Worry-Free TM Business Security5

Transkrypt

1 Worry-Free TM Business Security5 for Small and Medium Business Podręcznik administratora

2

3 Firma Trend Micro Incorporated zastrzega sobie prawo do wprowadzania, bez wcześniejszej zapowiedzi, zmian w tym dokumencie oraz w opisanych w nim produktach. Przed zainstalowaniem i korzystaniem z oprogramowania należy zapoznać się z plikami readme, uwagami do wydania oraz najnowszą wersją właściwej dokumentacji użytkownika, które są dostępne w witrynie internetowej firmy Trend Micro pod adresem: Nazwy Trend Micro, TrendProtect, TrendSecure, Worry-Free, OfficeScan, PC-cillin, InterScan, ScanMail oraz logo t-ball firmy Trend Micro są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Trend Micro Incorporated. Pozostałe nazwy produktów i firm mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi odpowiednich właścicieli. Copyright Trend Micro Incorporated. Wszelkie prawa zastrzeżone. Numer tego dokumentu: WBEM53891/81021 Data wydania: listopad 2008 Podlega ochronie patentami USA o numerach: 5,951,698 and 7,188,369

4 Dokumentacja użytkownika programu Trend Micro Worry-Free Business Security Advanced Podręcznik administratora ma na celu przedstawienie głównych funkcji oprogramowania i instrukcji instalacji w określonym środowisku produkcyjnym. Należy go przeczytać przed zainstalowaniem lub rozpoczęciem użytkowania oprogramowania. Szczegółowe informacje na temat korzystania z poszczególnych funkcji oprogramowania znajdują się w pliku pomocy elektronicznej oraz w elektronicznej Bazie wiedzy, dostępnej w witrynie internetowej firmy Trend Micro.

5 Spis treści Spis treści Wstęp Odbiorcy... xiv Dokumentacja produktu... xiv Informacje dostępne w Podręczniku administratora... xvi Konwencje i pojęcia przyjęte w dokumentacji... xviii Rozdział 1: Program Worry-Free Business Security wprowadzenie Przegląd programu Worry-Free Business Security Co nowego w tej wersji? Co nowego w wersji Co nowego w wersji Zawartość pakietu Worry-Free Business Security Konsola internetowa Program Security Server Client/Server Security Agent Silnik skanowania Plik sygnatur wirusów Silnik czyszczenia wirusów Ogólny sterownik zapory Plik sygnatur wirusów sieciowych Plik sygnatur narażenia na atak Informacje o zagrożeniach Wirusy/złośliwe oprogramowanie Spyware/grayware Wirusy sieciowe Spam Włamania Złośliwe zachowanie Fałszywe punkty dostępu Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Programy nasłuchujące naciskane klawisze w trybie online iii

6 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Narzędzia do kompresji Sposób ochrony komputerów i sieci przez program Worry-Free Business Security Składniki informacje Inne dodatkowe produkty firmy Trend Micro Inne możliwości programu Worry-Free Business Security Zarządzanie bezpieczeństwem za pomocą jednej konsoli Analizowanie ochrony sieci Stosowanie reguł zabezpieczeń Zawsze aktualna ochrona Poddawanie zarażonych plików kwarantannie Kontrolowanie epidemii w sieci Zarządzanie grupami programu Worry-Free Business Security Ochrona klientów przed atakami hakerów za pomocą zapory Ochrona wiadomości Filtrowanie zawartości wiadomości błyskawicznych Kontrola ustawień zabezpieczeń na podstawie lokalizacji Monitorowanie zachowań Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web Obsługa bezpiecznych transakcji w trybie online Dozwolone programy spyware/grayware Bezpieczna komunikacja Składniki z możliwością aktualizacji Pakiety hot fix, poprawki i dodatki Service Pack Rozdział 2: Praca z konsolą internetową Możliwości konsoli internetowej Funkcje konsoli internetowej Korzystanie z funkcji Stan aktywności i Powiadomienia Konfigurowanie powiadomień Korzystanie z funkcji Stan aktywności Stan zagrożenia Stan systemu iv

7 Spis treści Rozdział 3: Rozdział 4: Instalowanie agentów Wybór metody instalacji Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent Wymagania systemowe agenta Wykonywanie nowej instalacji Instalowanie z wewnętrznej strony internetowej Instalacja za pomocą skryptu logowania Instalacja za pomocą skryptów systemów Windows 2000/ Server 2003/Server Instalacja za pomocą programu Client Packager Instalowanie za pomocą pliku MSI Instalowanie za pomocą instalacji zdalnej Instalacja za pomocą narzędzia Vulnerability Scanner Weryfikowanie instalacji, uaktualnienia lub migracji agenta Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów Testowanie instalacji klienta za pomocą skryptu testowego EICAR Usuwanie agentów Usuwanie programu Client/Server Security Agent za pomocą dezinstalatora Usuwanie programu Client/Server Security Agent za pomocą konsoli internetowej Praca z grupami Przegląd grup Wyświetlanie klientów w grupie Pasek narzędzi Ustawienia zabezpieczeń Dodawanie grup Usuwanie grup Dodawanie klientów do grup Przenoszenie klientów Replikowanie ustawień grup v

8 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Rozdział 5: Rozdział 6: Konfigurowanie grup komputerów i serwerów Przegląd opcji grup komputerów i serwerów, które można konfigurować Oprogramowanie antywirusowe/anty-spyware Konfigurowanie skanowania w czasie rzeczywistym Zapora Konfigurowanie zapory Ochrona przed zagrożeniami internetowymi Konfigurowanie ochrony przed zagrożeniami internetowymi Monitorowanie zachowań Zmienne środowiskowe Konfigurowanie monitorowania zachowań TrendSecure Konfigurowanie usługi TrendSecure Skanowanie poczty POP Wymagania skanowania poczty POP Wymagania paska narzędzi Anti-Spam Włączanie skanowania poczty Konfiguracja skanowania poczty POP3 w celu przeskanowania innych portów Uprawnienia klienta Konfigurowanie uprawnień klienta Kwarantanna Konfigurowanie katalogu kwarantanny Korzystanie z funkcji Ochrona przed epidemią Strategia ochrony przed epidemią Operacje funkcji Ochrona przed epidemią Bieżący stan Zapobieganie zagrożeniom Ochrona przed zagrożeniami Usuwanie zagrożeń Potencjalne zagrożenie Konfigurowanie funkcji Ochrona przed epidemią Ustawienia funkcji Ochrona przed epidemią Konfigurowanie ustawień oceny narażenia na atak vi

9 Spis treści Rozdział 7: Rozdział 8: Rozdział 9: Konfiguracja skanowania ręcznego i zaplanowanego Skanowanie za pomocą programu Worry-Free Business Security Skanowanie ręczne Skanowanie zaplanowane Skanowanie w czasie rzeczywistym Skanowanie klientów Konfigurowanie opcji skanowania dotyczących grup Planowanie skanowania Aktualizacja składników Aktualizacja składników ActiveUpdate informacje Składniki, które można aktualizować Domyślny czas aktualizacji Aktualizacja programu Security Server Źródła aktualizacji Konfigurowanie źródła aktualizacji Korzystanie z agentów aktualizacji Aktualizacje ręczne i zaplanowane Ręczne aktualizowanie składników Planowanie aktualizacji składników Wycofywanie lub synchronizacja składników Przeglądanie i interpretowanie dzienników i raportów Dzienniki Raporty Interpretowanie raportów Korzystanie z kwerendy dziennika Generowanie raportów Zarządzanie dziennikami i raportami Obsługa raportów Automatyczne usuwanie dzienników Ręczne usuwanie dzienników vii

10 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Rozdział 10: Praca z powiadomieniami Powiadomienia informacje Zdarzenia zagrożeń Zdarzenia systemowe Konfigurowanie powiadomień Dostosowywanie alarmów powiadomień Konfigurowanie ustawień powiadamiania Rozdział 11: Konfigurowanie ustawień globalnych Opcje internetowego serwera proxy Opcje serwera SMTP Opcje komputera/serwera Rozpoznawanie lokalizacji Ogólne ustawienia skanowania Ustawienia skanowania wirusów Ustawienia skanowania spyware/grayware Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań Filtrowanie zawartości wiadomości błyskawicznych Ustawienia ostrzeżeń Ustawienia nadzoru Dezinstalacja agenta Zamykanie agenta Opcje systemowe Usuwanie nieaktywnego programu Client/Server Security Agent Weryfikacja łączności klient-serwer Obsługa folderu kwarantanny viii

11 Spis treści Rozdział 12: Wykonywanie dodatkowych zadań administracyjnych Zmiana hasła konsoli internetowej Praca z Menedżerem dodatków Wyświetlanie szczegółów licencji produktu Konsekwencje nieważnej licencji Zmiana licencji Uczestnictwo w infrastrukturze Smart Protection Network Zmiana języka interfejsu agenta Dezinstalacja programu Trend Micro Security Server Rozdział 13: Używanie narzędzi administracyjnych i klienckich Typy narzędzi Narzędzia administracyjne Ustawienia skryptu logowania Vulnerability Scanner Narzędzia klienckie Program Client Packager Przywracanie zaszyfrowanych wirusów Program Touch Tool Narzędzie Client Mover Dodatki Instalowanie dodatków SBS i EBS Korzystanie z dodatków SBS i EBS Rozdział 14: Często zadawane pytania, rozwiązywanie problemów i pomoc techniczna Często zadawane pytania (FAQ) Jak można dodatkowo chronić klientów? Rejestracja Instalacja, uaktualnianie i zgodność Ochrona oprogramowania Intuit Konfigurowanie ustawień Dokumentacja Rozwiązywanie problemów Środowiska z ograniczonymi połączeniami Zapisywanie i odtwarzanie ustawień programu w celu przywrócenia lub ponownej instalacji ix

12 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Niektóre składniki nie zostały zainstalowane Brak dostępu do konsoli internetowej Nieprawidłowa liczba klientów wyświetlana w konsoli internetowej Nieudana instalacja ze strony internetowej lub za pomocą instalacji zdalnej Brak ikony klienta w konsoli internetowej po instalacji Problemy podczas migracji z programu antywirusowego innej firmy Nieprawidłowe/nieważne podpisy cyfrowe Centrum informacji o bezpieczeństwie firmy Trend Micro Znane problemy Kontakt z firmą Trend Micro Pomoc techniczna firmy Trend Micro Baza wiedzy Kontakt z działem pomocy technicznej Przesyłanie podejrzanych plików do firmy Trend Micro TrendLabs informacje Trend Micro informacje Dodatek A: Dodatek B: Dodatek C: Systemowe listy kontrolne Lista kontrolna portów...a-1 Lista kontrolna adresów serwerów...a-2 Lista wykluczeń produktów Trend Micro Usługi firmy Trend Micro Reguły ochrony przed epidemią firmy Trend Micro... C-2 Usługi Trend Micro Damage Cleanup Services... C-2 Rozwiązanie Damage Cleanup Services... C-3 Ocena narażenia na atak firmy Trend Micro... C-4 Funkcja Trend Micro IntelliScan... C-4 Funkcja Trend Micro ActiveAction... C-5 Ustawienia domyślne usługi ActiveAction... C-6 Mechanizm Trend Micro IntelliTrap... C-6 Rzeczywiste typy plików... C-7 Ochrona przed zagrożeniami internetowymi firmy Trend Micro... C-8 x

13 Spis treści Dodatek D: Dodatek E: Dodatek F: Informacje o kliencie Klienci mobilni... D-2 Klienci 32-bitowi i 64-bitowi... D-4 Rodzaje oprogramowania typu Spyware/Grayware Glosariusz zwrotów Indeks xi

14 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora xii

15 Wstęp Wstęp Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora zapraszamy Niniejsza książka zawiera informacje na temat działań, które należy wykonać w celu zainstalowania i skonfigurowania programu Worry-Free Business Security. Rozdział obejmuje następujące zagadnienia: Odbiorcy na stronie xiv Dokumentacja produktu na stronie xiv Konwencje i pojęcia przyjęte w dokumentacji na stronie xviii xiii

16 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Odbiorcy Jest ona przeznaczona zarówno dla nowicjuszy, jak i doświadczonych administratorów programu Worry-Free Business Security (WFBS), którzy chcą sprawnie skonfigurować produkt, administrować nim i z niego korzystać. Uwaga: Dokument ten pomaga w rozpoczęciu pracy z programem Worry-Free Business Security. Fragmenty tego dokumentu opisujące program Messaging Security Agent nie mają zastosowania do produktu Worry-Free Business Security. Dokumentacja produktu Dokumentacja programu Worry-Free Business Security obejmuje następujące elementy: Pomoc elektroniczna Dokumentacja w sieci Web dostępna z poziomu konsoli internetowej. Pomoc elektroniczna programu Worry-Free Business Security zawiera opis funkcji produktu i instrukcje dotyczące korzystania z nich. Zawiera także szczegółowe informacje na temat dostosowywania i uruchamiania zadań bezpieczeństwa. Kliknij ikonę, aby otworzyć pomoc kontekstową. Kto powinien korzystać z pomocy elektronicznej? Administratorzy WFBS, którzy potrzebują pomocy przy określonym ekranie. Podręcznik Wprowadzenie Podręcznik Wprowadzenie dostarcza informacji na temat instalacji/aktualizacji produktu i omawia pierwsze kroki. Przedstawia opis podstawowych funkcji iustawień domyślnych programu Worry-Free Business Security. Podręcznik Wprowadzenie jest dostępny na dysku CD Trend Micro SMB lub można go pobrać z Centrum aktualizacji firmy Trend Micro: xiv

17 Wstęp Kto powinien przeczytać ten podręcznik Administratorzy WFBS, którzy chcą zainstalować i rozpocząć pracę z programem Worry-Free Business Security. Podręcznik administratora Podręcznik administratora zawiera szczegółowe wskazówki dotyczące konfiguracji i korzystania z produktu. Podręcznik administratora jest dostępny na dysku CD Trend Micro SMB lub można go pobrać z Centrum aktualizacji firmy Trend Micro: Kto powinien przeczytać ten podręcznik Administratorzy programu WFBS, którzy muszą dostosowywać, nadzorować lub używać Worry-Free Business Security. Plik Readme Plik Readme zawiera najnowsze informacje o produkcie, niezamieszczone w dokumentacji elektronicznej ani drukowanej. Omawiane tematy to opis nowych funkcji, porady dotyczące instalacji, problemy związane z produktem, informacje dotyczące licencji itd. Baza wiedzy Baza wiedzy to elektroniczna baza danych zawierająca informacje dotyczące rozwiązywania problemów. Zawiera najnowsze informacje o znanych problemach dotyczących produktu. Aby uzyskać dostęp do Bazy wiedzy, odwiedź następującą witrynę internetową: Uwaga: W tym podręczniku przyjęto założenie, że używany jest program Worry-Free Business Security. Jeśli używany jest program Worry-Free Business Security, informacje zawarte w tym podręczniku mają zastosowanie, ale nie będzie możliwe korzystanie z funkcji wchodzących w skład programu Messaging Security Agent. xv

18 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Informacje dostępne w Podręczniku administratora Niniejszy dokument można podzielić na cztery główne części dotyczące planowania instalacji, instalowania produktu i składników, konfiguracji po zainstalowaniu oraz znajdowania pomocy. Rozdziały 1 i 2. Te rozdziały zawierają przegląd głównych funkcji i możliwości programu Worry-Free Business Security. Rozdział 3. W tym rozdziale opisano czynności umożliwiające instalację i uaktualnienie agentów. Znajdują się tu również informacje na temat dezinstalacji agenta. Rozdział 4. W tym rozdziale omówiono koncepcję i korzystanie z grup w programie Worry-Free Business Security. Rozdziały 5. W tych rozdziałach zostały wyjaśnione kroki niezbędne do skonfigurowania grup. Rozdział 6. W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci i klientów. Rozdział 7. W tym rozdziale opisano sposób korzystania z funkcji skanowania ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. Rozdział 8. W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział 9. W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział 10. W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział 11. W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział 12. W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca zmenedżerem dodatków czy dezinstalacja programu Security Server. Rozdział 13. W tym rozdziale omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem Worry-Free Business Security. xvi

19 Wstęp Rozdział 14. Ten rozdział zawiera odpowiedzi na często zadawane pytania dotyczące instalacji i wdrażania. Opisano w nim sposoby rozwiązywania problemów mogących wystąpić podczas pracy z programem Worry-Free Business Security i zawarto informacje potrzebne do kontaktu z pomocą techniczną firmy Trend Micro. Dodatki. W tych rozdziałach zawarto listy sprawdzania systemu oraz listy wykluczeń dla oprogramowania typu spyware/grayware, informacje na temat różnych usług firmy Trend Micro, na temat klientów, różnych rodzajów oprogramowania spyware/grayware oraz glosariusz. xvii

