt, aby czy antywirus. Efektywne korzystanie ze słów kluczowych Program MSA udostępnia proste w użyciu i rozbudowane funkcje tworzenia wysoce wyspecjalizowanych filtrów. Podczas tworzenia reguł filtrowania zawartości należy uwzględnić następujące uwagi: Program MSA domyślnie wyszukuje dokładnie dopasowane słowa kluczowe. Aby program MSA szukał słów częściowo pasujących do słów kluczowych, należy użyć wyrażeń regularnych. Więcej informacji znajduje się w sekcji Wyrażenia regularne na str Program MSA inaczej analizuje wiele słów kluczowych umieszczonych w jednym wierszu, wiele słów kluczowych umieszczonych w oddzielnych wierszach oraz wiele słów kluczowych rozdzielonych przecinkami, kropkami, myślnikami lub innymi 6-29

146 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora znakami przestankowymi. Więcej informacji na temat używania słów kluczowych w wielu wierszach zawiera sekcja Tabela 6-5. Program MSA można skonfigurować również tak, aby szukał synonimów podanych słów kluczowych. TABELA 6-5. Sposób korzystania ze słów kluczowych SYTUACJA PRZYKŁAD DOPASOWANIE/NIEDOPASOWANIE Dwa słowa w jednym wierszu pistolety bomby Dopasowanie: Kliknij tutaj, aby kupić pistolety bomby iinną broń. Dwa słowa rozdzielone przecinkiem pistolety, bomby Brak dopasowania: Kliknij tutaj, aby kupić pistolety i bomby. Dopasowanie: Kliknij tutaj, aby kupić pistolety, bomby iinną broń. Brak dopasowania: Kliknij tutaj, aby kupić używane pistolety, nowe bomby i inną broń. 6-30

147 Zarządzanie programem Messaging Security Agent TABELA 6-5. Sposób korzystania ze słów kluczowych (ciąg dalszy) SYTUACJA PRZYKŁAD DOPASOWANIE/NIEDOPASOWANIE Wiele słów wkilku wierszach pistolety bomby broń i amunicja Po wybraniu opcji Dowolne określone słowa kluczowe Dopasowanie: Pistolety na sprzedaż Pasuje też: Do kupienia pistolety, bomby i inna broń Po wybraniu opcji Wszystkie określone słowa kluczowe Dopasowanie: Do kupienia pistolety bomby broń i amunicja Brak dopasowania: Do kupienia pistolety bomby broń amunicja Wiele słów kluczowych w jednym wierszu pistolety bomby broń amunicja Nie pasuje też: Do kupienia pistolety, bomby, broń i amunicja Dopasowanie: Do kupienia pistolety bomby broń amunicja Brak dopasowania: Do kupienia amunicja do pistoletów oraz broń i nowe bomby 6-31

148 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Wyrażenia regularne Wyrażenia regularne służą do dopasowywania łańcuchów znaków. Niektóre typowe przykłady wyrażeń regularnych podano w następujących tabelach. Aby określić wyrażenie regularne, podany wzorzec należy poprzedzić operatorem.reg.. W sieci dostępne jest wiele witryn i przewodników. Jedną z takich witryn jest PerlDoc, dostępna pod adresem: OSTRZEŻENIE! Wyrażenia regularne to bardzo skuteczne narzędzie służące do dopasowywania łańcuchów znaków. Dlatego też firma Trend Micro zaleca, aby administratorzy decydujący się na korzystanie z nich, znali dobrze ich składnię. Błędnie napisane wyrażenia regularne mogą znacznie obniżyć wydajność. Firma Trend Micro zaleca stosowanie na początku prostych wyrażeń regularnych, które nie mają skomplikowanej składni. Wprowadzając nowe reguły, używaj operacji archiwizacji i obserwuj, jak program MSA obsługuje wiadomości przy użyciu tych reguł. Gdy okaże się, że reguła nie wprowadza żadnych nieoczekiwanych zmian, można zmienić operację. Niektóre typowe przykłady wyrażeń regularnych podano w następujących tabelach. Aby określić wyrażenie regularne, podany wzorzec należy poprzedzić operatorem.reg.. TABELA 6-6. Zliczanie i grupowanie ELEMENT ZNACZENIE PRZYKŁAD. Znak kropki reprezentuje dowolny znak, z wyjątkiem znaku nowej linii. * Znak gwiazdki oznacza zero lub więcej wystąpień elementu poprzedzającego. + Znak plus oznacza jedno lub więcej wystąpień elementu poprzedzającego. Do do. pasują: dok, dog, dom, doń itp. Do d.r pasują: dar, dur itp. Do do* pasują: d, do, doo, dooo, doooo itd. Do do+ pasują: do, doo, dooo, doooo itd., ale nie samo d. 6-32

149 Zarządzanie programem Messaging Security Agent TABELA 6-6. Zliczanie i grupowanie (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD? Znak zapytania oznacza zero lub jedno wystąpienie elementu poprzedzającego. ( ) Nawiasy służą do łączenia wzorca znajdującego się między nimi wjedną grupę, która jest następnie traktowana jak pojedynczy element. [ ] Nawiasy kwadratowe wskazują zbiór lub zakres znaków. [ ^ ] Znak daszka w nawiasach kwadratowych logicznie neguje określony zbiór lub zakres. Funkcja dopasuje więc każdy znak, który nie znajduje się w zbiorze lub zakresie. Do do?k pasują: dk lub dok, ale nie dook, doook itp. Do d(wór)+ pasują: dwór lub dwórór, lub dwórórór itd. Znak + odnosi się do podłańcucha w nawiasach okrągłych, więc funkcja regex szuka litery d, po której następuje przynajmniej jedna grupa wór. Do d[aeiouy]+ pasują: da, de, di, do, du, dy, daa, dae, dai itd. Znak + odnosi się do zestawu wewnątrz nawiasów kwadratowych, więc funkcja regex szuka litery d, po której następuje przynajmniej jeden ze znaków z zestawu [aeioy]. Do d[a-z] pasują: da, db, dc itd. aż do dz. Zestaw w nawiasach kwadratowych reprezentuje przedział złożony ze wszystkich wielkich liter: od A do Z. Do d[^aeiouy] pasują: db, dc lub dd, d9, d#, czyli litera d, po której następuje dowolny pojedynczy znak, zwyjątkiem samogłoski nienosowej. 6-33

150 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 6-6. Zliczanie i grupowanie (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD { } Nawiasy klamrowe określają konkretną liczbę wystąpień elementu poprzedzającego. Pojedyncza wartość w nawiasach spowoduje dopasowanie dokładnie takiej liczby wystąpień. Para liczb rozdzielonych przecinkiem reprezentuje zbiór właściwych liczb wystąpień poprzedniego znaku. Pojedyncza cyfra, po której następuje przecinek, oznacza brak górnej granicy. Do da{3} pasuje daaa, czyli litera d, po której następują dokładnie 3 wystąpienia litery a. Do da{2,4} pasują: daa, daaa, daaaa, and daaaa (ale nie: daaaaa), czyli litera d, po której następują 2, 3 lub 4 wystąpienia litery a. Do da{4,} pasują: daaaa, daaaaa, daaaaaa itd., czyli litera d, po której następują nie mniej niż 4 wystąpienia litery a. TABELA 6-7. Klasy znaków (zapis skrótowy) ELEMENT ZNACZENIE PRZYKŁAD \d Dowolny znak cyfry. Zapis ten jest równoważny oznaczeniu [0-9] i [[:digit:]]. \D Dowolny znak oprócz cyfr. Zapis ten jest równoważny oznaczeniu [^0-9] i [^[:digit:]]. \w Dowolny znak słowa, tzn. dowolny znak alfanumeryczny; funkcjonalny odpowiednik zapisu [_A-Za-z0-9] lub [_[:alnum:]] Do \d pasują: 1, 12, 123 itd., ale nie 1b7, czyli przynajmniej jedna cyfra. Do \D pasują: a, ab, ab&, ale nie 1, czyli przynajmniej jeden dowolny znak oprócz 0, 1, 2, 3, 4, 5, 6, 7, 8 i 9. Do \w pasują: a, ab, a1, ale nie!&, czyli przynajmniej jedna wielka lub mała litera bądź cyfra, ale nie znak interpunkcyjny ani inny znak specjalny. 6-34

151 Zarządzanie programem Messaging Security Agent TABELA 6-7. Klasy znaków (zapis skrótowy) (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD \W Dowolny znak niealfanumeryczny; funkcjonalny odpowiednik zapisu [^_A-Za-z0-9] lub [^_[:alnum:]] \s Dowolny znak biały: znak odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu [[:space:]]. \S Dowolny znak oprócz znaków białych: dowolny zwrot bez znaku odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu [^[:space:]]. Do \W pasują: *, &, ale nie as ani ale, czyli przynajmniej jeden znak oprócz wielkiej lub małej litery bądź cyfry. Do por\s pasuje por, po którym następuje dowolny znak niewidoczny. Zatem na frazę Lubię por w zupie funkcja regex zareagowałaby, ale na frazę Lubię pory w zupie już nie. Do por\s pasuje por, po którym następuje dowolny znak inny niż niewidoczny. Zatem na frazę Lubię pory w zupie funkcja regex zareagowałaby, ale na frazę Lubię por w zupie już nie. TABELA 6-8. Klasy znaków ELEMENT ZNACZENIE PRZYKŁAD [:alpha:] Dowolny znak alfabetyczny Do.REG. [[:alpha:]] pasują: abc, def, xxx, ale nie 123 [:digit:] [:alnum:] Dowolna cyfra; funkcjonalny odpowiednik zapisu \d Dowolny znak słowa, tzn. dowolny znak alfanumeryczny; funkcjonalny odpowiednik zapisu \w. Do.REG. [[:digit:]] powoduje dopasowanie zwrotu 1, 12, 123 itd. Do.REG. [[:alnum:]] pasują: abc, 123, ale nie ~!@. 6-35

152 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 6-8. Klasy znaków (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD [:space:] [:graph:] [:print:] [:cntrl:] Dowolny znak biały: znak odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu \s. Dowolne znaki z wyjątkiem znaku odstępu, znaków sterujących itp. Dowolne znaki (podobnie jak [:graph]), ale obejmuje także znak odstępu. Dowolne znaki sterujące (np. CTRL+C, CTRL+X) Do.REG. (por)[[:space:]] pasuje por, po którym następuje dowolny znak niewidoczny. Zatem na frazę Lubię por w zupie funkcja regex zareagowałaby, ale na frazę Lubię pory w zupie już nie. Do.REG. [[:graph:]] pasują: 123, abc, xxx, ><, ale nie spacja ani znaki sterujące. Do.REG. [[:print:]] pasują 123, abc, xxx, >< i znaki odstępu. Do.REG. [[:cntrl:]] pasują: 0x03, 0x08, ale nie: abc, 123,!@#. [:blank:] Znaki odstępu i tabulacji Do.REG. [[:blank:]] pasują znaki odstępu i tabulacje, ale nie 123, abc,!@#. [:punct:] Znaki interpunkcyjne Do.REG. [[:punct:]] pasują znaki ; :?! # $ % & * itp., ale nie: 123, abc. [:lower:] [:upper:] Dowolne małe litery. (Uwaga: musi być włączona opcja Dopasuj zuwzględnieniem wielkości liter, bo w przeciwnym razie będzie funkcjonować jako [:alnum:]). Dowolne wielkie litery. (Uwaga: musi być włączona opcja Dopasuj zuwzględnieniem wielkości liter, bo w przeciwnym razie będzie funkcjonować jako [:alnum:]). Do.REG. [[:lower:]] pasują: abc, Def, stres, Do itp., ale nie: ABC, DEF, STRES, DO, 123,!@#. Do.REG. [[:upper:]] pasują: ABC, DEF, STRES, DO itp., ale nie: abc, Def, Stres, Do, 123,!@#. 6-36

153 Zarządzanie programem Messaging Security Agent TABELA 6-8. Klasy znaków (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD [:xdigit:] Cyfry dozwolone w liczbach szesnastkowych (0-9a-fA-F). Do.REG. [[:xdigit:]] pasują 0a, 7E, 0f itd. TABELA 6-9. Punkty zaczepienia wzorców ELEMENT ZNACZENIE PRZYKŁAD ^ Wskazuje początek ciągu znaków. Do ^(mimo wszystko) pasuje dowolny blok tekstu zaczynający się słowami mimo wszystko. Zatem na frazę mimo wszystko faktycznie lubię pory w zupie funkcja regex zareagowałaby, ale na frazę faktycznie lubię pory w zupie mimo wszystko już nie. $ Wskazuje koniec ciągu znaków. Do (mimo wszystko)$ pasuje dowolny blok tekstu kończący się słowami mimo wszystko. Zatem na frazę mimo wszystko faktycznie lubię pory w zupie funkcja regex nie zareagowałaby, ale na frazę faktycznie lubię pory w zupie mimo wszystko już tak. TABELA Sekwencje specjalne i łańcuchy literałowe ELEMENT ZNACZENIE PRZYKŁAD \ Służy do dopasowywania znaków mających specjalne znaczenie wwyrażeniu regularnym (na przykład + ). (1) Do.REG. C\\C\+\+ pasuje C\C++. (2) Do.REG. \* pasuje znak *. (3) Do.REG. \? pasuje znak?. 6-37

154 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA Sekwencje specjalne i łańcuchy literałowe (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD \t Oznacza znak tabulacji. Do (stres)\t pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje tabulacja (znak 0x09 w kodzie ASCII). \n Oznacza znak nowego wiersza. UWAGA: Znak nowego wiersza różni się wzależności od platformy. W systemie Windows jest to para znaków: znak powrotu karetki, po którym występuje znak wysuwu wiersza. W systemach Unix i Linux nowy wiersz jest oznaczany samym znakiem przejścia do nowego wiersza, natomiast w systemie Macintosh nowy wiersz jest oznaczany samym znakiem powrotu karetki. Do (stres)\n\n pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następują dwa znaki nowego wiersza (znak 0x0A w kodzie ASCII). \r Oznacza znak powrotu karetki. Do (stres)\r pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje jeden znak powrotu karetki (znak 0x0D w kodzie ASCII). 6-38

155 Zarządzanie programem Messaging Security Agent TABELA Sekwencje specjalne i łańcuchy literałowe (ciąg dalszy) ELEMENT ZNACZENIE PRZYKŁAD \b Oznacza znak cofania. OR Oznacza granice Do (stres)\b pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje jeden znak cofnięcia (znak 0x08 w kodzie ASCII). \xhh Oznacza znak w kodzie ASCII o podanym numerze szesnastkowym (hh reprezentuje dowolną dwucyfrową liczbę szesnastkową). Granica słowa (\b) to punkt między dwoma znakami, gdzie po jednej stronie znajduje się ciąg \w, a po drugiej ciąg \W (w dowolnej kolejności), zliczający znaki pozorne od końca i od początku ciągu zgodnego z \W. (W klasach znaków \b oznacza znak cofania, a nie granicę słowa). Przykładowo poniższe wyrażenie regularne pasuje do numeru ubezpieczenia społecznego: Do.REG. \b\d{3}-\d{2}-\d{4}\b Do \x7e(\w){6} pasuje dowolny blok tekstu zawierający słowo o dokładnie sześciu znakach alfanumerycznych poprzedzonych tyldą (znakiem ~). Zatem pasowałyby słowa ~ab12cd, ~Pa3499, ale słowo ~ojej już nie. 6-39

156 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Korzystanie ze złożonej składni wyrażeń Wyrażenie słowa kluczowego złożone jest z tokenów, które są najmniejszą jednostką używaną do dopasowania wyrażenia do treści. Tokenem może być operator, symbol logiczny lub operant tj. argument lub wartość, na której działa operator. Operatory obejmują.and.,.or.,.not.,.near.,.occur.,.wild.,.(. i.). Operant i operator muszą być oddzielone spacją. Operant może również zawierać kilka tokenów. Patrz Słowa kluczowe na str. 6-26, aby uzyskać więcej informacji. Przykład wyrażenia regularnego Następujący przykład opisuje jak działa filtr numeru ubezpieczenia społecznego, jeden zdomyślnych filtrów: [Format].REG. \b\d{3}-\d{2}-\d{4}\b Powyższe wyrażenie wykorzystuje \b, znak cofania, później \d,dowolna cyfra, następnie {x}, oznaczające liczbę cyfr i ostatecznie, -, oznaczający myślnik. To wyrażenie pasuje do numeru ubezpieczenia społecznego. Następująca tabela opisuje ciągi tekstowe które pasują do przykładowego wyrażenia regularnego: TABELA Numery pasujące do wyrażenia regularnego numeru ubezpieczenia społecznego.reg. \b\d{3}-\d{2}-\d{4}\b Dopasowanie Brak dopasowania Brak dopasowania Brak dopasowania Brak dopasowania Jeśli zmienisz wyrażenie następująco, [Format].REG. \b\d{3}\x20\d{2}\x20\d{4}\b to nowe wyrażenie pasować będzie do następującej sekwencji:

157 Zarządzanie programem Messaging Security Agent Wyświetlanie reguł filtrowania zawartości Ścieżka nawigacji: Ustawienia zabezpieczeń > program Messaging Security Agent > Konfiguruj > Filtrowanie zawartości Program Messaging Security Agent (MSA) wyświetla wszystkie reguły filtrowania zawartości na ekranie Filtrowanie zawartości. RYSUNEK 6-4. Ekran Filtrowanie zawartości Ten ekran zawiera podsumowanie następujących reguł: Reguła Akcja: program MSA wykonuje tę operację po wykryciu niepożądanej zawartości. Priorytet: program MSA stosuje poszczególne filtry zgodnie z kolejnością wyświetlaną na tej stronie. Włączone: ikona wskazuje włączoną regułę, a ikona wyłączoną. Na tym ekranie administratorzy mogą wykonywać następujące czynności: Włączanie/wyłączanie reguł filtrowania zawartości: wybierz opcję Włącz filtrowanie zawartości w czasie rzeczywistym i kliknij przycisk Zapisz. 6-41

158 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Spowoduje to włączenie lub wyłączenie wszystkich reguł. Aby włączyć lub wyłączyć poszczególne reguły, kliknij lub w celu zmiany stanu reguły. Dodawanie/edytowanie reguł: patrz sekcja Dodawanie/edytowanie reguł filtrowania zawartości na str Zmiana kolejności reguł: patrz sekcja Zmiana kolejności reguł na str Usunąć reguły: wybierz reguły do usunięcia i kliknij przycisk Usuń. Przywracanie reguł domyślnych: to ustawienie powoduje usunięcie wszystkich bieżących reguł i przywrócenie reguł domyślnych. Kliknij przycisk Przywróć domyślne. Dodawanie/edytowanie reguł filtrowania zawartości Aby utworzyć regułę filtrowania zawartości, należy wykonać szereg kroków. Po utworzeniu reguły, program Messaging Security Agent (MSA) rozpocznie filtrowanie wszystkich przychodzących i wychodzących wiadomości według tej reguły. Możliwe jest utworzenie reguł, które: Filtruj wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków: za pomocą reguły tego typu podczas skanowania można filtrować zawartość dowolnej wiadomości. Filtruj wiadomości, które spełniają wszystkie zdefiniowane warunki: za pomocą reguły tego typu podczas skanowania można filtrować zawartość dowolnej wiadomości. Monitoruj zawartość wiadomości z konkretnych kont reguła tego typu służy do monitorowania zawartości wiadomości z konkretnych kont . Reguły monitorowania są podobne do ogólnych reguł filtrowania zawartości poza tym, że filtrują zawartość wiadomości pochodzących wyłącznie z określonych kont . Utwórz wyjątki dla konkretnych kont reguła tego typu powoduje utworzenie wyjątku dla określonych kont . Gdy konkretne konto zostanie w ten sposób wyłączone, nie będzie ono filtrowane pod kątem naruszenia reguł zawartości. 6-42

159 Zarządzanie programem Messaging Security Agent Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Filtrowanie zawartości > Dodaj/edytuj regułę Aby utworzyć/edytować regułę: 1. Na ekranie Filtrowanie zawartości kliknij przycisk Dodaj. Aby dokonać edycji reguły, kliknij jej nazwę. 2. Wybierz typ reguły i kliknij przycisk Dalej. 3. Aby filtrować wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków: a. Nazwij regułę. b. Ustaw warunki skanowania. c. Dodaj słowa kluczowe. Można dołączyć synonimy i/lub kryteria zuwzględnieniem wielkości liter. d. Skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. 4. Aby filtrować wiadomości, które spełniają wszystkie zdefiniowane warunki: a. Nazwij regułę. b. Ustaw warunki skanowania. c. Skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. 5. Aby monitorować zawartość wiadomości z konkretnych kont a. Nazwij regułę. b. Ustaw konta do monitorowania. c. Ustaw warunki skanowania. d. Dodaj słowa kluczowe. Można dołączyć synonimy i/lub kryteria zuwzględnieniem wielkości liter. e. Skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. 6-43

160 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 6. Aby utworzyć listę wyjątków dla kont a. Nazwij regułę. b. Ustaw konta do wykluczenia. Uwaga: program Messaging Security Agent nie stosuje reguł zawartości o niższym priorytecie niż reguła dla kont znajdujących się na tej liście. 7. Kliknij przycisk Zakończ. Zmiana kolejności reguł Program MSA stosuje reguły filtrowania zawartości do wiadomości zgodnie zkolejnością przedstawioną na ekranie Filtrowanie zawartości. Istnieje możliwość określenia kolejności stosowania reguł. Program MSA filtruje wszystkie wiadomości zgodnie z każdą zreguł, dopóki naruszenie zawartości nie uruchomi operacji uniemożliwiającej dalsze skanowanie (na przykład Usuń lub Poddaj kwarantannie). Aby zoptymalizować filtrowanie zawartości, można zmienić kolejność reguł. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Filtrowanie zawartości > Aby zmienić kolejność reguł filtrowania zawartości: 1. Na ekranie Filtrowanie zawartości zaznacz pole wyboru odpowiadające regule, której kolejność chcesz zmienić. 2. Kliknij opcję Zmień kolejność. Wokół liczby wskazującej kolejność reguły zostanie wyświetlone pole. 3. Wpisz w polu liczbę oznaczającą nową kolejność reguły. Numer tej reguły zostanie zastąpiony przez wprowadzoną wartość, a numery wszystkich pozostałych reguł zmienią się odpowiednio. Na przykład wybranie reguły o numerze 5 i zmiana tego numeru na 3 spowoduje, że reguły o numerach 1 i 2 pozostaną bez zmian, natomiast numery pozostałych reguł, począwszy od numeru 3, zostaną zwiększone o

161 Zarządzanie programem Messaging Security Agent Blokowanie załączników Funkcja Blokowanie załączników zapobiega dostarczaniu załączników wwiadomościach do magazynu informacji serwera Microsoft Exchange. Program Messaging Security Agent można skonfigurować tak, aby blokował załączniki według ich typu lub nazwy, a następnie zastępował, poddawał kwarantannie lub usuwał wszystkie wiadomości, które zawierają załączniki spełniające określone kryteria. Blokowanie może mieć miejsce podczas skanowania w czasie rzeczywistym, ręcznego lub zaplanowanego, ale operacje usuwania i poddawania kwarantannie nie są dostępne podczas skanowania ręcznego i zaplanowanego. Rozszerzenie pliku załącznika pozwala określić jego typ, na przykład.txt,.exe lub.dll. Jednak program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Wiele wirusów/złośliwych programów jest ściśle powiązana z określonymi typami plików. Konfigurując program Messaging Security Agent, tak aby blokował pliki określonego typu, można zmniejszyć zagrożenie bezpieczeństwa serwerów Microsoft Exchange ze strony plików takiego typu. Określone ataki są także często powiązane z określoną nazwą pliku. Wskazówka: stosowanie blokowania to skuteczna metoda kontrolowania epidemii wirusów. Można tymczasowo poddać kwarantannie wszystkie typy plików o wysokim ryzyku albo o określonej nazwie, związanej ze znanym wirusem/złośliwym oprogramowaniem. W dogodnym momencie można sprawdzić folder kwarantanny i podjąć działania dotyczące zarażonych plików. Wybór elementów docelowych blokowania Blokuj załączniki, stosując dwie ogólne strategie: można zablokować wszystkie załączniki, a następnie wyłączyć blokowanie określonych załączników, bądź określić blokowanie wszystkich załączników. Wszystkie załączniki: program Messaging Security Agent może blokować wszystkie wiadomości , które zawierają załączniki. Ten typ skanowania wymaga jednak znacznego przetwarzania. Należy uściślić ten typ skanowania, wybierając typy lub nazwy załączników do wykluczenia. Określone załączniki: wybranie tego typu skanowania sprawia, że program Messaging Security Agent skanuje tylko te wiadomości , które zawierają załączniki określone przez użytkownika. Ten typ skanowania jest bardzo zawężony 6-45

162 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora isprawdza się idealnie przy wykrywaniu wiadomości z załącznikami, które prawdopodobnie zawierają zagrożenia. To skanowanie działa bardzo szybko, jeśli podana zostanie względnie mała liczba nazw lub typów załączników. Załączniki można blokować według następujących kryteriów: Nazwy załączników: domyślnie program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Jeśli funkcja blokowania załączników zostanie ustawiona na skanowanie określonych nazw, program Messaging Security Agent będzie wykrywał typy załączników według ich nazw. Typ załącznika: program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Operacje blokowania załączników Program Messaging Security Agent można skonfigurować tak, aby podejmował określone działania względem wiadomości zawierających wykryte zagrożenia. Wnastępującej tabeli przedstawiono listę operacji, które mogą być wykonywane przez program Messaging Security Agent. TABELA Operacje blokowania załączników Operacja Zastąp tekstem/ plikiem Poddaj całą wiadomość kwarantannie Poddaj część wiadomości kwarantannie Usuń całą wiadomość Opis Program Messaging Security Agent usuwa załącznik izastępuje go plikiem tekstowym. Wiadomość zostaje dostarczona do określonego odbiorcy, ale tekst zastępczy informuje o zarażeniu i zastąpieniu oryginalnej zawartości. Wiadomość z załącznikiem zostaje przeniesiona do folderu z ograniczonym dostępem. Operacja ta jest niedostępna dla skanowania ręcznego lub zaplanowanego. Przeniesiona do folderu kwarantanny i poddana kwarantannie zostaje tylko filtrowana zawartość. Odbiorca otrzymuje wiadomość bez tej zawartości. Program Messaging Security Agent usuwa całą wiadomość podczas skanowania w czasie rzeczywistym. 6-46

163 Zarządzanie programem Messaging Security Agent Konfigurowanie blokowania załączników Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Blokowanie załączników Należy skonfigurować załączniki, które mają być blokowane, oraz określić operację dla zablokowanych wiadomości. RYSUNEK 6-5. Ekran Blokowanie załączników Aby blokować załączniki: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Blokowanie załączników: Wszystkie załączniki Typy załączników do wykluczenia Nazwy załączników do wykluczenia Określone załączniki Typy załączników Nazwy załączników Blokuj typy lub nazwy załączników w plikach z rozszerzeniem ZIP 2. Zmień odpowiednio następujące opcje na karcie Operacja: 6-47