20 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Konwencje i pojęcia przyjęte w dokumentacji Aby ułatwić odnalezienie i zrozumienie informacji, w dokumentacji programu WFBS przyjęto poniższe konwencje. TABELA 1. Konwencje i terminy stosowane w tym dokumencie KONWENCJA/POJĘCIE WIELKIE LITERY Pogrubienie Kursywa Stała szerokość liter Uwaga: Wskazówka OSTRZEŻENIE! Ścieżka nawigacji Security Server Konsola internetowa Agent/CSA Klienci OPIS Akronimy, skróty, nazwy poszczególnych poleceń oraz klawisze klawiatury Nazwy i polecenia menu, przyciski poleceń, karty, opcje oraz nazwy zadań Odwołania do innych dokumentów Przykładowe polecenia, kod programu, adresy URL w sieci Web, nazwy plików oraz dane wyjściowe programu Uwagi dotyczące konfiguracji Zalecenia Krytyczne operacje i opcje konfiguracji Ścieżka nawigacji pozwalająca wyświetlić określony ekran. Na przykład Skanowanie > Skanowanie ręczne oznacza, że należy kliknąć opcję Skanowanie, a następnie kliknąć opcję Skanowanie ręczne w interfejsie. Program Security Server zawiera także konsolę internetową, scentralizowaną konsolę zarządzania dla całego rozwiązania Worry-Free Business Security. Konsola internetowa jest scentralizowaną, internetową konsolą zarządzania wszystkimi agentami. Konsola internetowa znajduje się w programie Security Server. Client/Server Security Agent. Agenci chronią komputery klienckie, na których są zainstalowane. Klienci to komputery stacjonarne i przenośne oraz serwery, na których zainstalowano program Client/Server Security Agent. xviii

21 Program Worry-Free Business Security wprowadzenie Rozdział 1 Ten rozdział zawiera przegląd głównych funkcji i możliwości programu Worry-Free Business Security. Rozdział obejmuje następujące zagadnienia: Przegląd programu Worry-Free Business Security na str. 1-2 Co nowego w tej wersji? na str. 1-2 Zawartość pakietu Worry-Free Business Security na str. 1-5 Informacje o zagrożeniach na str Sposób ochrony komputerów i sieci przez program Worry-Free Business Security na str Inne możliwości programu Worry-Free Business Security na str Składniki z możliwością aktualizacji na str

22 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Przegląd programu Worry-Free Business Security Program Trend Micro Worry-Free Business Security (WFBS) chroni firmę ijej reputację przed kradzieżą danych i potencjalnie niebezpiecznymi stronami internetowymi. Bezpieczniejsze, inteligentniejsze i prostsze systemy ochronne blokują zagrożenia internetowe oraz złośliwe oprogramowanie, chroniąc firmę oraz informacje o klientach. Dzięki stałym aktualizacjom nieobciążającym komputera firma Trend Micro oferuje ochronę przed zagrożeniami internetowymi. Ciągle rozbudowywana baza wiedzy chroni klientów niczym globalna straż sąsiedzka. Program Worry-Free Business Security chroni serwery Microsoft Windows, a także tradycyjne komputery biurowe oraz komputery przenośne. Co nowego w tej wersji? Co nowego w wersji 5.1 Ta wersja programu Worry-Free Business Security zapewnia wiele korzyści dla firm, które nie dysponują dedykowanymi zasobami do zarządzania ochroną antywirusową. W wersji 5.1 zachowane zostały wszystkie możliwości wersji poprzedniej, dodano także następujące nowe funkcje: Obsługa programu Windows Small Business Server 2008 Wersja 5.1 obsługuje program Windows Small Business Server (SBS) 2008, pozwalając użytkownikom na zarządzanie wbudowanymi elementami bezpieczeństwa w programie SBS 2008, jednocześnie unikając konfliktów. Wersja 5.1 obsługuje funkcje bezpieczeństwa programu SBS 2008 w następujący sposób: Program instalacyjny aplikacji Security Server nie wyłącza, ani nie usuwa programu Microsoft Windows Live OneCare for Server. Natomiast program instalacyjny aplikacji Client/Server Security Agent (CSA) usuwa program OneCare z komputerów klienckich. 1-2

23 Program Worry-Free Business Security wprowadzenie Wersja 5.1 jest również wyposażona w dodatek do konsoli programu SBS, który pozwala administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie. Obsługa programu Windows Essential Business Server (EBS) 2008 Wersja 5.1 obsługuje program Windows Essential Business Server 2008, pozwalając użytkownikom na zainstalowanie odpowiednich składników programu Worry-Free Business Security na komputerach, które pełnią rolę serwerów zarządzanych w programie EBS Wersja 5.1 pozwala administratorom programu EBS 2008: Instalować program Security Server na komputerach pełniących rolę dowolnego typu serwera. Wyświetlać bieżące informacje o zabezpieczeniach i systemie w konsoli programu EBS za pośrednictwem dostarczonego dodatku. Ulepszone silniki zabezpieczeń Wersja 5.1 jest wyposażona w następujące nowe silniki: silnik ochrony przed zagrożeniami internetowymi (wcześniej znanej jako usługi Web Reputation ) wraz z ulepszonym mechanizmem obsługującym infrastrukturę Trend Micro Smart Protection Network zapewniającą szybsze wykrywanie i eliminowanie nieznanych zagrożeń internetowych silnik skanowania o zmniejszonym zużyciu pamięci, wyposażony w ulepszenia zwiększające wydajność silnik monitorowania zachowań umożliwiający dezaktywację zagrożeń, inteligentne zarządzanie instalacjami formantów ActiveX oraz wyposażony w dodatkowe funkcje i ulepszenia Dodatkowe informacje o skanowaniu w drzewie grup zabezpieczeń Administratorzy mają obecnie dostęp do informacji na temat daty i godziny ostatniego przeprowadzonego skanowania ręcznego i zaplanowanego dla wybranej grupy komputerów lub serwerów w drzewie grup zabezpieczeń. 1-3

24 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Co nowego w wersji 5.0 Wersja 5.0 jest wyposażona w następujące funkcje dodatkowe: Program Security Server Rozpoznawanie lokalizacji: Program Worry-Free Business Security może określać lokalizację klienta na podstawie informacji o bramie serwera. Na podstawie lokalizacji klienta (mobilnego lub znajdującego się w biurze) administratorzy mogą obsługiwać różne ustawienia zabezpieczeń. Stan zagrożenia: Możliwość wyświetlania statystyk dotyczących ochrony przed zagrożeniami internetowymi i funkcji monitorowania zachowań na ekranie Stan aktywności. Menedżer dodatków: Umożliwia dodawanie/usuwanie dodatków dla agentów. Interfejs użytkownika: Program Security Server uzyskał nowy i ulepszony interfejs użytkownika. Client/Server Security Agent Obsługa systemu Windows Vista: Programy Client/Server Security Agent można teraz zainstalować na komputerach z systemem Windows Vista (32-bitowym i 64-bitowym). Porównanie funkcji programu CSA dla różnych platform przedstawiono w sekcji Klienci 32-bitowi i 64-bitowi na str. D-4. Monitorowanie zachowania: Funkcja Monitorowanie zachowań chroni komputery klienckie przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Ochrona przed zagrożeniami internetowymi: Ochrona przed zagrożeniami internetowymi (wcześniej znana, jako Usługa Web Reputation") ocenia potencjalne zagrożenia żądanego adresu URL, przeglądając bazę danych Trend Micro Web Security dla każdego żądania HTTP. Filtrowanie zawartości wiadomości błyskawicznych: Funkcja Filtrowanie zawartości wiadomości błyskawicznych może ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych. Ochrona oprogramowania: Korzystając z funkcji zabezpieczenia oprogramowania, użytkownik może ograniczyć aplikacje, które modyfikują zawartość folderów na komputerze. 1-4

25 Program Worry-Free Business Security wprowadzenie Skanowanie poczty POP3: Skanowanie poczty POP3 chroni klientów przez spamem i zagrożeniami, które są przesyłane w wiadomościach . Uwaga: Skanowanie poczty POP3 nie wykrywa zagrożeń i spamu w wiadomościach IMAP. W TrendSecure : Usługa TrendSecure obejmuje zestaw narzędzi działających woparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach internetowych. Funkcja Transaction Protector określa bezpieczeństwo połączenia bezprzewodowego poprzez sprawdzenie autentyczności punktu dostępu. Funkcja ta obejmuje narzędzie do szyfrowania danych osobistych, które użytkownicy wprowadzają w witrynach internetowych. Ochrona Intuit : Ochrona plików i folderów oprogramowania QuickBook przed nieautoryzowanymi zmianami wprowadzanymi przez inne programy. Obsługa Menedżera dodatków: Zarządzanie dodatkami plug-in do programu Client/Server Security Agent poprzez program Security Server. Interfejs użytkownika: Program Client/Server Security Agent uzyskał nowy i ulepszony interfejs użytkownika. Zawartość pakietu Worry-Free Business Security Konsola internetowa zarządza wszystkimi agentami z jednego miejsca. Program Security Server, udostępniający konsolę internetową, pobiera uaktualnienia z serwera ActiveUpdate firmy Trend Micro, zbiera i przechowuje dzienniki oraz pomaga kontrolować epidemie wywołane przez wirusy i złośliwe oprogramowanie. Program Client/Server Security Agent, który chroni komputery z systemami Windows Vista/2000/XP/Server 2003/Server 2008 przed wirusami, złośliwym oprogramowaniem, oprogramowaniem typu spyware/grayware, trojanami i innymi zagrożeniami. 1-5

26 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Internet Zapora Brama Windows Server Serwer Exchange Sieć lokalna RYSUNEK 1-1. Program Worry-Free Business Security chroni komputery iserwery TABELA 1-1. Legenda Symbol Opis A MSA SS Program Client/Server Security Agent zainstalowany na klientach Program Messaging Security Agent zainstalowany na serwerze Exchange (dostępny tylko jako część programu Worry-Free Business Security Advanced) Program Security Server zainstalowany na serwerze Windows 1-6

27 Program Worry-Free Business Security wprowadzenie Konsola internetowa Konsola internetowa jest scentralizowaną, sieciową konsolą zarządzania. Służy ona do konfigurowania agentów. Konsola internetowa jest instalowana podczas instalacji programu Trend Micro Security Server i korzysta z typowych technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. Za pomocą konsoli internetowej można także: Instalować agentów na serwerach, komputerach stacjonarnych i przenośnych. Grupować komputery stacjonarne i przenośne oraz serwery w grupy logiczne w celu ułatwienia równoczesnej konfiguracji i zarządzania. Konfigurować skanowanie antywirusowe i przeciwdziałające oprogramowaniu typu spyware oraz uruchamiać skanowanie ręczne dla jednej lub wielu grup. Odbierać powiadomienia i przeglądać raporty dziennika dotyczące wirusów izłośliwego oprogramowania. Odbierać powiadomienia i wysyłać ostrzeżenia o epidemii za pomocą wiadomości , pułapki SNMP lub dziennika zdarzeń systemu Windows w przypadku wykrycia zagrożeń na komputerach klienckich. Kontrolować epidemie przez konfigurowanie i włączanie funkcji Ochrona przed epidemią. Program Security Server Podstawowym elementem pakietu Worry-Free Business Security jest program Security Server (oznaczony symbolem SS na Rysunek 1-1). Program Security Server zawiera konsolę internetową scentralizowaną konsolę zarządzania dla programu Worry-Free Business Security. Program Security Server instaluje agentów na komputerach klienckich w sieci i tworzy z tymi agentami relacje typu klient-serwer. Program Security Server umożliwia wyświetlanie informacji o stanie zabezpieczeń, przeglądanie agentów, konfigurowanie zabezpieczeń systemu i pobieranie składników ze scentralizowanej lokalizacji. Program Security Server zawiera także bazę danych, w której przechowywane są dzienniki wykrytych zagrożeń internetowych zgłoszonych przez program Security Agent. 1-7

28 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Program Trend Micro Security Server spełnia następujące ważne funkcje: Instaluje i monitoruje agentów w sieci oraz zarządza nimi. Pobiera pliki sygnatur wirusów i oprogramowania typu spyware, silniki skanowania oraz aktualizacje programu z serwera aktualizacji firmy Trend Micro, anastępnie rozsyła je do agentów. Internet Program Trend Micro Security Server pobiera plik sygnatur i silnik skanowania ze źródła aktualizacji. Program Trend Micro Security Server z serwerem internetowym HTTP Konsola internetowa Zarządzanie programem Trend Micro Security Server i agentami za pomocą konsoli internetowej Programy Client/Server Security Agent i Messaging Security Agent RYSUNEK 1-2. Jak działa komunikacja klient-serwer za pośrednictwem protokołu HTTP Client/Server Security Agent Program Client/Server Security Agent (oznaczony symbolem A na Rysunek 1-1) przesyła raporty do programu Trend Micro Security Server, z którego został zainstalowany. Aby dostarczyć serwerowi najświeższe informacje o kliencie, agent przesyła w czasie rzeczywistym informacje o stanie zdarzeń. Raportowane są takie zdarzenia, jak wykrycie wirusa, uruchomienie agenta, zamknięcie agenta, rozpoczęcie skanowania i zakończenie aktualizacji. 1-8

29 Program Worry-Free Business Security wprowadzenie Program Client/Server Security Agent zapewnia trzy metody skanowania: skanowanie w czasie rzeczywistym, skanowanie zaplanowane oraz skanowanie ręczne. Ustawienia skanowania dla agentów należy skonfigurować z poziomu konsoli internetowej. Aby wprowadzić jednakowe zabezpieczenia komputerów w całej sieci, należy zdecydować o nieprzyznawaniu użytkownikom uprawnień do modyfikacji ustawień skanowania lub usunięcia agenta. Silnik skanowania Głównym elementem wszystkich produktów firmy Trend Micro jest silnik skanowania. Początkowo opracowany w odpowiedzi na oparte na plikach wirusy komputerowe i złośliwe oprogramowanie, silnik skanowania jest obecnie wyjątkowo skomplikowany i zdolny do wykrywania robaków internetowych, spamu, zagrożeń ze strony trojanów, fałszywych witryn sieci Web oraz innych zagrożeń sieciowych, wtym także wirusów i złośliwych programów. Silnik skanowania wykrywa dwa rodzaje zagrożeń: Aktywnie się rozprzestrzeniające: Zagrożenia aktywnie krążące po Internecie. Znane i opanowane: Opanowane wirusy/złośliwe oprogramowanie, niekrążące, wykorzystywane do badań irozwoju. Silnik i plik sygnatur, zamiast skanować każdy bajt w każdym pliku, wspólnie identyfikują nie tylko charakterystyczne cechy kodu wirusów, ale dokładnie określają miejsca w pliku, w których może ukrywać się wirus lub złośliwe oprogramowanie. Jeżeli program Worry-Free Business Security wykryje wirusa/złośliwe oprogramowanie, może go usunąć i przywrócić spójność pliku. Silnik skanowania odbiera przyrostowo aktualizowane pliki sygnatur (w celu zmniejszenia zużycia przepustowości sieci) z firmy Trend Micro. Silnik skanowania może odszyfrować pliki we wszystkich ważniejszych formatach szyfrowania (włącznie z MIME i BinHex). Rozpoznaje również i skanuje popularne formaty kompresji, w tym ZIP, ARJ oraz CAB. Program Worry-Free Business Security umożliwia także określenie liczby skanowanych warstw kompresji (maksymalnie sześć). 1-9

30 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ważną sprawą jest utrzymanie aktualności silnika skanowania. Firma Trend Micro zapewnia to na dwa sposoby: regularne aktualizacje pliku sygnatur wirusów aktualizacje oprogramowania silnika wymuszane przez zmiany natury zagrożeń ze strony wirusów/złośliwego oprogramowania, takie jak zwiększenie zagrożeń mieszanych, np. ze strony SQL Slammer Silnik skanowania firmy Trend Micro jest corocznie certyfikowany przez międzynarodowe organizacje bezpieczeństwa komputerowego, w tym ICSA (International Computer Security Association). Aktualizacje silnika skanowania Zapisując najbardziej zależne od upływu czasu informacje o wirusach/złośliwym oprogramowaniu w pliku sygnatur, firma Trend Micro może minimalizować ilość aktualizacji silnika skanowania, zapewniając jednocześnie aktualność ochrony. Mimo to firma Trend Micro okresowo udostępnia nowe wersje silnika skanowania. Firma Trend Micro publikuje nowe silniki w następujących okolicznościach: W oprogramowaniu wykorzystywane są nowe technologie skanowania i wykrywania wirusów. Odkryto nowy, potencjalnie szkodliwy wirus/złośliwe oprogramowanie. Poprawiono wydajność skanowania. Dodano obsługę dodatkowych formatów plików, języków skryptów, szyfrowania i/lub formatów kompresji. Aby sprawdzić najnowszy numer wersji silnika skanowania, odwiedź witrynę internetową firmy Trend Micro: Plik sygnatur wirusów Silnik skanowania firmy Trend Micro korzysta z zewnętrznego pliku danych, nazywanego plikiem sygnatur wirusów. Zawiera on informacje umożliwiające programowi Worry-Free Business Security zidentyfikować najnowsze wirusy, złośliwe oprogramowanie i inne zagrożenia internetowe, takie jak konie trojańskie, spam, robaki i ataki mieszane. Nowe pliki sygnatur wirusów są tworzone 1-10