164 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Wybierz operację: więcej informacji znajduje się w sekcji Tabela 6-12 na str Powiadomienia: skonfiguruj odbiorców powiadomienia o ograniczeniu. W razie potrzeby można wykluczyć zewnętrznych odbiorców lub nadawców. Ustawienia zastępowania: skonfiguruj tekst i plik dla tekstu zastępczego. Jeśli wybrano operację Zastąp tekstem/plikiem, program WFBS-A będzie zastępował zagrożenie wskazanym łańcuchem tekstowym i plikiem. 3. Kliknij przycisk Zapisz. Monitor w czasie rzeczywistym Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Monitor w czasie rzeczywistym Monitor w czasie rzeczywistym służy do wyświetlania bieżących informacji o wybranym serwerze Exchange oraz programie Messaging Security Agent (MSA). Wyświetlane są na nim informacje o przeskanowanych wiadomościach oraz statystyki zabezpieczeń, w tym liczba wykrytych wirusów i spamu, zablokowanych załączników, a także przypadków naruszenia zawartości. Pole Program Messaging Security Agent działa od pomaga zweryfikować, czy program MSA działa poprawnie. Aby wyczyścić stare informacje i rozpocząć zbieranie nowych informacji w czasie rzeczywistym: Kliknij opcję Resetuj, aby wyzerować statystykę zabezpieczeń. Kliknij opcję Wyczyść zawartość, aby usunąć starsze informacje o przeskanowanych wiadomościach. Aby uzyskać dostęp do monitora w czasie rzeczywistym: 1. Kliknij opcję Ustawienia zabezpieczeń. 2. Wybierz komputer z zainstalowanym serwerem Exchange. 3. Kliknij przycisk Konfiguruj. 4. Kliknij łącze Monitor w czasie rzeczywistym znajdujące się wprawej górnej części ekranu. 6-48

165 Zarządzanie programem Messaging Security Agent Folder kwarantanny programu Messaging Security Agent Kiedy program Messaging Security Agent wykryje zagrożenie, spam, ograniczone załączniki i/lub ograniczoną zawartość wwiadomościach , agent może przenieść wiadomość do folderu kwarantanny. Ten proces stanowi alternatywę usunięcia wiadomości/załącznika i uniemożliwia użytkownikom otwarcie zarażonej wiadomości i rozprzestrzenianie zagrożenia. Domyślny folder kwarantanny programu Message Security Agent to: C:\Program Files\ Trend Micro\Messaging Security Client\ storage\quarantine Poddane kwarantannie pliki są szyfrowane w celu zwiększenia bezpieczeństwa. Aby otworzyć zarażony plik, należy użyć narzędzia Przywracanie zaszyfrowanych wirusów (VSEncode.exe). Dodatkowe informacje dotyczące przywracania plików zaszyfrowanych przez program MSA znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str. E-9. Administratorzy mogą wysyłać zapytania do bazy danych kwarantanny w celu zebrania informacji o wiadomościach poddanych kwarantannie. Funkcje kwarantanny umożliwiają: eliminację ryzyka trwałego usunięcia ważnych wiadomości, które zostały błędnie wykryte przez agresywne filtry; przeglądanie wiadomości , które wyzwalają akcje filtrów zawartości w celu określenia stopnia naruszenia reguł; 6-49

166 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora zachowanie dowodów możliwego wykorzystywania systemu pocztowego firmy wniewłaściwy sposób przez pracowników. Uwaga: nie należy mylić folderu kwarantanny z folderem spamu użytkownika końcowego. Folder kwarantanny to folder oparty na plikach. Gdy program Messaging Security Agent poddaje wiadomość kwarantannie, wysyła ją do folderu kwarantanny. Folder spamu użytkownika końcowego znajduje się w magazynie informacji skrzynki pocztowej każdego użytkownika. Do folderu spamu użytkownika końcowego dostarczane są tylko te wiadomości , które zostały odpowiednio zakwalifikowane w ramach operacji kwarantanny antyspamowej, a nie w wyniku reguł filtrowania zawartości, skanowania antywirusowego/antyspyware lub blokowania załączników. Katalogi kwarantanny Program Messaging Security Agent poddaje kwarantannie wiadomości zgodnie ze skonfigurowanymi operacjami. Dla każdej operacji można utworzyć oddzielny folder kwarantanny. W programie WFBS-A istnieją cztery katalogi kwarantanny: Antywirus: kwarantanna wiadomości zawierających wirusy, złośliwe oprogramowanie, spyware, grayware, robaki, trojany i inne złośliwe zagrożenia. Antyspam: kwarantanna poczty ocharakterze spamu istanowiącej zagrożenie typu phishing. Blokowanie załączników: kwarantanna wiadomości zawierających ograniczone załączniki. Filtrowanie zawartości: kwarantanna wiadomości zawierających ograniczoną zawartość. Konfigurowanie katalogów kwarantanny Należy skonfigurować katalogi kwarantanny na serwerze Microsoft Exchange. Katalog kwarantanny zostanie wyłączony ze skanowania. Uwaga: katalogi kwarantanny bazują na plikach i nie znajdują się w magazynie informacji. 6-50

167 Zarządzanie programem Messaging Security Agent Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Kwarantanna > Katalog RYSUNEK 6-6. Ekran Katalog kwarantanny Aby skonfigurować katalog kwarantanny: 1. Na ekranie Katalog kwarantanny ustaw ścieżkę katalogu dla następujących folderów kwarantanny: Antywirus Antyspam Filtrowanie zawartości Blokowanie załączników Patrz Katalogi kwarantanny na str. 6-50, aby uzyskać więcej informacji. 2. Kliknij przycisk Zapisz. 6-51

168 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Tworzenie zapytań dotyczących katalogów kwarantanny Aby wyświetlić informacje o wiadomościach poddanych kwarantannie, należy utworzyć zapytanie dotyczące katalogów kwarantanny. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Kwarantanna > Zapytanie RYSUNEK 6-7. Ekran Zapytanie dotyczące kwarantanny Aby utworzyć zapytanie dotyczące katalogów kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Zapytanie dotyczące kwarantanny: Data/Przedział czasu 6-52

169 Zarządzanie programem Messaging Security Agent Data i czas rozpoczęcia Data i czas zakończenia Powody poddawania kwarantannie Wszystkie powody Określone typy: można wybrać następujące opcje: Skanowanie antywirusowe, Antyspam, Filtrowanie zawartości, Blokowanie załączników i/lub Części wiadomości, których nie można przeskanować. Stan ponownego wysyłania Nigdy nie wysłane ponownie Przynajmniej raz wysłane ponownie Oba powyższe Kryteria zaawansowane Nadawca: wiadomości od określonych nadawców. W razie potrzeby można użyć symboli wieloznacznych. Odbiorca: wiadomości do określonych odbiorców. W razie potrzeby można użyć symboli wieloznacznych. Temat: wiadomości z określonymi tematami. W razie potrzeby można użyć symboli wieloznacznych. Sortuj według: umożliwia skonfigurowanie warunku sortowania strony wyników. Ekran: liczba wyników na stronie. 2. Kliknij przycisk Wyszukaj. Patrz Wiadomości poddane kwarantannie na str. 6-54, aby uzyskać więcej informacji. 6-53

170 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Wiadomości poddane kwarantannie Po wykonaniu zapytania można wyświetlić szczegóły wiadomości i określić jej bezpieczeństwo. Jeśli wiadomość wydaje się być bezpieczna, można ponownie wysłać ją do pierwotnych odbiorców. W przeciwnym wypadku należy usunąć wiadomość. Informacje dotyczące wykonywania zapytań zawiera sekcja Tworzenie zapytań dotyczących katalogów kwarantanny na str OSTRZEŻENIE! Folder kwarantanny zawiera wiadomości cechujące się dużym ryzykiem zarażenia. W czasie obsługi wiadomości w folderze kwarantanny należy zachować ostrożność, aby przypadkowo nie zarazić komputera klienckiego. RYSUNEK 6-8. Ekran Wyniki zapytania dotyczącego kwarantanny Ekran Wyniki zapytania dotyczącego kwarantanny zawiera następujące informacje owiadomościach: Czas skanowania Nadawca Odbiorca 6-54

171 Zarządzanie programem Messaging Security Agent Temat Przyczyna: przyczyna, dla której wiadomość została poddana kwarantannie. Nazwa pliku: nazwa zablokowanego pliku w wiadomości . Ścieżka kwarantanny: położenie folderu kwarantanny wiadomości . Administrator może odszyfrować plik przy użyciu narzędzia VSEncoder.exe (Przywracanie zaszyfrowanych wirusów na str. E-9) a następnie zmienić nazwę pliku na.eml, aby go wyświetlić. OSTRZEŻENIE! Wyświetlanie zarażonych plików może spowodować rozprzestrzenienie infekcji. Stan ponownego wysyłania Aby ponownie wysłać wiadomość poddaną kwarantannie: Na ekranie Wyniki zapytania dotyczącego kwarantanny wybierz wiadomość i kliknij ikonę. Wiadomość jest ponownie wysyłana do pierwotnego odbiorcy. Uwaga: jeżeli poddane kwarantannie wiadomości, które zostały wysłane z wykorzystaniem programu Microsoft Outlook, są wysyłane ponownie, odbiorca może otrzymać wiele kopii tej samej wiadomości. Taka sytuacja może być spowodowana rozkładaniem przez silnik skanowania w poszukiwaniu wirusów każdej skanowanej wiadomości na klika sekcji. Obsługa katalogów kwarantanny Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Kwarantanna > Obsługa Za pomocą tej funkcji można ręcznie lub automatycznie usuwać wiadomości poddane kwarantannie. Ta funkcja pozwala usuwać wszystkie wiadomości, ponownie wysłane wiadomości lub wiadomości, które nie zostały ponownie wysłane. 6-55

172 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK 6-9. Ekran Obsługa kwarantanny Aby obsługiwać katalogi kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Obsługa kwarantanny: Włącz automatyczną obsługę: dostępne tylko dla obsługi automatycznej. Pliki do usunięcia: Wszystkie pliki poddane kwarantannie Pliki poddane kwarantannie, które nigdy nie zostały wysłane ponownie Pliki poddane kwarantannie, które przynajmniej raz zostały ponownie wysłane Akcja: liczba dni przechowywania wiadomości. Na przykład, jeśli bieżąca data to 21 listopada, a w polu Usuń pliki starsze niż wpisano wartość 10, to podczas wykonywania zadania automatycznego usuwania program Messaging Security Agent usunie wszystkie pliki sprzed 11 listopada. 2. Kliknij przycisk Zapisz. Zarządzanie narzędziem End User Quarantine Podczas instalacji, program Messaging Security Agent dodaje na serwerze w skrzynce pocztowej każdego użytkownika folder o nazwie Spam. Po otrzymaniu wiadomości sklasyfikowanych jako spam, system poddaje je kwarantannie w tym folderze, zgodnie zregułami filtra spamu, wstępnie zdefiniowanymi przez program Messaging Security 6-56

173 Zarządzanie programem Messaging Security Agent Agent. Użytkownicy końcowi mogą wyświetlić ten folder spamu, aby otworzyć, przeczytać lub usunąć podejrzane wiadomości . Patrz sekcja Obsługa wiadomości typu spam na str Użytkownicy końcowi mogą otwierać wiadomości , które zostały poddane kwarantannie w folderze spamu. Po otwarciu jednej z takich wiadomości w oknie wiadomości wyświetlane są dwa przyciski: Dozwolony nadawca oraz Wyświetl listę dozwolonych nadawców. Kliknięcie pozycji Dozwolony nadawca powoduje przesunięcie przez program Messaging Security Agent wiadomości od tego użytkownika do skrzynek odbiorczych i dodanie adresów wiadomości do indywidualnej listy dozwolonych nadawców tego użytkownika. Kliknięcie opcji Wyświetl listę dozwolonych nadawców powoduje wyświetlenie ekranu, na którym użytkownik końcowy może wyświetlić izmodyfikować swoją listę dozwolonych nadawców według adresu serwera SMTP poczty lub domeny. Kiedy serwer Microsoft Exchange odbierze wiadomości wysłane z adresów znajdujących się na liście dozwolonych nadawców użytkownika końcowego, dostarczy je do skrzynki odbiorczej tego użytkownika, niezależnie od nagłówka i zawartości wiadomości. Uwaga: program WFBS-A zawiera też listy dozwolonych i zablokowanych nadawców utworzone przez administratora. Przed sprawdzeniem listy użytkownika końcowego, program Messaging Security Agent stosuje listy nadawców dozwolonych i zablokowanych przez administratora. Funkcja porządkowania narzędzia End User Quarantine Funkcja porządkowania programu Messaging Security Agent realizuje następujące zadania co 24 godziny domyślnie o godzinie 2:30 rano: Automatycznie usuwa przeterminowane wiadomości o charakterze spamu. Na nowo tworzy folder spamu, jeśli został on usunięty. Tworzy foldery spamu dla nowo tworzonych kont pocztowych. Obsługuje reguły wiadomości . Funkcja porządkowania stanowi integralną część programu Messaging Security Agent i nie wymaga konfigurowania. 6-57

174 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Operacje Podczas instalacji, program Messaging Security Agent tworzy w skrzynce pocztowej każdego użytkownika na serwerze folder o nazwie Spam Mail. Po otrzymaniu wiadomości sklasyfikowanych jako spam, system poddaje je kwarantannie w tym folderze, zgodnie z regułami filtra spamu, wstępnie zdefiniowanymi przez program Messaging Security Agent. Użytkownicy końcowi mogą wyświetlić ten folder spamu, aby otworzyć, przeczytać lub usunąć podejrzane wiadomości . Administratorzy mogą także utworzyć folder spamu na serwerze Microsoft Exchange. Kiedy administrator tworzy konto skrzynki pocztowej, obiekt skrzynki pocztowej nie jest tworzony na serwerze Microsoft Exchange natychmiast, a dopiero po spełnieniu następujących warunków: Użytkownik końcowy pierwszy raz loguje się na konto poczty Na konto poczty dostarczona zostanie pierwsza wiadomość Administrator musi utworzyć obiekt skrzynki pocztowej, zanim narzędzie End User Quarantine będzie mogło utworzyć folder spamu. Użytkownicy końcowi mogą otwierać wiadomości , które zostały poddane kwarantannie w folderze spamu. Po otwarciu jednej z takich wiadomości w oknie wiadomości wyświetlane są dwa przyciski: Zatwierdź nadawcę oraz Wyświetl listę dozwolonych nadawców. Po kliknięciu przycisku Zatwierdź nadawcę program Messaging Security Agent przeniesie wiadomość od tego nadawcy do lokalnego folderu spamu, doda adres wiadomości do osobistej listy dozwolonych nadawców i umieści w dzienniku wpis dotyczący zdarzenia (administrator będzie mógł później sprawdzić ten dziennik). Kliknięcie opcji Wyświetl listę dozwolonych nadawców spowoduje wyświetlenie ekranu, na którym użytkownik końcowy może przejrzeć izmodyfikować swoją listę dozwolonych nadawców według nazwy, adresu serwera SMTP poczty lub domeny. Kiedy serwer Microsoft Exchange odbierze wiadomości wysłane z adresów znajdujących się na liście dozwolonych nadawców użytkownika końcowego, dostarczy je do skrzynki odbiorczej tego użytkownika, niezależnie od nagłówka i zawartości wiadomości. 6-58

175 Zarządzanie programem Messaging Security Agent Ustawienia powiadamiania Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Operacje > Ustawienia powiadamiania Program WFBS-A może wysyłać różne powiadomienia dotyczące ostrzeżeń w postaci wiadomości . Niektóre powiadomienia można skonfigurować w celu stosowania tylko do wewnętrznych wiadomości . Należy zdefiniować adresy lub domeny, które mają być traktowane jako adresy wewnętrzne. Niestandardowe definicje poczty wewnętrznej są przydatne, jeśli firma używa dwóch lub więcej domen i chce traktować wiadomości z obydwu domen jako pocztę wewnętrzną (na przykład: przyklad.com i przyklad.net). Odbiorcy z listy definicji poczty wewnętrznej będą otrzymywać wiadomości z powiadomieniem, jeżeli w obszarze Ustawienia powiadamiania dla oprogramowania antywirusowego, filtrowania zawartości i blokowania załączników zostanie zaznaczone pole wyboru Nie powiadamiaj odbiorców zewnętrznych. Nie należy mylić listy definicji poczty wewnętrznej z listą dozwolonych nadawców. Aby zapobiec oznaczaniu wiadomości przychodzących z domen zewnętrznych, należy dodać zewnętrzne adresy do list dozwolonych nadawców oprogramowania antyspamowego. 6-59

176 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK Ekran Ustawienia powiadamiania Aby skonfigurować ustawienia powiadamiania: 1. Zmień odpowiednio następujące ustawienia na ekranie Ustawienia powiadamiania: Adres adres osoby, w imieniu której program WFBS-A będzie wysyłać powiadomienia. definicja poczty wewnętrznej Domyślne: program WFBS-A będzie traktować wiadomości z tej samej domeny jako pocztę wewnętrzną. Niestandardowa: określ adresy lub domeny, z których wiadomości mają być traktowane jako poczta wewnętrzna. 2. Kliknij przycisk Zapisz. 6-60

177 Zarządzanie programem Messaging Security Agent Obsługa wiadomości typu spam Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Operacje > Obsługa wiadomości typu spam RYSUNEK Ekran Obsługa wiadomości typu spam 6-61

178 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby zarządzać wiadomościami typu spam: 1. Zmień odpowiednio następujące ustawienia na ekranie Obsługa wiadomości typu spam: Włącz narzędzie End User Quarantine: instaluje narzędzie End User Quarantine dla wszystkich skrzynek pocztowych znajdujących się na serwerze Exchange. Wskazówka: w przypadku wybrania tej opcji, w celu zwiększenia wydajności klientów firma Trend Micro zaleca wyłączenie w agentach paska Trend Micro Anti-Spam. Patrz część Zarządzanie skanowaniem poczty POP3 na str Uwaga: aby używać operacji Antyspam > Poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika, należy włączyć narzędzie EUQ. Utwórz folder wiadomości typu spam i usuń te wiadomości: tworzy nowy folder spamu dla każdego nowego użytkownika dodanego na serwerze Exchange, na którym zostało zainstalowane narzędzie kwarantanny użytkownika końcowego. Kliknięcie opcji Utwórz folder wiadomości typu spam i usuń te wiadomości spowoduje natychmiastowe utworzenie folderu spamu dla nowego użytkownika. Usuń wiadomości typu spam starsze niż: określ liczbę dni przechowywania wiadomości typu spam przed ich usunięciem. Lista wyjątków narzędzia End User Quarantine: dla adresów na tej liście funkcja End User Quarantine jest wyłączona. Aby dodać nowy adres , wpisz ten adres i kliknij przycisk Dodaj. Aby usunąć istniejący adres , zaznacz go i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. 6-62

179 Zarządzanie programem Messaging Security Agent Pomoc techniczna firmy Trend Micro/Diagnostyka Konsola diagnostyczna programu Messaging Security Agent może ułatwiać diagnostykę systemu lub jedynie raportować stan procesów programu Messaging Security Agent. Jeśli wystąpią nieoczekiwane trudności, można skorzystać z konsoli diagnostycznej, aby utworzyć raporty diagnostyczne i wysłać je do analizy do działu pomocy technicznej firmy Trend Micro. Każdy moduł programu Messaging Security wyświetla komunikaty w programie, anastępnie zapisuje działania w plikach dzienników po ich wykonaniu. Dzienniki te można przekazywać do zespołu pomocy technicznej firmy Trend Micro w celu przeprowadzenia diagnostyki działania programu w środowisku użytkownika. Za pomocą konsoli diagnostycznej można utworzyć dzienniki dla następujących modułów: Usługa Master programu Messaging Security Agent Serwer zdalnej konfiguracji programu Messaging Security Agent Monitor systemu programu Messaging Security Agent Funkcja API skanowania antywirusowego (VSAPI) Protokół SMTP (Simple Mail Transfer Protocol) Interfejs CGI (Common Gateway Interface) Domyślnie program Messaging Security Agent zapisuje dzienniki w następującym katalogu: c:\program Files\ Trend Micro\Messaging Security Agent\Debug Dane wyjściowe można przeglądać w dowolnym edytorze tekstu. Generowanie raportów diagnostycznych Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz program Messaging Security Agent > Konfiguruj > Operacje > Pomoc techniczna firmy Trend Micro/Diagnostyka Generowanie raportów diagnostycznych ułatwia pomocy technicznej firmy Trend Micro rozwiązanie problemu. 6-63

180 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby wygenerować raporty za pomocą konsoli diagnostycznej: RYSUNEK Ekran Pomoc techniczna firmy Trend Micro/Diagnostyka 1. Na ekranie Pomoc techniczna firmy Trend Micro/Diagnostyka wybierz moduły do monitorowania: Usługa Master programu Messaging Security Agent Serwer zdalnej konfiguracji programu Messaging Security Agent Monitor systemu programu Messaging Security Agent Funkcja API skanowania antywirusowego (VSAPI) Protokół SMTP (Simple Mail Transfer Protocol) Interfejs CGI (Common Gateway Interface) 2. Kliknij przycisk Zastosuj. Konsola diagnostyczna rozpocznie gromadzenie danych dla wybranych modułów. Uwaga: konsola diagnostyczna programu Messaging Security Agent będzie kontynuować zbieranie danych diagnostycznych do momentu wyczyszczenia symboli zaznaczenia ze wszystkich pól wyboru modułów wybranych do diagnostyki i kliknięcia przycisku Zastosuj. 6-64

181 Zarządzanie programem Messaging Security Agent Dodawanie serwerów Microsoft Exchange do drzewa grup zabezpieczeń Po wybraniu opcji dodawania serwera Microsoft Exchange, program Security Server instaluje program Messaging Security Agent na serwerze Microsoft Exchange i dodaje jego ikonę do drzewa grup zabezpieczeń. Klient z serwerem Microsoft Exchange zostaje dodany do listy komputerów na ekranie Ustawienia zabezpieczeń. Po zainstalowaniu na kliencie program Messaging Security Agent rozpoczyna zgłaszanie informacji dotyczących zabezpieczeń do programu Security Server. Program Security Server udostępnia kreator, który krok po kroku prowadzi przez proces dodawania, instalowania lub aktualizowania programu Messaging Security Agent na serwerze Microsoft Exchange. Aby dodać komputer stacjonarny lub serwer Microsoft Exchange: 1. Otwórz ekran Ustawienia zabezpieczeń. 2. Kliknij przycisk Dodaj. Zostanie otwarty ekran Ustawienia zabezpieczeń > Dodaj komputer. 3. Wybierz serwer Exchange. Na ekranie zostaną wyświetlone opcje Nazwa serwera, Konto i Hasło. Wpisz odpowiednie informacje. Konto musi należeć do administratora domeny. 4. Kliknij przycisk Dalej. W kreatorze instalacji wyświetlony zostanie ekran, którego zawartość zależy od typu wykonywanej instalacji. Nowa instalacja: instalacja jest wykonywana na serwerze Microsoft Exchange, na którym nie ma poprzednich wersji programu Messaging Security. Uaktualnianie: instalacja jest wykonywana na serwerze Microsoft Exchange, na którym znajduje się poprzednia wersja programu Messaging Security (znanego jako ScanMail). Instalacja nie jest wymagana: do drzewa grup zabezpieczeń można dodać serwer Microsoft Exchange z już zainstalowanym programem Messaging Security. Nieprawidłowa instalacja: komunikat informujący o problemie z instalacją. 6-65

182 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Usuwanie serwerów Microsoft Exchange z konsoli internetowej Za pomocą opcji Usuń można wykonać dwie czynności: Usunąć ikonę serwera Microsoft Exchange z konsoli internetowej. W niektórych przypadkach serwer Microsoft Exchange może stać się nieaktywny. W tych sytuacjach konieczne może być usunięcie ikony serwera Microsoft Exchange z konsoli internetowej. Odinstalować programy Messaging Security Agent z serwera Microsoft Exchange (usuwając w efekcie ikonę serwera Microsoft Exchange z konsoli internetowej). Dopóki na serwerze Microsoft Exchange jest zainstalowany program Messaging Security Agent, może on być uaktywniany i wyświetlany w konsoli internetowej. Aby na stałe usunąć nieaktywny serwer Microsoft Exchange, należy najpierw odinstalować program Messaging Security Agent. Uwaga: jeżeli na serwerach Microsoft Exchange 5.5 podłączonych do sieci jest uruchomiony program ScanMail 3.82, nie można przeprowadzić dezinstalacji z poziomu konsoli internetowej. Z konsoli internetowej można usunąć zarówno pojedynczy serwer Microsoft Exchange, jak i grupę. OSTRZEŻENIE! Usunięcie programu Messaging Security Agent z komputera może narazić serwer Microsoft Exchange na ataki wirusów i innego złośliwego oprogramowania. Aby usunąć serwer Microsoft Exchange: 1. Kliknij serwer Microsoft Exchange lub grupę, którą chcesz usunąć zkonsoli internetowej. 2. Na pasku narzędzi kliknij opcję Usuń. a. Wybierz opcję Usuń, aby usunąć ikonę klienta z konsoli internetowej. 6-66

183 Zarządzanie programem Messaging Security Agent b. Wybierz opcję Odinstaluj, aby usunąć program Messaging Security Agent z wybranego serwera Microsoft Exchange i usunąć ikony komputerów z konsoli internetowej. i. W razie potrzeby wpisz nazwę konta i hasło serwera Microsoft Exchange, który chcesz usunąć. ii. Kliknij przycisk OK w oknie komunikatu ostrzeżenia, aby ukończyć dezinstalację. 3. Kliknij przycisk Dalej. 4. Potwierdź działanie, klikając przycisk Zastosuj. Uwaga: jeśli w grupie nadal są zarejestrowane klienty, nie będzie można odinstalować grupy. Przed usunięciem grupy należy usunąć lub odinstalować agenty. Replikowanie ustawień na serwerach Microsoft Exchange Aby oszczędzić czas i zapewnić jednakowe ustawienia zabezpieczeń, można replikować ustawienia z jednego serwera Microsoft Exchange na inny. Aby replikować ustawienia: 1. Na ekranie Ustawienia zabezpieczeń wybierz serwer Microsoft Exchange, którego ustawienia chcesz replikować. 2. Kliknij opcję Replikuj. Zostanie wyświetlony ekran Ustawienia zabezpieczeń > Replikuj, zawierający źródło wybrane na poprzednim ekranie. 3. Wybierz docelowy serwer Microsoft Exchange lub grupę serwerów, do której chcesz replikować ustawienia. 4. Kliknij przycisk Zastosuj. Uwaga: można replikować tylko ustawienia ze źródłowego serwera Microsoft Exchange na docelowy serwer Microsoft Exchange działający w tej samej domenie. 6-67

184 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Dodawanie informacji o wykluczeniu odpowiedzialności do wychodzących wiadomości Informację o wykluczeniu odpowiedzialności można dodawać tylko do wychodzących wiadomości . Aby dodać informację o wykluczeniu odpowiedzialności do każdej wychodzącej wiadomości 1. Utwórz plik tekstowy i umieść w nim tekst klauzuli wykluczenia odpowiedzialności. 2. Zmodyfikuj następujące klucze w rejestrze: Pierwszy klucz: Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Klucz: EnableDisclaimer Typ: REG_DWORD Wartość danych: 0 wyłącz, 1 włącz Drugi klucz: Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Klucz: DisclaimerSource Typ: REG_SZ Wartość: Pełna ścieżka pliku z tekstem wykluczenia odpowiedzialności. Na przykład: C:\Dane\Wykluczenie.txt Uwaga: program WFBS-A domyślnie ustala, czy wychodząca wiadomość jest wysyłana do domen wewnętrznych, czy zewnętrznych, i dodaje informację o wykluczeniu odpowiedzialności do każdej wiadomości wysyłanej do domen zewnętrznych. Użytkownik może zastąpić ustawienie domyślne idodawać tę klauzulę do każdej wychodzącej wiadomości, z wyjątkiem wiadomości kierowanych do domen uwzględnionych w następującym kluczu rejestru. 6-68

185 Zarządzanie programem Messaging Security Agent Trzeci klucz: Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail for Exchange\CurrentVersion Klucz: InternalDomains Typ: REG_SZ Wartość: Wpisz nazwy domen do wykluczenia. Użyj średnika (;) do oddzielenia poszczególnych pozycji. Na przykład: domena1.org;domena2.org Uwaga: tu nazwy domen to nazwy DNS serwerów Exchange. 6-69

186 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 6-70

187 Rozdział 7 Korzystanie z funkcji Ochrona przed epidemią W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci iklientów. Rozdział obejmuje następujące zagadnienia: Strategia ochrony przed epidemią na str. 7-2 Bieżący stan funkcji Ochrona przed epidemią na str. 7-4 Potencjalne zagrożenie na str Konfigurowanie funkcji Ochrona przed epidemią na str Konfigurowanie ustawień oceny narażenia na atak na str

188 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Strategia ochrony przed epidemią Funkcja ochrony przed epidemią jest kluczowym składnikiem rozwiązania WFBS-A isłuży zabezpieczeniu firmy przed światową epidemią zagrożeń. Strategia ochrony przed epidemią opiera się na założeniu, że epidemie internetowe mają podobny przebieg. Przeciwdziałanie epidemii dzieli się na trzy etapy zapobieganie zagrożeniom, ochronę przed zagrożeniami i czyszczenie zagrożeń. Firma Trend Micro zwalcza każdy etap epidemii za pomocą strategii obrony o nazwie Ochrona przed epidemią. TABELA 7-1. Odpowiedź funkcji Ochrona przed epidemią na etapy epidemii Etap epidemii W pierwszym etapie rozwoju epidemii specjaliści w firmie TrendLabs obserwują zagrożenie, które aktywnie rozprzestrzenia się w Internecie. W tym momencie nie ma znanego rozwiązania dla tego zagrożenia. W następnym etapie epidemii, komputery, które uległy zagrożeniu, przekazują je innym komputerom. Zagrożenie zaczyna się szybko rozprzestrzeniać przez sieci lokalne, powodując zakłócenia wdziałalności firm i uszkadzając komputery. Etap funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Funkcja Ochrona przed epidemią powstrzymuje zagrożenie zaatakowania komputerów i sieci poprzez podejmowanie operacji zgodnych zregułami ochrony przed epidemią pobranymi z serwerów aktualizacji firmy Trend Micro. Te operacje polegają na wysyłaniu raportów, blokowaniu portów i dostępu do folderów i plików. Ochrona przed zagrożeniami Funkcja Ochrona przed epidemią chroni zagrożone komputery, powiadamiając je o konieczności pobrania najnowszych składników i poprawek. 7-2

189 Korzystanie z funkcji Ochrona przed epidemią Etap epidemii W końcowym etapie epidemii zagrożenie zanika, notuje się coraz mniej przypadków. Etap funkcji Ochrona przed epidemią Czyszczenie zagrożeń Funkcja Ochrona przed epidemią naprawia uszkodzenia, uruchamiając usługi Damage Cleanup. Inne operacje skanowania dostarczają informacje, które administratorzy mogą wykorzystać w celu przygotowania się do przyszłych zagrożeń. Operacje funkcji Ochrona przed epidemią Strategia ochrony przed epidemią pozwala zarządzać epidemiami na każdym etapie ich przebiegu. W oparciu o reguły zapobiegania epidemii, funkcja automatycznej odpowiedzi na zagrożenie zazwyczaj podejmuje kroki zapobiegawcze, takie jak: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy oraz złośliwe oprogramowanie plików w folderach udostępnionych. Blokowanie plików z określonymi rozszerzeniami na serwerze Microsoft Exchange. Dodawanie reguł filtrowania zawartości do programu Messaging Security Agent. Blokowanie portów w celu powstrzymania wirusów/złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do rozprzestrzeniania infekcji w sieci i na klientach. Uwaga: funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. Blokowanie możliwości zapisu plików i folderów w celu uniemożliwienia modyfikacji plików przez wirusy/złośliwe oprogramowanie. Ocena klientów sieciowych pod kątem luk w zabezpieczeniach, które czynią je podatne na zagrożenia ze strony epidemii. Wdrażanie najnowszych wersji składników, takich jak plik sygnatur wirusów i silnik czyszczenia wirusów. Wykonywanie czyszczenia na wszystkich klientach, które uległy epidemii. 7-3

190 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Jeśli ta opcja jest włączona, skanuje klienty oraz sieci i podejmuje operacje przeciwko wykrytym zagrożeniom. Bieżący stan funkcji Ochrona przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan Konsola internetowa śledzi stan zagrożenia epidemiami wirusów/złośliwego oprogramowania na całym świecie i wyświetla na ten temat informacje na ekranie Bieżący stan. Stan w przybliżeniu odpowiada etapom rozwoju epidemii. Podczas zagrożenia epidemią funkcja Ochrona przed epidemią stosuje strategię ochrony przed epidemią w celu zabezpieczenia komputerów i sieci. Na każdym etapie odświeża informacje na stronie Bieżący stan. Trzy etapy funkcji Ochrona przed epidemią: 1. Zapobieganie zagrożeniom 2. Ochrona przed zagrożeniami 3. Czyszczenie zagrożeń 7-4

191 Korzystanie z funkcji Ochrona przed epidemią RYSUNEK 7-1. Ekran Ochrona przed epidemią Brak zagrożenia 7-5

192 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zapobieganie zagrożeniom Na etapie zapobiegania zagrożeniom, na ekranie bieżącego stanu wyświetlane są informacje o ostatnich zagrożeniach, klientach, które mają włączone ostrzeżenia oraz komputerach narażonych na bieżące zagrożenie. RYSUNEK 7-2. Ekran Ochrona przed epidemią Etap zapobiegania zagrożeniom 7-6

193 Korzystanie z funkcji Ochrona przed epidemią Informacje o zagrożeniu W sekcji Informacje o zagrożeniu są wyświetlane informacje o aktualnie występujących w Internecie wirusach/złośliwym oprogramowaniu, które stwarzają potencjalne zagrożenie dla sieci i klientów. Opierając się na informacjach o zagrożeniu, reguły ochrony przed epidemią podejmują odpowiednie kroki, aby zabezpieczyć sieć iklienty, podczas gdy w laboratoriach firmy Trend Micro trwa opracowywanie rozwiązania problemu. (Patrz Reguły ochrony przed epidemią firmy Trend Micro na str. C-2). Więcej informacji o zagrożeniu można uzyskać w witrynie internetowej firmy Trend Micro, klikając kolejno łącza Pomoc>Informacje o zagrożeniach. W niniejszej sekcji znajdują się informacje związane z następującymi tematami: Poziom ryzyka: poziom ryzyka, które niesie ze sobą zagrożenie, określony na podstawie liczby przypadków wirusów/złośliwego oprogramowania i poziomu zagrożenia. Szczegóły automatycznej odpowiedzi: należy kliknąć, aby wyświetlić określone działania podejmowane w ramach reguł ochrony przed epidemią wcelu zabezpieczenia klientów przed bieżącym zagrożeniem. Aby wyłączyć funkcję Automatyczna odpowiedź po stronie serwera i agentów, należy kliknąć pozycję Wyłącz. Uwaga: po wyłączeniu funkcji Ochrona przed epidemią firma Trend Micro zaleca uruchomienie funkcji Wyczyść teraz, aby ułatwić klientom usunięcie trojanów oraz jakichkolwiek aktywnych procesów związanych z trojanami i innymi typami złośliwego kodu (patrz Usługi Trend Micro Damage Cleanup Services na str. C-2). Stan ostrzeżenia komputerów w trybie online W sekcji Stan ostrzeżenia komputerów w trybie online wyświetlana jest liczba klientów, na których funkcja automatycznego ostrzegania jest włączona lub wyłączona. Kliknij będący łączem numer w kolumnach Włączone i Wyłączone, aby uzyskać szczegółowe informacje o określonych klientach. Komputery narażone na atak W sekcji Komputery narażone na atak wyświetlana jest lista klientów podatnych na zagrożenia wyświetlone w sekcji Informacje o zagrożeniach. 7-7

194 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Ochrona przed zagrożeniami Na etapie ochrony przed zagrożeniami na ekranie Bieżący stan wyświetlane są informacje o stanie pobierania rozwiązania w odniesieniu do składników aktualizacji firmy Trend Micro oraz o stanie instalowania rozwiązania w odniesieniu do wszystkich agentów. RYSUNEK 7-3. Ekran Ochrona przed epidemią Etap ochrony Stan pobierania rozwiązania W tej sekcji wyświetlana jest lista składników, które należy zaktualizować w odpowiedzi na listę zagrożeń wyświetloną w sekcji Informacje o zagrożeniu. Stan instalacji rozwiązania Wyświetlana jest także liczba agentów, na których są zainstalowane aktualne oraz nieaktualne składniki. Dostępne są także łącza służące do wyświetlenia klientów z aktualnymi lub nieaktualnymi składnikami. 7-8

195 Korzystanie z funkcji Ochrona przed epidemią Czyszczenie zagrożeń Na etapie czyszczenia zagrożeń na ekranie Bieżący stan wyświetlany jest stan skanowania, które odbywa się po wdrożeniu zaktualizowanych składników. Na tym etapie wyświetlany jest także stan klientów po skanowaniu oraz lista zawierająca informacje na temat tego, czy zaktualizowane składniki pomyślnie wyczyściły lub usunęły pozostałości po zagrożeniach. RYSUNEK 7-4. Ekran Ochrona przed epidemią Etap czyszczenia Uwaga: aby skanowanie odbywało się automatycznie po wdrożeniu nowych składników, musi ono zostać włączone na ekranie Ochrona przed epidemią > Ustawienia. 7-9

196 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Stan skanowania komputerów dla Kliknij łącza, aby wyświetlić listę klientów, które otrzymały powiadomienie dotyczące skanowania w celu wykrycia zagrożeń lub oczekują na powiadomienie. Komputery klienckie, które nie zostały włączone lub zostały odłączone od sieci, nie mogą otrzymywać powiadomień. Stan czyszczenia komputerów dla W tym panelu wyświetlane są wyniki skanowania czyszczącego. Należy kliknąć przycisk Eksportuj, aby wyeksportować te informacje. Potencjalne zagrożenie Ścieżka nawigacji: Ochrona przed epidemią > Potencjalne zagrożenie Ekran Potencjalne zagrożenie przedstawia informacje dotyczące zagrożeń bezpieczeństwa klientów i sieci. Program Security Server zbiera informacje ozagrożeniach za pomocą funkcji oceny narażenia na atak i usługi Damage Cleanup. RYSUNEK 7-5. Ekran Potencjalne zagrożenie 7-10

197 Korzystanie z funkcji Ochrona przed epidemią W przeciwieństwie do ekranu Bieżące zagrożenie, na którym wyświetlane są informacje tylko o bieżącym zagrożeniu, ekran Potencjalne zagrożenie przedstawia informacje dotyczące wszystkich zagrożeń bezpieczeństwa klientów i sieci, które nie zostały jeszcze usunięte. Komputery narażone na atak Komputer narażony na atak ma luki w zabezpieczeniach systemu operacyjnego lub aplikacji. Wiele zagrożeń wykorzystuje te luki, aby powodować szkody lub zdobyć nieuprawnioną kontrolę. A zatem luki w zabezpieczeniach stanowią ryzyko nie tylko dla komputera, na którym występują, ale również dla innych komputerów w sieci. Sekcja Komputery narażone na atak zawiera listę wszystkich klientów w sieci, którzy zawierają luki w zabezpieczeniach odkryte od ostatniej oceny narażenia na atak. W prawym górnym rogu ekranu można sprawdzić czas ostatniej aktualizacji. Ekran Potencjalne zagrożenie przedstawia listę klientów według poziomu ryzyka, jaki stanowią one w sieci. Poziom ryzyka jest obliczany przez firmę Trend Micro i oznacza liczbę względną oraz poziom zagrożenia związanego z lukami w zabezpieczeniach wprzypadku każdego klienta. Po kliknięciu opcji Skanuj teraz w poszukiwaniu miejsc narażonych na atak program WFBS-A uruchomi funkcję Ocena narażenia na atak. Funkcja Ocena narażenia na atak sprawdza wszystkie komputery klienckie w sieci pod kątem narażenia na atak iwyświetla wyniki na ekranie Potencjalne zagrożenie. Funkcja Ocena narażenia na atak może dostarczyć następujących informacji na temat klientów w sieci: Zidentyfikowanie luk w zabezpieczeniach, zgodnie ze standardową konwencją nazewnictwa. Dodatkowe informacje o luce w zabezpieczeniach i sposobie jej usuwania można uzyskać po kliknięciu jej nazwy. Wyświetlanie luk w zabezpieczeniach według klienta i adresu IP. Wyniki zawierają poziom zagrożenia, jaki dana luka w zabezpieczeniach stwarza dla klienta i całej sieci. Zgłaszanie luk w zabezpieczeniach. Zgłaszanie luk w zabezpieczeniach według poszczególnych klientów i opisywanie zagrożeń bezpieczeństwa, jakie te klienty stwarzają dla całej sieci. 7-11

198 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Uruchamianie funkcji Wyczyść teraz Można ręcznie inicjować czyszczenie, korzystając z funkcji Wyczyść teraz. Aby uruchomić funkcję Wyczyść teraz: 1. Kliknij kolejno Ochrona przed epidemią > Potencjalne zagrożenie. 2. Kliknij łącze Wyczyść teraz. Domyślnie program Security Server powiadamia wszystkie agenty o konieczności uruchomienia funkcji Wyczyść teraz. Konfigurowanie funkcji Ochrona przed epidemią Na ekranie Ustawienia można skonfigurować funkcje Ochrona przed epidemią i Ocena narażenia na atak. Ustawienia funkcji Ochrona przed epidemią Program WFBS-A uruchamia funkcję Ochrona przed epidemią w odpowiedzi na instrukcje, które otrzymuje w formie reguł ochrony przed epidemią. Reguły ochrony przed epidemią firmy Trend Micro są opracowywane i udostępnianie przez firmę Trend Micro, aby zapewnić optymalną ochronę klientom i sieci w warunkach epidemii. Firma Trend Micro udostępnia reguły ochrony przed epidemią, kiedy zauważy częste ipoważne incydenty związane z wirusami/złośliwym oprogramowaniem, które aktywnie rozprzestrzeniają się w Internecie. Domyślnie program Security Server pobiera reguły ochrony przed epidemią zserwera Trend Micro ActiveUpdate co 30 minut albo przy każdym uruchomieniu programu Security Server. Podczas działania funkcji Ochrona przed epidemią, program Security Server stosuje reguły ochrony przed epidemią i podejmuje działania dla ochrony swoich klientów i sieci. W takim przypadku działanie normalnych funkcji sieci będzie zakłócane przez czynności takie jak zablokowane porty czy niedostępność katalogów. Za pomocą opcji Ustawienia ochrony przed epidemią można dostosować funkcję Ochrona przed epidemią dla klientów i sieci, unikając w ten sposób nieoczekiwanych konsekwencji wynikających z zastosowania reguł podczas działania funkcji Ochrona przed epidemią. 7-12

199 Korzystanie z funkcji Ochrona przed epidemią Czerwone alarmy Wiele jednostek biznesowych doniosło o szybkim rozprzestrzenianiu się wirusa/złośliwego oprogramowania. W tej sytuacji firma Trend Micro uruchamia rozwiązanie 45-minutowego czerwonego alarmu, którego elementami jest wydanie rozwiązań zapobiegawczych i sygnatur skanowania oraz wysyłanie odpowiednich powiadomień. Firma Trend Micro może również rozsyłać narzędzia naprawiania oraz informacje dotyczące luk w zabezpieczeniach oraz zagrożeń. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. W przypadku rozprzestrzeniania się wirusów/złośliwych programów za pośrednictwem poczty zostają wysłane reguły filtrowania zawartości (tzw. reguły ochrony przed epidemią), które automatycznie blokują pokrewne załączniki na serwerach wyposażonych w funkcję produktu. Zalecane ustawienia funkcji Ochrona przed epidemią Poniższe ustawienia umożliwiają uzyskanie optymalnej ochrony: TABELA 7-2. Zalecane ustawienia funkcji Ochrona przed epidemią Ustawienie Włącz funkcję Automatyczna ochrona przed epidemią w przypadku ogłoszenia czerwonego alarmu przez firmę Trend Micro Wyłącz czerwone alarmy po Wyłącz czerwone alarmy po zainstalowaniu wymaganych składników Automatyczne skanowanie komputera/serwera Automatyczne skanowanie serwera Microsoft Exchange: Zalecana wartość Włączone 2 dni Włączone Włączone Włączone 7-13

200 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA 7-2. Zalecane ustawienia funkcji Ochrona przed epidemią (ciąg dalszy) Ustawienie Włącz funkcję Automatycznej ochrony przed epidemią w przypadku ogłoszenia żółtego alarmu przez firmę Trend Micro Wyłącz żółte alarmy po Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika. Automatyczne skanowanie komputera/serwera Automatyczne skanowanie serwera Microsoft Exchange: Wyjątki Ustawienia zaplanowanego pobierania reguł Zalecana wartość Wyłączone ND ND ND Włączone Włączone Podczas działania automatycznej odpowiedzi ochrony przed epidemią poniższe usługi nie zostaną zablokowane: DNS NetBios HTTPS (bezpieczny serwer sieci Web) HTTP (serwer sieci Web) Telnet SMTP (Simple Mail Transport Protocol) FTP (File Transfer Protocol) Poczta internetowa (POP3) Częstotliwość: Co 30 minut Źródło: Serwer Trend Micro ActiveUpdate 7-14

201 Korzystanie z funkcji Ochrona przed epidemią Konfigurowanie opcji funkcji Ochrona przed epidemią Uwaga: firma Trend Micro zaprojektowała ustawienia domyślne funkcji Ochrona przed epidemią tak, aby zapewnić optymalną ochronę klientów i sieci. Przed dostosowaniem ustawień funkcji Ochrona przed epidemią należy uważnie sprawdzić te ustawienia i modyfikować je tylko wówczas, gdy znane są konsekwencje zmian. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 7-6. Karta Ochrona przed epidemią na ekranie Ustawienia Ochrony przed epidemią 7-15

202 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby skonfigurować ustawienia funkcji Ochrona przed epidemią: 1. Zmień odpowiednio następujące opcje: Włącz funkcję Ochrona przed epidemią w przypadku czerwonego alarmu ogłoszonego przez firmę Trend Micro: reguły ochrony przed epidemią są stosowane do momentu kliknięcia opcji Ochrona przed epidemią > Aktualny status > Wyłącz, albo gdy zostanie spełniony jeden z warunków ustawień wyłączenia. Gdy program Security Server pobiera nową regułę zapobiegania epidemii, wcześniejsza reguła jest zatrzymywana. Wyłącz czerwone alarmy po x dniach: czas trwania alarmu ochrony przed epidemią. Dokonaj automatycznego skanowania w poszukiwaniu wirusów po zainstalowaniu wymaganych składników dla: Komputery/serwery Serwery Microsoft Exchange Ustawienia żółtego alarmu: skonfiguruj opcje dla żółtych alarmów. Patrz Żółte alarmy na str. 7-13, aby uzyskać więcej informacji. Wyjątki: porty, które nie będą blokowane podczas działania automatycznej odpowiedzi ochrony przed epidemią. Patrz Korzystanie z wyjątków funkcji Ochrona przed epidemią na str. 7-17, aby pracować zwyjątkami. Uwaga: dodając nowy wyjątek, należy upewnić się, że pole wyboru Włącz ten wyjątek jest zaznaczone. Ustawienia zaplanowanego pobierania reguł: ustawienia okresowego pobierania zaktualizowanych składników. Częstotliwość Źródło: żródło aktualizacji. Serwer Trend Micro ActiveUpdate (domyślnie) Lokalizacja kopii bieżącego pliku w sieci Intranet Inne źródło aktualizacji: dowolne inne źródło aktualizacji w Internecie. 2. Kliknij przycisk Zapisz. 7-16

203 Korzystanie z funkcji Ochrona przed epidemią Korzystanie z wyjątków funkcji Ochrona przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią Za pomocą funkcji Wyjątek można dodać, edytować lub usuwać porty z listy portów wykluczonych z blokowania. RYSUNEK 7-7. Sekcja Wyjątki na ekranie Ustawienia ochrony przed epidemią Aby dodać wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Kliknij przycisk Dodaj. 3. Na ekranie Ochrona przed epidemią > Ustawienia > Dodawanie wyjątku zmień odpowiednio następujące opcje: Włącz ten wyjątek Opis: krótki opis, który pomoże zidentyfikować wyjątek. Protokół: wybierz protokół, do którego musi zostać zastosowany wyjątek. Porty: wpisz zakres portów lub poszczególne porty dla wyjątku. Poszczególne wpisy należy oddzielać średnikami (;). 4. Kliknij przycisk Dodaj. 7-17

204 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby edytować wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. 4. Kliknij przycisk Zapisz. Aby usunąć wyjątek: Wskazówka: zamiast usuwać wyjątek, można go wyłączyć. 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Usuń. 3. Kliknij przycisk OK, aby potwierdzić. Wyświetlanie szczegółów dotyczących Automatycznej ochrony przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan > panel Zapobieganie zagrożeniom Podczas epidemii, program Security Server uruchamia funkcję Ochrona przed epidemią. Funkcja Automatyczna ochrona przed epidemią zabezpiecza komputery i sieć przed uszkodzeniami, powodowanymi przez rozwijającą się epidemię w jej krytycznym okresie, gdy laboratoria TrendLabs opracowują dopiero odpowiednie rozwiązanie. 7-18

205 Korzystanie z funkcji Ochrona przed epidemią Podczas epidemii funkcja Automatyczna ochrona przed epidemią podejmuje następujące działania: blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy plików w folderach udostępnionych; blokowanie portów w celu powstrzymania wirusów przed wykorzystaniem zagrożonych portów do zarażania plików w sieci i na klientach; Uwaga: funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. blokowanie możliwości zapisu plików i folderów, aby zapobiec modyfikacji plików przez wirusy; włączenie funkcji Blokowanie załączników w celu blokowania podejrzanych plików załączników; włączenie filtrowania zawartości i stworzenie reguły Dopasuj do wszystkich lub Dopasuj do dowolnego elementu w celu filtrowania niebezpiecznej zawartości. Konfigurowanie ustawień oceny narażenia na atak Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ocena narażenia na atak Ustawienia oceny narażenia na atak określają częstotliwość i elementy docelowe skanowania ochrony przed narażeniem na atak. 7-19

206 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK 7-8. Karta Ocena narażenia na atak na ekranie Ustawienia ochrony przed epidemią Aby skonfigurować częstotliwość oceny narażenia na atak: 1. Zmień odpowiednio następujące opcje na karcie Ocena narażenia na atak ekranu Ochrona przed epidemią > Ustawienia: Włącz zaplanowaną ochronę przed narażeniem na atak Częstotliwość: wybierz opcję Codziennie, Co tydzień lub Co miesiąc. W przypadku wybrania opcji Co tydzień lub Co miesiąc, wybierz dzień tygodnia lub dzień miesiąca. Czas rozpoczęcia Cel Wszystkie grupy: umożliwia skanowanie wszystkich klientów wyświetlanych w drzewie zarządzania grupami na ekranie Ustawienia zabezpieczeń. Określone grupy: umożliwia ograniczenie skanowania oceny narażenia na atak do określonych grup. 2. Kliknij przycisk Zapisz. 7-20

207 Rozdział 8 Zarządzenie skanowaniami W tym rozdziale opisano sposób korzystania z funkcji skanowania inteligentnego, tradycyjnego, ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. Rozdział obejmuje następujące zagadnienia: Skanowanie informacje na str. 8-2 Metody skanowania na str. 8-2 Typy skanowania na str. 8-3 Konfiguracja opcji skanowania ręcznego i zaplanowanego na str. 8-4 Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange na str. 8-9 Planowanie skanowania na str

208 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Skanowanie informacje Program WFBS-A oferuje trzy rodzaje skanowania w celu ochrony klientów przed zagrożeniami internetowymi: skanowanie ręczne, skanowanie zaplanowane i skanowanie w czasie rzeczywistym. Każdy typ skanowania służy do innych zadań, ale wszystkie konfiguruje się w podobny sposób. W tym rozdziale opisano skanowanie ręczne i zaplanowane. Metody skanowania Skanowanie klientów jest wykonywane na dwa następujące sposoby: Skanowanie tradycyjne: klient korzysta z własnego silnika skanowania i lokalnego pliku sygnatur w celu identyfikacji zagrożeń. Skanowanie inteligentne: klient korzysta z własnego silnika skanowania, ale zamiast używać do identyfikacji zagrożeń jedynie lokalnego pliku sygnatur, opiera się przede wszystkim na pliku sygnatur znajdującym się na serwerze skanowania. Uwaga: w tej wersji programu WFBS-A serwer zabezpieczeń (Security Server) pełni funkcję serwera skanowania (Scan Server). Serwer skanowania jest po prostu usługą uruchomioną na serwerze zabezpieczeń. Usługa serwera skanowania jest instalowana automatycznie w trakcie instalacji programu Security Server. Nie ma potrzeby jej oddzielnego instalowania. Jeżeli klienty zostały skonfigurowane do skanowania inteligentnego, jednak nie można nawiązać połączenia z usługą Smart Scan, podejmowane są próby nawiązania połączenia z globalnym serwerem skanowania inteligentnego (Trend Micro Global Smart Scan Server). OSTRZEŻENIE! Klienty skonfigurowane do skanowania inteligentnego w celu nawiązania połączenia z usługą serwera skanowania muszą być w trybie online. Klienty w trybie offline są narażone na zagrożenia mogące znajdować się już na komputerze lub na zagrożenia z urządzeń zewnętrznych. 8-2