31 Program Worry-Free Business Security wprowadzenie i publikowane kilka razy w tygodniu oraz zawsze w momencie odkrycia nowego zagrożenia. Wszystkie programy antywirusowe Trend Micro korzystające z funkcji ActiveUpdate są w stanie wykryć dostępność nowego pliku sygnatur wirusów na serwerze Trend Micro. Administratorzy mogą zaplanować przeszukiwanie serwera przez program antywirusowy w celu pobrania najnowszego pliku raz w tygodniu, codziennie lub co godzinę. Wskazówka: Firma Trend Micro zaleca zaplanowanie automatycznej aktualizacji co najmniej raz na godzinę. Domyślnie dla wszystkich produktów firmy Trend Micro aktualizacja odbywa się co godzinę. Pliki sygnatur wirusów można pobrać znastępującej witryny internetowej, na której można też znaleźć aktualna wersję, datę publikacji i listę definicji wszystkich nowych wirusów uwzględnionych w pliku: emea/pattern.asp?lng=emea Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Uwaga: Plik sygnatur, silnik skanowania i aktualizacje bazy danych są dostępne tylko dla zarejestrowanych użytkowników w ramach aktywnej umowy serwisowej. Silnik czyszczenia wirusów W celu wykrycia i naprawy uszkodzenia spowodowanego przez wirusy, złośliwe oprogramowanie czy inne zagrożenia internetowe program WFBS używa narzędzia do skanowania i czyszczenia o nazwie Silnik czyszczenia wirusów. Silnik czyszczenia wirusów wykrywa i czyści wirusy, złośliwe oprogramowanie, trojany i inne zagrożenia. Silnik czyszczenia wirusów używa bazy danych w celu odnalezienia komputerów docelowych i sprawdzenia, czy nie zostały one zaatakowane przez zagrożenia internetowe. Silnik czyszczenia wirusów znajduje się na jednym komputerze i podczas skanowania jest instalowany na komputerze klienckim w sieci. 1-11

32 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Silnik czyszczenia wirusów używa sygnatury czyszczenia wirusów do naprawy uszkodzeń spowodowanych przez ostatnio odkryte zagrożenia. Program WFBS regularnie aktualizuje te szablony. Firma Trend Micro zaleca uaktualnienie tych składników bezpośrednio po instalacji i aktywowaniu programu WFBS. Firma Trend Micro często aktualizuje plik sygnatur czyszczenia wirusów. Ogólny sterownik zapory Ogólny sterownik zapory, w połączeniu ze zdefiniowanymi przez użytkownika ustawieniami zapory, blokuje porty podczas epidemii. W celu wykrycia wirusów sieciowych ogólny sterownik zapory również korzysta z pliku sygnatur wirusów sieciowych. Plik sygnatur wirusów sieciowych Plik sygnatur wirusów sieciowych zawiera regularnie aktualizowaną bazę danych z sygnaturami wirusów sieciowych na poziomie pakietów. Firma Trend Micro aktualizuje plik sygnatur wirusów sieciowych co godzinę, aby program Worry-Free Business Security mógł identyfikować nowe wirusy sieciowe. Plik sygnatur narażenia na atak Program Worry-Free Business Security instaluje plik sygnatur narażenia na atak po zaktualizowaniu składników. Plik sygnatur narażenia na atak używany jest na ekranie Ochrona przed epidemią > Potencjalne zagrożenie podczas pracy z narzędziem Skanuj teraz w poszukiwaniu miejsc narażonych na atak, uruchamiania funkcji Ocena narażenia na atak oraz zawsze, gdy pobierany jest nowy plik sygnatur narażenia na atak. Wkrótce po pobraniu nowego pliku program Worry-Free Business Security rozpoczyna skanowanie klientów pod kątem narażenia na atak. Informacje o zagrożeniach Bezpieczeństwo komputerów jest dziedziną podlegającą szybkim zmianom. Administratorzy i specjaliści od bezpieczeństwa informacji wymyślają i przyjmują wiele różnych określeń i fraz w celu opisania potencjalnych zagrożeń 1-12

33 Program Worry-Free Business Security wprowadzenie iniepożądanych zdarzeń dotyczących komputerów i sieci. Poniżej znajduje się omówienie tych określeń i ich znaczenie używane w tym dokumencie. Wirusy/złośliwe oprogramowanie Wirus komputerowy/złośliwe oprogramowanie to program fragment wykonywalnego kodu który ma unikatową zdolność do replikacji. Wirusy/złośliwe oprogramowanie mogą dołączać się do niemal dowolnego typu pliku wykonywalnego i rozprzestrzeniać się jako pliki przesyłane pomiędzy użytkownikami komputerów. Poza zdolnością do replikacji niektóre wirusy/złośliwe oprogramowanie mają inne cechy wspólne: szkodliwe działanie, które powoduje wirus. Choć wirusy czasami wyświetlają tylko komunikaty lub obrazy, mogą one również zniszczyć pliki, sformatować dysk twardy albo spowodować inne straty. Złośliwe oprogramowanie: Złośliwe oprogramowanie zostało zaprojektowane w celu infiltracji lub uszkodzenia systemu komputerowego bez świadomej zgody właściciela. Trojany: Trojan jest złośliwym programem podszywającym się pod nieszkodliwą aplikację. W przeciwieństwie do wirusów/złośliwego oprogramowania, trojany nie powielają się automatycznie, jednakże potrafią być równie szkodliwe. Aplikacja, która ma według autora usuwać wirusy/złośliwe oprogramowanie z komputera, a w istocie wprowadza wirusy/złośliwe oprogramowanie, jest przykładem trojana. Robaki: Robak komputerowy to samodzielny program (lub zbiór programów), który ma zdolność rozpowszechniania własnych funkcjonalnych kopii lub własnych segmentów na inne systemy komputerowe. Rozpowszechnianie zazwyczaj ma miejsce przez połączenia sieciowe lub przez załączniki wiadomości . W przeciwieństwie do wirusów/złośliwego oprogramowania robaki nie muszą dołączać się do programów-nosicieli. Umyślnie utworzone luki w zabezpieczeniach: Umyślnie utworzona luka w zabezpieczeniach (backdoor) to metoda pomijania normalnego uwierzytelniania, zabezpieczenia zdalnego dostępu do komputera i/lub uzyskiwania dostępu do informacji. Jednocześnie wykonywana jest próba uniknięcia wykrycia. Oprogramowanie typu rootkit: Rootkit to zestaw programów stworzonych w celu zakłócenia prawidłowej kontroli użytkowników nad systemem operacyjnym. Zwykle oprogramowanie typu rootkit ukrywa swoją instalację 1-13

34 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora i próbuje zapobiec swojemu wykryciu poprzez podwersję standardowych zabezpieczeń systemu. Wirusy makr: Wirusy makr są zależne od aplikacji. Wirusy te rezydują w plikach aplikacji, takich jak Microsoft Word (.doc) i Microsoft Excel (.xls). W związku ztym można je wykryć w plikach o rozszerzeniach typowych dla aplikacji obsługujących makra, takich jak.doc,.xls czy.ppt. Wirusy makr przemieszczają się pomiędzy plikami danych w aplikacji i jeśli nie zostaną powstrzymane, mogą ostatecznie zarazić setki plików. Programy Client/Server Security Agent mogą wykrywać wirusy/złośliwe oprogramowanie podczas skanowania antywirusowego. Zalecaną przez firmę Trend Micro operacją w przypadku wirusów/złośliwego oprogramowania jest czyszczenie. Spyware/grayware Oprogramowanie typu grayware to programy wykonujące nieoczekiwane lub nieautoryzowane operacje. Jest to ogólne określenie obejmujące spyware, adware, dialery, programy-żarty, narzędzia dostępu zdalnego oraz inne niepożądane pliki i programy. Zależnie od typu, takie oprogramowanie może, ale nie musi, zawierać replikujący się lub niereplikujący się złośliwy kod. Spyware: Spyware to oprogramowanie komputerowe, które jest instalowane na komputerze bez zgody lub wiedzy użytkownika i gromadzi oraz przesyła informacje osobiste. Dialery: Dialery są niezbędne w celu łączenia się z Internetem za pomocą linii telefonicznej. Złośliwe dialery są tworzone w celu łączenia poprzez numery o podwyższonych stawkach zamiast bezpośrednio z usługodawcą internetowym. Dostawcy takich złośliwych dialerów zarabiają dodatkowe pieniądze. Inne sposoby użycia dialerów obejmują przesyłanie informacji osobistych i pobieranie złośliwego oprogramowania. Narzędzia hakerskie: Narzędzie hakerskie to program lub zestaw programów przeznaczonych do pomocy podczas włamań. Adware: Adware lub oprogramowanie wspierające reklamy to dowolny pakiet oprogramowania, który automatycznie odtwarza, wyświetla lub pobiera materiały reklamowe na komputer po zainstalowaniu oprogramowania lub podczas korzystania z niego. 1-14

35 Program Worry-Free Business Security wprowadzenie Keyloggery: Keylogger to program komputerowy, które rejestruje wszystkie znaki wpisywane przez użytkownika. Haker może następnie pobrać te informacje i wykorzystać do własnych celów. Boty: Bot (skrót od słowa robot ) to program działający jako agent użytkownika lub innego programu bądź symulujący ludzką aktywność. Uruchomiony bot może się replikować, kompresować i rozpowszechniać swoje kopie. Boty mogą służyć do koordynacji zautomatyzowanego ataku na komputery w sieci. Programy Client/Server Security Agent mogą wykrywać oprogramowanie grayware. Zalecaną przez firmę Trend Micro operacją w przypadku oprogramowania typu spyware/grayware jest czyszczenie. Wirusy sieciowe Wirus rozpowszechniający się przez sieć nie jest, ściśle rzecz biorąc, wirusem sieciowym. Jedynie kilka wspomnianych w tej sekcji zagrożeń, takich jak robaki, zalicza się do wirusów sieciowych. Wirusy sieciowe używają do replikacji protokołów sieciowych, takich jak TCP, FTP, UDP, HTTP, i protokołów . Zapora umożliwia identyfikację i blokowanie wirusów sieciowych na podstawie pliku sygnatur wirusów. Spam Spam obejmuje niezamówione wiadomości (wiadomości-śmieci), często o charakterze reklamowym, wysyłane masowo na wiele list pocztowych, do pojedynczych osób i grup dyskusyjnych. Istnieją dwa rodzaje spamu: niezamawiana poczta reklamowa (UCE) i niezamawiana poczta masowa (UBE). Włamania Włamanie oznacza próbę uzyskania dostępu do sieci lub komputera metodą siłową lub bez uprawnienia. Określenie to może także oznaczać pominięcie zabezpieczeń sieci lub komputera. 1-15

36 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Złośliwe zachowanie Złośliwe zachowanie oznacza nieautoryzowane zmiany dokonane przez oprogramowanie w systemie operacyjnym, wpisach rejestru, innych programach bądź plikach i folderach. Fałszywe punkty dostępu Fałszywe punkty dostępu, znane także jako złe bliźniaki, to punkty dostępu Wi-Fi, które wydają się być prawidłowe, ale zostały skonfigurowane przez hakera w celu podsłuchiwania komunikacji bezprzewodowej. Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Zawartość tekstowa przesyłana za pomocą aplikacji do obsługi wiadomości błyskawicznych, która jest obraźliwa lub ograniczona tylko do danej organizacji (poufna). Mogą to być na przykład poufne informacje firmowe. Programy nasłuchujące naciskane klawisze w trybie online Wersja online keyloggerów. Patrz Spyware/grayware na str. 1-14, aby uzyskać więcej informacji. Narzędzia do kompresji Narzędzia do kompresji to narzędzia służące do tzw. pakowania programów wykonywalnych. Skompresowanie programu sprawia, że kod zawarty w pliku wykonywalnym jest trudniejszy do wykrycia dla tradycyjnych programów antywirusowych. Skompresowany plik może ukrywać trojana lub robaka. Silnik skanowania programu Trend Micro może wykrywać spakowane pliki, a zalecaną operacją dla nich jest kwarantanna. 1-16

37 Program Worry-Free Business Security wprowadzenie Sposób ochrony komputerów i sieci przez program Worry-Free Business Security Poniższa tabela przedstawia, jak różne składniki programu Worry-Free Business Security chronią sieć przed zagrożeniami. TABELA 1-2. Zagrożenia i ochrona za pomocą programu Worry-Free Business Security Zagrożenie Wirusy/złośliwe oprogramowanie. Wirusy, trojany, robaki, umyślnie utworzone luki w zabezpieczeniach i oprogramowanie typu rootkit Spyware/grayware. Spyware, dialery, narzędzia hakerskie, programy do łamania haseł, adware, programy-żarty i keyloggery Wirusy, złośliwe oprogramowanie oraz oprogramowanie typu spyware i grayware przesyłane w wiadomościach oraz spam Robaki sieciowe i wirusy Włamania Potencjalnie szkodliwe strony internetowe i witryny phishingowe Złośliwe zachowanie Fałszywe punkty dostępu Programy nasłuchujące naciskane klawisze w trybie online Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Worry-Free Business SecurityOchrona Mechanizmy skanowania w poszukiwaniu wirusów i spyware przy użyciu plików sygnatur w programie Client/Server Security Agent Skanowanie poczty POP3 w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Ochrona przed zagrożeniami internetowymi i TrendProtect w programie Client/Server Security Agent Funkcja Monitorowanie zachowań programu Client/Server Security Agent Narzędzie Transaction Protector programu Client/Server Security Agent Narzędzie Transaction Protector programu Client/Server Security Agent Funkcja Filtrowanie zawartości wiadomości błyskawicznych programu Client/Server Security Agent 1-17

38 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Składniki informacje Oprogramowanie Worry-Free Business Security to wielowarstwowa aplikacja chroniąca komputery stacjonarne i przenośne oraz serwery przy użyciu następujących składników: Antywirus Silnik skanowania antywirusowego (32-bitowy/64-bitowy) programu Client/Server Security Agent: Silnik skanowania wykorzystuje plik sygnatur wirusów do wykrywania wirusów, złośliwego oprogramowania i innych zagrożeń bezpieczeństwa plików, które są otwierane i/lub zapisywane przez użytkowników. Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści do spraw wirusów w firmie Trend Micro umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. Sygnatura wirusów: Plik pomagający programowi Security Agent zidentyfikować sygnatury wirusów unikatowe sygnatury bitów i bajtów, które sygnalizują obecność wirusa. Szablon czyszczenia wirusów: Używany w silniku czyszczenia wirusów; pomaga w identyfikacji plików i procesów trojanów, robaków i programów typu spyware/grayware oraz umożliwia silnikowi ich eliminację. Silnik czyszczenia wirusów (32-bitowy/64-bitowy): Silnik używany przez usługi czyszczenia do wykrywania i usuwania plików i procesów trojanów, robaków oraz programów typu spyware/grayware. Sygnatura wyjątków IntelliTrap: Sygnatura wyjątków używana przez mechanizm IntelliTrap i silniki skanowania podczas poszukiwania złośliwego kodu w skompresowanych plikach. Sygnatura IntelliTrap: Sygnatura używana przez mechanizm IntelliTrap i silniki skanowania do wyszukiwania złośliwego kodu w skompresowanych plikach. Oprogramowanie anty-spyware Silnik skanowania w poszukiwaniu spyware (32-bitowy): Odrębny silnik skanowania, skanujący w poszukiwaniu programów typu spyware/grayware, 1-18

39 Program Worry-Free Business Security wprowadzenie wykrywający je i usuwający z zainfekowanych komputerów klienckich i serwerów pracujących pod kontrolą 32-bitowych systemów operacyjnych opartych na platformie i386 (Windows Vista, Windows XP, Windows Server 2003 i Windows 2000). Silnik skanowania w poszukiwaniu spyware (64-bitowy): Podobny do silnika skanowania w poszukiwaniu spyware/grayware dla systemów 32-bitowych, prowadzący skanowanie pod kątem spyware, wykrywający je i usuwający z zainfekowanych komputerów klienckich oraz serwerów pracujących pod kontrolą 64-bitowych systemów operacyjnych opartych na procesorze x64 (Windows Vista x64, Windows XP Professional x64 Edition, Windows 2003 x64 Edition). Sygnatury spyware: Plik zawierający znane sygnatury spyware używany przez silniki skanowania w poszukiwaniu spyware (zarówno 32-bitowe, jak i 64-bitowe) do wykrywania programów spyware/grayware na komputerach i serwerach podczas skanowania ręcznego i zaplanowanego. Sygnatura aktywnego monitorowania spyware: Moduł podobny do sygnatury spyware, ale używany przez silnik skanowania podczas skanowania w czasie rzeczywistym w poszukiwaniu spyware. Anty-spam Silnik spamu (32-bitowy/64-bitowy): Wykrywa niezamówioną pocztę reklamową (UCE) lub masową (UBE), znaną także pod nazwą spamu. Sygnatura spamu: Zawiera definicje spamu umożliwiające wykrywanie spamu przez silnik antyspamowy w wiadomościach . Ochrona przed epidemią Funkcja Ochrona przed epidemią zapewnia wczesne ostrzeganie o zagrożeniu internetowym lub innej epidemii na skalę światową. Funkcja ta reaguje automatycznie, stosując czynności zapobiegawcze chroniące komputery i sieć. Następnie wykonuje czynności zabezpieczające mające na celu zidentyfikowanie problemu i naprawienie uszkodzeń. Sygnatura narażenia na atak: Plik zawierający bazę danych wszystkich luk w zabezpieczeniach. Zawiera on instrukcje dla silnika skanowania, który wyszukuje znane luki w zabezpieczeniach. 1-19