209 Zarządzenie skanowaniami Wybieranie metody skanowania Jeśli skanowanie klienta spowalnia działanie komputerów klienckich, należy spróbować włączyć funkcję skanowania inteligentnego. Domyślnie skanowanie inteligentne jest włączone. Funkcję skanowania inteligentnego można wyłączyć dla wszystkich klientów na ekranie Preferencje > Ustawienia globalne w obszarze Ogólne ustawienia skanowania. Aby wybrać metodę skanowania: 1. Kliknij opcję Ustawienia zabezpieczeń i kliknij opcję serwera lub komputera. 2. Kliknij przycisk Konfiguruj. 3. W górnej części ekranu kliknij przycisk Skanowanie inteligentne lub Skanowanie tradycyjne. Uwaga: jeżeli klienty zostały skonfigurowane do skanowania inteligentnego, jednak nie mogą nawiązać połączenia z serwerem skanowania, będą próbować nawiązać połączenie z globalnym serwerem skanowania inteligentnego (Trend Micro Global Smart Scan Server). Typy skanowania Program WFBS-A oferuje następujące typy skanowania: Skanowanie w czasie rzeczywistym: skanowanie bieżące, wykonywane zawsze wówczas, gdy użytkownicy komputera klienckiego pobierają, zapisują, kopiują, modyfikują lub otwierają plik. Skanowanie ręczne: skanowanie na żądanie, inicjowane przez administratora lub użytkowników komputera klienckiego. Skanowanie zaplanowane: skanowanie wykonywane regularnie, zgodnie z harmonogramem. Aby uzyskać więcej informacji, patrz Informacje dotyczące typów skanowania na str

210 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Konfiguracja opcji skanowania ręcznego i zaplanowanego Konfigurowanie opcji skanowania obejmuje określenie ustawień Cel (pliki do skanowania) i Operacja (operacje wykonywane w przypadku wykrycia zagrożeń). Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę 8-4

211 Zarządzenie skanowaniami Aby skonfigurować opcje skanowania: 1. Zmień odpowiednio następujące ustawienia na ekranie opcji skanowania grupy: Pliki do skanowania Wszystkie pliki możliwe do skanowania: wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. IntelliScan: skanuje pliki na podstawie ich rzeczywistego typu. Patrz Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: program WFBS-A skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Skanuj zmapowane dyski i udostępnione foldery sieciowe Skanuj pliki skompresowane: skonfiguruj liczbę warstw do skanowania. Wyłączenia: umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro Wyłączenia folderów: wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia plików: wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia rozszerzeń: wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (w przypadku skanowania antywirusowego): mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-7, aby uzyskać więcej informacji. 8-5

212 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Skanuj obszar rozruchowy (w przypadku skanowania antywirusowego): sektor rozruchowy zawiera dane używane przez klientów do ładowania i inicjowania systemu operacyjnego komputera. Wirus sektora rozruchowego zaraża sektor rozruchowy partycji lub dysku. Lista dozwolonych programów spyware/grayware (w przypadku skanowania antyspyware): ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 8-7, aby uzyskać więcej informacji. 2. Na karcie Operacja określ sposób postępowania programu WFBS-A w przypadku wykrycia zagrożeń: Wykorzystanie procesora: czas między skanowaniem kolejnych plików przez serwer zabezpieczeń wpływa na wykorzystanie procesora. Wybierz niższy poziom wykorzystania CPU, aby zwiększyć okres oczekiwania między skanowaniem plików. Zwalnia to procesor, który może wykonywać inne zadania. Operacja w przypadku wykrycia wirusa ActiveAction: powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Te same operacje dla wszystkich zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: program WFBS-A wykonuje kopię zapasową zagrożenia przed czyszczeniem. Kopia pliku zostanie zaszyfrowana i zapisana wnastępującym katalogu klienta: C:\Program Files\Trend Micro\Client Server Security Agent\Backup 8-6

213 Zarządzenie skanowaniami Informacje na temat odszyfrowywania plików znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str. E-9 Operacja w przypadku wykrycia spyware/grayware Wyczyść: podczas czyszczenia oprogramowania typu spyware/grayware program WFBS-A może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Pomiń: infekcja jest rejestrowana tylko w celu poddania dalszej ocenie. Patrz Dzienniki na str. 12-2, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień wprzypadku wystąpienia zdarzenia. Edycja listy dozwolonych programów typu spyware/grayware Lista dozwolonych spyware/grayware określa, które aplikacje typu spyware lub grayware mogą być wykorzystywane przez użytkownika. Lista ta może być aktualizowana tylko przez administratorów. Więcej informacji dotyczących różnego rodzaju oprogramowania typu spyware zawiera sekcja Spyware/grayware na str Uwaga: w przypadku określonej grupy ta sama lista jest używana do skanowania w czasie rzeczywistym, skanowania zaplanowanego i ręcznego. Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę > Ustawienia zaawansowane > Zmodyfikuj listę dozwolonych spyware/grayware 8-7

214 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK 8-1. Ekran Lista dozwolonych spyware/grayware Aby zaktualizować listę dozwolonych programów typu spyware/grayware: 1. W sekcji Ustawienia zaawansowane kliknij opcję Zmodyfikuj listę dozwolonych spyware/grayware. 2. Zmień odpowiednio następujące ustawienia na ekranie Lista dozwolonych spyware/grayware: Lewy panel: rozpoznane aplikacje typu spyware lub grayware. Używając łączy Wyszukaj lub Szybkie wyszukiwanie, znajdź aplikację spyware/grayware, która ma być dozwolona. Uwaga: aplikacje są sortowane według typu, a następnie według nazwy (TypSpyware_NazwaAplikacji). Prawy panel: dozwolone aplikacje typu spyware lub grayware. 8-8

215 Zarządzenie skanowaniami Dodaj>: wybierz w lewym panelu nazwę aplikacji, a następnie kliknij przycisk Dodaj>. Aby zaznaczyć kilka aplikacji jednocześnie, klikaj nazwy aplikacji, przytrzymując naciśnięty klawisz CTRL. 3. Kliknij przycisk Zapisz. Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Rozwiń serwer Microsoft Exchange > Antywirus/Filtrowanie zawartości/blokowanie załączników Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange obejmuje ustawianie opcji antywirusa, filtrowania zawartości i blokowania załączników. Aby ustawić opcje skanowania dla serwerów Microsoft Exchange: 1. Na ekranie Skanowanie ręczne lub Skanowanie zaplanowane rozwiń serwer Microsoft Exchange, który ma być skanowany. 2. Wybierz opcje skanowania dla następujących funkcji: Antywirus Filtrowanie zawartości Blokowanie załączników 3. W przypadku skanowania zaplanowanego należy zaktualizować harmonogram na karcie Harmonogram. Patrz Planowanie skanowania na str Kliknij przycisk Skanuj teraz lub Zapisz. 8-9

216 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Planowanie skanowania Ścieżka nawigacji: Skanowanie > Skanowanie zaplanowane > karta Harmonogram Istnieje możliwość zaplanowania okresowego skanowania klientów i serwerów Microsoft Exchange w poszukiwaniu zagrożeń. Wskazówka: firma Trend Micro zaleca, aby nie planować przeprowadzania w tym samym czasie skanowania i aktualizacji. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Podobnie rozpoczęcie skanowania ręcznego w czasie skanowania zaplanowanego również spowoduje przerwanie skanowania zaplanowanego. Skanowanie zaplanowane zostanie przerwane, ale uruchomi się ponownie zgodnie z harmonogramem. Uwaga: aby wyłączyć skanowanie zaplanowane, należy usunąć zaznaczenie wszystkich opcji w przypadku danej grupy lub serwera Microsoft Exchange i kliknąć przycisk Zapisz. 8-10

217 Zarządzenie skanowaniami RYSUNEK 8-2. Ekran Skanowanie zaplanowane Aby zaplanować skanowanie: 1. Przed zaplanowaniem skanowania skonfiguruj ustawienia skanowania. Więcej informacji zawierają sekcje Konfiguracja opcji skanowania ręcznego i zaplanowanego na str. 8-4 i Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange na str Zmień odpowiednio następujące opcje na ekranie Harmonogram wprzypadku każdej grupy lub serwera Microsoft Exchange: Codziennie: skanowanie zaplanowane będzie wykonywane codziennie o określonej godzinie. Co tydzień w: skanowanie zaplanowane będzie wykonywane raz w tygodniu, określonego dnia i ookreślonej godzinie. 8-11

218 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Co miesiąc, w dniu: skanowanie zaplanowane będzie wykonywane raz wmiesiącu, określonego dnia i o określonej godzinie. Jeżeli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program WFBS-A nie będzie skanować klientów lub grup serwerów Microsoft Exchange w tym miesiącu. Godzina rozpoczęcia: godzina rozpoczęcia skanowania zaplanowanego. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień wprzypadku wystąpienia zdarzenia. Patrz Konfigurowanie zdarzeń dla powiadomień na str Wskazówka: firma Trend Micro zaleca, aby skanowanie zaplanowane było przeprowadzane regularnie w celu zapewnienia optymalnej ochrony. 8-12

219 Rozdział 9 Zarządzanie powiadomieniami W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział obejmuje następujące zagadnienia: Powiadomienia informacje na str. 9-2 Konfigurowanie zdarzeń dla powiadomień na str. 9-3 Dostosowywanie alarmów powiadomień na str. 9-5 Konfigurowanie ustawień powiadamiania na str. 9-6 Konfigurowanie ustawień powiadomień dla serwerów Microsoft Exchange na str

220 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Powiadomienia informacje Aby skrócić czas konieczny do monitorowania programu WFBS-A przez administratorów oraz zapewnić ich wczesne powiadamianie o wystąpieniu sytuacji związanych z epidemią, należy skonfigurować program Security Server pod kątem wysyłania powiadomień wprzypadku wystąpienia wszelkich nienaturalnych zdarzeń w sieci. Program WFBS-A może wysyłać powiadomienia do dowolnego komputera w sieci przy użyciu poczty , protokołu SNMP lub dzienników zdarzeń systemu Windows. Warunki powiadomień są uwzględniane na ekranie Stan aktywności. Wystąpienie warunków powoduje zmianę ikony stanu z Normalny na Ostrzeżenie lub Wymagane działanie. Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, a ich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora systemu. Zdarzenia dotyczące zagrożeń Ochrona przed epidemią: firma TrendLabs ogłosiła alarm lub wykryto wysoce krytyczne luki w zabezpieczeniach. Ochrona antywirusowa: liczba wirusów/złośliwego oprogramowania wykrytych na klientach lub serwerach Microsoft Exchange przekracza określoną wartość; działania podjęte przeciwko wirusom okazały się nieskuteczne; na klientach lub serwerach Microsoft Exchange wyłączono skanowanie w czasie rzeczywistym. Oprogramowanie anty-spyware: na klientach wykryto oprogramowanie typu spyware/grayware, w tym wymagające ponownego uruchomienia zainfekowanego klienta w celu całkowitego usunięcia zagrożenia oprogramowaniem typu spyware/grayware. Możliwe jest również skonfigurowanie progu powiadamiania o oprogramowaniu typu spyware/grayware, czyli liczby przypadków wykrycia tego oprogramowania w danym okresie (domyślnie jest to jedna godzina). Antyspam: liczba wystąpień spamu w wiadomościach przekracza określony procent całkowitej liczby wiadomości . Web Reputation: liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. Filtrowanie adresów URL: liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. 9-2

221 Zarządzanie powiadomieniami Monitorowanie zachowania: liczba naruszeń reguł przekracza w pewnym okresie określoną wartość. Wirus sieciowy: liczba wykrytych wirusów sieciowych przekracza określoną wartość. Zdarzenia systemowe Skanowanie inteligentne: klienci ze skonfigurowanym skanowaniem inteligentnym nie mogą nawiązać połączenia z serwerem Smart Scan lub jest on niedostępny. Aktualizacja składnika: czas od ostatniej aktualizacji składników przekracza określoną liczbę dni lub zaktualizowane składniki nie zostały dostatecznie szybko wdrożone na agentach. Niezwykłe zdarzenia systemowe: pozostała ilość miejsca na dysku jednego z klientów z systemem operacyjnym Windows Server jest mniejsza niż określona wartość, przez co osiągnęła niebezpiecznie niski poziom. Zdarzenia dotyczące licencji Licencja: wygasa Licencja produktu lub już wygasła, wykorzystanie liczby stanowisk przekracza 80% lub wynosi 100% liczby stanowisk. Konfigurowanie zdarzeń dla powiadomień Ścieżka nawigacji: Preferencje > Powiadomienie > Karta Zdarzenia Konfigurowanie powiadomień odbywa się w dwóch krokach. Najpierw należy wybrać zdarzenia, dla których wymagane są powiadomienia, a następnie skonfigurować metody dostarczania. Program WFBS-A oferuje trzy metody dostarczania powiadomień: powiadomienia przesyłane pocztą , powiadomienia SNMP lub dziennik zdarzeń systemu Windows. 9-3

222 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK 9-1. Ekran Powiadomienia zdarzenia Aby skonfigurować zdarzenia wymagające powiadamiania: 1. Zmień odpowiednio następujące opcje na karcie Zdarzenia na ekranie Powiadomienia: Zdarzenia zagrożeń: zaznacz pole wyboru Typ, aby odbierać powiadomienia dotyczące wszystkich zdarzeń. Można także zaznaczyć pola wyboru dla poszczególnych zdarzeń. Kliknij, aby rozwinąć poszczególne zdarzenia i skonfigurować próg i/lub okres dla danego zdarzenia. 2. Kliknij przycisk Zapisz. 9-4

223 Zarządzanie powiadomieniami Dostosowywanie alarmów powiadomień Ścieżka nawigacji: Preferencje > Powiadomienia > Kliknij powiadomienie Można dostosować wiersz tematu i treść wiadomości z powiadomieniem o zdarzeniach. Odbiorcy z listy definicji poczty wewnętrznej będą otrzymywać powiadomienia, jeżeli w obszarze Ustawienia powiadamiania oprogramowania antywirusowego, filtrowania zawartości i blokowania załączników zaznaczono pole wyboru Nie powiadamiaj odbiorców zewnętrznych. Nie należy mylić listy definicji poczty wewnętrznej z listą dozwolonych nadawców. Aby uniknąć oznaczania jako spam wiadomości przychodzących z domen zewnętrznych, należy dodać zewnętrzne adresy do list dozwolonych nadawców oprogramowania antyspamowego. RYSUNEK 9-2. Ekran zawartości powiadomienia Aby dostosować zawartość powiadomienia: OSTRZEŻENIE! Nie należy zmieniać tekstu wyświetlanego w nawiasach kwadratowych. 1. Wprowadź nowy wiersz tematu w polu Temat. 2. Wprowadź nową wiadomość wpolu Wiadomość. 3. Kliknij przycisk Zapisz. 9-5

224 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Konfigurowanie ustawień powiadamiania Ścieżka nawigacji: Preferencje > Powiadomienia > Zakładka Ustawienia RYSUNEK 9-3. Ekran Powiadomienia Aby skonfigurować metodę dostarczania powiadomień: 1. Zmień odpowiednio następujące opcje na karcie Ustawienia na ekranie Powiadomienia: Powiadomienie ustaw adresy nadawcy i odbiorców powiadomień. Skonfiguruj zawartość wiadomości na karcie Zdarzenia. Od Do: poszczególne adresy oddzielaj średnikiem (;). Odbiorca powiadomienia SNMP: SNMP to protokół używany przez hosty sieciowe do wymiany informacji służących do zarządzania sieciami. Aby wyświetlić dane z pułapki SNMP, należy użyć przeglądarki baz informacji zarządzania. Włącz powiadomienia SNMP Adres IP: adres IP pułapki SNMP. Społeczność: łańcuch społeczności SNMP. 9-6

225 Zarządzanie powiadomieniami Rejestrowanie: powiadomienia za pośrednictwem dziennika zdarzeń systemu Windows Zapisz do dziennika zdarzeń systemu Windows Uwaga: możliwe jest użycie dowolnej lub wszystkich powyższych metod powiadamiania. 2. Kliknij przycisk Zapisz. Konfigurowanie ustawień powiadomień dla serwerów Microsoft Exchange Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Operacje > Ustawienia powiadamiania Należy skonfigurować adres Od dla powiadomień oraz zdefiniować pocztę wewnętrzną. Aby skonfigurować ustawienia powiadamiania: 1. Zmień odpowiednio następujące ustawienia na ekranie Ustawienia powiadamiania: Adres adres osoby, w imieniu której program Worry-Free Business Security będzie wysyłać powiadomienia. definicja poczty wewnętrznej Domyślne: program Worry-Free Business Security będzie traktować wiadomości z tej samej domeny jako pocztę wewnętrzną. Niestandardowa: określ adresy lub domeny, z których wiadomości mają być traktowane jako poczta wewnętrzna. 2. Kliknij przycisk Zapisz. 9-7

226 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 9-8

227 Rozdział 10 Zarządzanie ustawieniami globalnymi W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział obejmuje następujące zagadnienia: Opcje internetowego serwera proxy na str Opcje serwera SMTP na str Opcje komputera/serwera na str Opcje systemowe na str

228 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Konfigurowanie preferencji globalnych Z poziomu konsoli internetowej można skonfigurować ustawienia globalne programu Security Server oraz komputerów i serwerów chronionych przez programy Client/Server Security Agent. Opcje internetowego serwera proxy Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta Proxy Jeśli w sieci do łączenia się zinternetem używany jest serwer proxy, należy określić ustawienia serwera proxy dla następujących usług: Aktualizacje składników i powiadomienia o licencji. Web Reputation, Monitorowanie zachowań, Smart Feedback, skanowanie inteligentne i filtrowanie adresów URL. Można użyć tych samych ustawień serwera proxy aktualizacji lub wprowadzić nowe dane uwierzytelniające. Uwaga: agent zawsze korzysta z tego samego serwera proxy i portu, co program Internet Explorer, łącząc się z Internetem w celu skorzystania z usługi Web Reputation, monitorowania zachowania oraz infrastruktury Smart Protection Network. Dane uwierzytelniające, określone dla usługi aktualizacji należy zduplikować tylko w przypadku, gdy program Internet Explorer zainstalowany na klientach używa tego samego serwera proxy i portu. 10-2

229 Zarządzanie ustawieniami globalnymi RYSUNEK Ekran Ustawienia globalne ustawienia serwera proxy Aby skonfigurować ustawienia serwera proxy: 1. Zmień odpowiednio następujące opcje na karcie Proxy ekranu Ustawienia globalne: Ustawienia dla aktualizacji i powiadomień o licencji Używaj serwera proxy podczas aktualizacji produktu oraz powiadamiania o licencji produktu Adres Używaj protokołu SOCKS 4/5 serwera proxy Port Uwierzytelnianie serwera proxy Nazwa użytkownika Hasło Ustawienia dla usług Web Reputation, monitorowania zachowania i inteligentnego skanowania Należy zastosować poświadczenia określone dla serwera proxy aktualizacji Nazwa użytkownika Hasło 10-3

230 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 2. Kliknij przycisk Zapisz. Opcje serwera SMTP Ustawienia serwera SMTP dotyczą wszystkich powiadomień i raportów generowanych przez program WFBS-A. Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta SMTP RYSUNEK Karta SMTP na ekranie Ustawienia globalne Aby wprowadzić w ustawieniach dane serwera SMTP: 1. Zmień odpowiednio następujące opcje na karcie SMTP ekranu Ustawienia globalne: Serwer SMTP: adres IP lub nazwa serwera SMTP. Port 2. Kliknij przycisk Zapisz. 10-4

231 Zarządzanie ustawieniami globalnymi Opcje komputera/serwera Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta Komputer/serwer Opcje Komputer/Serwer dotyczą ustawień globalnych programu WFBS-A. Ustawienia dla poszczególnych grup zastępują te ustawienia. Jeśli nie skonfigurowano określonej opcji dla grupy, używane są opcje komputera/serwera. Na przykład w przypadku braku dozwolonych adresów URL dla określonej grupy zostaną zastosowane do niej wszystkie adresy URL dozwolone na tym ekranie. RYSUNEK Karta Komputer/serwer na ekranie Ustawienia globalne 10-5

232 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby skonfigurować opcje komputera/serwera: 1. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Rozpoznawanie lokalizacji na str Ogólne ustawienia skanowania na str Ustawienia skanowania w poszukiwaniu wirusów na str Ustawienia skanowania spyware/grayware na str Dozwolone adresy URL na str Monitorowanie zachowania na str Filtrowanie komunikacji prowadzonej za pomocą komunikatorów internetowych na str Ustawienia ostrzeżeń na str Ustawienia nadzoru na str Odinstalowywanie agenta na str Program agenta na str Kliknij przycisk Zapisz. Rozpoznawanie lokalizacji Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń Wbiurze ipoza biurem. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz rozpoznawanie lokalizacji: te ustawienia wpłyną na ustawienia połączeń Wbiurze/Poza biurem usług Zapora, Web Reputation, TrendSecure i Skanowanie inteligentne. Informacje o bramie: jeśli włączone jest rozpoznawanie lokalizacji, klienty ipołączenia na tej liście będą korzystać zustawień typu Połączenie wewnętrzne podczas zdalnego łączenia się zsiecią (przy użyciu sieci VPN). Adres IP bramy Adres MAC: dodanie adresu MAC zwiększa bezpieczeństwo poprzez umożliwienie podłączenia tylko skonfigurowanego urządzenia. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. 10-6

233 Zarządzanie ustawieniami globalnymi Ogólne ustawienia skanowania Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Wyłącz usługę skanowania inteligentnego: przełącza wszystkich klientów na tryb Skanowanie tradycyjne. Skanowanie inteligentne będzie niedostępne do chwili ponownego włączenia. Wyklucz folder bazy danych serwera Security Server: agenty zainstalowane na serwerze zabezpieczeń nie będą skanowały własnej bazy danych tylko podczas skanowania w czasie rzeczywistym. Uwaga: domyślnie program WFBS-A nie skanuje własnej bazy danych. Firma Trend Micro zaleca zachowanie tego ustawienia, aby zapobiec ewentualnemu uszkodzeniu bazy danych podczas skanowania. Wyklucz foldery serwera Microsoft Exchange, jeśli program zainstalowano na serwerze Microsoft Exchange: agenty zainstalowane na serwerze Microsoft Exchange nie będą skanować folderów Microsoft Exchange. Wyklucz foldery kontrolerów domen firmy Microsoft: agenty zainstalowane na serwerze kontrolera domeny nie będą skanować folderów kontrolera domeny. Te foldery zawierają informacje o użytkownikach, nazwy użytkowników, hasła i inne ważne informacje. Wyklucz sekcje funkcji Shadow Copy: usługi Shadow Copy lub Volume Snapshot Service tworzą ręcznie bądź automatycznie kopie zapasowe lub obrazy pliku albo folderu na określonym woluminie. Ustawienia skanowania w poszukiwaniu wirusów Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Konfiguruj ustawienia skanowania dużych, skompresowanych plików: określ maksymalną wielkość wyodrębnionego pliku i liczbę plików w skompresowanym pliku do przeskanowania przez agenta. Wyczyść skompresowane pliki: agenty wykonają próbę wyczyszczenia zarażonych plików w skompresowanym pliku. 10-7

234 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Skanuj maksymalnie { } warstw OLE: agenty będą skanować określoną liczbę warstw OLE (Object Linking and Embedding). Warstwy OLE umożliwiają tworzenie obiektów w jednej aplikacji, a następnie łączenie lub osadzanie ich w innej aplikacji. Przykładem może być plik.xls osadzony w pliku.doc. Dodaj skrót do skanowania ręcznego do menu skrótów Windows na klientach: dodaje łącze Skanuj za pomocą programu Client/Server Security Agent do menu kontekstowego. Dzięki temu użytkownicy mogą kliknąć prawym przyciskiem myszy plik lub folder (na pulpicie lub w Eksploratorze Windows) iręcznie przeskanować ten plik lub folder. Ustawienia skanowania spyware/grayware Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Skanuj pliki cookie: agenty będą skanować iusuwać śledzące pliki cookie, które zostały pobrane do klientów podczas odwiedzania witryn internetowych. Wykryte śledzące pliki cookie zwiększają licznik programów spyware/grayware na ekranie Stan aktywności. Uwzględnij pliki cookie w dzienniku spyware: dodaje każdy wykryty plik cookie zidentyfikowany jako spyware do dziennika spyware. Dozwolone adresy URL Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz listę dozwolonych adresów URL Włącz dzienniki korzystania z programu CSA: agenty będą wysyłać szczegółowe informacje o odwiedzanych adresach URL do programu Security Server. Adresy URL, które mają być dozwolone: poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj. Uwaga: dodanie adresu URL obejmuje wszystkie jego subdomeny. Lista dozwolonych adresów URL: Adresy URL na tej liście nie będą blokowane. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. 10-8

235 Zarządzanie ustawieniami globalnymi Monitorowanie zachowania Funkcja Monitorowanie zachowania chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, pozycji rejestru, innych programach oraz plikach i folderach. Nie blokuj wyskakujących okienek dla zmian o niskim ryzyku lub monitorowanych operacji: agenty ostrzegają użytkowników o zmianach o niskim ryzyku lub monitorowanych operacjach. Filtrowanie komunikacji prowadzonej za pomocą komunikatorów internetowych Administratorzy mogą ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych, zwanych też komunikatorami internetowymi. Wiadomości błyskawiczne stanowią formę komunikacji w czasie rzeczywistym, prowadzoną między dwoma lub większą liczbą osób w formie tekstowej. Tekst jest przesyłany między klientami połączonymi poprzez sieć. Agenty mogą ograniczać używanie pewnych słów w następujących komunikatorach: America Online Instant Messenger (AIM) 6 (kompilacje wydane po marcu 2008 roku nie są obsługiwane) ICQ 6 (kompilacje wydane po marcu 2008 roku nie są obsługiwane) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger 8.1 Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zastrzeżone słowa: w tym polu wpisz zastrzeżone słowa lub wyrażenia. Można zastrzec maksymalnie 31 słów lub wyrażeń. Poszczególne słowa lub wyrażenia nie mogą zawierać więcej niż 35 znaków (17 w przypadku chińskich znaków). Wprowadź pozycję lub kilka pozycji oddzielonych średnikami (;), a następnie kliknij polecenie Dodaj>>. Lista zastrzeżonych słów/wyrażeń: słowa lub wyrażenia z tej listy nie mogą być używane w wiadomościach błyskawicznych. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. 10-9

236 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Ustawienia ostrzeżeń Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Pokaż ikonę ostrzegawczą na pasku zadań Windows, jeżeli plik sygnatur wirusów nie został zaktualizowany po { } dniach: ikona ostrzegawcza jest wyświetlana na klientach, których plik sygnatur nie został zaktualizowany po upływie określonej liczby dni. Ustawienia nadzoru Usługa nadzoru zapewnia stałą ochronę klientów przez program Client/Server Security Agent. Po włączeniu usługa nadzoru sprawdza dostępność agentów co x minut. Jeżeli agent jest niedostępny, usługa nadzoru spróbuje uruchomić go ponownie. Wskazówka: firma Trend Micro zaleca włączenie usługi nadzoru, aby zapewnić ochronę klientów przez program Client/Server Security Agent. Jeżeli program Client/Server Security Agent zostanie nieoczekiwanie zamknięty, na przykład podczas ataku hakera, usługa nadzoru uruchomi program Client/Server Security Agent ponownie. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz usługę nadzoru agenta Sprawdź stan klienta co {} minut: określa, jak często usługa nadzoru powinna sprawdzać stan klienta. Jeśli klienta nie można uruchomić, ponawiaj próbę {} razy: określa, ile razy usługa nadzoru powinna podjąć próbę ponownego uruchomienia programu Client/Server Security Agent. Odinstalowywanie agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól użytkownikowi komputera klienckiego na odinstalowanie programu Client/Server Security Agent bez podawania hasła: zezwól użytkownikom na odinstalowanie programu Client/Server Security Agent