40 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zapora Ogólny silnik zapory (32-bitowy/64-bitowy): Zapora wykorzystuje ten silnik wraz z plikiem sygnatur wirusów sieciowych do ochrony komputerów przed atakami hakerów i wirusów sieciowych. Ogólna sygnatura zapory: Podobnie jak plik sygnatur wirusów, plik ten umożliwia programowi Worry-Free Business Security zidentyfikowanie sygnatur wirusów sieciowych. Sterownik TDI (32-bitowy/64-bitowy): Moduł przekierowujący ruch sieciowy do modułów skanowania. Sterownik WFP (32-bitowy/64-bitowy): W przypadku komputerów klienckich z systemem Windows Vista zapora używa tego sterownika wraz z plikiem sygnatur wirusów sieciowych do skanowania w poszukiwaniu wirusów sieciowych. Ochrona przed zagrożeniami internetowymi Baza danych Trend Micro Security: Ochrona przed zagrożeniami internetowymi ocenia potencjalne zagrożenie bezpieczeństwa ze strony żądanej witryny internetowej przed jej wyświetleniem. W zależności od oceny zwróconej przez bazę danych i skonfigurowanego poziomu zabezpieczeń, program Client/Server Security Agent zablokuje lub zatwierdzi żądanie. Silnik filtrowania adresów URL (32-bitowy/64-bitowy): Silnik wykonujący zapytania do bazy danych Trend Micro Security w celu oceny strony. Narzędzie TrendProtect Baza danych Trend Micro Security: Narzędzie TrendProtect ocenia potencjalne zagrożenie bezpieczeństwa ze strony hiperłączy wyświetlanych na stronie internetowej. W zależności od oceny zwróconej przez bazę danych i poziomu zabezpieczeń skonfigurowanego w dodatku przeglądarki, ten dodatek dokona oceny łącza. Ochrona oprogramowania Lista zabezpieczeń oprogramowania: Lista zabezpieczeń oprogramowania zawiera programy, które mogą modyfikować zawartość plików lub folderów. Programy spoza listy nie mogą tworzyć, modyfikować ani usuwać plików lub folderów. 1-20

41 Program Worry-Free Business Security wprowadzenie Monitorowanie zachowań Sterowniki głównego monitora zachowań (32-bitowe): Te sterowniki wykrywają zachowanie procesów na komputerach klienckich. Usługa głównego monitora zachowań (32-bitowa): Program CSA używa tych usług do obsługi sterowników głównego monitora zachowań. Sygnatura stosowania reguł: Lista reguł skonfigurowanych w programie Security Server, które muszą być wymuszane przez agentów. Sygnatura listy elementów pomijanych: Lista firm zaakceptowanych przez firmę Trend Micro, których oprogramowanie może być bezpiecznie używane. Sygnatura konfiguracji monitora zachowań: Ta sygnatura zawiera domyślne reguły monitorowania zachowań. Narzędzie Transaction Protector Narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów programu Security Server, metod uwierzytelniania oraz wymagań dotyczących szyfrowania. Szyfrowanie klawiatury: Klawiatura ekranowa do bezpiecznego wprowadzania nazw użytkowników i haseł, powodująca ukrycie wpisanego tekstu przed keyloggerami. Filtrowanie zawartości Lista zastrzeżonych słów/wyrażeń: Lista zastrzeżonych słów/wyrażeń zawiera słowa i wyrażenia, które nie mogą być przesyłane poprzez aplikacje do obsługi wiadomości błyskawicznych. Stan aktywności i Powiadomienia Funkcja Stan aktywności zapewnia natychmiastowy przegląd stanu zabezpieczeń funkcji Ochrona przed epidemią, Antywirus, Oprogramowanie anty-spyware i Wirusy sieciowe. Podobnie program Worry-Free Business Security może przesyłać do administratorów powiadomienia o wystąpieniu znaczących zdarzeń. 1-21

42 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Inne dodatkowe produkty firmy Trend Micro Program Worry-Free Business Security zapewnia wszechstronną ochronę komputerów stacjonarnych i serwerów z systemem Windows pracujących w sieci lokalnej. Nie stanowi jednak rozwiązania w przypadku serwerów poczty, urządzeń o charakterze bramy ani systemów operacyjnych innych niż Windows. Aby rozszerzyć ochronę, należy rozważyć połączenie programu Worry-Free Business Security z produktami Trend Micro InterScan VirusWall for Small and Medium Business i/lub Trend Micro ScanMail for Microsoft Exchange. Program InterScan VirusWall jest najbardziej wszechstronnym, dostępnym na rynku oprogramowaniem służącym do zabezpieczania bram sieciowych i ochrony firm przed zagrożeniami sieciowymi ze strony wirusów/złośliwego oprogramowania, spyware/grayware, spamu, zagrożeń typu phishing, botów oraz niewłaściwej zawartości. Program ScanMail for Microsoft Exchange zapewnia kompleksową ochronę serwera pocztowego za pomocą narzędzi antywirusowych, antyspamowych, antyphishingowych, a także filtrowania zawartości oraz nowej generacji zabezpieczeń przed programami spyware/grayware. Zwiększa on poziom bezpieczeństwa przed różnego rodzaju atakami. Inne możliwości programu Worry-Free Business Security Dzięki programowi Worry-Free Business Security administratorzy mają następujące możliwości: Zarządzanie bezpieczeństwem za pomocą jednej konsoli na str Analizowanie ochrony sieci na str Stosowanie reguł zabezpieczeń na str Zawsze aktualna ochrona na str Poddawanie zarażonych plików kwarantannie na str Kontrolowanie epidemii w sieci na str Zarządzanie grupami programu Worry-Free Business Security na str Ochrona klientów przed atakami hakerów za pomocą zapory na str

43 Program Worry-Free Business Security wprowadzenie Ochrona wiadomości na str Filtrowanie zawartości wiadomości błyskawicznych na str Kontrola ustawień zabezpieczeń na podstawie lokalizacji na str Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web na str Obsługa bezpiecznych transakcji w trybie online na str Dozwolone programy spyware/grayware na str Bezpieczna komunikacja na str Zarządzanie bezpieczeństwem za pomocą jednej konsoli Program Trend Micro Security Server zarządza całym systemem antywirusowym za pomocą jednej konsoli, znanej jako konsola internetowa. Konsola internetowa jest instalowana podczas instalacji programu Trend Micro Security Server i korzysta z typowych technologii internetowych, takich jak Java, CGI, HTML i HTTP. Analizowanie ochrony sieci W programie Worry-Free Business Security można generować różnego typu dzienniki, takie jak dzienniki wirusów/złośliwego oprogramowania, dzienniki zdarzeń systemowych i dzienniki sprawdzania połączeń. Służą one do weryfikowania instalacji aktualizacji, sprawdzania komunikacji klient-serwer iokreślania, które komputery są zagrożone zarażeniem. Na podstawie informacji z dzienników można projektować i modyfikować ochronę sieci, określając, które komputery są wwiększym stopniu zagrożone zarażeniem i odpowiednio zmienić ustawienia antywirusowe dla tych komputerów. Stosowanie reguł zabezpieczeń W programie Worry-Free Business Security dostępne są trzy rodzaje skanowania: skanowanie zaplanowane, skanowanie ręczne i skanowanie w czasie rzeczywistym. Poprzez odpowiednią konfigurację tych trzech rodzajów skanowania można zastosować w firmie reguły zabezpieczeń. Można określić typy plików do skanowania i operacje, które wykona program Worry-Free Business Security w przypadku wykrycia zagrożenia. 1-23

44 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby zastosować określone metody skanowania dla wszystkich agentów, nie należy przyznawać użytkownikom uprawnień i zablokować agenta za pomocą hasła, uniemożliwiając w ten sposób użytkownikom zmianę ustawień, wyłączenie lub usunięcie ochrony. Zawsze aktualna ochrona Autorzy wirusów/złośliwego oprogramowania tworzą i rozpowszechniają nowe wirusy z dużą częstotliwością. Aby zapewnić stałą ochronę przed najnowszymi zagrożeniami, firma Trend Micro często publikuje nowe pliki sygnatur wirusów. Program Worry-Free Business Security może automatycznie pobierać iwdrażać pliki sygnatur na wszystkich agentach. Poddawanie zarażonych plików kwarantannie Można określić folder kwarantanny, aby panować nad aktywnymi wirusami/złośliwym oprogramowaniem i zarażonymi plikami. Program Trend Micro Security Server automatycznie przeniesie zarażone pliki do folderu kwarantanny. Kontrolowanie epidemii w sieci Natychmiastowa odpowiedź na rozwijające się epidemie przez włączenie funkcji Ochrona przed epidemią oraz ustawienie powiadomień o epidemii. Funkcja Ochrona przed epidemią pomaga w powstrzymaniu rozprzestrzeniania się epidemii w sieci w następujący sposób: blokując udostępnione foldery i wrażliwe porty klientów blokując prawa do zapisu w folderach 1-24

45 Program Worry-Free Business Security wprowadzenie Zarządzanie grupami programu Worry-Free Business Security W programie Worry-Free Business Security grupa to zbiór klientów korzystających z takiej samej konfiguracji i wykonujących te same zadania. Grupa programu Worry-Free Business Security różni się od domeny systemu Windows. W dowolnej domenie systemu Windows może znajdować się kilka grup programu Worry-Free Business Security. Ochrona klientów przed atakami hakerów za pomocą zapory Zapora pomaga chronić komputery klienckie przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między komputerem klienckim a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Ponadto zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na komputery klienckie. Ochrona wiadomości Wiadomości w protokole POP3 Chroni komputery klienckie z systemem Windows 2000/XP/Server 2003 przed zarażonymi wiadomościami oraz załącznikami i spamem w poczcie Post Office Protocol 3 (POP3). W przypadku wykrycia zagrożenia użytkownik ma do wyboru usunięcie, wyczyszczenie lub zignorowanie wiadomości zawierającej wirusa. Filtrowanie zawartości wiadomości błyskawicznych Dzięki funkcji Filtrowanie zawartości wiadomości błyskawicznych administratorzy mogą ograniczyć użycie określonych słów przesyłanych w aplikacjach do obsługi wiadomości błyskawicznych. Więcej informacji zawiera sekcja Filtrowanie zawartości wiadomości błyskawicznych na str

46 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Kontrola ustawień zabezpieczeń na podstawie lokalizacji Rozpoznawanie lokalizacji pozwala administratorom kontrolować ustawienia zabezpieczeń wzależności od sposobu połączenia klienta z siecią. Na przykład, jeśli określonej osoby nie ma w biurze, administratorzy mogą ustawić surowsze reguły oraz włączyć zaporę. Jeśli natomiast ta osoba pracuje w biurze, zapora może zostać wyłączona. Programy Client/Server Security Agent mogą mieć różne profile w zależności od ich lokalizacji. W programie WFBS stosuje się następującą klasyfikację klientów: Klienci zwykli Klienci mobilni Klienci zwykli Klienci zwykli to komputery stacjonarne mające stałe połączenie z programem Security Server. Klienci mobilni Klienci mobilni to komputery niepodłączone na stałe w sieci do programu Security Server, na przykład komputery przenośne. Programy Client/Server Security Agent na tych klientach cały czas zapewniają ochronę przed wirusami i złośliwym oprogramowaniem, ale informacje o swoim stanie przesyłają do programu Security Server z opóźnieniem. Uprawnienia mobilności są zazwyczaj przydzielane komputerom klienckim, które są odłączone od programu Security Server przez dłuższy czas. Jeżeli klient posiada uprawnienia mobilności, może przeprowadzać aktualizację bezpośrednio z serwera ActiveUpdate firmy Trend Micro. W tym celu należy kliknąć polecenie Aktualizuj teraz w menu skrótów programu Client/Server Security Agent. Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń W biurze i Poza biurem. Patrz część Rozpoznawanie lokalizacji na str

47 Program Worry-Free Business Security wprowadzenie Monitorowanie zachowań Funkcja Monitorowanie zachowania stale monitoruje komputery klienckie w poszukiwaniu prób modyfikacji w systemie operacyjnym i innych programach. Po wykryciu takiej próby przez agentów funkcja powiadamia użytkownika o żądaniu zmiany, na które użytkownik może zezwolić lub je zablokować. Użytkownicy i administratorzy mogą dodawać programy do listy wyjątków. Programy znajdujące się na liście wyjątków mogą wprowadzać zmiany w innych programach oraz w systemie operacyjnym. Inną opcją funkcji Monitorowanie zachowania jest ochrona plików EXE i DLL przed usunięciem lub modyfikacją. Użytkownicy z tymi uprawnieniami mogą zabezpieczać określone foldery. Ponadto użytkownicy mogą wybrać wspólną ochronę wszystkich programów Intuit QuickBooks. Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web Ochrona przed zagrożeniami internetowymi uniemożliwia użytkownikom odwiedzanie złośliwych witryn sieci Web. Wykorzystuje ona rozbudowaną bazę danych Trend Micro Web Security w celu sprawdzenia reputacji adresów URL HTTP, do których użytkownicy próbują uzyskać dostęp, lub adresów URL zawartych w wiadomościach . Usługa HTTP Web Reputation ocenia potencjalne zagrożenia żądanego adresu URL, przeglądając bazę danych Trend Micro Web Security dla każdego żądania HTTP W zależności od ustawionego poziomu zabezpieczeń, usługa może zablokować dostęp do witryn sieci Web, o których wiadomo, że stanowią zagrożenie internetowe lub są o to podejrzewane bądź nie posiadają oceny w bazie danych reputacji. Ochrona przed zagrożeniami internetowymi dostarcza zarówno powiadomienia dla administratora, jak i powiadomienia online dla użytkownika dotyczące zdarzeń związanych z tą usługą. Informacje na temat konfiguracji ochrony przed zagrożeniami internetowymi znajdują się w sekcji Ochrona przed zagrożeniami internetowymi na str

48 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ocena reputacji Ocena reputacji adresu URL określa, czy stanowi on zagrożenie internetowe. Firma Trend Micro wyznacza ocenę przy użyciu własnych metryk. Firma Trend Micro uznaje, że adres URL stanowi zagrożenie internetowe, najprawdopodobniej stanowi zagrożenie internetowe lub prawdopodobnie stanowi zagrożenie internetowe, jeśli ocena tego adresu przypada w zakresie określonym dla jednej z tych kategorii. Firma Trend Micro uznaje, że dostęp do adresu URL jest bezpieczny, jeśli jego ocena przekracza zdefiniowany próg. Poniżej przedstawiono trzy poziomy zabezpieczeń, które określają, czy agenci będą zezwalać na dostęp do adresu URL, czy go blokować. Wysoki: Blokuje nieocenione adresy URL, stanowiące zagrożenie w sieci Web, stanowiące zagrożenie w sieci Web z bardzo dużym i dużym prawdopodobieństwem. Średni: Blokuje nieocenione adresy URL, stanowiące zagrożenie w sieci Web lub stanowiące zagrożenie w sieci Web z bardzo dużym prawdopodobieństwem. Niski: Blokuje wyłącznie adresy URL stanowiące zagrożenie w sieci Web. Więcej informacji zawierają sekcje Ochrona przed zagrożeniami internetowymi na str i Ochrona przed zagrożeniami internetowymi na str Obsługa bezpiecznych transakcji w trybie online Usługa TrendSecure pomaga zabezpieczać transakcje internetowe poprzez określanie bezpieczeństwa połączenia bezprzewodowego i odwiedzanej strony sieci Web. Aby uniemożliwić kradzież informacji, usługa TrendSecure może także szyfrować informacje wpisywane w witrynach internetowych, włącznie z informacjami osobistymi, hasłami i numerami kart kredytowych. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. 1-28

49 Program Worry-Free Business Security wprowadzenie Szyfrowanie klawiatury: Ukrywa wpisywany tekst przed keyloggerami (funkcja dostępna dla połączeń przewodowych i bezprzewodowych). Oceny stron: Określa bezpieczeństwo hiperłączy na stronie (funkcja dostępna dla połączeń przewodowych i bezprzewodowych). Patrz TrendSecure na str. 5-23, aby uzyskać więcej informacji. Dozwolone programy spyware/grayware Niektóre aplikacje są sklasyfikowane przez firmę Trend Micro jako spyware/grayware nie dlatego, że mogą czynić szkody w systemie, w którym są zainstalowane, lecz dlatego, że narażają komputer kliencki lub sieć na ataki ze strony szkodliwego oprogramowania lub hakerów. Na przykład program Hotbar wbudowuje pasek narzędzi do przeglądarki internetowej. Hotbar śledzi adresy URL odwiedzane przez użytkowników i rejestruje słowa lub frazy wprowadzane w wyszukiwarkach. Informacje te są używane do wyświetlania w przeglądarce użytkownika docelowych ogłoszeń, w tym okien wyskakujących. Informacje gromadzone przez program Hotbar mogą zostać wysłane do osób trzecich i wykorzystane przez szkodliwe oprogramowanie lub hakerów w celu zbierania informacji o użytkownikach, program Worry-Free Business Security domyślnie uniemożliwia zainstalowanie i uruchomienie tej aplikacji. Jeśli użytkownicy potrzebują uruchomić program Hotbar lub jakąkolwiek inną aplikację uznaną przez program Worry-Free Business Security jako spyware lub grayware, muszą dodać ten program do listy dozwolonych spyware/grayware. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 7-8, aby uzyskać więcej informacji. Zabezpieczając przed uruchamianiem potencjalnie niebezpiecznych aplikacji i zapewniając użytkownikowi pełną kontrolę nad listą dozwolonych spyware/grayware, program Worry-Free Business Security pomaga zadbać oto, aby na komputerach klienckich działały tylko dozwolone aplikacje. 1-29

50 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Bezpieczna komunikacja Program Worry-Free Business Security zapewnia bezpieczną komunikację pomiędzy programem Trend Micro Security Server a konsolą internetową dzięki technologii Secure Socket Layer (SSL). Program Trend Micro Security Server może wygenerować certyfikat dla każdej sesji, umożliwiając konsoli internetowej szyfrowanie danych w oparciu o normy szyfrowania infrastruktury kluczy publicznych (PKI, Public Key Infrastructure). Domyślny okres ważności certyfikatu wynosi trzy lata. Składniki z możliwością aktualizacji Aby upewnić się, że program Worry-Free Business Security używa najnowszych składników do skanowania, identyfikacji i czyszczenia klientów, firma Trend Micro regularnie aktualizuje następujące elementy: Składniki: Zobacz tematy Składniki informacje na str i Składniki, które można aktualizować na str. 8-3, aby uzyskać więcej informacji. Pakiety typu hot fix oraz poprawki zabezpieczeń: Sugerowane rozwiązania problemów klientów lub nowo odkrytych naruszeń ochrony, które można pobrać z witryny internetowej firmy Trend Micro i zainstalować na komputerze z programem Trend Micro Security Server i/lub na agencie. Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki informacje na str Pakiety hot fix, poprawki i dodatki Service Pack Po oficjalnym wydaniu produktu firma Trend Micro często tworzy pakiety hot fix, poprawki oraz dodatki service pack, aby rozwiązać wykryte problemy, zwiększyć wydajność produktu lub dodać nowe funkcje. Poniżej znajduje się podsumowanie dotyczące uaktualnień, które mogą być wydawane przez firmę Trend Micro: Pakiet hot fix: Sugerowane rozwiązanie określonego problemu zgłaszanego przez pojedynczego klienta. Pakiety hot fix są specyficzne dla danego problemu, dlatego nie są wydawane dla wszystkich klientów. Pakiety hot fix dla systemu Windows 1-30

51 Program Worry-Free Business Security wprowadzenie zawierają programy instalacyjne. W pozostałych systemach należy zazwyczaj zatrzymać demony programów, skopiować plik (zastępując jego odpowiednik w instalacji) i ponownie uruchomić demony. Poprawka zabezpieczeń: Pakiet hot fix koncentrujący się na problemach zabezpieczeń, nadający się do wdrożenia na wszystkich klientach. Poprawki zabezpieczeń dla systemu Windows zawierają programy instalacyjne. Poprawka: Zestaw pakietów hot fix i poprawek zabezpieczeń rozwiązujących różne problemy dotyczące programów. Firma Trend Micro regularnie udostępnia poprawki. Poprawki dla systemu Windows zawierają programy instalacyjne. Dodatek Service Pack: Pełny zestaw pakietów hot fix, poprawek i ulepszeń funkcji, na tyle istotny, aby mógł być uważany za uaktualnienie produktu. Dodatki Service Pack, przeznaczone zarówno dla systemu Windows, jak i pozostałych systemów operacyjnych, zawierają program instalacyjny oraz skrypt instalacyjny. Pakiety hot fix można uzyskać od lokalnego menedżera pomocy technicznej. Baza wiedzy firmy Trend Micro umożliwia wyszukiwanie wydanych pakietów hot fix: Aby pobierać poprawki i dodatki Service Pack, należy regularnie odwiedzać witrynę internetową firmy Trend Micro: Uwaga: Wszystkie publikacje zawierają plik Readme z informacjami na temat instalacji, wdrożenia oraz konfiguracji produktu. Przed rozpoczęciem instalacji pakietów hot fix, poprawek lub dodatków Service Pack należy dokładnie zapoznać się ztreścią pliku Readme. 1-31

52 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 1-32

53 Praca z konsolą internetową Rozdział 2 W tym rozdziale opisano sposób korzystania z programu Worry-Free Business Security. Rozdział obejmuje następujące zagadnienia: Możliwości konsoli internetowej początek na str. 2-2 Korzystanie z funkcji Stan aktywności i Powiadomienia początek na str

54 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Możliwości konsoli internetowej Podczas instalowania programu Trend Micro Security Server jest instalowana scentralizowana internetowa konsola zarządzania. Konsola ta korzysta z technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. Aby otworzyć konsolę internetową: 1. Wybierz jedną znastępujących opcji, aby otworzyć konsolę internetową: Kliknij skrót Worry-Free Business Security na pulpicie. W menu Start systemu Windows kliknij kolejno pozycje Trend Micro Worry-Free Business Security > Worry-Free Business Security. Konsolę internetową można także otworzyć z dowolnego komputera w sieci. Należy otworzyć przeglądarkę internetową i w polu adresu wpisać następujący adres: portu}/smb Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. Domyślny port dla połączeń HTTP to 8059, a dla połączeń HTTPS to Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera_zabezpieczeń} na {adres_ip_serwera}. 2. W przeglądarce wyświetlony zostanie ekran logowania do programu Trend Micro Worry-Free Business Security. 2-2

55 Praca z konsolą internetową RYSUNEK 2-1. Ekran logowania programu Worry-Free Business Security 3. W polu tekstowym Hasło wpisz hasło administratora i kliknij przycisk Zaloguj. W przeglądarce wyświetlony zostanie ekran Stan aktywności konsoli internetowej. Patrz Korzystanie z funkcji Stan aktywności na str Funkcje konsoli internetowej Poniżej znajduje się opis głównych funkcji konsoli internetowej. TABELA 2-1. Główne funkcje konsoli internetowej Funkcja menu główne Obszar konfiguracji Pasek boczny menu Opis W górnej części konsoli internetowej znajduje się menu główne. To menu jest zawsze dostępne. Pod pozycjami menu głównego znajduje się obszar konfiguracji. Ten obszar można wykorzystać do wyboru opcji, zależnych od wybranej pozycji menu. Po wybraniu klienta lub grupy na ekranie Ustawienia zabezpieczeń ikliknięciu opcji Konfiguruj zostanie wyświetlony pasek boczny menu. Za pomocą paska bocznego można skonfigurować ustawienia zabezpieczeń oraz skanowania komputerów i serwerów. 2-3

56 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 2-1. Główne funkcje konsoli internetowej Funkcja Pasek narzędzi Ustawienia zabezpieczeń Opis Po otwarciu ekranu Ustawienia zabezpieczeń widoczny jest pasek narzędzi, który zawiera wiele ikon. Po kliknięciu klienta lub grupy na ekranie Ustawienia zabezpieczeń i kliknięciu ikony umieszczonej na pasku narzędzi program Security Server wykona skojarzone zikoną zadanie. Patrz Pasek narzędzi Ustawienia zabezpieczeń na str. 4-5, aby uzyskać więcej informacji. menu główne Pasek boczny menu konfiguracja obszar RYSUNEK 2-2. Przegląd konsoli internetowej 2-4

57 Praca z konsolą internetową Ikony konsoli internetowej Poniższa tabela zawiera opis ikon, które są wyświetlane na konsoli internetowej oraz objaśnienia, do czego one służą. TABELA 2-2. Ikony konsoli internetowej Ikona Opis Ikona Pomoc. Służy do otwierania pomocy elektronicznej. Ikona Odśwież. Odświeża widok bieżącego ekranu. / Ikona sekcji zwijania/rozwijania. Powoduje zwinięcie/rozwinięcie sekcji. Można rozwinąć jednocześnie tylko jedną sekcję. Ikona Informacje. Służy do wyświetlania informacji dotyczących określonego elementu. Korzystanie z funkcji Stan aktywności i Powiadomienia Kiedy program Worry-Free Business Security wykrywa istotne zdarzenie systemowe lub zagrożenie, na ekranie Stan aktywności zostają wyświetlone odpowiednie informacje (patrz sekcja Rysunek2-3, strona 2-7). Program Worry-Free Business Security można skonfigurować pod kątem wysyłania powiadomień za każdym razem, gdy takie zdarzenia mają miejsce. Ponadto można dostosować do własnych wymagań parametry dotyczące powiadomień oraz informacji wyświetlanych na ekranie Stan aktywności. Konfigurowanie powiadomień Aby skonfigurować powiadomienia o zdarzeniach albo dostosować ich parametry, należy skorzystać z opcji Preferencje > Powiadomienia. Patrz Praca z powiadomieniami na str. 10-1, aby uzyskać więcej informacji. 2-5

58 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zalecane przez firmę Trend Micro ustawienia opcji Powiadomienia Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, aich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora. Aby w razie potrzeby wyświetlić szczegóły zawartości powiadomienia i je dostosować, należy kliknąć powiadomienie. Poniższe ustawienia to domyślne wartości stosowane w programie Worry-Free Business Security. Antywirus Liczba wirusów/złośliwych programów wykrytych na komputerach/serwerach przekracza 5 wystąpień na godzinę. Oprogramowanie anty-spyware Liczba programów spyware/grayware wykrytych na komputerach/serwerach przekracza 15 wystąpień na godzinę. Ochrona przed zagrożeniami internetowymi Liczba naruszeń reguł dotyczących adresów URL przekracza 200 wystąpień na godzinę. Monitorowanie zachowań Liczba naruszeń reguł przekracza 20 wystąpień na godzinę. Wirus sieciowy Liczba wykrytych wirusów sieciowych przekracza 10 wystąpień na godzinę. Nietypowe zdarzenia systemowe Ilość dostępnego wolnego miejsca na dysku spada poniżej 1%. Korzystanie z funkcji Stan aktywności Ekran Stan aktywności jest pierwszym ekranem, który pojawia się po otwarciu konsoli internetowej. Wszystkie wymagane informacje są wyświetlane na ekranie. Częstotliwość odświeżania informacji na ekranie Stan aktywności różni się w zależności od sekcji. Przeważnie częstotliwość odświeżania wynosi od 1 do 10 minut. Aby ręcznie odświeżyć informacje na ekranie, kliknij opcję Odśwież. 2-6

59 Praca z konsolą internetową RYSUNEK 2-3. Ekran Stan aktywności Sposób działania ikon Na ekranie Stan aktywności za pomocą ikon jest określany stan zagrożeń i systemu. W poniższej tabeli objaśniono znaczenie poszczególnych ikon: TABELA 2-3. Ikony na ekranie Stan aktywności Ikona Opis Nie jest wymagana żadna operacja. Wymagane jest zainstalowanie poprawki tylko na kilku klientach. Aktywność wirusów, spyware i złośliwego oprogramowania na komputerach oraz w sieci stanowi nieznaczne zagrożenie. 2-7

60 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 2-3. Ikony na ekranie Stan aktywności Ikona Opis Ostrzeżenie Należy podjąć działania w celu ograniczenia stopnia zagrożenia sieci. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje określona liczba komputerów narażonych na atak, które raportują zbyt wiele przypadków wystąpienia wirusów lub innego złośliwego oprogramowania. W przypadku ogłoszenia przez firmę Trend Micro żółtego alarmu (patrz sekcja Żółte alarmy na str. 2-11) wyświetlane jest ostrzeżenie funkcji Ochrona przed epidemią. Kliknij pozycję ( ) obok ikony ostrzeżenia, aby wyświetlić szczegółowe informacje. Kliknij podkreślone łącza, aby wyświetlić szczegółowe informacje i wykonać kolejne operacje. Wymagane działanie. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje wiele komputerów narażonych na atak, które raportują przypadki wystąpienia wirusa. W przypadku ogłoszenia przez firmę Trend Micro czerwonego alarmu (patrz sekcja Czerwone alarmy na str. 2-11) wyświetlane jest ostrzeżenie funkcji Ochrona przed epidemią. Kliknij pozycję ( ) obok ikony ostrzeżenia, aby wyświetlić szczegółowe informacje. Kliknij podkreślone łącza, aby wyświetlić informacje szczegółowe i wykonać kolejne operacje. Obok każdego elementu na ekranie Stan aktywności znajduje się ikona ( ). Kliknięcie ikony powoduje wyświetlenie panelu z informacjami na temat danego elementu. Na rozwiniętym panelu można kliknąć łącza, aby przejść na inne ekrany, na których można wykonać operacje w celu rozwiązania problemu związanego z danym panelem. Informacje wyświetlane na ekranie Stan aktywności są generowane przez program Security Server i opierają się na danych zebranych z klientów. 2-8

61 Praca z konsolą internetową Stan zagrożenia Sekcja Stan zagrożenia, która stanowi część ekranu Stan aktywności, raportuje potencjalne zagrożenia dla bezpieczeństwa sieci na podstawie reguł zalecanych przez firmę Trend Micro. Ikona powiadamia o konieczności przeprowadzenia operacji w celu zabezpieczenia klientów w sieci. Rozwiń sekcję, aby wyświetlić więcej informacji. Można także kliknąć elementy tabeli w celu wyświetlenia określonych szczegółów. Domyślnie informacje są odświeżane co godzinę. Aby ręcznie odświeżyć informacje, kliknij opcję Odśwież ( ). Na ekranie Stan aktywności są wyświetlane następujące zagrożenia: Ochrona przed epidemią na str. 2-9 Czerwone alarmy na str Żółte alarmy na str Ochrona antywirusowa na str Oprogramowanie anty-spyware na str Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str Wirusy sieciowe na str Ochrona przed epidemią Na podstawie reguł pobranych z firmy Trend Micro program Security Server określa, czy w sieci wystąpiła epidemia. Jeżeli pojawi się problem, program Security Server wyświetla czerwony (niebezpieczeństwo) lub żółty (ostrzeżenie) alarm i uruchamia funkcję Ochrona przed epidemią. Podczas ochrony przed epidemią program Security Server może wykonać operacje takie jak: blokowanie portów, pobieranie składników oraz uruchamianie skanowania. Te operacje można wyświetlić, klikając opcję Widok w sekcji Informacje o zagrożeniu w opcjach Ochrona przed epidemią > Bieżący stan. 2-9

62 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora RYSUNEK 2-4. Szczegóły automatycznej odpowiedzi Podczas ostrzeżenia o epidemii kliknięcie podkreślonego łącza w obszarze Komputery narażone na atak lub Komputery do wyczyszczenia otwiera ekran Aktualne zagrożenie wcelu wyświetlenia przez program Security Server sposobu ochrony klientów i sieci. W normalnych warunkach kliknięcie tych łączy powoduje wyświetlenie ekranu Potencjalne zagrożenia, który zawiera listę zagrożonych klientów i pozwala na uruchomienie skanowania w poszukiwaniu miejsc narażonych na atak oraz usunięcie uszkodzeń. Patrz Strategia ochrony przed epidemią na str

63 Praca z konsolą internetową RYSUNEK 2-5. Ekran Ochrona przed epidemią > Potencjalne zagrożenie Czerwone alarmy Kilka raportów z każdej jednostki biznesowej na temat zarażeń, donoszących o szybkim rozprzestrzenianiu się wirusów/złośliwych programów, które powodują, że bramy internetowe oraz serwery poczty mogą wymagać poprawek. Zostaje uruchomione pierwsze w branży rozwiązanie w postaci 45-minutowego czerwonego alarmu: instalowana jest oficjalna publikacja bazy sygnatur (OPR) oraz wysyłane jest powiadomienie o jej dostępności, zostają wysłane wszystkie inne stosowne powiadomienia, a na stronach pobierania umieszczane są narzędzia naprawiania oraz informacje dotyczące podatności na uszkodzenia. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. W przypadku rozprzestrzeniania się złośliwych programów za pośrednictwem poczty zostają wysłane reguły filtrowania zawartości (tzw. reguły ochrony przed epidemią), które automatycznie blokują pokrewne załączniki na serwerach wyposażonych w funkcję produktu. 2-11

64 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ochrona antywirusowa W sekcji Antywirus wyświetlane są informacje dotyczące ostatniego skanowania antywirusowego oraz wpisy dziennika wirusów. Kolumna Liczba przypadków w tabeli Przypadki zagrożenia wirusem przedstawia wyniki ostatniego skanowania antywirusowego. Oprogramowanie anty-spyware W sekcji Oprogramowanie anty-spyware wyświetlana jest liczba przypadków zagrożenia ze strony spyware/grayware w danym okresie. W sekcji tej ponadto wyświetlana jest liczba klientów, które należy ponownie uruchomić wcelu zakończenia procesu ich czyszczenia ze spyware/grayware. Ochrona przed zagrożeniami internetowymi Informacje te są generowane na podstawie liczby zastrzeżonych adresów URL, które zostały odwiedzone przez użytkowników. Kiedy liczba odwiedzonych adresów URL przekracza ustalony próg, ikona stanu zmienia się. Monitorowanie zachowań Informacje te są generowane na podstawie liczby naruszeń reguł monitorowania zachowań na komputerach klienckich. Kiedy liczba naruszeń przekracza próg, ikona stanu zmienia się. Wirusy sieciowe Informacje wyświetlane w sekcji Wirus sieciowy są generowane na podstawie ustawień zapory. Po wykryciu wirusa sieciowego przez skanowanie ręczne, zaplanowane lub w czasie rzeczywistym informacje zostaną wyświetlone w sekcji Wirusy sieciowe na ekranie Stan aktywności. Stan systemu Umożliwia wyświetlanie informacji dotyczących stanu licencji, zaktualizowanych składników oraz ilości wolnego miejsca na serwerach z zainstalowanymi agentami. 2-12