237 Zarządzanie ustawieniami globalnymi Wymagaj hasła od użytkownika komputera klienckiego przed odinstalowaniem programu Client/Server Security Agent: zezwala użytkownikom na odinstalowanie programu Client/Server Security Agent po podaniu hasła. Program agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól klientom na wychodzenie z programu agenta na swoich komputerach bez podawania hasła: zezwala użytkownikom na zamykanie programu Client/Server Security Agent. Wymagaj od użytkowników komputerów klienckich podania hasła w celu zakończenia programu agenta: zezwala użytkownikom na zamykanie programu Client/Server Security Agent po podaniu określonego hasła

238 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Opcje systemowe Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta System Sekcja System ekranu Ustawienia globalne zawiera opcje służące do automatycznego usuwania nieaktywnych agentów, sprawdzania połączeń agentów oraz obsługi folderu kwarantanny. RYSUNEK Karta System na ekranie Ustawienia globalne Aby skonfigurować opcje systemowe: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Usuwanie nieaktywnych programów Client/Server Security Agent na str Weryfikowanie łączności klient-serwer na str Obsługa folderu kwarantanny na str Kliknij przycisk Zapisz

239 Zarządzanie ustawieniami globalnymi Usuwanie nieaktywnych programów Client/Server Security Agent W przypadku odinstalowywania programu Client/Server Security Agent z klienta za pomocą jego własnego dezinstalatora program automatycznie powiadamia program Security Server. Gdy program Security Server otrzyma to powiadomienie, usunie ikonę klienta z drzewa grup zabezpieczeń, wskazując w ten sposób, że dany klient już nie istnieje. Jeżeli jednak program Client/Server Security Agent będzie usuwany innymi metodami, na przykład za pomocą formatowania dysku twardego komputera lub w wyniku ręcznego usunięcia plików klienta, do programu Security Server nie dotrą informacje ousunięciu, a program Client/Server Security Agent będzie wyświetlany jako nieaktywny. Także wtedy, gdy użytkownik zamknie lub wyłączy agenta na dłuższy czas, w programie Security Server program Client/Server Security Agent będzie wyświetlany jako nieaktywny. Aby w drzewie grup zabezpieczeń wyświetlane były wyłącznie aktywne klienty, można skonfigurować program Security Server, tak aby automatycznie usuwał nieaktywne programy Client/Server Security Agent z drzewa grup zabezpieczeń. Aby usunąć nieaktywne agenty: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz automatyczne usuwanie nieaktywnego programu Client/Server Security Agent: umożliwia automatyczne usuwanie klientów, które nie nawiązały kontaktu z program Security Server przez określoną liczbę dni. Automatycznie usuń program Client/Server Security Agent, jeśli jest nieaktywny przez {} dni: liczba dni, przez które klient może być nieaktywny zanim zostanie usunięty z konsoli internetowej. 2. Kliknij przycisk Zapisz. Weryfikowanie łączności klient-serwer W programie WFBS-A stan połączenia klienta jest przedstawiany w drzewie grup zabezpieczeń w postaci ikony. Jednak niektóre warunki mogą uniemożliwiać wyświetlanie właściwego stanu połączenia klienta w drzewie grup zabezpieczeń. Na przykład, przypadkowe wyjęcie kabla sieciowego może uniemożliwić powiadomienie programu Trend Micro Security Server, że klient jest w trybie offline. W drzewie grup zabezpieczeń stan tego klienta będzie wciąż wyświetlany jako online

240 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Połączenie klient-serwer można sprawdzić ręcznie lub według harmonogramu za pomocą konsoli internetowej. Uwaga: funkcja Sprawdź połączenie nie pozwala na wybór określonych grup lub klientów. Sprawdza ona połączenie ze wszystkimi klientami zarejestrowanymi w programie Security Server. Aby zweryfikować łączność klient-serwer: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz sprawdzanie zaplanowane: włącza zaplanowane sprawdzanie komunikacji agenta i programu Security Server. Co godzinę Codziennie Co tydzień, w Godzina rozpoczęcia: godzina rozpoczęcia sprawdzania. Sprawdź teraz: natychmiast rozpoczyna sprawdzanie łączności między agentami a programem Security Server. 2. Kliknij przycisk Zapisz. Obsługa folderu kwarantanny W przypadku, gdy agent wykryje zagrożenie internetowe w pliku, a operacją skanowania przypisaną do tego typu zagrożenia jest kwarantanna, agent zaszyfruje zarażony plik, umieści go w folderze kwarantanny klienta i wyśle do folderu kwarantanny programu Trend Micro Security Server. Program WFBS-A szyfruje zarażony plik, aby zapobiec zarażeniu innych plików. Domyślnie, folder kwarantanny programu Client/Server Security Agent znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT 10-14

241 Zarządzanie ustawieniami globalnymi Domyślnie folder kwarantanny programu Trend Micro Security Server znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: jeżeli agent nie może z jakiegoś powodu wysłać zaszyfrowanego pliku do programu Trend Micro Security Server (np. ze względu na problem z połączeniem sieciowym), zaszyfrowany plik pozostaje w folderze kwarantanny klienta. Agent ponowi próbę wysłania pliku po połączeniu się z programem Trend Micro Security Server. Więcej informacji na temat konfiguracji ustawień skanowania i zmiany położenia folderu kwarantanny zawiera sekcja Ustawienia skanowania w poszukiwaniu wirusów na str Aby obsługiwać foldery kwarantanny: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Pojemność folderu kwarantanny: rozmiar folderu kwarantanny w megabajtach. Maksymalny rozmiar pojedynczego pliku: maksymalny rozmiar (w megabajtach) pojedynczego pliku zapisanego w folderze kwarantanny. Usuń wszystkie pliki poddane kwarantannie: usuwa wszystkie pliki w folderze kwarantanny. Jeśli folder jest pełny i załadowany zostanie nowy plik, nie zostanie on zapisany. 2. Kliknij przycisk Zapisz

242 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 10-16

243 Rozdział 11 Zarządzanie aktualizacjami W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział obejmuje następujące zagadnienia: Aktualizacja składników na str Składniki, które można aktualizować na str Aktualizacja programu Security Server na str Źródła aktualizacji na str Aktualizacje ręczne na str Aktualizacje zaplanowane na str Wycofywanie lub synchronizacja składników na str

244 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aktualizacja składników Program WFBS-A ułatwia aktualizowanie do najnowszych składników, ponieważ agenty automatycznie otrzymują zaktualizowane składniki z programu Security Server. Program WFBS-A pobiera składniki z serwera Trend Micro ActiveUpdate: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po uruchomieniu głównej usługi programu WFBS-A, serwer ActiveUpdate jest sprawdzany pod kątem dostępnych aktualizacji. Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Domyślnie program Messaging Security Agent przeprowadza aktualizację zaplanowaną co 24 godziny, o godzinie 12:00. Domyślnie program Client/Server Security Agent przeprowadza zaplanowaną aktualizację co osiem godzin. Wskazówka: aby upewnić się, że programy Client/Server Security Agent będą na bieżąco aktualizowane, nawet jeśli nie są połączone z programem Security Server, należy skonfigurować programy Client/Server Security Agent do pobierania aktualizacji z alternatywnych źródeł (Konfigurowanie źródła aktualizacji na str. 11-9). Ta możliwość jest przydatna dla użytkowników, którzy często znajdują się poza biurem i są odłączeni od sieci lokalnej. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. ActiveUpdate informacje Funkcja ActiveUpdate jest dostępna w wielu produktach Trend Micro. Połączona zwitryną aktualizacji firmy Trend Micro funkcja ActiveUpdate pobiera przez sieć Internet najnowsze pliki sygnatur wirusów, silniki skanowania i pliki programu. Funkcja ActiveUpdate nie zakłóca działania usług sieciowych, ani nie wymaga ponownego uruchamiania klientów. 11-2

245 Zarządzanie aktualizacjami Przyrostowe aktualizacje pliku sygnatur Funkcja ActiveUpdate obsługuje przyrostowe aktualizacje plików sygnatur. Funkcja ActiveUpdate pobiera tylko nową część pliku i dodaje ją do istniejącego pliku sygnatur, zamiast za każdym razem pobierać cały plik sygnatur. Ta wydajna metoda aktualizacji znacząco zmniejsza przepustowość sieci wymaganą do aktualizacji oprogramowania antywirusowego. Korzystanie z funkcji ActiveUpdate z programem WFBS-A Kliknij serwer ActiveUpdate firmy Trend Micro na ekranie Aktualizacje > Źródło aktualizacji, jeżeli chcesz, aby program Security Server używał serwera ActiveUpdate jako źródła ręcznych i zaplanowanych aktualizacji składników. Gdy wymagana jest aktualizacja składnika, program Security Server sprawdza bezpośrednio serwer ActiveUpdate. Jeśli nowy składnik jest dostępny do pobrania, program Security Server pobiera ten składnik z serwera ActiveUpdate. Składniki, które można aktualizować Aby mieć pewność, że klienty są zabezpieczone przed najnowszymi zagrożeniami, należy okresowo aktualizować składniki programu WFBS-A. Skonfiguruj program Security Server, aby pobrać składniki programu WFBS-A z serwera ActiveUpdate. Serwer ActiveUpdate udostępnia zaktualizowane składniki, takie jak pliki sygnatur wirusów, silniki skanowania i pliki programu. Po pobraniu wszystkich dostępnych aktualizacji serwer automatycznie wdraża je na agentach. Program WFBS-A oferuje dwie metody aktualizacji składników: Ręczna aktualizacja składników, patrz Ręczne aktualizowanie składników na str Aktualizacja składników według harmonogramu, patrz Planowanie aktualizacji składników na str

246 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Jeśli do łączenia z Internetem używany jest serwer proxy, przed pobraniem aktualizacji należy sprawdzić, czy ustawienia proxy zostały właściwie skonfigurowane. Aby uzyskać więcej informacji, patrz Opcje internetowego serwera proxy na str TABELA Składniki, które można aktualizować SKŁADNIK Antywirus Antyspyware Antyspam PODSKŁADNIK Baza sygnatur wirusów Silnik skanowania antywirusowego, 32-bitowy Silnik skanowania antywirusowego, 64-bitowy Szablon czyszczenia wirusów Silnik czyszczenia wirusów, 32-bitowy Silnik czyszczenia wirusów, 64-bitowy Silnik skanowania programu Messaging Security Agent, 32-bitowy Silnik skanowania programu Messaging Security Agent, 64-bitowy Sygnatura wyjątków IntelliTrap Sygnatura IntelliTrap Silnik zbierania informacji, 32-bitowy Silnik zbierania informacji, 64-bitowy Sygnatura skanowania inteligentnego Sygnatura programu Smart Scan Agent Silnik skanowania w poszukiwaniu spyware, 32-bitowy Silnik skanowania w poszukiwaniu spyware, 64-bitowy Sygnatury spyware Sygnatura aktywnego monitorowania spyware Sygnatura antyspamowa Silnik antyspamowy, 32-bitowy Silnik antyspamowy, 64-bitowy 11-4

247 Zarządzanie aktualizacjami TABELA Składniki, które można aktualizować (ciąg dalszy) SKŁADNIK Web Reputation Monitorowanie zachowań Ochrona przed epidemią Wirus sieciowy PODSKŁADNIK Silnik filtrowania adresów URL, 32-bitowy Silnik filtrowania adresów URL, 64-bitowy Sterownik funkcji monitorowania zachowania Główna usługa monitorowania zachowania Sygnatura stosowania reguł Sygnatura podpisu cyfrowego Sygnatura konfiguracji funkcji monitorowania zachowania Sygnatura wykrywania funkcji monitorowania zachowania Sygnatura narażenia na atak Ogólna sygnatura zapory Ogólny silnik zapory, 32-bitowy Ogólny silnik zapory, 64-bitowy Sterownik TDI (Transport Driver Interface), 32-bitowy Sterownik TDI (Transport Driver Interface), 64-bitowy Sterownik WFP, 32-bitowy Sterownik WFP, 64-bitowy Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki na str Domyślny czas aktualizacji Domyślnie, program WFBS-A sprawdza dostępność aktualizacji i w razie potrzeby pobiera składniki z serwera Trend Micro ActiveUpdate w następujących przypadkach: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. 11-5

248 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Przy każdym uruchomieniu usługi głównej programu WFBS-A program Security Server aktualizuje reguły ochrony przed epidemią. Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Aby zapewnić bieżące aktualizowanie agentów, program Client/Server Security Agent co 8 godzin wykonuje zaplanowaną aktualizację. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. Zazwyczaj firma Trend Micro aktualizuje silnik skanowania lub program jedynie przy publikowaniu nowej wersji programu WFBS-A. Firma Trend Micro często publikuje jednak nowe pliki sygnatur. Aktualizacja programu Security Server Program WFBS-A automatycznie wykonuje następujące aktualizacje: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i klientów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po każdym uruchomieniu programu WFBS-A, program Security Server aktualizuje składniki i reguły ochrony przed epidemią. Domyślnie aktualizacje zaplanowane uruchamiane są co godzinę. Aby zapewnić aktualność klientów, agenty uruchamiają aktualizacje zaplanowane co 8 godzin. Aby skonfigurować program Trend Micro Security Server w celu wykonywania aktualizacji: 1. Wybierz źródło aktualizacji. Patrz Źródła aktualizacji na str Skonfiguruj program Trend Micro Security Server pod kątem ręcznych lub zaplanowanych aktualizacji. Patrz Aktualizacje ręczne na str i Aktualizacje zaplanowane na str Skonfiguruj opcje aktualizacji dla klientów na ekranie Uprawnienia klienta. 11-6

249 Zarządzanie aktualizacjami Źródła aktualizacji Wybierając lokalizacje źródłowe aktualizacji agenta, należy wziąć pod uwagę przepustowość sekcji sieci między klientami a źródłami aktualizacji. Poniższa tabela zawiera opis różnych opcji aktualizacji składników i zalecane sytuacje, w jakich należy ich użyć: TABELA Opcje źródła aktualizacji OPCJA AKTUALIZACJI OPIS ZALECENIE Serwer ActiveUpdate > Program Trend Micro Security Server > Klienty Serwer ActiveUpdate > Program Trend Micro Security Server > Agenty aktualizacji > Klienty Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) i wdraża je bezpośrednio na klientach. Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) i przekazuje je bezpośrednio do agentów aktualizacji, które z kolei instalują składniki na klientach. Tej metody używa się, jeśli między programem Trend Micro Security Server a klientami wsieci nie ma takiej sekcji, która wykazywałaby niską przepustowość. Tej metody używa się w celu zrównoważenia obciążenia ruchem wsieci, jeśli między programem Trend Micro Security Server aklientami wsieci istnieją segmenty o niskiej przepustowości. 11-7

250 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA Opcje źródła aktualizacji (ciąg dalszy) OPCJA AKTUALIZACJI OPIS ZALECENIE Serwer ActiveUpdate > Agenty aktualizacji > Klienty Agenty aktualizacji otrzymują zaktualizowane składniki bezpośrednio z serwera ActiveUpdate (lub z innego agenta aktualizacji) i instalują je na klientach. Tej metody używa się tylko w przypadku wystąpienia problemów z aktualizowaniem agentów aktualizacji poprzez program Trend Micro Security Server lub innych agentów aktualizacji. Wwiększości przypadków agenty aktualizacji szybciej otrzymują aktualizacje z programu Trend Micro Security Server lub od innych agentów aktualizacji niż zzewnętrznego źródła aktualizacji. 11-8

251 Zarządzanie aktualizacjami Konfigurowanie źródła aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło RYSUNEK Ekran Źródło aktualizacji Aby skonfigurować źródło aktualizacji dla programu Security Server: 1. Zmień odpowiednio następujące opcje na ekranie Źródło: Serwer Trend Micro ActiveUpdate: serwer Trend Micro ActiveUpdate jest ustawiony domyślnie przez firmę Trend Micro jako źródło pobierania aktualizacji. Firma Trend Micro przesyła nowe składniki na serwer ActiveUpdate zaraz po ich udostępnieniu. Serwer ActiveUpdate należy wybrać jako źródło, gdy potrzebne są częste i regularne aktualizacje. Uwaga: jeżeli do otrzymywania aktualizacji zostanie zdefiniowane źródło inne niż serwer ActiveUpdate firmy Trend Micro, do źródła tego muszą mieć dostęp wszystkie serwery otrzymujące aktualizacje. 11-9

252 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Lokalizacja kopii bieżącego pliku w sieci Intranet: należy pobrać składniki ze źródła w sieci Intranet, które otrzymuje uaktualnione składniki. Należy wpisać ścieżkę UNC innego serwera w sieci i utworzyć na tym serwerze docelowym folder, który będzie dostępny dla wszystkich serwerów otrzymujących aktualizacje (np.: \Web\ActiveUpdate). Alternatywne źródło aktualizacji: należy pobrać składniki z Internetu lub innego źródła. Należy udostępnić docelowy katalog wirtualny HTTP (udział w sieci Web) wszystkim serwerom otrzymującym aktualizacje. 2. Kliknij przycisk Zapisz. Korzystanie z agentów aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło > karta Security Agent Określając sekcje sieci między klientami a programem Trend Micro Security Server jako te, które mają niską przepustowość lub intensywny ruch, można tak skonfigurować agenty, aby działały jako źródła aktualizacji (agenty aktualizacji) dla innych agentów. Ułatwia to rozłożenie ciężaru wdrażania składników na wszystkich agentach. Na przykład, jeśli sieć jest podzielona na segmenty według lokalizacji, a łącza sieciowe między segmentami są poddawane dużemu obciążeniu ruchem, firma Trend Micro zaleca, aby przynajmniej jeden agent w każdym z segmentów działał jako agent aktualizacji. Aby umożliwić agentom działanie w roli agentów aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Przypisz agenta aktualizacji. 2. Z listy Wybierz programy Security Agent wybierz co najmniej jednego agenta, który ma działać jako agent aktualizacji. 3. Kliknij przycisk Zapisz

253 Zarządzanie aktualizacjami Aby usunąć agenta aktualizacji, zaznacz pole wyboru odpowiadające nazwie komputera, a następnie kliknij przycisk Usuń. Uwaga: o ile nie zostanie to określone inaczej w sekcji Alternatywne źródła aktualizacji, wszystkie agenty aktualizacji będą otrzymywać aktualizacje z programu Trend Micro Security Server. Aby umożliwić agentom uzyskiwanie aktualizacji z alternatywnego źródła aktualizacji: 1. Zmień odpowiednio następujące opcje na karcie Security Agent ekranu Źródło: Włącz alternatywne źródła aktualizacji Zawsze aktualizuj z serwera bezpieczeństwa dla agentów aktualizacji: jest to opcjonalny krok, który zapewnia, że agenty uzyskują aktualizacje tylko z programu Security Server. Uwaga: po wybraniu tej opcji agenty aktualizacji będą pobierać aktualizacje z programu Trend Micro Security Server, nawet jeśli ich adres IP mieści się wzakresach określonych na ekranie Dodaj alternatywne źródło aktualizacji. Aby ta opcja działała, musi być wybrana opcja Włącz alternatywne źródła aktualizacji. 2. Kliknij przycisk Zapisz. Aby dodać alternatywne źródła aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Alternatywne źródła aktualizacji. 2. Zmień odpowiednio następujące opcje: IP od oraz IP do: klienty z adresami IP mieszczącymi się w tym zakresie będą otrzymywać aktualizacje z podanego źródła aktualizacji. Uwaga: aby określić pojedynczy program Client/Server Security Agent, wprowadź jego Client/Server Security Agent adres IP zarówno w polu IP od jak i w polu IP do

254 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Źródło aktualizacji Agent aktualizacji: jeśli lista rozwijana jest niedostępna, nie skonfigurowano żadnych agentów aktualizacji. Określone: ścieżka do agenta aktualizacji lub serwera ActiveUpdate. 3. Kliknij przycisk Zapisz. Aby usunąć alternatywne źródło aktualizacji, zaznacz pole wyboru odpowiadające zakresowi IP, a następnie kliknij przycisk Usuń. Uwaga: programy Client/Server Security Agent które nie zostały określone, będą automatycznie otrzymywać aktualizacje od programu Security Server firmy Trend Micro. Aktualizacje ręczne Ścieżka nawigacji: Aktualizacje > Ręczna W programie Security Server używane są składniki umożliwiające skanowanie, identyfikację zagrożeń i wykonywanie zadań usuwania uszkodzeń w celu ochrony i czyszczenia komputerów klienckich i serwerów. Ważna jest częsta aktualizacja tych składników. Po kliknięciu opcji Aktualizuj teraz, program Security Server przystąpi do wyszukiwania zaktualizowanych składników. Jeśli są dostępne, zostaną pobrane i rozpocznie się ich wdrażanie na klientach. Na ekranie Aktualizacja ręczna znajdują się następujące elementy: Składniki: zaznaczenie wszystkich elementów na ekranie lub usunięcie ich zaznaczenia. Bieżąca wersja: wyświetlenie bieżącej wersji składnika. Nie musi to być najnowsza wersja. Ostatnia aktualizacja: wyświetlenie czasu pobrania składnika przez program Security Server

255 Zarządzanie aktualizacjami Ręczne aktualizowanie składników Ścieżka nawigacji: Aktualizacje > Aktualizacja ręczna RYSUNEK Ekran Aktualizacja ręczna Aby ręcznie zaktualizować składniki: 1. Zmień odpowiednio następujące opcje na ekranie Aktualizacja ręczna: Składniki: aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki, które można aktualizować na str Kliknij przycisk Skanuj teraz lub Zapisz. Aby uzyskać więcej informacji o planowaniu aktualizacji, patrz Planowanie aktualizacji składników na str Uwaga: po pobraniu wszystkich zaktualizowanych składników serwer automatycznie wdroży je na agentach

256 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aktualizacje zaplanowane Ścieżka nawigacji: Aktualizacje > Zaplanowane W programie Security Server używane są składniki umożliwiające skanowanie, identyfikację zagrożeń i wykonywanie zadań usuwania uszkodzeń w celu ochrony i czyszczenia komputerów klienckich i serwerów. Ważna jest częsta aktualizacja tych składników. Po kliknięciu opcji Aktualizuj teraz program Security Server wyszukuje zaktualizowane składniki. Jeśli są dostępne, program Security Server pobierze je i rozpocznie ich wdrażanie na klientach. Planowanie aktualizacji składników Ścieżka nawigacji: Aktualizacje > Skanowanie zaplanowane > karta Harmonogram Istnieje możliwość zaplanowania aktualizacji w celu automatycznego odbierania najnowszych składników do zwalczania zagrożeń. Wskazówka: nie należy planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. RYSUNEK Ekran Aktualizacja zaplanowana 11-14

257 Zarządzanie aktualizacjami Aby zaplanować aktualizację: 1. Na karcie Składniki wybierz składniki do zaktualizowania. Aby wybrać wszystkie składniki, zaznacz pole wyboru obok pozycji Składniki. 2. Na karcie Harmonogram wybierz, jak często składniki mają być aktualizowane. 3. Kliknij przycisk Zapisz. Wskazówka: firma Trend Micro szybko reaguje na epidemie wirusów oraz złośliwego oprogramowania, uaktualniając pliki sygnatur wirusów (aktualizacje mogą być wydawane kilka razy w tygodniu). Silnik skanowania oraz inne składniki są również uaktualniane regularnie. Firma Trend Micro zaleca aktualizowanie składników codziennie a podczas epidemii jeszcze częściej aby agent korzystał z jak najbardziej aktualnych składników. Wycofywanie lub synchronizacja składników Ścieżka nawigacji: Aktualizacje > Wycofanie Wycofywanie składników oznacza powrót do poprzedniej wersji pliku sygnatur wirusów lub silnika skanowania. Jeżeli używany plik sygnatur lub silnik skanowania nie działa prawidłowo, należy przywrócić poprzednią wersję tych składników. Synchronizacja oznacza instalację zaktualizowanych składników na wszystkich agentach. Agenty korzystają znastępujących silników skanowania: Baza sygnatur wirusów Sygnatura programu Smart Scan Agent Silnik skanowania antywirusowego, 32-bitowy Silnik skanowania antywirusowego, 64-bitowy Powyższe typy silników skanowania należy wycofywać niezależnie. Procedura wycofywania obu typów silnika skanowania jest jednakowa. Program Trend Micro Security Server pozostawia wyłącznie bieżącą i poprzednią wersję silnika skanowania oraz ostatnie pięć plików sygnatur

258 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora RYSUNEK Ekran Wycofanie Aby przywrócić do poprzednich wersji lub zsynchronizować pliki sygnatur lub silniki skanowania: Zmień odpowiednio następujące opcje na ekranie Wycofanie: Wycofywanie: przywraca składniki programu Security Server i agentów do poprzedniej wersji. Synchronizacja: wdraża zaktualizowane składniki na agentach. Pakiety hot fix, poprawki i dodatki Service Pack Po oficjalnym wydaniu produktu firma Trend Micro często tworzy pakiety hot fix, poprawki oraz dodatki service pack, aby rozwiązać wykryte problemy, zwiększyć wydajność produktu lub dodać nowe funkcje. Poniżej znajduje się podsumowanie dotyczące uaktualnień, które mogą być wydawane przez firmę Trend Micro: Pakiet hot fix: sugerowane rozwiązanie określonego problemu zgłaszanego przez pojedynczego klienta. Pakiety hot fix są specyficzne dla danego problemu, dlatego nie są wydawane dla wszystkich klientów. Pakiety hot fix dla systemu Windows zawierają programy instalacyjne. W pozostałych systemach należy zazwyczaj zatrzymać demony programów, skopiować plik (zastępując jego odpowiednik w instalacji) i ponownie uruchomić demony. Poprawka zabezpieczeń: pakiet hot fix koncentrujący się na problemach zabezpieczeń, nadający się do wdrożenia na wszystkich klientach. Poprawki zabezpieczeń dla systemu Windows zawierają programy instalacyjne

259 Zarządzanie aktualizacjami Poprawka: zestaw pakietów hot fix i poprawek zabezpieczeń rozwiązujących różne problemy dotyczące programów. Firma Trend Micro regularnie udostępnia poprawki. Poprawki dla systemu Windows zawierają programy instalacyjne. Dodatek Service Pack: pełny zestaw pakietów hot fix, poprawek i ulepszeń funkcji, na tyle istotny, aby mógł być uważany za uaktualnienie produktu. Dodatki Service Pack, przeznaczone zarówno dla systemu Windows, jak i pozostałych systemów operacyjnych, zawierają program instalacyjny oraz skrypt instalacyjny. Sprzedawcy lub dostawcy mogą zawiadamiać klientów o dostępności tych elementów. Informacje na temat nowych pakietów hot fix, poprawek i dodatków Service Pack można znaleźć w witrynie internetowej firmy Trend Micro: Wszystkie publikacje zawierają plik Readme z informacjami na temat instalacji, wdrożenia oraz konfiguracji produktu. Przed rozpoczęciem instalacji pakietów hot fix, poprawek lub dodatków Service Pack należy dokładnie zapoznać się ztreścią pliku Readme

260 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 11-18

261 Rozdział 12 Korzystanie z dzienników i raportów W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział obejmuje następujące zagadnienia: Dzienniki na str Raporty na str Zarządzanie dziennikami i raportami na str

262 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Dzienniki W programie WFBS-A prowadzone są wszechstronne dzienniki, w których odnotowywane są informacje o wirusach/złośliwym oprogramowaniu i oprogramowaniu typu spyware/grayware, wypadkach, zdarzeniach i aktualizacjach. Dzienników tych można użyć do oceny reguł ochrony organizacji, jak również do identyfikacji klientów, które są bardziej narażone na zarażenie. Ponadto dzienniki pozwalają sprawdzić, czy aktualizacje zostały prawidłowo wdrożone. Uwaga: do przeglądania plików dziennika w formacie CSV służą arkusze kalkulacyjne, takie jak Microsoft Excel. Program WFBS-A prowadzi dzienniki w następujących kategoriach: Dzienniki zdarzeń konsoli zarządzania Dzienniki komputerów/serwerów Dzienniki serwera Microsoft Exchange TABELA Typ i zawartość dziennika TYP (ZDARZENIE LUB ELEMENT, KTÓRY WYGENEROWAŁ WPIS W DZIENNIKU) ZAWARTOŚĆ (TYP DZIENNIKA, Z KTÓREGO POBIERANA JEST ZAWARTOŚĆ) Zdarzenia konsoli zarządzania Skanowanie ręczne Aktualizuj Zdarzenia ochrony przed epidemią Zdarzenia konsoli 12-2

263 Korzystanie z dzienników i raportów TABELA Typ i zawartość dziennika (ciąg dalszy) TYP (ZDARZENIE LUB ELEMENT, KTÓRY WYGENEROWAŁ WPIS W DZIENNIKU) ZAWARTOŚĆ (TYP DZIENNIKA, Z KTÓREGO POBIERANA JEST ZAWARTOŚĆ) Komputer/serwer Dzienniki wirusów Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Czyszczenie Dzienniki spyware/grayware Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Dzienniki Web Reputation Dzienniki filtrowania adresów URL Dzienniki monitorowania zachowań Dzienniki aktualizacji Dzienniki wirusów sieciowych Dzienniki ochrony przed epidemiami Dzienniki zdarzeń 12-3

264 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA Typ i zawartość dziennika (ciąg dalszy) TYP (ZDARZENIE LUB ELEMENT, KTÓRY WYGENEROWAŁ WPIS W DZIENNIKU) ZAWARTOŚĆ (TYP DZIENNIKA, Z KTÓREGO POBIERANA JEST ZAWARTOŚĆ) Serwer Microsoft Exchange Dzienniki wirusów Dzienniki części wiadomości, których nie można przeskanować Dzienniki blokowania załączników Dzienniki filtrowania zawartości Dzienniki aktualizacji Dzienniki kopii zapasowych Dzienniki archiwizacji Dzienniki ochrony przed epidemiami Dzienniki zdarzeń skanowania Dzienniki części wiadomości, których nie można przeskanować 12-4

265 Korzystanie z dzienników i raportów Korzystanie z kwerendy dziennika Ścieżka nawigacji: Raporty > Kwerenda dziennika W celu uzyskania informacji z bazy danych dziennika można wykonywać kwerendy dziennika. Do konfigurowania i uruchamiania kwerend można użyć ekranu Kwerenda dziennika. Wyniki można następnie wyeksportować do pliku w formacie CSV lub wydrukować. Uwaga: program MSA co pięć minut wysyła dzienniki do programu Security Server (niezależnie od tego, kiedy generowany jest dziennik). RYSUNEK Domyślny ekran Kwerenda dziennika Aby wyświetlić dzienniki: 1. Zmień odpowiednio następujące opcje na ekranie Kwerenda dziennika: Przedział czasu Wstępnie skonfigurowany zakres Określony zakres: ogranicza kwerendę do określonych dat. 12-5

266 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Typ: informacje rejestrowane w poszczególnych typach dziennika przedstawia Tabela 12-1 na str Zdarzenia konsoli zarządzania Komputer/serwer Serwer Microsoft Exchange Zawartość: dostępne opcje są zależne od typu dziennika. 2. Kliknij opcję Wyświetl dzienniki. Aby zapisać dziennik jako plik w formacie CSV, kliknij opcję Eksport. Pliki CSV można przeglądać za pomocą arkusza kalkulacyjnego. RYSUNEK Przykładowy ekran Kwerenda dziennika Raporty W poniższej sekcji opisano sposób konfiguracji raportów jednorazowych i zaplanowanych. Raporty jednorazowe Generowanie jednorazowych raportów pozwala przeglądać informacje z dziennika wuporządkowanym i przejrzystym formacie graficznym. Raporty zaplanowane Zawartości raportów zaplanowanych i jednorazowych są do siebie podobne, jednakże są one generowane w ustalonym czasie i z określoną częstotliwością. W celu generowania raportów zaplanowanych należy wybrać zawartość raportu i zapisać ją jako szablon. W ustalonym czasie i z określoną częstotliwością, program WFBS-A korzysta z szablonu, aby wygenerować raport. 12-6

267 Korzystanie z dzienników i raportów Interpretowanie raportów Raporty programu WFBS-A zawierają następujące informacje. Wyświetlone informacje mogą być różne, w zależności od wybranych opcji. TABELA Zawartość raportu ELEMENT RAPORTU Antywirus OPIS Podsumowanie aktywności wirusów na komputerach/serwerach Raporty o wirusach zawierają szczegółowe informacje dotyczące liczby i typów złośliwego oprogramowania/wirusów wykrytych przez silnik skanowania oraz operacji wykonanych w celu ich usunięcia. Raport zawiera także spis najczęściej występujących wirusów/złośliwego oprogramowania. Kliknij nazwy wirusów/złośliwego oprogramowania, aby otworzyć nową stronę przeglądarki internetowej iprzejść do encyklopedii wirusów/złośliwego oprogramowania firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. Historia ochrony przed epidemiami 5 komputerów/serwerów z największą liczbą wykrytych wirusów Wyświetla 5 komputerów lub serwerów najczęściej raportujących wykrycie wirusa/złośliwego oprogramowania. Śledzenie najczęstszych przypadków wirusów/złośliwego oprogramowania na jednym komputerze klienckim może wykazać, że dany klient stanowi duże zagrożenie dla bezpieczeństwa, co może wymagać podjęcia dodatkowych działań. Historia ochrony przed epidemiami Wyświetla ostatnie epidemie, poziom zagrożenia ze strony epidemii, identyfikuje wirusa/złośliwe oprogramowanie powodujące epidemię oraz sposób jego dostarczenia (w wiadomości lub pliku). 12-7

268 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA Zawartość raportu (ciąg dalszy) ELEMENT RAPORTU Antyspyware OPIS Podsumowanie aktywności spyware/grayware na komputerach/serwerach W raportach dotyczących spyware/grayware przedstawione są szczegółowe informacje o wykrytym na klientach oprogramowaniu spyware/grayware, zawierające liczbę wykrytych przypadków i działania podjęte przeciw nim przez program WFBS-A. Raport zawiera diagram kołowy, pokazujący udział procentowy wszystkich operacji skanowania podjętych przeciw programom spyware. Podsumowanie informacji na temat ochrony przed spamem Web Reputation 5 komputerów/serwerów z największą ilością wykrytego spyware/grayware W raporcie wymieniono też pięć najgroźniejszych wykrytych przypadków spyware/grayware i pięć komputerów/serwerów z największą liczbą wykrytych przypadków spyware/grayware. Aby dowiedzieć się więcej o zagrożeniach ze strony spyware/grayware, kliknij nazwy spyware/grayware. Zostanie otwarta nowa strona przeglądarki internetowej, na której wyświetlone będą informacje o spyware/grayware pochodzące z witryny internetowej firmy Trend Micro. Podsumowanie działalności spamu Raporty antyspamowe zawierają informacje o liczbie wiadomości typu spam i phishing wykrytych we wszystkich przeskanowanych wiadomościach. Zawierają listę zgłoszonych fałszywych alarmów. 10 komputerów najczęściej naruszających reguły usług Web Reputation Zawiera listę 10 klientów najczęściej naruszających reguły usługi Web Reputation. 12-8

269 Korzystanie z dzienników i raportów TABELA Zawartość raportu (ciąg dalszy) ELEMENT RAPORTU Kategoria adresu URL Monitorowanie zachowań OPIS 5 najczęściej naruszanych reguł kategorii URL Najczęściej używane kategorie witryn internetowych, związane z naruszeniami reguł. 10 komputerów najczęściej naruszających reguły kategorii URL 10 komputerów najczęściej naruszających reguły filtrowania adresów URL. 5 programów najczęściej naruszających reguły monitorowania zachowania Zawiera listę 5 programów najczęściej naruszających reguły monitorowania zachowań. Podsumowanie na temat filtrowania zawartości 10 komputerów najczęściej naruszających reguły monitorowania zachowania Zawiera listę 10 klientów najczęściej naruszających reguły monitorowania zachowań. Podsumowanie filtrowania zawartości Raporty filtrowania zawartości zawierają informacje o liczbie wszystkich wiadomości przefiltrowanych przez program Messaging Security Agent. 10 najczęściej naruszanych reguł filtrowania zawartości Lista 10 najczęściej naruszanych reguł filtrowania zawartości. Informacje te umożliwiają lepsze dostosowanie reguł filtrowania. 12-9

270 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA Zawartość raportu (ciąg dalszy) ELEMENT RAPORTU Wirus sieciowy OPIS 10 najczęściej wykrywanych wirusów sieciowych Zawiera listę 10 wirusów sieciowych najczęściej wykrywanych przez ogólny sterownik zapory. Kliknij nazwy wirusów, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa. 10 najczęściej atakowanych komputerów Lista komputerów w sieci najczęściej zgłaszających przypadki wirusów

271 Korzystanie z dzienników i raportów Generowanie raportów Ścieżka nawigacji: Raporty > Raporty jednorazowe lub Raporty zaplanowane Raport jednorazowy przedstawia podsumowanie wybranej zawartości tylko jeden raz. Raporty zaplanowane przedstawiają podsumowanie wybranej zawartości w sposób regularny. RYSUNEK Ekran raportów 12-11

272 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby utworzyć lub zaplanować raport: 1. Na ekranie Raporty jednorazowe lub Raporty zaplanowane kliknij przycisk Dodaj. 2. Zmień odpowiednio następujące opcje: Nazwa raportu/nazwa szablonu raportu: krótki tytuł, który pomoże zidentyfikować raport/szablon. Harmonogram: dotyczy tylko raportów zaplanowanych. Codziennie: raport zaplanowany będzie wykonywany codziennie ookreślonej godzinie. Co tydzień w: raport zaplanowany będzie wykonywany raz w tygodniu, określonego dnia i o określonej godzinie. Co miesiąc, w dniu: raport zaplanowany będzie wykonywany raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program WFBS-A nie wygeneruje raportu w tym miesiącu. Wygeneruj raport o: godzina, o której program WFBS-A ma wygenerować raport. Przedział czasu: ogranicza raport do określonych dat. Zawartość: aby wybrać wszystkie zagrożenia, zaznacz pole wyboru Zaznacz wszystko. Aby wybrać poszczególne zagrożenia, zaznacz odpowiednie pole wyboru. Kliknij, aby rozwinąć wybór. Wyślij raport do: program WFBS-A wysyła wygenerowany raport do określonych odbiorców. Poszczególne wpisy należy oddzielać średnikami (;). Jako załącznik PDF Jako łącze do raportu 3. Kliknij przycisk Generuj/Dodaj. Wyświetl raport na ekranie Raporty jednorazowe lub Raporty zaplanowane poprzez kliknięcie nazwy raportu. Jeżeli włączona jest opcja Wyślij raport do, program WFBS-A będzie wysyłać do odbiorców załącznik PDF lub łącze. Aby usunąć raport, na ekranie Raporty jednorazowe lub Raporty zaplanowane zaznacz pole wyboru odpowiadające raportowi i kliknij przycisk Usuń

273 Korzystanie z dzienników i raportów Aby dokonać edycji szablonu raportu zaplanowanego, na ekranie Raporty zaplanowane kliknij nazwę szablonu i zmień odpowiednio opcje. RYSUNEK Przykładowy raport, prezentujący podsumowanie aktywności spyware/grayware Zarządzanie dziennikami i raportami Liczba raportów rośnie szybko, jeśli nie są one okresowo usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program WFBS-A umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane

274 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Obsługa raportów Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK Ekran Obsługa raportów Liczba raportów rośnie szybko, jeżeli nie są one usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program Worry-Free Business Security umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane. Na tym ekranie można: Obsługa raportów Aby ustalić maksymalną liczbę przechowywanych raportów: 1. Na karcie Raporty ekranu Obsługa skonfiguruj maksymalną liczbę raportów do zachowania dla następujących typów raportów: Raporty jednorazowe Zaplanowane raporty zapisywane w każdym szablonie Szablony raportów 2. Kliknij przycisk Zapisz. Automatycznie usuwaj wpisy dziennika Aby automatycznie usuwać dzienniki: 1. Na karcie Automatyczne usuwanie dzienników ekranu Obsługa wybierz Typ dziennika iokreśl liczbę dni przechowywania. 2. Kliknij przycisk Zapisz

275 Korzystanie z dzienników i raportów Ręczne usuwanie dzienników Aby ręcznie usunąć dzienniki: 1. Na karcie Ręczne usuwanie dzienników ekranu Obsługa określ liczbę dni przechowywania dla wybranego typu dziennika i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. Wskazówka: aby usunąć wszystkie dzienniki, podaj 0 jako liczbę dni i kliknij przycisk Usuń. Usuwanie dzienników Na ekranie Raporty > Obsługa można skonfigurować czas przechowywania plików dzienników i zaplanować ich regularną obsługę. Ścieżka nawigacji: Raporty > Obsługa > Karta Automatyczne usuwanie dzienników RYSUNEK Ekran Automatyczne usuwanie dzienników 12-15

276 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Aby program Security Server usuwał dzienniki, które przekraczają ustawiony limit czasu: 1. Kliknij kolejno opcje Raporty > Obsługa. 2. Kliknij opcję Automatyczne usuwanie dzienników. 3. Wybierz dzienniki do usunięcia. 4. W polu Usuń dzienniki starsze niż określ liczbę dni przechowywania dzienników przez program Security Server. 5. Kliknij przycisk Zapisz. Program Security Server usunie wszystkie dzienniki starsze niż liczba dni określona w kroku 4. Aby ręcznie usunąć dziennik: 1. Kliknij opcję Ręczne usuwanie dzienników. 2. Znajdź wiersz zawierający typ dziennika do usunięcia. W polu obok słowa dni wpisz liczbę określającą limit czasu. 3. Kliknij przycisk Usuń. Usunięte zostaną wszystkie dzienniki starsze niż liczba dni określona w kroku

277 Rozdział 13 Administrowanie programem WFBS-A W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca z Menedżerem dodatków czy dezinstalacja programu Security Server. Rozdział obejmuje następujące zagadnienia: Zmiana hasła konsoli internetowej na str Praca z Menedżerem dodatków na str Wyświetlanie szczegółów licencji produktu na str Uczestnictwo w infrastrukturze Smart Protection Network na str Zmiana języka interfejsu agenta na str Dezinstalacja programu Trend Micro Security Server na str

278 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Zmiana hasła konsoli internetowej Aby zapobiec zmianie ustawień lub usunięciu agentów z komputerów klienckich przez nieupoważnionych użytkowników, konsola internetowa jest chroniona hasłem. Główny program instalacyjny programu WFBS-A wymaga określenia hasła konsoli internetowej, jednak z poziomu konsoli można to hasło zmienić. Wskazówka: firma Trend Micro zaleca użycie silnych haseł dla konsoli internetowej. Silne hasło ma długość co najmniej ośmiu znaków i zawiera co najmniej jedną wielką literę (A Z), co najmniej jedną małą literę (a z), co najmniej jedną cyfrę (0 9), jak również co najmniej jeden znak specjalny lub przestankowy (!@#$%^&,.:;?). Silne hasła nigdy nie powinny być identyczne z nazwą logowania użytkownika, ani zawierać tej nazwy. Nie należy także używać imienia ani nazwiska użytkownika, daty urodzin ani żadnej innej informacji, którą można łatwo utożsamić zużytkownikiem. Ścieżka nawigacji: Preferencje > Hasło RYSUNEK Ekran Preferencje Hasło Aby zmienić hasło konsoli internetowej: 1. Zmień odpowiednio następujące opcje na ekranie Hasło: Stare hasło Nowe hasło Potwierdź hasło: wprowadź ponownie nowe hasło, aby je potwierdzić. 13-2

279 Administrowanie programem WFBS-A 2. Kliknij przycisk Zapisz. Uwaga: w przypadku zagubienia hasła konsoli internetowej, należy się skontaktować z pomocą techniczną firmy Trend Micro, aby otrzymać instrukcje dotyczące odzyskiwania dostępu do konsoli internetowej. Jedyną alternatywą jest usunięcie i ponowna instalacja programu WFBS-A. Patrz Dezinstalacja programu Trend Micro Security Server na str Praca z Menedżerem dodatków Ścieżka nawigacji: Preferencje > Dodatki Menedżer dodatków wyświetla programy przeznaczone dla programu WFBS-A i agentów w konsoli internetowej, gdy tylko staną się one dostępne. Można je instalować izarządzać nimi za pośrednictwem konsoli internetowej, łącznie z instalowaniem wtyczek klienckich na komputerach z agentami. Menedżera dodatków można pobrać izainstalować, klikając opcję Menedżer dodatków wmenu głównym konsoli internetowej. Po zainstalowaniu Menedżera dodatków można sprawdzić dostępność dodatków. Więcej informacji znajduje się w dokumentacji dodatków. 13-3

280 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Wyświetlanie szczegółów licencji produktu Ścieżka nawigacji: Preferencje > Licencja produktu Na ekranie licencji produktu można odnowić, zaktualizować albo wyświetlić szczegóły dotyczące licencji produktu. RYSUNEK Ekran Preferencje Licencja produktu Na ekranie Licencja produktu są wyświetlane szczegółowe informacje dotyczące licencji. Wzależności od opcji wybranych w czasie instalacji, może to być wersja z pełną licencją lub wersja testowa. W obu przypadkach, licencja upoważnia użytkownika do korzystania z umowy serwisowej. Po wygaśnięciu umowy serwisowej, działające w sieci klienty będą chronione w bardzo ograniczonym zakresie. Należy użyć ekranu Licencja produktu, aby sprawdzić datę wygaśnięcia licencji i odnowić ją przed upływem tego terminu. Konsekwencje wygaśnięcia licencji Po wygaśnięciu kodu aktywacyjnego pełnej wersji nie można wykonywać ważnych zadań, takich jak pobieranie zaktualizowanych składników lub korzystanie z usługi Web Reputation itp. Jednak w przeciwieństwie do kodu aktywacyjnego wersji próbnej wszystkie istniejące konfiguracje i ustawienia nadal obowiązują po wygaśnięciu kodu aktywacyjnego pełnej wersji. Umożliwia to zachowanie pewnego poziomu zabezpieczeń na wypadek, gdyby użytkownik przez nieuwagę doprowadził do wygaśnięcia licencji. 13-4

281 Administrowanie programem WFBS-A Aby odnowić licencję produktu: 1. Skontaktuj się z przedstawicielem handlowym lub dystrybutorem oprogramowania firmy Trend Micro w celu odnowienia umowy licencyjnej. Informacje o sprzedawcach znajdują się wpliku: Program files\trend micro\security server\pccsrv\ private\contact_info.ini 2. Sprzedawca firmy Trend Micro zaktualizuje informacje rejestracyjne za pomocą funkcji rejestracji produktów firmy Trend Micro. 3. Program Security Server sprawdza serwer rejestracji produktu i pobiera nową datę ważności bezpośrednio z tego serwera. Podczas odnawiania licencji nie jest konieczne ręczne wprowadzanie nowego kodu aktywacyjnego. Zmiana licencji Kod aktywacyjny decyduje o typie posiadanej licencji. Użytkownik może posiadać wersję próbną lub wersję zpełną licencją, bądź licencję produktu Worry-Free Business Security Advanced albo produktu Worry-Free Business Security. Aby zmienić licencję, można użyć ekranu Licencja produktu celem wprowadzenia nowego kodu aktywacyjnego. Aby zmienić licencję z wersji próbnej na wersję pełną: 1. Kliknij przycisk Wprowadź nowy kod. 2. Wpisz nowy kod aktywacyjny w odpowiednim polu. 3. Kliknij przycisk Aktywuj. Uczestnictwo w infrastrukturze Smart Protection Network Ścieżka nawigacji: Preferencje > Smart Protection Network Program Trend Micro Smart Feedback gromadzi i analizuje informacje o zagrożeniach pomagając zachować wysoki stopień bezpieczeństwa. Udział w programie Trend Micro Smart Feedback oznacza, że firma Trend Micro będzie gromadzić informacje na temat komputera użytkownika w celu łatwiejszej identyfikacji zagrożeń. Informacje o komputerze gromadzone przez firmę Trend Micro: Sumy kontrolne plików 13-5

282 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Adresy odwiedzonych witryn sieci Web Informacje o plikach, w tym rozmiary i ścieżki dostępu Nazwy plików wykonywalnych Wskazówka: w celu zapewnienia ochrony komputerów nie jest wymagany udział wprogramie Smart Feedback. Udział w programie jest dobrowolny i można z niego zrezygnować w dowolnej chwili. Firma Trend Micro zaleca udział wprogramie Smart Feedback, który zapewnia lepszą ochronę wszystkich klientów firmy Trend Micro. Więcej informacji na temat infrastruktury Smart Protection Network można uzyskać w witrynie internetowej: Aby przystąpić do programu Trend Micro Smart Feedback: 1. Kliknij opcję Włącz funkcję Trend Micro Smart Feedback. 2. Aby wysyłać informacje dotyczące potencjalnych zagrożeń bezpieczeństwa wplikach znajdujących się na klientach, zaznacz pole wyboru Zbieranie informacji na temat plików. 3. Aby pomóc firmie Trend Micro w poznaniu organizacji, wybierz typ branży. 4. Kliknij przycisk Zapisz. Zmiana języka interfejsu agenta Administratorzy mogą udostępnić pakiety językowe z określonymi ustawieniami regionalnymi dla programu Client/Server Security Agent. Kiedy administratorzy zainstalują wszystkie pakiety językowe, użytkownicy będą mogli wyświetlić interfejs programu Client/Server Security Agent w języku odpowiadającym ustawieniom regionalnym systemu operacyjnego. Uwaga: język używany w interfejsie agenta będzie odpowiadał ustawieniom regionalnym skonfigurowanym w systemie operacyjnym klienta. 13-6

283 Administrowanie programem WFBS-A Aby udostępnić pakiety językowe: 1. Pobierz odpowiednie pakiety językowe przy użyciu łączy. 2. Skopiuj pakiety językowe do katalogu PCCSRV\Download\LangPack\ na serwerze zabezpieczeń. 3. Uruchom ponownie klientów, którzy wymagają nowego pakietu językowego. Dezinstalacja programu Trend Micro Security Server OSTRZEŻENIE! Odinstalowanie programu Trend Micro Security Server spowoduje również odinstalowanie serwera skanowania. Program WFBS-A korzysta z programu odinstalowującego, aby bezpiecznie usunąć program Trend Micro Security Server z komputera. Przed usunięciem programu Security Server usuń agenta ze wszystkich klientów. Uwaga: odinstalowanie programu Trend Micro Security Server nie powoduje dezinstalacji agentów. Przed odinstalowaniem programu Trend Micro Security Server administratorzy muszą odinstalować lub przenieść wszystkie agenty. Patrz Usuwanie agentów na str Aby usunąć program Trend Micro Security Server: 1. Na komputerze, na którym przeprowadzono instalację, kliknij kolejno Start > Panel sterowania > Dodaj lub usuń programy. 2. Kliknij pozycję Trend Micro Security Server, a następnie kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran potwierdzenia. 3. Kliknij przycisk Dalej. Dezinstalator serwera poprosi o podanie hasła administratora. 4. W polu tekstowym wpisz hasło administratora i kliknij przycisk OK. Program odinstalowujący rozpocznie usuwanie plików serwera. Po odinstalowaniu programu Security Server zostanie wyświetlony komunikat potwierdzenia. 5. Kliknij przycisk OK, aby zamknąć program odinstalowujący. 13-7

284 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 13-8

285 Dodatek A Lista wykluczeń produktów Trend Micro Lista wykluczeń produktów obejmuje wszystkie produkty Trend Micro, które są domyślnie wykluczone ze skanowania. TABELA A-1. Lista wykluczeń produktów firmy Trend Micro NAZWA PRODUKTU InterScan emanager 3.5x ScanMail emanager (ScanMail for Microsoft Exchange emanager) 3.11, 5.1, 5.11, 5.12 ScanMail for Lotus Notes (SMLN) emanager NT LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\InterScan emanager\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Lotus Notes\CurrentVersion AppDir= DataDir= IniDir= A-1

286 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU InterScan Web Security Suite (IWSS) InterScan WebProtect InterScan FTP VirusWall InterScan Web VirusWall InterScan VirusWall Dodatek InterScan NSAPI InterScan VirusWall LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\Software\ TrendMicro\Interscan Web Security Suite Program Directory= C:\Program Files\ Trend Mircro\IWSS HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan WebProtect\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan FTP VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan Web VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan VirusWall\ CurrentVersion ProgramDirectory={Installation Drive}:\INTERS~1 HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan NSAPI Plug-In\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan VirusWall\ CurrentVersion ProgramDirectory= A-2

287 Lista wykluczeń produktów Trend Micro TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU IM Security (IMS) ScanMail for Microsoft Exchange (SMEX) LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\IM Security\CurrentVersion HomeDir= VSQuarantineDir= VSBackupDir= FBArchiveDir= FTCFArchiveDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion TempDir= DebugDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption\ Advance QuarantineFolder= A-3

288 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU ScanMail for Microsoft Exchange (SMEX) ciąg dalszy LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption\Advance QuarantineFolder= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\ManualScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\QuarantineManager QMDir= A-4