65 Praca z konsolą internetową Licencja Sekcja Licencja ekranu Stan aktywności zawiera informacje o stanie licencji produktu, szczególnie o czasie jej wygaśnięcia. Aby wyświetlić szczegóły dotyczące licencji produktu, kliknij łącze Licencja produktu. Na ekranie Licencja produktu można uaktualnić lub odnowić licencję produktu. Aktualizacje Sekcja Aktualizacje zawiera informacje dotyczące stanu składników aktualizacji programu Security Server lub wdrażania zaktualizowanych składników na agentach. Domyślnie program Worry-Free Business Security pobiera składniki z serwera AutoUpdate firmy Trend Micro, a następnie udostępnia je agentom. Agenci pobierają składniki z programu Security Server (tzn. program Security Server wdraża zaktualizowane składniki na agentach). Aby zainstalować zaktualizowane składniki na agentach, kliknij opcję Instaluj teraz. Aby ręcznie zaktualizować składniki programu Security Server przez pobranie ich z serwera ActiveUpdate, kliknij opcję Aktualizuj teraz. Nietypowe zdarzenia systemowe Sekcja System zawiera informacje o miejscu na dyskach klientów, którzy działają jako serwery (pod kontrolą serwerowego systemu operacyjnego). Program Client/Server Security Agent raportuje ilość wolnego miejsca na dysku dostępnego do użytku na serwerach. 2-13

66 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 2-14

67 Instalowanie agentów Rozdział 3 W tym rozdziale opisano czynności umożliwiające instalację i uaktualnienie agentów. Znajdują się tu również informacje na temat dezinstalacji agenta. Rozdział obejmuje następujące zagadnienia: Wybór metody instalacji na str. 3-2 Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent na str. 3-4 Wymagania systemowe agenta na str. 3-5 Wykonywanie nowej instalacji na str. 3-7 Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR na str Usuwanie agentów na str

68 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Wybór metody instalacji Program Worry-Free Business Security umożliwia kilka metod instalacji programu Client/Server Security Agent. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: W organizacjach, w których reguły są ściśle przestrzegane firma Trend Micro zaleca instalację zdalną lub za pomocą skryptu logowania. Wewnętrzna strona internetowa: W tej metodzie należy polecić wszystkim użytkownikom w organizacji, aby odwiedzili wewnętrzną stronę Web i pobrali pliki instalacyjne programu Client/Server Security Agent (patrz sekcja Instalowanie z wewnętrznej strony internetowej na str. 3-7). Ustawienia skryptu logowania: Ta metoda umożliwia zautomatyzowanie procesu instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po zalogowaniu się w domenie (patrz sekcja Instalacja za pomocą skryptu logowania na str. 3-8). Program Client Packager: Ta metoda umożliwia instalację lub aktualizację plików programu Client/Server Security Agent na komputerach klienckich za pomocą poczty (patrz sekcja Instalacja za pomocą programu Client Packager na str. 3-11). Instalacja zdalna: Ta metoda umożliwia zainstalowanie agenta na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP/Server 2003/Server 2008 za pomocą konsoli internetowej (patrz sekcja Instalowanie za pomocą instalacji zdalnej na str. 3-15). Vulnerability Scanner (TMVS): Program Client/Server Security Agent należy zainstalować na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP (Professional)/Server 2003/Server 2008 za pomocą narzędzia Vulnerability Scanner firmy Trend Micro (patrz sekcja Instalacja za pomocą narzędzia Vulnerability Scanner na str. 3-17). 3-2

69 Instalowanie agentów TABELA 3-1. Metody instalacji programu Trend Micro Client/Server Security Agent Strona internetow a Skrypty logowania Program Client Packager Instalacja zdalna TMVS Odpowiednia do instalacji w sieci rozległej WAN Odpowiednia do scentralizowanej administracji izarządzania Wymaga udziału użytkownika Wymaga zasobów informatycznych Odpowiednia do instalacji masowej Tak Nie Tak Nie Nie Tak Tak Nie Tak Tak Tak Nie Tak Nie Nie Nie Tak Tak Tak Tak Nie Tak Nie Tak Tak Wykorzystanie pasma Niskie (przy instalacji zaplanowanej) Wysokie (jeśli klienci zostali uruchomieni jednocześnie) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) Wymagane uprawnienia We wszystkich metodach instalacji wymagane są uprawnienia administratora. Uwaga: Aby skorzystać z dowolnej z powyższych metod instalacji programu Client/Server Security Agent, należy mieć lokalne uprawnienia administratora na klientach docelowych. 3-3

70 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent W niniejszej sekcji znajdują się informacje na następujące tematy: Wymagania systemowe agenta na str Wykonywanie nowej instalacji programu Client/Server Security Agent za pomocą wybranej metody instalacji (patrz sekcja Wybór metody instalacji na str. 3-2). Uaktualnianie z poprzedniej wersji programu Client/Server Security Agent do wersji bieżącej (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-20). Migracja z programu antywirusowego innej firmy do bieżącej wersji programu Worry-Free Business Security (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-20). Uwaga: Przed rozpoczęciem instalacji programu Client/Server Security Agent na komputerach klienckich należy zamknąć wszystkie uruchomione aplikacje. Jeżeli podczas instalacji uruchomione są inne programy, proces ten może potrwać dłużej. 3-4

71 Instalowanie agentów Wymagania systemowe agenta W poniższej tabeli opisano minimalne wymagania systemowe dotyczące programów Client/Server Security Agent: TABELA 3-2. Wymagania dotyczące instalacji Wymaganie Procesor Minimalna specyfikacja Procesor Intel Pentium x86 lub kompatybilny Procesor x64 obsługujący technologie AMD64 oraz Intel EM64T Wymagania dotyczące częstotliwości procesora różnią się wzależności od systemu operacyjnego: 1 GHz (Windows Server 2008, SBS 2008 lub EBS 2008) 800 MHz (Windows Vista ) 450 MHz (Windows 2000, SBS 2000, XP, Server 2003, SBS 2003 i Home Server) Pamięć 512 MB (systemy x86) 1 GB (systemy x64) 4 GB (Windows Essential Business Server 2008 lub Windows Small Business Server 2008) Miejsce na dysku 300 MB 3-5

72 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 3-2. Wymagania dotyczące instalacji (ciąg dalszy) Wymaganie Minimalna specyfikacja System operacyjny Seria lub rodzina produktów Windows 2000 Windows Small Business Server (SBS) 2000 Windows XP Windows Server 2003 (obejmuje program Storage Server 2003) Windows SBS 2003 Windows Vista Windows Home Server Windows Server 2008 Windows SBS 2008 Windows Essential Business Server (EBS) 2008 Obsługiwane dodatki Service Pack lub wersje SP2, SP3 lub SP4 Bez dodatku Service Pack oraz SP1a Bez dodatku Service Pack, SP1, SP2 oraz SP3 Bez dodatku Service Pack, SP1, R2 oraz SP2 Bez dodatku Service Pack, SP1, R2 oraz SP2 Bez dodatku Service Pack oraz SP1 Bez dodatku Service Pack Bez dodatku Service Pack Bez dodatku Service Pack Bez dodatku Service Pack Uwaga: Obsługiwane są wszystkie edycje i 64-bitowe wersje wyszczególnionych systemów operacyjnych, chyba że zaznaczono inaczej. Przeglądarka internetowa (dla instalacji opartej na sieci Web) Wyświetlacz Program Internet Explorer w wersji 5.5 SP2 lub nowszej Kolorowy wyświetlacz, 256 lub więcej kolorów, o rozdzielczości 800x600 lub wyższej 3-6

73 Instalowanie agentów Wykonywanie nowej instalacji Jeśli program Client/Server Security Agent jest instalowany po raz pierwszy na docelowym komputerze, należy wykonać następujące procedury. Instalowanie z wewnętrznej strony internetowej Jeśli program Trend Micro Security Server zainstalowano na komputerze z systemem operacyjnym Windows 2000, Windows XP lub Windows Server 2003 z serwerem Internet Information Server (IIS) 5.0 lub 6.0 bądź Apache , użytkownicy mogą zainstalować program Client/Server Security Agent zwewnętrznej witryny sieci Web utworzonej podczas instalacji głównej. Jest to wygodny sposób instalacji programu Client/Server Security Agent. Wystarczy polecić wszystkim użytkownikom, aby odwiedzili wewnętrzną witrynę sieci Web i pobrali pliki instalacyjne programu Client/Server Security Agent. Wskazówka: Aby sprawdzić, którzy użytkownicy nie zastosowali się do instrukcji instalacji z poziomu konsoli internetowej, można skorzystać znarzędzia Vulnerability Scanner (więcej informacji zawiera sekcja Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str. 3-21). Aby pobrać pliki instalacyjne programu Client/Server Security Agent, na komputerach użytkowników musi być zainstalowany program Microsoft Internet Explorer 5.5 lub nowszy z poziomem zabezpieczeń umożliwiającym uruchamianie formantów ActiveX. Poniższe instrukcje zostały sformułowane z punktu widzenia użytkownika. Należy je przesłać użytkownikom pocztą w celu zainstalowania programu Client/Server Security Agent z wewnętrznego serwera webowego. Aby przeprowadzić instalację zwewnętrznej witryny sieci Web: 1. Otwórz okno programu Internet Explorer i wpisz: Micro Security Server}:{port}/SMB/console/html/client Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. 3-7

74 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 2. Kliknij opcję Instaluj teraz, aby rozpocząć instalację programu Client/Server Security Agent. Uwaga: W przypadku systemu Windows Vista należy sprawdzić, czy włączono opcję Tryb chroniony. Aby włączyć opcję Tryb chroniony, w programie Internet Explorer kliknij kolejno polecenia Narzędzia > Opcje internetowe > Zabezpieczenia. Rozpocznie się instalacja. Po zakończeniu instalacji na ekranie zostanie wyświetlony komunikat Instalacja agenta została zakończona. 3. Należy zweryfikować poprawność instalacji, sprawdzając, czy ikona programu Client/Server Security Agent jest widoczna w pasku zadań systemu Windows. Instalacja za pomocą skryptu logowania Stosując skrypt logowania, można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po ich zalogowaniu się do domeny. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Określa system operacyjny niezabezpieczonego komputera i programu Client/Server Security Agent Aktualizuje silnik skanowania, plik sygnatur wirusów, składniki usługi Damage Cleanup Services, pliki czyszczenia i pliki programowe. Uwaga: Aby wymusić zastosowanie metody instalacji z wykorzystaniem skryptu logowania, komputery klienckie muszą znajdować się na liście usługi Windows Active Directory serwera, który przeprowadza instalację. 3-8

75 Instalowanie agentów Aby dodać program autopcc.exe do skryptu logowania za pomocą Ustawień skryptu logowania: 1. Na komputerze z zainstalowanym programem Worry-Free Business Security uruchom plik C:\Program Files\Trend Micro\Security Server\PCCSRV\Admin\SetupUsr.exe. Zostanie załadowane narzędzie Ustawienia skryptu logowania. Na konsoli zostanie wyświetlone drzewo ze wszystkimi domenami sieci. 2. Znajdź komputer z systemem Windows 2000/Server 2003/Server 2008, którego skrypt logowania chcesz zmodyfikować, wybierz go, a następnie kliknij przycisk Wybierz. Ten serwer musi być podstawowym kontrolerem domeny. Należy mieć uprawnienia administratora tego komputera. W programie Ustawienia skryptu logowania zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. 3. Wpisz nazwę użytkownika i hasło. Kliknij przycisk OK, aby kontynuować. Zostanie wyświetlony ekran Wybór użytkownika. Lista Użytkownicy zawiera profile użytkowników, którzy logują się na serwerze. Lista Wybrani użytkownicy zawiera użytkowników, których skrypty logowania zostaną zmienione. Aby zmodyfikować skrypt logowania jednego lub kilku użytkowników, należy ich wybrać z listy Użytkownicy, a następnie kliknąć Dodaj. Aby zmienić skrypty logowania wszystkich użytkowników, kliknij przycisk Dodaj wszystkich. Aby wykluczyć użytkownika, którego komputer został wcześniej zmodyfikowany, należy wybrać nazwę z listy Wybrani użytkownicy ikliknąć opcję Usuń Aby anulować zaznaczenie wszystkich opcji, kliknij przycisk Usuń wszystkie. 4. Kliknij przycisk Zastosuj, gdy wszystkie docelowe profile użytkowników znajdują się na liście Wybrani użytkownicy. Zostanie wyświetlony komunikat informujący o pomyślnej modyfikacji skryptów logowania serwera. 3-9

76 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 5. Kliknij przycisk OK. Narzędzie Ustawienia skryptu logowania powróci do ekranu początkowego. Aby zmodyfikować skrypty logowania na innych serwerach, powtórz kroki od 2 do 4. Aby zamknąć narzędzie Ustawienia skryptu logowania, kliknij przycisk Zakończ. Uwaga: Kiedy niezabezpieczony komputer loguje się na serwerze ze zmodyfikowanymi skryptami logowania, program autopcc.exe automatycznie instaluje na tym serwerze agenta. Instalacja za pomocą skryptów systemów Windows 2000/Server 2003/Server 2008 Jeśli istnieje gotowy skrypt logowania, narzędzie Ustawienia skryptu logowania doda polecenie, które uruchomi program autopcc.exe. W przeciwnym wypadku utworzy plik wsadowy o nazwie ofcscan.bat (który zawiera polecenie uruchamiające program autopcc.exe). Na końcu skryptu narzędzie Ustawienia skryptu logowania dopisuje następujące informacje: \\{nazwa_serwera}\ofcscan gdzie: {nazwa_serwera} to nazwa lub adres IP komputera, na którym zainstalowano program Trend Micro Security Server. Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera} na {adres_ip_serwera}. Skrypt logowania systemu Windows 2000 znajduje się na serwerze Windows 2000 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2000 server\{dysk_systemowy}\winnt\sysvol\ domain\scripts\ofcscan.bat 3-10

77 Instalowanie agentów Skrypt logowania systemu Windows Server 2003 znajduje się na serwerze Windows Server 2003 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2003 server\{dysk_systemowy}\%windir%\ sysvol\domain\scripts\ofcscan.bat Skrypt logowania systemu Windows Server 2008 znajduje się na serwerze Windows Server 2008 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2008 server\{dysk_systemowy}\%windir%\ sysvol\domain\scripts\ofcscan.bat Instalacja za pomocą programu Client Packager Narzędzie Client Packager może kompresować pliki instalacyjne i aktualizacyjne do postaci samorozpakowującej się, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Użytkownicy po otrzymaniu tego pakietu muszą tylko dwukrotnie kliknąć plik, aby uruchomić program instalacyjny. Program Client/Server Security Agent zostanie zainstalowany na serwerze za pomocą raportu programu Client Packager, w miejscu, gdzie program Client Packager utworzył pakiet instalacyjny. To narzędzie jest szczególnie przydatne podczas instalacji agenta lub aktualizacji plików na klientach w oddalonych biurach o niskiej przepustowości sieci. Uwaga: Program Client Packager wymaga przynajmniej 370 MB wolnego miejsca na dysku komputera klienckiego. Do uruchomienia pakietu MSI na komputerze klienckim niezbędny jest program Instalator Windows 2.0. Program Client Packager może utworzyć dwa typy samorozpakowujących się plików: Wykonywalne Uwaga: W przypadku systemu Windows Vista program musi być uruchamiany z uprawnieniami administratora (Uruchom jako administrator). 3-11

78 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Format Microsoft Installer Package (MSI): Ten typ plików odpowiada specyfikacji pakietu Microsoft Windows Installer i można go używać do instalacji dyskretnej i/lub instalacji za pomocą usługi Active Directory. Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Wskazówka: Firma Trend Micro zaleca instalację pakietu MSI za pomocą usługi Active Directory i opcji Computer Configuration zamiast User Configuration. Dzięki temu pakiet MSI zostanie zainstalowany niezależnie od tego, który użytkownik zaloguje się na komputerze. Aby utworzyć pakiet za pomocą interfejsu graficznego programu Client Packager: 1. Na komputerze z programem Trend Micro Security Server otwórz Eksploratora Windows. 2. Przejdź do folderu \PCCSRV\Admin\Utility\ClientPackager. 3. Kliknij dwukrotnie plik ClnPack.exe, aby uruchomić narzędzie. Zostanie otwarta konsola programu Client Packager. Uwaga: Program powinien być uruchamiany wyłącznie na komputerze z programem Trend Micro Security Server. 4. W polu Docelowy system operacyjny wybierz system operacyjny, dla którego chcesz utworzyć pakiet instalacyjny. 5. Wybierz typ pakietu, który chcesz utworzyć: Instaluj: Wybierz w przypadku instalacji agenta. Aktualizacja: Wybierz, jeśli ma być przeprowadzona tylko aktualizacja składników programu Client/Server Security Agent. 6. W obszarze Opcje wybierz odpowiednie opcje instalacji: Tryb cichy: Tworzy pakiet, który jest instalowany na komputerze klienckim w tle, niezauważalnie dla użytkownika. Okno stanu instalacji nie zostanie wyświetlone. 3-12