289 Lista wykluczeń produktów Trend Micro TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU ScanMail for Microsoft Exchange (SMEX) ciąg dalszy LOKALIZACJA ŚCIEŻKI INSTALACJI Pobierz ścieżkę pliku exclusion.txt zwartości HKEY_LOCAL_MACHINE\ SOFTWARE\TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion\ HomeDir Przejdź do ścieżki (na przykład C:\Program Files\Trend Micro\Messaging Security Agent\) Otwórz plik exclusion.txt C:\Program Files\Trend Micro\Messaging Security Agent\Temp\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\quarantine\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\backup\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\archive\ C:\Program Files\Trend Micro\Messaging Security Agent\SharedResPool Lista wykluczeń dla serwerów Microsoft Exchange Jeśli program Client/Server Security Agent jest zainstalowany na serwerze Microsoft Exchange (2000 lub nowszym), domyślnie nie będą skanowane bazy danych i pliki dziennika Microsoft Exchange ani foldery serwera wirtualnego lub dysku M. Lista wykluczeń jest zapisywana w: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\ CurrentVersion\Misc. ExcludeMicrosoftExchangeStoreFiles=C:\Program Files\Exchsrvr\mdbdata\priv1.stm C:\Program Files\Exchsrvr\mdbdata\priv1.edb C:\Program A-5

290 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Files\Exchsrvr\mdbdata\pub1.stm C:\Program Files\Exchsrvr\mdbdata\pub1.edb ExcludeMicrosoftExchangeStoreFolders=C:\Program Files\Exchsrvr\mdbdata\ C:\Program Files\Exchsrvr\Mailroot\vsi 1\Queue\ C:\Program Files\Exchsrvr\Mailroot\vsi 1\PickUp\ C:\Program Files\Exchsrvr\Mailroot\vsi 1\BadMail\ Inne zalecane foldery Microsoft Exchange należy dodać ręcznie do listy wykluczeń ze skanowania. Więcej informacji na ten temat zawiera artykuł: A-6

291 Dodatek B Informacje o kliencie W tym dodatku omówiono różne typy klientów oraz ikony klientów widoczne na pasku zadań. W tym dodatku uwzględniono następujące zagadnienia: Typy klientów na str. B-2 Ikony klientów zwykłych na str. B-2 Rozpoznawanie lokalizacji na str. B-7 Klienty mobilne na str. B-7 Klienty 32- i 64-bitowe na str. B-9 B-1

292 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Typy klientów W programie WFBS-A są wyróżniane następujące typy klientów: klienty zwykłe i mobilne, klienty 32-bitowe i 64-bitowe. Klienty zwykłe to komputery stacjonarne z zainstalowanym programem Client/Server Security Agent, utrzymujące stałe połączenie sieciowe z programem Trend Micro Security Server. Stan klienta zwykłego pokazują ikony widoczne na pasku zadań klienta. Ikony klientów zwykłych Stan skanowania tradycyjnego klientów: normalny Następujące ikony sygnalizują prawidłowy stan klientów, skonfigurowanych do skanowania tradycyjnego. TABELA B-1. Ikony dla klientów w normalnych warunkach (skanowanie tradycyjne) Ikona Opis Klient zwykły skonfigurowany do skanowania tradycyjnego Uruchomiono skanowanie tradycyjne Stan skanowania tradycyjnego klientów: klienty odłączone od serwera zabezpieczeń, ale chronione przez skanowanie w czasie rzeczywistym Klienty mogą być sporadycznie odłączane od serwera zabezpieczeń. Jeżeli włączono skanowanie w czasie rzeczywistym i usługa skanowania działa prawidłowo, klienty wciąż będą chronione, jednak ich pliki sygnatur mogą już być, lub wkrótce się staną, nieaktualne. Klienty z poniższymi ikonami są wciąż chronione przez usługę skanowania w czasie rzeczywistym. B-2

293 Informacje o kliencie Jeżeli widoczne są następujące ikony, należy sprawdzić, czy program Security Server jest uruchomiony, a klienty są podłączone do sieci. TABELA B-2. Ikony dla klientów odłączonych od serwera zabezpieczeń (skanowanie tradycyjne) Ikona Opis Klient odłączony od serwera zabezpieczeń, jednak skanowanie w czasie rzeczywistym jest uruchomione, a plik sygnatur wirusów był aktualny, gdy nastąpiło rozłączenie. Klient odłączony od serwera zabezpieczeń, jednak skanowanie w czasie rzeczywistym jest uruchomione. Plik sygnatur wirusów nie był jednak aktualny, gdy nastąpiło rozłączenie. Stan skanowania tradycyjnego klientów: skanowanie w czasie rzeczywistym nie działa Firma Trend Micro zaleca włączenie skanowania w czasie rzeczywistym. Można wyłączyć tę usługę, jednak nie jest to zalecane. Poniższe ikony są widoczne na klientach, gdy skanowanie w czasie rzeczywistym jest wyłączone. TABELA B-3. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie tradycyjne) Ikona Opis Wyłączono skanowanie w czasie rzeczywistym Wyłączono skanowanie w czasie rzeczywistym, a plik sygnatur jest nieaktualny Skanowanie w czasie rzeczywistym jest wyłączone, aklient jest odłączony od serwera zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, klient jest odłączony od serwera zabezpieczeń, a plik sygnatur jest nieaktualny B-3

294 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Klienty, na których są wyświetlane poniższe czerwone ikony, są bardzo narażone na atak, ponieważ usługa skanowania w czasie rzeczywistym została na nich wyłączona lub działa nieprawidłowo. TABELA B-4. Ikony dla klientów, gdy skanowanie w czasie rzeczywistym nie działa prawidłowo (skanowanie tradycyjne) Ikona Opis Usługa skanowania w czasie rzeczywistym działa nieprawidłowo Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, a plik sygnatur jest nieaktualny Usługa skanowania w czasie rzeczywistym nie działa prawidłowo, a klient jest odłączony od serwera Usługa skanowania w czasie rzeczywistym nie działa prawidłowo, klient jest odłączony od serwera, a plik sygnatur jest nieaktualny Stan klienta przy skanowaniu inteligentnym: normalny Jeżeli są widoczne następujące ikony, klienty skonfigurowane dla skanowania inteligentnego działają prawidłowo. TABELA B-5. Ikony dla klientów w normalnych warunkach (skanowanie inteligentne) Ikona Opis Klient zwykły skonfigurowany do skanowania inteligentnego Skanowanie inteligentne jest włączone. B-4

295 Informacje o kliencie Stan klienta przy skanowaniu inteligentnym: odłączono od serwera skanowania inteligentnego W przypadku technologii skanowania inteligentnego ochrona, klientów opiera się na serwerze skanowania inteligentnego (Smart Scan). Jeżeli komputery klienckie są skonfigurowane do skanowania inteligentnego, ale są odłączone od serwera Smart Scan, będą miały zapewniony tylko minimalny poziom zabezpieczeń. Jeżeli są widoczne następujące ikony, należy sprawdzić, czy jest uruchomiona usługa Smart Scan (TMiCRCScanService). TABELA B-6. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie inteligentne) Ikona Opis Klient odłączony od serwera skanowania, ale połączony z serwerem zabezpieczeń Klient odłączony od serwera skanowania i serwera zabezpieczeń Stan klienta przy skanowaniu inteligentnym: skanowanie w czasie rzeczywistym nie działa Firma Trend Micro zaleca włączenie skanowania w czasie rzeczywistym. Można wyłączyć tę usługę, jednak nie jest to zalecane. Poniższe ikony są widoczne na klientach, gdy skanowanie w czasie rzeczywistym jest wyłączone. TABELA B-7. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie inteligentne) Ikona Opis Skanowanie w czasie rzeczywistym jest wyłączone, ale klient jest połączony z serwerem skanowania i serwerem zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, klient jest połączony z serwerem skanowania, nie jest jednak połączony z serwerem zabezpieczeń B-5

296 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora TABELA B-7. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie inteligentne) (ciąg dalszy) Ikona Opis Skanowanie w czasie rzeczywistym jest wyłączone, klient nie jest połączony z serwerem skanowania, jest jednak połączony z serwerem zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, a klient nie jest połączony z serwerem skanowania ani z serwerem zabezpieczeń Klienty, na których są wyświetlane poniższe czerwone ikony, są bardzo narażone na atak, ponieważ usługa skanowania w czasie rzeczywistym została na nich wyłączona lub działa nieprawidłowo. TABELA B-8. Ikony dla klientów, na których skanowanie w czasie rzeczywistym nie działa prawidłowo (skanowanie inteligentne) Ikona Opis Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, jednak klient jest połączony z serwerem skanowania i serwerem zabezpieczeń Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, klient jest połączony z serwerem skanowania, nie jest jednak połączony z serwerem zabezpieczeń Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, klient nie jest połączony z serwerem skanowania, jest jednak połączony z serwerem zabezpieczeń Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, a klient nie jest połączony z serwerem skanowania ani z serwerem zabezpieczeń B-6

297 Informacje o kliencie Rozpoznawanie lokalizacji Rozpoznawanie lokalizacji pozwala administratorom kontrolować ustawienia zabezpieczeń wzależności od sposobu połączenia klienta z siecią. Program WFBS-A automatycznie określa lokalizację klienta w oparciu o informacje zebrane na poziomie bramy serwera w programie Worry-Free Business Security izarządza dostępem użytkowników do witryn internetowych. Ograniczenia różnią się wzależności od lokalizacji użytkownika: Klienty zwykłe to komputery stacjonarne utrzymujące stałe połączenie sieciowe z serwerem zabezpieczeń. Klienty mobilne to komputery, które nie zawsze utrzymują stałe połączenie z siecią. Klienty mobilne Administratorzy mogą przypisywać do klientów uprawnienia trybu mobilnego, umożliwiając użytkownikom włączanie na nich trybu mobilnego. Klienty będące w trybie mobilnym, zwane klientami mobilnymi, mają nadal zapewnioną ochronę, nie otrzymują one jednak powiadomień imogą pobierać aktualizacje tylko w następujący sposób: gdy użytkownik dokonuje aktualizacji w trybie Aktualizuj teraz lub w trybie zaplanowanej aktualizacji; gdy agent nawiązuje połączenie z programem Trend Micro Security Server. W przypadku wykonywania na komputerze operacji, których nie powinny przerywać polecenia serwera, należy nadać programowi CSA zainstalowanemu na tym komputerze uprawnienia do korzystania z trybu mobilnego. Aby uzyskać więcej informacji dotyczących sposobu zmiany uprawnień klientów, patrz Uprawnienia klienta na str B-7

298 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Stan klienta mobilnego przedstawia ikona na pasku zadań. Listę ikon widocznych na klientach mobilnych zawierają następujące tabele: TABELA B-9. Ikony widoczne na kliencie mobilnym (skanowanie tradycyjne) IKONA OPIS Klient mobilny (niebieska ikona) Wyłączono skanowanie w czasie rzeczywistym Plik sygnatur jest nieaktualny Wyłączono skanowanie w czasie rzeczywistym, a plik sygnatur jest nieaktualny Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Nie włączono usługi skanowania w czasie rzeczywistym, a plik sygnatur jest nieaktualny (czerwona ikona) Połączono z serwerem Smart Scan, jednak skanowanie w czasie rzeczywistym nie działa Połączono z serwerem Smart Scan, jednak skanowanie w czasie rzeczywistym jest wyłączone Nie połączono z serwerem Smart Scan Nie połączono z serwerem Smart Scan, a skanowanie w czasie rzeczywistym nie działa Nie połączono z serwerem Smart Scan, a skanowanie w czasie rzeczywistym jest wyłączone B-8

299 Informacje o kliencie TABELA B-10. Ikony widoczne na kliencie mobilnym (skanowanie inteligentne) IKONA OPIS POŁĄCZENIE Z SERWEREM SKANOWANIA Klient mobilny Klient mobilny Skanowanie w czasie rzeczywistym wyłączone Skanowanie w czasie rzeczywistym wyłączone Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Połączony Odłączony Połączony Odłączony Połączony Odłączony Klienty 32- i 64-bitowe Agent działa na komputerach z procesorami o architekturze x86 i x64. Dla tych systemów operacyjnych i architektur są dostępne wszystkie funkcje, z wyjątkiem Ochrony przed rootkitami. Uwaga: agent nie działa na komputerach z procesorem o architekturze Itanium 2 (IA-64). B-9

300 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora B-10

301 Dodatek C Usługi firmy Trend Micro W tym dodatku omówiono usługi oferowane przez firmę Trend Micro. W tym dodatku omówiono następujące zagadnienia: Reguły ochrony przed epidemią firmy Trend Micro na str. C-2 Usługi Trend Micro Damage Cleanup Services na str. C-2 Ocena narażenia na atak firmy Trend Micro na str. C-4 Trend Micro IntelliScan na str. C-4 Trend Micro ActiveAction na str. C-5 Mechanizm Trend Micro IntelliTrap na str. C-7 Usługi Trend Micro Reputation na str. C-8 Usługa Trend Micro Web Reputation na str. C-9 C-1

302 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Reguły ochrony przed epidemią firmy Trend Micro Reguły ochrony przed epidemią firmy Trend Micro to zestaw domyślnych ustawień konfiguracyjnych, zalecanych przez firmę Trend Micro, które są stosowane w odpowiedzi na wystąpienie epidemii w sieci. Reguły ochrony przed epidemią są pobierane z firmy Trend Micro do programu Trend Micro Security Server. Gdy program Trend Micro Security Server wykryje epidemię, określa jej stopień i natychmiast implementuje odpowiednie środki bezpieczeństwa, zgodnie z określonymi regułami ochrony przed epidemią. Na podstawie reguł ochrony przed epidemią funkcja automatycznej odpowiedzi na zagrożenie podejmuje następujące kroki zapobiegawcze, aby zabezpieczyć sieć firmową na wypadek epidemii: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy oraz złośliwe oprogramowanie plików w folderach udostępnionych Blokowanie portów w celu powstrzymania wirusów oraz złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do zarażania plików w sieci i na klientach Blokowanie możliwości zapisu plików i folderów, aby zapobiec modyfikacji plików przez wirusy oraz złośliwe oprogramowanie Wyświetlanie na klientach komunikatu ostrzeżenia o wykrytej epidemii Usługi Trend Micro Damage Cleanup Services Program WFBS-A korzysta z usług Damage Cleanup Services (DCS) do ochrony komputerów z zainstalowanym systemem Windows przed trojanami i wirusami oraz złośliwym oprogramowaniem. C-2

303 Usługi firmy Trend Micro Rozwiązanie Damage Cleanup Services W celu usunięcia zagrożeń będących wynikiem obecności wirusów i złośliwego oprogramowania oraz oprogramowania typu spyware/grayware, usługi usuwania uszkodzeń (DCS) wykonują następujące operacje: wykrywanie i usuwanie zagrożeń, przerywanie procesów tworzonych przez zagrożenia, naprawa plików systemowych zmodyfikowanych przez zagrożenia, usuwanie plików i aplikacji pozostawionych przez zagrożenia. Do wykonywania tych zadań usługa DCS wykorzystuje następujące składniki: Silnik czyszczenia wirusów: silnik używany przez usługi Damage Cleanup Services do skanowania i usuwania zagrożeń oraz ich procesów. Szablon czyszczenia wirusów: używany w silniku czyszczenia wirusów pomaga w identyfikacji zagrożeń itowarzyszących im procesów oraz umożliwia ich eliminację. W programie WFBS-A usługa DCS jest uruchamiana na kliencie w następujących sytuacjach: Użytkownicy wykonują ręczne czyszczenie z poziomu konsoli agenta. Administratorzy uruchamiają funkcję Wyczyść teraz na klientach z poziomu konsoli internetowej. Użytkownicy uruchamiają skanowanie ręczne lub zaplanowane. Po zainstalowaniu pakietu hot fix lub poprawki (sprawdź dodatkowe informacje). Po ponownym uruchomieniu usługi WFBS-A (musi być wybrana usługa nadzoru klienta programu WFBS-A, aby w przypadku nieoczekiwanego zamknięcia agenta, automatycznie uruchomić go ponownie). Tę usługę można włączyć na ekranie Globalne ustawienia klienta. Dodatkowe informacje zawiera sekcja Ustawienia nadzoru na str ) Ponieważ usługa DCS działa automatycznie, nie trzeba jej konfigurować. Użytkownicy nawet nie są świadomi jej działania, gdyż działa ona w tle (gdy działa agent). Program WFBS-A może czasami powiadomić użytkownika o konieczności ponownego uruchomienia klienta w celu zakończenia procesu usuwania zagrożeń. C-3

304 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Ocena narażenia na atak firmy Trend Micro Ocena narażenia na atak pozwala administratorom systemów ocenić zagrożenia bezpieczeństwa ich sieci. Informacje wygenerowane za pomocą funkcji Ocena narażenia na atak umożliwiają im uzyskanie prostych wskazówek na temat usuwania znanych luk w zabezpieczeniach i ochrony sieci. Funkcja Ocena narażenia na atak umożliwia: Konfigurację zadań skanowania wybranych lub wszystkich komputerów podłączonych do sieci. Skanowanie może wyszukiwać pojedyncze zagrożenia, albo całą listę znanych zagrożeń. Ręczne uruchamianie zadań oceny narażenia na atak lub ustawianie uruchamiania tych zadań zgodnie z harmonogramem. Blokowanie żądań dla komputerów, które stwarzają zbyt wielkie zagrożenie dla bezpieczeństwa sieci. Tworzenie raportów, wskazujących luki w zabezpieczeniach według poszczególnych komputerów i opisanie zagrożeń bezpieczeństwa, jakie te komputery stwarzają dla całej sieci. Raporty wskazują zagrożenia zgodnie ze standardowymi konwencjami nazewnictwa, dzięki czemu administratorzy mogą usunąć luki w zabezpieczeniach i ochronić sieć. Wyświetlanie historii ocen narażenia na atak i porównywanie raportów w celu lepszego zrozumienia tych zagrożeń i zmiennych czynników zagrożenia bezpieczeństwa sieci. Trend Micro IntelliScan IntelliScan jest nową metodą identyfikacji plików do skanowania. Rzeczywisty typ plików wykonywalnych (np..exe) jest określany na podstawie ich zawartości. Rzeczywisty typ plików niewykonywalnych (na przykład.txt) jest określany na podstawie nagłówka pliku. Korzystanie z funkcji IntelliScan zapewnia następujące korzyści: Optymalizacja wydajności: funkcja IntelliScan nie wpływa negatywnie na działanie aplikacji klienta, ponieważ wykorzystuje minimalne zasoby systemowe. C-4

305 Usługi firmy Trend Micro Krótszy okres skanowania: funkcja IntelliScan wykorzystuje identyfikację rzeczywistego typu plików i skanuje wyłącznie te pliki, które są podatne na zarażenie. Czas skanowania jest więc znacznie krótszy niż podczas skanowania wszystkich plików. Trend Micro ActiveAction Różne typy wirusów oraz złośliwego oprogramowania wymagają różnych operacji skanowania. Dostosowanie operacji skanowania do różnych typów wirusów oraz złośliwego oprogramowania wymaga wiedzy na temat wirusów oraz złośliwego oprogramowania i może być czasochłonnym zadaniem. W celu stawienia czoła tym problemom firma Trend Micro używa usługi ActiveAction. Usługa ActiveAction to zestaw wstępnie skonfigurowanych operacji skanowania w poszukiwaniu wirusów i złośliwego oprogramowania oraz innych typów zagrożeń. Zalecaną operacją w przypadku wirusów oraz złośliwego oprogramowania jest czyszczenie. Zarażone pliki można również poddać kwarantannie. Dla trojanów iprogramów-żartów zalecaną operacją jest Kwarantanna. Jeśli użytkownik nie jest zaznajomiony z operacjami skanowania lub nie ma pewności, czy operacja skanowania jest odpowiednia dla danego typu wirusa oraz złośliwego oprogramowania, firma Trend Micro zaleca użycie funkcji ActiveAction. Korzystanie z funkcji ActiveAction zapewnia następujące korzyści: Oszczędność czasu i prostota obsługi: wusłudze ActiveAction zastosowano operacje skanowania zalecane przez firmę Trend Micro. Nie trzeba poświęcać czasu na skonfigurowanie operacji skanowania. Możliwość aktualizowania operacji skanowania: autorzy wirusów oraz złośliwego oprogramowania bezustannie zmieniają sposoby atakowania komputerów. Aby mieć pewność, że klienty są chronione przed najnowszymi zagrożeniami i metodami ataku wirusów oraz złośliwego oprogramowania, pliki sygnatur wirusów oraz złośliwego oprogramowania zawierają nowe aktualizacje ustawień usługi ActiveAction. C-5

306 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Ustawienia domyślne usługi ActiveAction Domyślne ustawienia usługi ActiveAction dla następujących zagrożeń: TABELA C-1. Ustawienia domyślne usługi ActiveAction ZAGROŻENIE Możliwe wirusy/ złośliwe oprogramowanie OPERACJA Nie podejmuj działania OPERACJE W PRZYPADKU ZAGROŻEŃ, KTÓRYCH NIE MOŻNA WYCZYŚCIĆ Nie dotyczy Program-żart Kwarantanna Nie dotyczy Inne zagrożenia Wyczyść Kwarantanna Narzędzie do kompresji Kwarantanna Nie dotyczy Wirus testowy Pomiń Nie dotyczy Wirus Wyczyść Kwarantanna Robaki/trojany Kwarantanna Nie dotyczy Uwaga: przyszłe pliki sygnatur będą mogły aktualizować operacje domyślne. C-6

307 Usługi firmy Trend Micro Mechanizm Trend Micro IntelliTrap Mechanizm IntelliTrap jest heurystyczną technologią firmy Trend Micro, służącą do wykrywania zagrożeń wykorzystujących kompresję w czasie rzeczywistym oraz inne charakterystyczne cechy oprogramowania typu malware, na przykład samorozpakowujące się archiwa. Obejmuje to wirusy, programowanie typu malware, robaki, trojany, samorozpakowujące się archiwa oraz boty. Autorzy wirusów oraz złośliwego oprogramowania często podejmują próby ominięcia zabezpieczeń antywirusowych, stosując różne schematy kompresji. Mechanizm IntelliTrap to działający w czasie rzeczywistym, oparty na regułach i rozpoznawaniu sygnatur, silnik skanowania, który wykrywa i usuwa znane wirusy oraz oprogramowanie typu malware w plikach o nawet 6 warstwach kompresji zastosowanej za pomocą jednego z 16 popularnych algorytmów. Mechanizm IntelliTrap używa następujących elementów podczas sprawdzania w poszukiwaniu botów i innego złośliwego oprogramowania: Silnik skanowania w poszukiwaniu wirusów firmy Trend Micro oraz plik sygnatur Sygnatura mechanizmu IntelliTrap i sygnatura wyjątków Rzeczywisty typ pliku Po włączeniu skanowania rzeczywistego typu pliku, silnik skanowania, zamiast nazwy, sprawdza nagłówek pliku, aby zidentyfikować jego rzeczywisty typ. Na przykład, jeśli silnik skanowania zostanie ustawiony tak, aby skanował wszystkie pliki wykonywalne i napotka plik o nazwie rodzina.gif, nie założy z góry, że jest to plik graficzny. Zamiast tego silnik skanowania otwiera nagłówek pliku i sprawdza zarejestrowany wewnętrznie typ danych, aby określić, czy plik rzeczywiście jest plikiem graficznym, czy też, na przykład, plikiem wykonywalnym, którego nazwę zmieniono w celu uniknięcia wykrycia. Skanowanie rzeczywistego typu pliku działa w połączeniu z funkcją IntelliScan, aby skanować tylko typy plików, o których wiadomo, że mogą stanowić zagrożenie. Te technologie pozwalają ograniczyć liczbę plików, które musi sprawdzić silnik skanowania (nawet o dwie trzecie), ale takie ograniczenie może potencjalnie zwiększyć zagrożenie. Na przykład, pliki.gif stanowią znaczną część ruchu w sieci Web, ale jest mało prawdopodobne, aby zawierały wirusy lub złośliwe oprogramowanie, uruchamiały kod wykonywalny albo przenosiły jakiekolwiek znane lub teoretyczne zagrożenia. W związku z tym, czy to oznacza, że są bezpieczne? Nie całkiem. Złośliwy haker może nadać C-7

308 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora szkodliwemu plikowi bezpieczną nazwę, aby przemycić go przez silnik skanowania do sieci. Taki plik mógłby wywołać szkody, gdyby zmieniono jego nazwę i go uruchomiono. Wskazówka: dla uzyskania najwyższego poziomu bezpieczeństwa firma Trend Micro zaleca skanowanie wszystkich plików. Usługi Trend Micro Reputation Technologia Reputation określa spam na podstawie reputacji źródłowego agenta MTA (Mail Transport Agent). Zwalnia to serwer programu WFBS-A z konieczności wykonywania tego zadania. Po włączeniu usługi Reputation cały przychodzący ruch SMTP jest sprawdzany przez bazy danych adresów IP w celu ustalenia, czy źródłowy adres IP jest poprawny lub czy nie został umieszczony na czarnej liście jako znany dostawca spamu. Istnieją dwa poziomy usługi dla usługi Reputation: Standardowy: usługa standardowa korzysta z bazy danych, która śledzi reputację około dwóch miliardów adresów IP. Adresy IP, które są stale powiązane z dostarczaniem wiadomości typu spam, zostają dodane do bazy danych i rzadko są z niej usuwane. Zaawansowany: poziom zaawansowany to usługa DNS, która jest oparta na zapytaniach i przypomina usługę standardową. Podstawą tej usługi jest standardowa baza danych reputacji oraz dynamiczna baza danych reputacji, która blokuje wiadomości ze znanych i podejrzanych źródeł spamu. Po znalezieniu wiadomości z zablokowanego lub podejrzanego adresu IP usługi Reputation blokują tą wiadomość, zanim osiągnie ona infrastrukturę przesyłania wiadomości. Jeśli usługi Reputation blokują wiadomości z adresu IP, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów IP. C-8

309 Usługi firmy Trend Micro Usługa Trend Micro Web Reputation Usługa Web Reputation uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. Jeśli usługa Web Reputation blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawarto w sekcji Konfigurowanie ustawień globalnych. Ocena punktowa reputacji Ocena punktowa reputacji adresu URL określa, czy stanowi on zagrożenie internetowe, czy nie. Firma Trend Micro wyznacza ocenę przy użyciu własnych mierników. Firma Trend Micro uznaje, że adres URL stanowi zagrożenie internetowe, najprawdopodobniej stanowi zagrożenie internetowe lub prawdopodobnie stanowi zagrożenie internetowe, zależnie od tego, w którym z zakresów, określonych dla tych kategorii, przypada punktowa ocena danego adresu. Firma Trend Micro uznaje, że dostęp do adresu URL jest bezpieczny, jeśli jego ocena przekracza zdefiniowany próg. Poniżej przedstawiono trzy poziomy zabezpieczeń, które określają, czy program CSA będzie zezwalać na dostęp do adresu URL lub go blokować. Wysoki: blokowane są strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Powiązane ze spamem lub mogące stanowić zagrożenie. Strony niesklasyfikowane. Średni: blokowane są strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Niski: blokowane są strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. C-9

310 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora C-10

311 Dodatek D Najlepsze sposoby zabezpieczania klientów W tym dodatku omówiono najlepsze sposoby poprawienia zabezpieczeń klientów w sieci. D-1

312 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Najlepsze sposoby Jest wiele sposobów zabezpieczenia komputerów i sieci przed zagrożeniami internetowymi. Firma Trend Micro zaleca: używanie domyślnych ustawień programu WFBS-A, zalecanych przez firmę Trend Micro. aktualizowanie systemów operacyjnych oraz wszystkich programów za pomocą najnowszych poprawek; stosowanie haseł trudnych do złamania i zalecanie użytkownikom końcowym, aby robili to samo. Odpowiednie hasło powinno mieć długość przynajmniej 8 znaków i powinno zawierać wielkie i małe litery alfabetu, cyfry, a także znaki inne niż alfanumeryczne. Nie powinno ono zawierać danych prywatnych. Hasła należy zmieniać co dni. Należy wyłączać wszystkie niepotrzebne programy i usługi, aby zmniejszyć liczbę potencjalnych luk w zabezpieczeniach. Należy poinformować użytkowników końcowych o konieczności: czytania Umowy Licencyjnej Użytkownika Oprogramowania (EULA) idokumentacji dołączonej do pobieranych i instalowanych aplikacji; klikania przycisku Nie we wszystkich monitach o autoryzację pobierania i instalowania oprogramowania (chyba że użytkownicy końcowi ufają twórcy pobieranego oprogramowania i wyświetlanej witrynie internetowej, z której je pobierają); odrzucania niezapowiedzianej, komercyjnej poczty (spamu), szczególnie jeśli w treści wiadomości znajduje się prośba o kliknięcie przycisku lub łącza; konfigurowania ustawień zabezpieczeń przeglądarki internetowej pod kątem wysokiego poziomu ochrony. Firma Trend Micro zaleca ustawienie w przeglądarkach internetowych opcji wyświetlania monitów przed instalowaniem formantów ActiveX. Aby podwyższyć poziom zabezpieczeń programu Internet Explorer (IE), należy przejść do menu Narzędzia > polecenie Opcje internetowe > kartę Zabezpieczenia iprzesunąć suwak do poziomu Wysoki. Jeśli ustawienie to będzie powodować problemy dotyczące odwiedzanych przez użytkownika witryn internetowych, należy kliknąć przycisk Witryny... idodać te witryny do listy zaufanych witryn. D-2

313 Najlepsze sposoby zabezpieczania klientów Jeśli używany jest program Microsoft Outlook, należy tak skonfigurować ustawienia zabezpieczeń, aby program Outlook nie pobierał automatycznie elementów HTML, takich jak obrazy wysyłane w spamie. Wprowadzenie zakazu korzystania z usług i oprogramowania do wymiany plików typu P2P. Zagrożenia internetowe mogą być zamaskowane jako inne typy plików pobieranych przez użytkowników, na przykład jako pliki muzyczne MP3. Okresowe sprawdzanie oprogramowania zainstalowanego na komputerach w sieci. W wypadku znalezienia aplikacji lub pliku niewykrywanego przez program WFBS-A jako zagrożenie internetowe, aplikację lub plik należy przesłać do firmy Trend Micro: Przesłane pliki i aplikacje zostaną poddane analizie w laboratoriach TrendLabs. Więcej informacji na temat najlepszych sposobów zabezpieczania komputerów znaleźć można na witrynie internetowej firmy Trend Micro w zamieszczonym Podręczniku bezpiecznego korzystania z komputera oraz innych informacjach dotyczących bezpieczeństwa. D-3

314 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora D-4

315 Dodatek E Używanie narzędzi administracyjnych i klienckich W tym dodatku omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem WFBS-A. W tym dodatku uwzględniono następujące zagadnienia: Typy narzędzi na str. E-2 Narzędzia administracyjne na str. E-3 Narzędzia klienckie na str. E-9 Dodatki na str. E-15 E-1

316 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Typy narzędzi Program WFBS-A zawiera zestaw narzędzi, pozwalających łatwo wykonywać różne zadania, takie jak konfiguracja serwera i zarządzanie klientami. Uwaga: nie można korzystać z opisanych narzędzi z poziomu konsoli internetowej. Aby uzyskać instrukcje na temat uruchamiania narzędzi, należy zapoznać się z poniższymi sekcjami. Narzędzia te dzielą się na trzy kategorie: Narzędzia administracyjne: ułatwiają konfigurację programu Trend Micro Security Server oraz zarządzanie agentami. Ustawienia skryptu logowania (autopcc.exe): umożliwia automatyzację instalacji programu Client/Server Security Agent. Narzędzie Vulnerability Scanner (TMVS.exe): wyszukuje niezabezpieczone komputery w sieci. Narzędzia klienckie: umożliwiają rozszerzenie możliwości agentów. Program Client Packager (ClnPack.exe): umożliwia tworzenie samorozpakowujących się plików zawierających program Client/Server Security Agent i właściwe składniki. Przywracanie zaszyfrowanych wirusów (VSEncode.exe): umożliwia otwarcie zainfekowanych plików przy użyciu programu WFBS-A. Narzędzie Touch Tool (TmTouch.exe): umożliwia zmianę sygnatury czasowej pakietu hot fix w celu synchronizacji z zegarem systemowym. Narzędzie Client Mover Tool (IpXfer.exe): przenosi klientów między programami Security Server. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu WFBS-A oraz systemu operacyjnego. E-2

317 Używanie narzędzi administracyjnych i klienckich Dodatki: dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server 2008 pozwalają administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS. Te same szczegółowe informacje są wyświetlane na ekranie Stan aktywności. Uwaga: niektóre narzędzia dostępne w poprzednich wersjach programu WFBS-A nie są dostępne w tej wersji. Jeżeli są one potrzebne, należy się skontaktować zpomocą techniczną firmy Trend Micro. Patrz Pomoc techniczna na str. G-3 Narzędzia administracyjne Niniejsza sekcja zawiera informacje o narzędziach administracyjnych programu WFBS-A. Ustawienia skryptu logowania Za pomocą Ustawień skryptu logowania można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach zaraz po zalogowaniu się w sieci. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Sprawdza wersję systemu operacyjnego niechronionego klienta i instaluje odpowiednią wersję programu Client/Server Security Agent. Aktualizuje pliki programów i sygnatury wirusów. Aby uzyskać instrukcje odnośnie instalowania agentów, patrz Instalowanie za pomocą skryptu logowania na str Vulnerability Scanner Narzędzie Vulnerability Scanner wykrywa zainstalowane rozwiązania antywirusowe i wyszukuje w sieci niezabezpieczone komputery. Aby określić, czy dany komputer jest zabezpieczony, narzędzie Vulnerability Scanner sprawdza porty używane zwykle przez programy antywirusowe. E-3

318 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Narzędzie Vulnerability Scanner może wykonywać następujące funkcje: Monitorowanie sieci pod kątem żądań DHCP wysyłanych przez komputery w trakcie pierwszego logowania do sieci narzędzie Vulnerability Scanner może określić ich stan. Wysyłanie polecenia ping do komputerów w sieci w celu sprawdzenia ich stanu oraz wyszukania nazw, wersji platform i opisów. Określanie rozwiązań antywirusowych zainstalowanych w sieci. Wykrywane są produkty Trend Micro (w tym OfficeScan, ServerProtect dla Windows NT i Linux, ScanMail dla Microsoft Exchange, InterScan Messaging Security Suite oraz PortalProtect) i programy antywirusowe innych firm (w tym Norton AntiVirus Corporate Edition w wersji 7.5 i 7.6, oraz McAfee VirusScan epolicy Orchestrator). Wyświetlanie nazwy serwera i wersji pliku sygnatur, silnika skanowania i programu produktów OfficeScan oraz ServerProtect dla systemu Windows NT. Wysyłanie wyników skanowania za pośrednictwem poczty . Uruchamianie w trybie cichym (tryb wiersza polecenia). Zdalne instalowanie programu Client/Server Security Agent na komputerach z systemami Windows 2000/Server 2003 (R2). Narzędzie Vulnerability Scanner można też zautomatyzować, tworząc zadania zaplanowane. Aby uzyskać informacje na temat automatyzacji narzędzia Vulnerability Scanner, patrz pomoc elektroniczna TMVS. Aby uruchomić narzędzie Vulnerability Scanner na komputerze innym niż serwer, skopiuj na niego folder TMVS ze ścieżki \PCCSRV\Admin\Utility na serwerze. Uwaga: nie można zainstalować programu Client/Server Security Agent z narzędziem Vulnerability Scanner, jeśli na tym samym komputerze znajduje się składnik serwera programu WFBS-A. Narzędzie Vulnerability Scanner nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony składnik serwera programu WFBS-A. E-4

319 Używanie narzędzi administracyjnych i klienckich Korzystanie z narzędzia Vulnerability Scanner Aby skonfigurować narzędzie Vulnerability Scanner: 1. Na dysku, na którym zainstalowano składnik serwera programu WFBS-A, otwórz następujące katalogi: Trend Micro Security Server > PCCSRV >Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. 3. W polu Kwerenda dotycząca produktu wybierz produkty do sprawdzenia w sieci. Aby wybrać wszystkie produkty, wybierz opcję Check for all Trend Micro products. Jeżeli w sieci zainstalowano produkt InterScan firmy Trend Micro i program Norton AntiVirus Corporate Edition, kliknij przycisk Settings obok nazwy produktu, aby zweryfikować numer portu do sprawdzenia przez narzędzie Vulnerability Scanner. 4. W obszarze Description Retrieval Settings wybierz metodę wyszukiwania, której chcesz używać. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Wyszukiwanie zwykłe, a następnie zaznaczając pole wyboru Wyszukaj dostępne opisy komputerów, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, w opcji Ustawienia ostrzeżeń zaznacz pole wyboru Wyślij wyniki pocztą do administratora systemu, a następnie kliknij przycisk Konfiguruj, aby określić ustawienia poczty Do Od Serwer SMTP: adres serwera SMTP użytkownika. Na przykład adres smtp.firma.com. Informacja o serwerze SMTP jest wymagana. Temat 6. Aby na niechronionych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij przycisk Dostosuj, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Komunikat ostrzeżenia. Można wpisać nowy komunikat ostrzeżenia lub zaakceptować domyślny. Kliknij przycisk OK. E-5

320 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora 7. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatycznie zapisuj wyniki do pliku CSV. Pliki danych CSV są domyślnie zapisywane w folderze TMVS. Jeżeli chcesz zmienić domyślny folder CSV, kliknij przycisk Browse. Zostanie wyświetlony ekran Browse for folder. Przeglądaj w poszukiwaniu folderu docelowego w swoim komputerze lub sieci, a następnie kliknij przycisk OK. 8. Można ustawić narzędzie Vulnerability Scanner tak, aby wysyłało polecenia ping do komputerów w sieci w celu uzyskania informacji o ich stanach. W obszarze Ustawienia polecenia Ping określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Rozmiar pakietu i Limit czasu. 9. Aby zdalnie zainstalować agenta i wysłać dziennik na serwer, wpisz nazwę serwera i numer portu. Aby zdalnie zainstalować agenta w sposób automatyczny, zaznacz pole wyboru Automatycznie instaluj program Client/Server Security Client na niezabezpieczonym komputerze. 10. Kliknij Konto instalacyjne, aby skonfigurować konto. Zostanie wyświetlony ekran Informacje o koncie. 11. Wpisz nazwę użytkownika oraz hasło i kliknij przycisk OK. 12. Kliknij przycisk OK, aby zapisać ustawienia. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. Aby uruchomić ręczne skanowanie w zakresie podatności na uszkodzenie pewnego zakresu adresów IP: 1. W obszarze Zakres IP do sprawdzenia wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. Uwaga: narzędzie Vulnerability Scanner obsługuje tylko adresy IP klasy B. 2. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. Wyniki wyświetlane są wtabeli Results. E-6

321 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Vulnerability Scanner na komputerach uzyskujących adres IP z serwera DHCP: 1. Kliknij kartę Skanowanie DHCP wpolu Wyniki. Zostanie wyświetlony przycisk Uruchom DHCP. 2. Kliknij przycisk Uruchom DHCP. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów na atak, kiedy będą się logować do sieci. Aby utworzyć zadania zaplanowane: 1. W obszarze Zadania zaplanowane kliknij pozycję Dodaj/edytuj. Zostanie wyświetlony ekran Zadania zaplanowane. 2. W polu Nazwa zadania wpisz nazwę tworzonego zadania. 3. W obszarze Zakres adresów IP wpisz zakres adresów IP do sprawdzenia pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. 4. W obszarze Harmonogram zadania określ częstotliwość wykonywania tworzonego zadania. Można ustawić wykonywanie zadania Codziennie, Co tydzień lub Co miesiąc. Po zaznaczeniu opcji Co tydzień należy wybrać dzień z listy. Po zaznaczeniu opcji Co miesiąc należy wybrać datę z listy. 5. W menu Start time wpisz godzinę wykonania zadania lub wybierz ją z listy. Należy użyć 24-godzinnego formatu czasu. 6. W obszarze Ustawienia wybierz opcję Użyj bieżących ustawień, aby użyć istniejących ustawień lub opcję Zmień ustawienia. Po wybraniu opcji Zmień ustawienia należy kliknąć Ustawienia, aby zmienić konfigurację. Aby uzyskać informacje na temat konfigurowania ustawień, należy zapoznać się z procedurą opisaną w krokach od Krok 3 do Krok 12 w sekcji Aby skonfigurować narzędzie Vulnerability Scanner: na str. E-5 7. Kliknij przycisk OK, aby zapisać ustawienia. Utworzone zadanie zostanie wyświetlone w obszarze Zadania zaplanowane. Inne ustawienia Aby skonfigurować poniższe ustawienia, należy zmodyfikować plik TMVS.ini: EchoNum: ustawianie liczby klientów, do których narzędzie Vulnerability Scanner będzie jednocześnie wysyłać polecenie ping. E-7

322 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora ThreadNumManual: ustawianie liczby klientów, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego. ThreadNumSchedule: ustawianie liczby klientów, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego w trakcie wykonywania zadań zaplanowanych. Aby zmienić te ustawienia: 1. Otwórz folder TMVS i znajdź plik TMVS.ini. 2. Otwórz plik TMVS.ini w programie Notatnik lub innym edytorze. 3. Aby ustawić liczbę komputerów, do których narzędzie Vulnerability Scanner wysyła jednocześnie polecenie ping, zmień wartość pozycji EchoNum. Podaj wartość między 1 a 64. Przykładowo można wpisać wartość EchoNum=60, aby narzędzie Vulnerability Scanner wysyłało polecenie ping jednocześnie do 60 komputerów. 4. Aby ustawić liczbę komputerów sprawdzanych jednocześnie przez narzędzie Vulnerability Scanner pod kątem oprogramowania antywirusowego, zmień wartość pozycji ThreadNumManual. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumManual=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego. 5. Aby ustawić liczbę komputerów, które będą jednocześnie sprawdzane przez narzędzie Vulnerability Scanner pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania zadań zaplanowanych, zmień wartość ThreadNumSchedule. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumSchedule=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania przez narzędzie Vulnerability Scanner zadań zaplanowanych. 6. Zapisz plik TMVS.ini. E-8

323 Używanie narzędzi administracyjnych i klienckich Remote Manager Agent Korzystając z programu Trend Micro Worry-Free Remote Manager Agent, sprzedawcy mogą zarządzać programem WFBS-A za pomocą programu Trend Micro Worry-Free Remote Manager (WFRM). Szczegółowe informacje zawiera Podręcznik instalacji programu WFBS-A i dokumentacja programu WFRM. Narzędzia klienckie Niniejsza sekcja zawiera informacje o narzędziach klienckich programu WFBS-A. Client Packager Client Packager to narzędzie służące do kompresowania plików instalacyjnych i aktualizacyjnych do postaci samorozpakowującej, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Ma on również funkcję poczty elektronicznej umożliwiającą otwarcie książki adresowej programu Microsoft Outlook i przesłanie samorozpakowującego się pakietu z konsoli programu Client Packager. Aby uruchomić program Client Packager, należy dwukrotnie kliknąć plik. Klienty programu WFBS-A zainstalowane za pomocą narzędzia Client Packager przesyłają do serwera informacje o lokalizacji pakietu ustawień. Przywracanie zaszyfrowanych wirusów Programy Client/Server Security Agent i Messaging Security Agent szyfrują zainfekowane pliki oraz załączniki, aby zapobiec otwieraniu ich przez użytkowników i rozprzestrzenianiu wirusów oraz złośliwego oprogramowania na inne pliki klienta. Program Client/Server Security Agent szyfruje plik za każdym razem, gdy tworzy jego kopię zapasową, poddaje go kwarantannie lub zmienia jego nazwę. Poddany kwarantannie plik jest przechowywany w folderze \Suspect na komputerze klienckim, anastępnie wysyłany do katalogu kwarantanny. Plik kopii zapasowej jest przechowywany w folderze \Backup na komputerze klienckim, który znajduje się zazwyczaj wnastępującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\Backup\. Za każdym razem, gdy program Messaging Security Agent tworzy kopie zapasowe zainfekowanych plików lub załączników, poddaje je kwarantannie lub E-9

324 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora archiwizuje, pliki są szyfrowane i przechowywane w folderze przechowywania programu MSA, zazwyczaj w następującej lokalizacji: C:\Program Files\Trend Micro\Messaging Security Agent\storage\. W niektórych przypadkach może jednak zaistnieć konieczność otwarcia pliku, mimo że jest on zarażony. Przykładowo zarażony został ważny dokument; musisz odzyskać zawarte w nim informacje i w tym celu dokonasz odszyfrowania zainfekowanego pliku. Do odszyfrowania zarażonych wirusów można użyć funkcji Przywracanie zaszyfrowanych plików. Uwaga: aby zapobiec ponownemu wykryciu wirusa przez program Client/Server Security Agent podczas korzystania z opcji Przywracanie zaszyfrowanych wirusów oraz złośliwego oprogramowania, należy wyłączyć folder docelowy odszyfrowywania ze skanowania w czasie rzeczywistym. OSTRZEŻENIE! Odszyfrowanie zarażonego pliku może spowodować przeniesienie wirusa lub złośliwego oprogramowania na inne pliki. Narzędzie Przywracanie zaszyfrowanych wirusów wymaga następujących plików: Plik główny: VSEncode.exe Wymagane pliki DLL: VSAPI32.dll Korzystanie z interfejsu graficznego Aby przywrócić pliki w folderze z podejrzanymi plikami z wiersza polecenia: 1. Przejdź do folderu, w którym jest zapisane narzędzie (na przykład: c:\vsencrypt) iwprowadź ciąg VSEncode.exe /u. 2. Wybierz plik do przywrócenia. 3. Kliknij przycisk Przywróć. E-10

325 Używanie narzędzi administracyjnych i klienckich Korzystanie z interfejsu wiersza polecenia Aby przywrócić pliki w folderze z podejrzanymi plikami z wiersza polecenia: 1. Skopiuj folder VSEncrypt z serwera zabezpieczeń na klienta: \PCCSRV\Admin\Utility\VSEncrypt. OSTRZEŻENIE! Nie należy kopiować folderu VSEncrypt do folderu programu WFBS. Wystąpi konflikt między plikiem VSAPI32.dll funkcji Przywracanie zaszyfrowanych wirusów a oryginalnym plikiem VSAPI32.dll. 2. Otwórz wiersz polecenia i przejdź do lokalizacji, w której znajduje się skopiowany folder VSEncrypt. 3. Uruchom funkcję Przywracanie zaszyfrowanego wirusa z następującymi parametrami: brak parametru: szyfrowanie plików w folderze kwarantanny -d: odszyfrowywanie plików w folderze kwarantanny -debug: utworzenie dziennika diagnostycznego w folderze głównym klienta /o: zastąpienie zaszyfrowanego lub odszyfrowanego pliku, jeżeli już istnieje /f: {nazwa pliku}. zaszyfrowanie lub odszyfrowanie pojedynczego pliku /nr: nieprzywracanie oryginalnej nazwy pliku Można na przykład wpisać ciąg VSEncode [-d] [-debug], aby odszyfrować pliki w folderze Kwarantanna i utworzyć dziennik diagnostyczny. W przypadku szyfrowania lub odszyfrowywania pliku program OfficeScan tworzy zaszyfrowany lub odszyfrowany plik w tym samym katalogu. Uwaga: zaszyfrowanie lub odszyfrowanie zablokowanych plików może być niemożliwe. Funkcja Przywracanie zaszyfrowanego wirusa udostępnia następujące dzienniki: VSEncrypt.log. Zawiera szczegóły dotyczące szyfrowania i odszyfrowywania. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:). E-11

326 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora VSEncDbg.log. Zawiera szczegóły diagnostyczne. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:), jeżeli program VSEncode.exe został uruchomiony z parametrem -debug. Aby zaszyfrowywać lub odszyfrowywać pliki w innej lokalizacji: 1. Utwórz plik tekstowy i wpisz pełną ścieżkę plików, które chcesz zaszyfrować lub odszyfrować. Na przykład aby zaszyfrować lub odszyfrować pliki znajdujące się wc:\moje dokumenty\raporty, w pliku tekstowym wpisz C:\Moje dokumenty\raporty\*.*. Następnie zapisz plik tekstowy z rozszerzeniem INI lub TXT, na przykład jako DoZaszyfrowania.ini na dysku C:. 2. W wierszu polecenia uruchom narzędzie Przywracanie zaszyfrowanych wirusów, wpisując ciąg VSEncode.exe -d -i{lokalizacja pliku INI lub TXT}, gdzie {lokalizacja pliku INI lub TXT} jest ścieżką inazwą utworzonego pliku INI lub TXT (na przykład C:\DoZaszyfrowania.ini). Przywracanie wiadomości w formacie Transport Neutral Encapsulation Format Format enkapsulacji TNEF jest używany w programach Microsoft Exchange/Outlook. Zazwyczaj jest on dodawany jako załącznik wiadomości o nazwie Winmail.dat, który jest automatycznie ukrywany w programie Outlook Express. Patrz: Jeśli program MSA archiwizuje ten typ wiadomości i rozszerzenie pliku jest zmieniane na.eml, to w programie Outlook Express jest wyświetlana tylko treść wiadomości. Narzędzie Touch Tool Narzędzie Touch Tool umożliwia synchronizację sygnatury czasowej jednego pliku zsygnaturą innego pliku lub czasem systemowym komputera. Jeżeli nie powiodła się próba instalacji pakietu hot fix (aktualizacji lub poprawki firmy Trend Micro) na serwerze zabezpieczeń firmy Trend Micro, do zmiany sygnatury czasowej poprawki należy użyć narzędzia Touch Tool. Spowoduje to, że program WFBS-A zinterpretuje plik pakietu hot fix jako nowy, dzięki czemu serwer spróbuje ponownie automatycznie zainstalować ten pakiet. E-12

327 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Touch Tool: 1. Na serwerze zabezpieczeń firmy Trend Micro przejdź do następującego katalogu: \PCCSRV\Admin\Utility\Touch 2. Skopiuj plik TmTouch.exe do folderu zawierającego plik, który ma zostać zmieniony. Aby zsynchronizować sygnaturę czasową pliku z sygnaturą innego pliku, umieść oba pliki w tym samym miejscu co narzędzie Touch Tool. 3. Otwórz wiersz polecenia i przejdź do lokalizacji narzędzia Touch Tool. 4. Wpisz poniższy tekst: TmTouch.exe <nazwa_pliku_docelowego> <nazwa_pliku_źródłowego> gdzie: <nazwa_pliku_docelowego> = nazwa pliku (na przykład pliku poprawki hot fix), którego sygnatura czasowa ma zostać zmieniona. <nazwa_pliku_źródłowego> = nazwa pliku, którego sygnatura czasowa ma być powielona. Jeżeli nazwa pliku źródłowego nie zostanie określona, narzędzie ustawi sygnaturę czasową pliku docelowego zgodnie z czasem systemowym komputera. Uwaga: w polu nazwy pliku docelowego możesz użyć znaku *, ale nie możesz tego zrobić w polu nazwy pliku źródłowego. 5. Aby sprawdzić zmianę sygnatury czasowej, w wierszu polecenia wpisz polecenie dir lub w oknie Eksploratora Windows kliknij prawym przyciskiem myszy nazwę pliku i wybierz z menu polecenie Właściwości. Narzędzie Client Mover Jeśli w sieci pracuje więcej niż jeden serwer WFBS-A, można za pomocą narzędzia Client Mover przenosić klienty z jednego serwera WFBS-A na inny. Jest to szczególnie przydatne po dodaniu nowego serwera WFBS-A do sieci, gdy zachodzi potrzeba przeniesienia istniejących klientów na nowy serwer. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu WFBS-A oraz systemu operacyjnego. E-13

328 Trend Micro Worry-Free Business Security Advanced 6.0 Podręcznik administratora Narzędzie Client Mover wymaga pliku IpXfer.exe. Aby uruchomić narzędzie Client Mover: 1. Na serwerze WFBS-A przejdź do następującego katalogu: \PCCSRV\Admin\Utility\IpXfer. 2. Skopiuj plik IpXfer.exe na komputer kliencki, z którego ma zostać dokonany transfer. 3. Otwórz na tym komputerze wiersz polecenia, a następnie przejdź do folderu zawierającego skopiowany plik. 4. Uruchom narzędzie Client Mover, używając następującej składni: IpXfer.exe -s <nazwa_serwera> -p <server_listening_port> -m 1 -c <port_nasłuchiwania_klienta> gdzie: <nazwa_serwera> = nazwa docelowego serwera WFBS-A (serwera, na który zostanie przeniesiony klient). <port_nasłuchiwania_serwera> = (zaufany) port nasłuchiwania serwera docelowego WFBS-A. Aby wyświetlić informację o porcie nasłuchiwania w konsoli internetowej, kliknij opcję Ustawienia zabezpieczeń. Numer portu jest widoczny obok nazwy serwera zabezpieczeń. 1 = Po opcji -m trzeba wprowadzić wartość 1 <port_nasłuchiwania_klienta> = numer portu klienta. Aby sprawdzić, czy komputer kliencki zgłasza się teraz do innego serwera: 1. Na komputerze klienckim kliknij prawym przyciskiem myszy ikonę programu Client/Server Security Agent na pasku zadań. 2. Wybierz opcję Client/Server Security Agent Konsola. 3. W sekcji Informacje o produkcie na karcie Pomoc kliknij opcję więcej informacji. 4. Upewnij się, że program CSA zgłasza się do właściwego serwera zabezpieczeń. E-14

329 Używanie narzędzi administracyjnych i klienckich Dodatki Program WFBS-A oferuje dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server Pozwalają one administratorowi wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS. RYSUNEK E-1. Konsola programu SBS, na której wyświetlane są informacje obieżącym stanie Instalowanie dodatków SBS i EBS Dodatki SBS lub EBS są instalowane automatycznie podczas instalacji programu Security Server na komputerze z zainstalowanymi programami SBS 2008 lub EBS Aby możliwe było korzystanie z tych dodatków na innym komputerze, konieczna jest ich ręczna instalacja. E-15