79 Instalowanie agentów Pakiet MSI: Tworzy pakiet zgodny z formatem Microsoft Windows Installer Package. Uwaga: Pakiet MSI należy instalować wyłącznie za pomocą usługi Active Directory. Aby zainstalować pakiet lokalnie, należy utworzyć plik.exe. Wyłącz skanowanie wstępne (tylko w przypadku nowej instalacji): Wyłącza standardowe skanowanie plików, które program Worry-Free Business Security wykonuje przed rozpoczęciem instalacji. 7. Na stronie Składniki wybierz składniki, które mają zostać uwzględnione w pakiecie instalacyjnym: Program: Wszystkie składniki. Silnik skanowania: Najnowszy silnik skanowania znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura wirusów: Najnowszy plik sygnatur wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura narażenia na atak: Najnowszy plik sygnatur narażenia na atak znajdujący się na komputerze z programem Trend Micro Security Server. Elementy spyware: Najnowsze elementy spyware znajdujące się na komputerze z programem Trend Micro Security Server. Ogólny sterownik zapory: Sterownik zapory. Sygnatura wirusa sieciowego: Najnowszy plik sygnatur wirusów sieciowych. DCE/DCT: Najnowszy silnik i szablon czyszczenia wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura IntelliTrap: Najnowszy plik sygnatur IntelliTrap znajdujący się na komputerze z programem Trend Micro Security Server. 8. Upewnij się, że lokalizacja pliku ofcscan.ini jest poprawna, sprawdzając ją obok pola Plik źródłowy. Aby zmienić ścieżkę, kliknij przycisk w celu odnalezienia pliku ofcscan.ini. Domyślnie plik jest umieszczony w folderze \PCCSRV programu Trend Micro Security Server. 3-13

80 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 9. W obszarze Plik wyjściowy kliknij przycisk, aby określić nazwę pliku (na przykład ClientSetup.exe) oraz miejsce, w którym ma zostać utworzony pakiet. 10. Kliknij przycisk Utwórz, aby utworzyć pakiet. Po utworzeniu pakietu w programie Client Packager pojawi się komunikat Tworzenie pakietu zakończone powodzeniem. Aby zweryfikować poprawność utworzonego pakietu, sprawdź określony katalog wyjściowy. 11. Prześlij pakiet instalacyjny do użytkowników za pomocą poczty lub skopiuj go na dysk CD lub podobny nośnik, a następnie roześlij go do użytkowników. OSTRZEŻENIE! Pakiet można przesłać wyłącznie do programów Client/Server Security Agent podlegających serwerowi, na którym utworzono pakiet. Nie należy przesyłać pakietów do programów Client/Server Security Agent, które podlegają innym komputerom z programem Trend Micro Security Server. Instalowanie za pomocą pliku MSI Jeśli używana jest usługa Active Directory, program Client/Server Security Agent można zainstalować, tworząc plik programu Microsoft Windows Installer. Aby utworzyć plik z rozszerzeniem.msi, należy użyć narzędzia Client Packager. Funkcje usługi Active Directory umożliwiają automatyczną instalację agenta na wszystkich komputerach klienckich równocześnie za pomocą pliku MSI. Eliminuje to potrzebę instalacji klienta programu Client/Server Security Agent na każdym komputerze oddzielnie. Więcej informacji na temat formatu MSI odnaleźć można na witrynie internetowej firmy Microsoft ( Instrukcje dotyczące tworzenia pliku MSI zawiera sekcja Instalacja za pomocą programu Client Packager na str

81 Instalowanie agentów Instalowanie za pomocą instalacji zdalnej Program Client/Server Security Agent można zainstalować zdalnie na wielu komputerach z zainstalowanym systemem operacyjnym Windows Vista, 2000, XP (tylko w wersji Professional Edition), Server 2003, Server 2008, SBS 2008 lub EBS Uwaga: Aby korzystać z funkcji instalacji zdalnej, należy posiadać uprawnienia administratora na komputerach docelowych. W przypadku systemów Windows Vista, Server 2008, SBS 2008 oraz EBS 2008 konieczne będzie użycie hasła wbudowanego konta administratora domeny ze względu na kontrolę konta użytkownika w systemie Windows. Aby wykonać instalację programu CSA za pomocą funkcji instalacji zdalnej: Uwaga: Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga kilku czynności dodatkowych. Dodatkowe informacje zawiera sekcja Umożliwienie zdalnej instalacji programu Client/Server Security Agent na komputerach klienckich z zainstalowanym systemem Windows Vista na str W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. W obszarze Typ komputera wybierz pozycję Komputer lub serwer. 3. W obszarze Metoda wybierz opcję Zdalna instalacja. 4. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Instalacja zdalna. 5. Z listy komputerów w oknie Grupy i komputery wybierz klienta i kliknij przycisk Dodaj. Zostanie wyświetlony monit o podanie nazwy użytkownika ihasła dla komputera docelowego. 6. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk Zaloguj. Komputer docelowy pojawi się na liście Wybrane komputery. 7. Powtarzaj te etapy, aż lista w oknie Wybrane komputery będzie zawierać wszystkie komputery z systemem Windows. 8. Kliknij przycisk Instaluj, aby zainstalować program Client/Server Security Agent na komputerach docelowych. Zostanie wyświetlone okno potwierdzenia. 3-15

82 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 9. Kliknij przycisk Tak, aby potwierdzić chęć instalacji agenta na komputerze klienckim. Podczas kopiowania plików programu Client/Server Security Agent na każdy komputer docelowy zostanie wyświetlony ekran postępu. Po zakończeniu instalacji programu Worry-Free Business Security na komputerze docelowym, w polu Wynik listy wybranych komputerów, zostanie wyświetlony stan instalacji, a obok nazwy komputera pojawi się zielony znacznik wyboru. Uwaga: Funkcja instalacji zdalnej nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony program Trend Micro Security Server. Umożliwienie zdalnej instalacji programu Client/Server Security Agent na komputerach klienckich z zainstalowanym systemem Windows Vista Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga czynności dodatkowych. Aby umożliwić zdalną instalację na klientach z zainstalowanym systemem Windows Vista: 1. Na komputerze klienckim włącz tymczasowo usługę Udostępnianie plików i drukarek. Uwaga: W przypadku, gdy reguły firmy dotyczące ochrony nakazują wyłączenie zapory systemu Windows, przejdź do kroku 2, aby uruchomić usługę Rejestr zdalny. a. Uruchom zaporę systemu Windows w Panelu sterowania. b. Kliknij polecenie Zezwalaj programowi na dostęp przez Zaporę systemu Windows. Jeśli zostanie wyświetlony monit o wpisanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź. Zostanie wyświetlone okno ustawień Zapory systemu Windows. c. Sprawdź, czy zaznaczone jest pole wyboru Udostępnianie plików i drukarek na karcie Wyjątki wobszarze Lista programów lub portów. d. Kliknij przycisk OK. 3-16

83 Instalowanie agentów 2. Uruchom tymczasowo usługę Rejestr zdalny. a. Otwórz konsolę Microsoft Management Console. Wskazówka: W oknie Uruchom wpisz ciąg services.msc, aby uruchomić konsolę Microsoft Management Console. b. Kliknij prawym przyciskiem myszy pozycję Rejestr zdalny i wybierz opcję Uruchom. 3. W razie potrzeby przywróć oryginalne ustawienia po zainstalowaniu programu Client/Server Security Agent na komputerze klienckim z zainstalowanym systemem Windows Vista. Instalacja za pomocą narzędzia Vulnerability Scanner Narzędzie Trend Micro Vulnerability Scanner (TMVS) służy do wykrywania zainstalowanych rozwiązań antywirusowych, wyszukiwania w sieci niechronionych komputerów oraz instalowania na nich programu Client/Server Security Agent. Aby określić, czy komputer potrzebuje zabezpieczenia, narzędzie Skaner narażenia na atak wysyła polecenie ping do portów używanych zwykle przez rozwiązania antywirusowe. W tej sekcji opisano sposób instalowania agenta za pomocą narzędzia Vulnerability Scanner. Instrukcje dotyczące korzystania z narzędzia Vulnerability Scanner do wykrywania rozwiązań antywirusowych znajdują się w sekcji Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem, że nie jest na nich uruchomiona usługa Terminal Server. Nie można zainstalować programu Client/Server Security Agent na komputerze klienckim za pomocą narzędzia Vulnerability Scanner, jeśli na tym komputerze zainstalowano już program Trend Micro Security Server. 3-17

84 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby zainstalować program Client/Server Security Agent za pomocą narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do następującej lokalizacji: Worry-Free Business Security > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3-18

85 Instalowanie agentów RYSUNEK 3-1. Ekran TMVS Settings 3. W obszarze Trend Micro Security Server Setting (for Install and Log Report) wpisz nazwę lub adres IP i numer portu komputera z programem Trend Micro Security Server. 4. Zaznacz pole wyboru Auto-install Client/Server Security Agent for unprotected computer. 3-19

86 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 5. Kliknij przycisk Install Account. 6. Podaj nazwę użytkownika i hasło dające uprawnienia administratora do serwera (lub domeny) i kliknij przycisk OK. 7. Kliknij przycisk OK, aby wrócić do głównego ekranu programu TMVS. 8. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci oraz instalację programu Client/Server Security Agent. Weryfikowanie instalacji, uaktualnienia lub migracji agenta Po zakończeniu instalacji lub uaktualnienia należy sprawdzić, czy program Client/Server Security Agent został prawidłowo zainstalowany. Aby zweryfikować instalację: Zlokalizuj skróty programu Worry-Free Business Security w menu Start systemu Windows na komputerze klienckim z agentem. Sprawdź, czy program Worry-Free Business Security znajduje się na liście Dodaj/usuń programy w Panelu sterowania klienta. Następnie zastosuj narzędzie Vulnerability Scanner (patrz sekcja Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str. 3-21). Użyj narzędzia Client Mover (patrz sekcja Narzędzie Client Mover na str lub Przenoszenie klientów na str. 4-9). 3-20

87 Instalowanie agentów Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów Istnieje możliwość sprawdzenia, czy na wszystkich klientach w sieci zainstalowani są agenci. Narzędzie Vulnerability Scanner można zautomatyzować, tworząc zadania zaplanowane. Informacje na temat automatyzacji narzędzia Vulnerability Scanner znajdują się w pomocy elektronicznej programu Worry-Free Business Security. Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem że nie jest na nich uruchomiona usługa Terminal Server. Aby zweryfikować instalację agenta za pomocą narzędzia Skaner narażenia na atak: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do katalogu Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3. W obszarze Product Query zaznacz pole wyboru Security Server i określ port używany przez serwer do komunikacji z klientami. 4. W obszarze Description Retrieval Settings wybierz metodę pobierania. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Normal retrieval, a następnie zaznaczając pole wyboru Retrieve computer descriptions when available, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, należy zaznaczyć pole wyboru results to the system administrator w obszarze Alert Settings. Następnie należy kliknąć opcję Configure, aby określić ustawienia poczty . W polu To wpisz adres odbiorcy. W polu Fromwpisz swój adres . W polu SMTP Server wpisz adres serwera SMTP. Przykładowy adres to smtp.przyklad.com. Informacja o serwerze SMTP jest wymagana. 3-21

88 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora W polu Subject wpisz nowy temat wiadomości lub zatwierdź domyślny. 6. Kliknij przycisk OK, aby zapisać ustawienia. 7. Aby na niezabezpieczonych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij opcję Customize, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Alert Message. 8. W polu tekstowym wpisz nowy komunikat ostrzeżenia lub zaakceptuj komunikat domyślny, a następnie kliknij przycisk OK. 9. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatically save the results to a CSV file. Skaner narażenia na atak domyślnie zapisuje pliki CSV w folderze TMVS. Aby zmienić folder domyślny z plikami CSV, kliknij przycisk Browse, a następnie wybierz folder docelowy na swoim komputerze lub w sieci i kliknij przycisk OK. 10. W obszarze Ping Settings określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Packet Size i Timeout. 11. Kliknij przycisk OK. Zostanie wyświetlona konsola narzędzia Vulnerability Scanner. 12. Aby uruchomić skanowanie ręczne narażenia na atak w zakresie adresów IP, wykonaj następujące czynności: a. W polu IP Range to Check wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. b. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. 13. Aby uruchomić skanowanie ręczne narażenia na atak na komputerach uzyskujących adres IP z serwera DHCP, wykonaj następujące czynności: a. Kliknij kartę DHCP Scan wpolu Results. Zostanie wyświetlony przycisk DHCP Start. b. Kliknij przycisk DHCP Start. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów klienckich na atak, kiedy będą się logować do sieci. 3-22

89 Instalowanie agentów Narzędzie Vulnerability Scanner sprawdzi sieć, a wyniki zostaną wyświetlone w tabeli Results. Można sprawdzić, czy agent jest zainstalowany na wszystkich serwerach oraz komputerach stacjonarnych i przenośnych. Jeżeli narzędzie Skaner narażenia na atak znajdzie niechronione serwery bądź komputery stacjonarne lub przenośne, należy zainstalować na nich agenta przy użyciu wybranej metody. Patrz część Wybór metody instalacji na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR Firma Trend Micro zaleca wykonanie testu produktu za pomocą skryptu testowego EICAR celem sprawdzenia jego prawidłowego działania. Europejski Instytut Badań nad Ochroną Antywirusową Komputerów (EICAR, European Institute for Computer Antivirus Research) opracował skrypt testowy jako bezpieczną metodę sprawdzania poprawnej instalacji i konfiguracji programów antywirusowych. Więcej informacji można znaleźć na witrynie internetowej organizacji EICAR: Skrypt testowy EICAR jest plikiem tekstowym z rozszerzeniem.com. Plik ten nie jest wirusem i nie zawiera fragmentów kodu wirusów, jednak większość programów antywirusowych potraktuje go jako wirusa. Można za jego pomocą zasymulować zarażenie wirusem i sprawdzić, czy funkcje powiadamiania pocztą , skanowania za pomocą protokołu HTTP i dzienników wirusów działają prawidłowo. OSTRZEŻENIE! Nie należy stosować prawdziwych wirusów/złośliwych programów w celu testowania instalacji programu antywirusowego. Aby przetestować instalację agenta za pomocą skryptu testowego EICAR: 1. Upewnij się, że na agencie włączono skanowanie w czasie rzeczywistym. 2. Skopiuj poniższy ciąg znaków i wklej go do pliku utworzonego w Notatniku lub innym edytorze tekstu: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H* 3-23

90 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 3. Zapisz plik jako EICAR.com w katalogu tymczasowym. Program Client/Server Security Agent powinien natychmiast wykryć ten plik. 4. Aby przetestować inne komputery klienckie w sieci, należy dołączyć plik EICAR.com do wiadomości i wysłać ją do innych komputerów klienckich. Uwaga: Firma Trend Micro zaleca też przetestowanie skompresowanej wersji pliku EICAR. Za pomocą oprogramowania do kompresji należy skompresować skrypt testowy i wykonać powyższe czynności. Aby przetestować instalację agenta pod względem wydajności skanowania HTTP: Należy pobrać skrypt testowy EICAR.com z któregokolwiek z poniższych adresów URL: Program Client/Server Security Agent powinien powiadomić o wykryciu wirusa testowego EICAR. Usuwanie agentów Są dwa sposoby usunięcia agentów z konsoli internetowej lub przez uruchomienie dezinstalatora. Usuwanie programu Client/Server Security Agent za pomocą dezinstalatora OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Jeżeli użytkownikom przyznano uprawnienie do usuwania agenta, można im polecić, aby uruchomili program odinstalowujący agenta na swoich komputerach. 3-24

91 Instalowanie agentów Aby uruchomić program odinstalowujący agenta: 1. W menu Start systemu Windows należy kliknąć opcję Ustawienia > Panel sterowania > Dodaj lub usuń Programy. 2. Wybierz pozycję Trend Micro Client/Server Security Agent i kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran Dezinstalacja programu Client/Server Security Agent i monit o podanie hasła dezinstalacji, jeśli jest ono ustawione. 3. Wpisz hasło dezinstalacji i kliknij opcję OK. Na ekranie Dezinstalacja programu Client/Server Security Agentbędą wyświetlane informacje o postępie procesu dezinstalacji. Po zakończeniu operacji dezinstalacji zostanie wyświetlony komunikat Dezinstalacja została zakończona. Usuwanie programu Client/Server Security Agent za pomocą konsoli internetowej Program Client/Server Security Agent można także usunąć za pomocą konsoli internetowej. OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Aby zdalnie usunąć agenta za pomocą konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń. 3. W drzewie grup zabezpieczeń wybierz klienta, z którego chcesz usunąć agenta, anastępnie kliknij przycisk Usuń. Zostanie wyświetlony ekran Usuń komputer. 4. W obszarze Typ usuwania kliknij opcję Odinstaluj wybranych agentów, anastępnie kliknij przycisk Zastosuj. Zostanie wyświetlona prośba o potwierdzenie. 5. Kliknij przycisk OK. Zostanie wyświetlony ekran zawierający informacje o liczbie powiadomień wysłanych do serwera i otrzymanych przez klienta. 6. Kliknij przycisk OK. 3-25

92 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby sprawdzić, czy agent został usunięty, odśwież ekran Ustawienia zabezpieczeń. Klient nie powinien już być widoczny w drzewie grup zabezpieczeń. 3-26

93 Praca z grupami Rozdział 4 W tym rozdziale omówiono koncepcję i korzystanie z grup w programie Worry-Free Business Security. Rozdział obejmuje następujące zagadnienia: Przegląd grup początek na str. 4-2 Wyświetlanie klientów w grupie początek na str. 4-2 Dodawanie grup początek na str. 4-6 Usuwanie grup początek na str. 4-7 Dodawanie klientów do grup początek na str. 4-7 Przenoszenie klientów początek na str. 4-9 Replikowanie ustawień grup początek na str

94 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Przegląd grup W programie Worry-Free Business Security grupy stanowią kolekcję komputerów lub serwerów, które mają tę samą konfigurację i na których uruchomione są te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wiele agentów i zarządzać nimi. W celu łatwiejszego zarządzania można grupować klientów według działów, do których należą lub wykonywanych funkcji. Można też grupować klientów owiększym ryzyku zarażenia, aby zastosować dla nich bardziej bezpieczną konfigurację za pomocą jednego ustawienia. Patrz Konfigurowanie grup komputerów iserwerów na str. 5-1, aby uzyskać więcej informacji. Program Security Server domyślnie tworzy grupy na podstawie istniejących domen systemu Windows Server, a jako nazwy klienta używa nazwy komputera. Można usuwać grupy utworzone w programie Security Server, zmieniać ich nazwy lub przenosić klientów z jednej grupy do innej. Wyświetlanie klientów w grupie Na ekranie Ustawienia zabezpieczeń można zarządzać wszystkimi klientami, na których zainstalowano programy Client/Server Security Agent oraz dostosować ustawienia zabezpieczeń dla agentów. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę 4-2

95 Praca z grupami RYSUNEK 4-1. Ekran Ustawienia zabezpieczeń pokazuje klientów w grupie W drzewie grup zabezpieczeń klienci są wyświetlani zgodnie z przynależnością do grup. Drzewo grup zabezpieczeń jest rozwijaną listą logicznych grup klientów. Po wybraniu grupy z listy po lewej stronie i kliknięciu opcji Konfiguruj, w konsoli internetowej zostanie wyświetlony nowy obszar konfiguracji. Wskazówka: Aby zaznaczyć wiele sąsiadujących klientów, należy kliknąć pierwszy komputer w zakresie, przytrzymać klawisz SHIFT i kliknąć ostatni komputer w zakresie. Aby zaznaczyć zakres niesąsiadujących klientów, należy kliknąć pierwszy komputer z tego zakresu. Przytrzymując naciśnięty klawisz CTRL, należy kliknąć klientów, którzy mają zostać wybrani. Gdy z drzewa grup zabezpieczeń po lewej stronie zostanie wybrana grupa, po prawej stronie pojawi się lista klientów. Na ekranie Ustawienia zabezpieczeń dostępne są następujące informacje o klientach z określonej grupy: Nazwa Adres IP Stan online/offline Skanowanie zaplanowane 4-3

96 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Skanowanie ręczne System operacyjny Architektura Wersja silnika i sygnatur skanowania wirusów Liczba przypadków wykrycia wirusa Liczba przypadków wykrycia spyware Liczba przypadków naruszenia adresów URL Liczba przypadków wykrycia wiadomości typu spam Stan skanowania poczty POP3 Informacji tych używa się wcelu: Upewnienia się, czy agenci korzystają z najnowszych silników. Dostosowania ustawień zabezpieczeń w zależności od liczby przypadków wykrycia wirusów i programów typu spyware. Podjęcia specjalnych działań wobec klientów ze zbyt wysokimi wartościami liczników. Poznania ogólnego stanu sieci. Na tym ekranie można: Skonfigurować grupy: Patrz sekcja Konfigurowanie grup komputerów iserwerów na str Replikować ustawienia między grupami: Patrz sekcja Replikowanie ustawień grup na str Dodać nowe grupy: Patrz sekcja Dodawanie grup na str Usuwać grupy: Patrz sekcja Usuwanie grup na str Przenosić klientów między grupami lub programami Security Server: Patrz sekcja Przenoszenie klientów na str Zeruj liczniki: Na pasku narzędzi ekranu Ustawienia zabezpieczeń kliknij przycisk Zeruj liczniki. Powoduje to wyzerowanie liczników wiadomości typu wirusów/złośliwego oprogramowania, programów typu spyware/grayware i naruszeń adresów URL. 4-4

97 Praca z grupami Po uaktualnieniu Jeśli program Worry-Free Business Security został uaktualniony z wersji wcześniejszej lub próbnej, to stare komputery i grupy w drzewie grup zabezpieczeń są w programie Worry-Free Business Security zachowane. Worry-Free Business Security Program 5.1 nie obsługuje ustawień indywidualnych dla klienta w ramach grupy. Jeśli poprzednia wersja już je zawierała, zostaną one wyświetlone jako grupa mieszane. Aby indywidualnie skonfigurować klienta, należy stworzyć nową grupę i dodać do niej tylko tego klienta. Konfiguruj grupę zgodnie z potrzebami. Pasek narzędzi Ustawienia zabezpieczeń Pasek narzędzi ekranu Ustawienia zabezpieczeń zawiera narzędzia potrzebne do pracy z grupami programu i klientami. RYSUNEK 4-2. Pasek narzędzi ekranu Ustawienia zabezpieczeń W tej sekcji pokrótce opisano narzędzia z paska narzędzi ekranu Ustawienia zabezpieczeń. Szczegółowe informacje na temat sposobu korzystania z tych narzędzi do konfigurowania programów Client/Server Security Agent i. TABELA 4-1. Narzędzia ustawień zabezpieczeń Narzędzie Konfiguruj Ustawienia replikacji Dodaj grupę Dodaj Opis Pozwala skonfigurować ustawienia klienta na poziomie grupy, w przypadku ustawień skanowania, zapory, uprawnień klientów i katalogu kwarantanny. Zobacz tematy Konfigurowanie grup komputerów iserwerów na str. 5-1, aby uzyskać więcej informacji. Za pomocą tego narzędzia można replikować ustawienia konfiguracji z jednej grupy klientów do innej grupy lub grup klientów. Więcej informacji zawiera sekcja Replikowanie ustawień grup na str Za pomocą tego narzędzia można utworzyć nową grupę klientów. Więcej informacji zawiera sekcja Dodawanie grup na str Użyj opcji Dodaj, aby zainstalować program Client/Server Security Agentlub dodać ikonę do klientów już mających agenta. Po dodaniu nowego klienta, przeciągnij i upuść ikonę do odpowiedniej grupy. 4-5

98 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 4-1. Narzędzia ustawień zabezpieczeń Narzędzie Usuń Przenieś Zerować liczniki Opis Użyj tego narzędzia, aby usunąć ikonę klienta lub grupy z konsoli internetowej lub odinstalować program Client/Server Security Agent z wybranego klienta. Patrz sekcja Usuwanie grup początek na str. 4-7 lub Usuwanie agentów początek na str Za pomocą tego narzędzia można przenieść klienta z jednego programu Security Server do innego programu Security Server. Więcej informacji zawiera sekcja Przenoszenie klientów na str Powoduje to wyzerowanie liczników wiadomości typu wirusów/złośliwego oprogramowania, programów typu spyware/grayware i naruszeń adresów URL. Dodawanie grup Grupy można tworzyć w celu zarządzania wieloma klientami jednocześnie. Uwaga: Klienci muszą być powiązani z grupą. Klient nie może znajdować się poza grupą. Ścieżka nawigacji: Ustawienia zabezpieczeń > Dodaj grupę RYSUNEK 4-3. Ekran Dodaj grupę 4-6

99 Praca z grupami Aby dodać grupę: 1. Zmień odpowiednio następujące ustawienia na ekranie Dodawanie grupy: Typ grupy Komputery Serwery Nazwa Importuj ustawienia z grupy: Importuje ustawienia zabezpieczeń z wybranej grupy. 2. Kliknij przycisk Zapisz. Usuwanie grup Kiedy administrator usuwa grupę, wszyscy klienci w tej grupie rejestrują się ponownie w programie Security Server i zostają dołączeni do grupy domyślnej na podstawie ich systemu operacyjnego. Na przykład jeśli klient jest serwerem, zostaje dołączony do domyślnej grupy serwerów. Ścieżka nawigacji: Ustawienia zabezpieczeń Aby usunąć grupę: 1. Wybierz grupę na ekranie Ustawienia zabezpieczeń. 2. Kliknij przycisk Usuń. Dodawanie klientów do grup W programie Worry-Free Business Security dodaj klientów do grupy za pomocą jednej z następujących metod: Instalacja powiadamiania pocztą Instalacja zdalna Utwórz skrypt logowania do domeny Ścieżka nawigacji: Ustawienia zabezpieczeń 4-7

100 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora RYSUNEK 4-4. Ekran Dodaj komputer Aby dodać klienta do grupy: 1. Na ekranie Ustawienia zabezpieczeń kliknij przycisk Dodaj na pasku narzędzi. 2. Zmień odpowiednio następujące ustawienia: Typ komputera: Typ klienta. Komputer lub serwer Metoda Instalacja zdalna: Umożliwia zdalną instalację agenta na kliencie. Patrz Instalowanie za pomocą instalacji zdalnej na str. 3-15, aby uzyskać więcej informacji. Utwórz skrypt logowania do domeny: Umożliwia instalację agenta przy użyciu skryptu logowania do domeny. Agent zostanie zainstalowany po następnym zalogowaniu klienta do sieci. Patrz Instalacja za pomocą skryptu logowania na str. 3-8, aby uzyskać więcej informacji. 3. Kliknij przycisk Dalej. Postępuj zgodnie z instrukcjami na ekranie. Wskazówka: Więcej informacji na temat instalacji agentów znajduje się wsekcji Instalowanie agentów na str

101 Praca z grupami Przenoszenie klientów Program Worry-Free Business Security umożliwia przenoszenie klientów między grupami lub serwerami zabezpieczeń. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-5. Ekran Przenieś komputer/serwer Aby przenieść klienta z jednej grupy do innej: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Przeciągnij klienta do innej grupy. Klient odziedziczy ustawienia nowej grupy. Aby przenieść klienta z jednego serwera zabezpieczeń do innego: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Kliknij opcję Przenieś. 3. Wpisz nazwę nowego serwera i numer portu. 4. Kliknij opcję Przenieś. 4-9

102 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Replikowanie ustawień grup Za pomocą opcji Replikowanie ustawień można kopiować ustawienia między grupami lub sieciami. Ustawienia zostaną zastosowane dla wszystkich klientów, które są częścią grupy docelowej. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-6. Ekran Ustawienia replikacji Aby replikować ustawienia między grupami: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, której ustawienia mają być replikowane do innych grup. 2. Kliknij opcję Replikuj ustawienia. 3. Wybierz grupy docelowe, które mają odziedziczyć ustawienia z grupy źródłowej. 4. Kliknij przycisk Zastosuj. 4-10

103 Konfigurowanie grup komputerów iserwerów Rozdział 5 W tym rozdziale opisano czynności umożliwiające skonfigurowanie grup komputerów i serwerów. Rozdział obejmuje następujące zagadnienia: Przegląd opcji grup komputerów i serwerów, które można konfigurować na str. 5-2 Oprogramowanie antywirusowe/anty-spyware na str. 5-3 Zapora na str. 5-9 Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str TrendSecure na str Skanowanie poczty POP3 na str Uprawnienia klienta na str Kwarantanna na str

104 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Przegląd opcji grup komputerów i serwerów, które można konfigurować W programie Worry-Free Business Security grupa to zbiór klientów korzystających z takiej samej konfiguracji i wykonujących te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wiele klientów i zarządzać nimi. Więcej informacji znajduje się wsekcji Praca z grupami na str Poniższe funkcje są dostępne po wybraniu grupy i kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: TABELA 5-1. Opcje grup komputerów i serwerów, które można konfigurować Opcja Opis Domyślnie włączone? Oprogramowanie antywirusowe/anty-sp yware Konfigurowanie opcji skanowania w czasie rzeczywistym, ochrony antywirusowej i przeciwdziałania oprogramowaniu typu spyware. Włączone (skanowanie w czasie rzeczywistym) Zapora Konfigurowanie opcji zapory Wyłączone Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań TrendSecure Skanowanie poczty POP3 Uprawnienia klienta Kwarantanna Konfigurowanie opcji ochrony przed zagrożeniami internetowymi W biurze i Poza biurem Konfigurowanie opcji monitorowania zachowań Konfigurowanie opcji W biurze i Poza biurem ochrony narzędzi Transaction Protector i TrendProtect Konfigurowanie opcji skanowania wiadomości POP3 Konfigurowanie dostępu do ustawień z konsoli klienta Należy określić katalog kwarantanny W biurze: Włączone, Niski. Poza biurem: Włączone, Wysoki. Wyłączone W biurze: Wyłączone Poza biurem: Włączone Wyłączone nd. nd. 5-2

105 Konfigurowanie grup komputerów i serwerów Uwaga: Inne ustawienia klienta, jak na przykład Filtrowanie zawartości, oraz ich zastosowanie to wszystkich klientów jest możliwe za pośrednictwem karty Komputer/serwer na ekranie Preferencje > Ustawienia globalne. Oprogramowanie antywirusowe/anty-spyware Skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania jest kluczowym elementem strategii programu Worry-Free Business Security. Podczas skanowania współpracujący z plikiem sygnatur wirusów silnik skanowania firmy Trend Micro przeprowadza wykrywanie na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus/złośliwy program zawiera unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści w laboratoriach TrendLabs przechwytują nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. W razie wykrycia pliku zawierającego zagrożenie silnik skanowania wyczyści ten plik, podda go kwarantannie, usunie lub zamieni na tekst/plik. Te operacje można dostosować podczas konfigurowania zadań skanowania. Program Worry-Free Business Security udostępnia trzy rodzaje skanowania w celu ochrony komputerów klienckich przed zagrożeniami internetowymi: Skanowanie w czasie rzeczywistym: Skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. Zobacz temat Konfigurowanie skanowania w czasie rzeczywistym na str. 5-5, aby uzyskać więcej informacji.. Skanowanie ręczne: Skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia z plików na komputerach klienckich. Ten rodzaj skanowania usuwa także wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego program Worry-Free Business Security wykonuje działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora. Zobacz temat Skanowanie ręczne na str. 7-2, aby uzyskać więcej informacji. 5-3

106 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Skanowanie zaplanowane: Skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki skanowane są w określonym czasie i z ustaloną częstotliwością. Funkcję zaplanowanego skanowania stosuje się w celu zwiększenia wydajności zarządzania ochroną przed zagrożeniami, jak również do zautomatyzowania zaplanowanego skanowania klientów. Patrz Skanowanie zaplanowane na str. 7-2, aby uzyskać więcej informacji. Domyślne ustawienia skanowania w czasie rzeczywistym Domyślnie program Worry-Free Business Security ustawia dla agentów skanowanie w czasie rzeczywistym. W celu ochrony klientów nie jest wymagane wprowadzanie dodatkowych danych. Agenci podczas skanowania w poszukiwaniu zagrożeń internetowych korzystają zustawień zalecanych przez firmę Trend Micro. Po wykryciu zagrożenia program wykonuje operację domyślną przeciwdziałającą tym zagrożeniom oraz zapisuje operacje w dzienniku. Wyniki można zobaczyć na ekranie Stan aktywności lub po wygenerowaniu raportów lub kwerend dziennika. Domyślne ustawienia skanowania w czasie rzeczywistym zalecane przez firmę Trend Micro: Skanowanie w czasie rzeczywistym jest włączone. Agenci korzystają z funkcji IntelliScan w celu wybierania plików do skanowania. Agenci nie skanują folderów, w których są zainstalowane produkty firmy Trend Micro. Po wykryciu zagrożenia przez agentów domyślną operacją jest użycie funkcji ActiveAction. Po wykryciu programu spyware/grayware przez agentów domyślną operacją jest czyszczenie. Agenci usuwają pliki, których nie można wyczyścić. Agenci tworzą kopię zapasową wszystkich plików przed podjęciem operacji przeciw wykrytym zagrożeniom. TABELA 5-2. Zalecane operacje w przypadku wykrycia zagrożenia Wszystkie typy Zagrożenie Wirusy/złośliwe oprogramowanie Wyczyść Wyczyść Zalecana operacja 5-4

107 Konfigurowanie grup komputerów i serwerów TABELA 5-2. Zalecane operacje w przypadku wykrycia zagrożenia Zagrożenie Robaki/Trojany Żart Skompresowane pliki Wirus testowy Inne zagrożenia Zalecana operacja Kwarantanna Kwarantanna Kwarantanna Pominięcie Wyczyść Konfigurowanie skanowania w czasie rzeczywistym Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Oprogramowanie antywirusowe/anty-spyware RYSUNEK 5-1. Ekran Ustawienia zabezpieczeń > Oprogramowanie antywirusowe/anty-spyware 5-5

108 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby skonfigurować skanowanie w czasie rzeczywistym: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Oprogramowanie antywirusowe/anty-spyware: Włącz oprogramowanie antywirusowe/anty-spyware działające w czasie rzeczywistym Pliki do skanowania Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz Funkcja Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: Program Worry-Free Business Security skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Określ, kiedy pliki mają być skanowane. Skanuj pliki tworzone, modyfikowane lub pobierane Skanuj pliki pobierane Skanuj pliki tworzone lub modyfikowane Wyłączenia: Umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro. Nie skanuj następujących katalogów: Wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj następujących plików: Wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, a następnie kliknij przycisk Usuń. 5-6

109 Konfigurowanie grup komputerów i serwerów Nie skanuj plików o następujących rozszerzeniach: Wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Uwaga: Jeżeli na kliencie zainstalowany jest program Microsoft Exchange Server, firma Trend Micro zaleca wyłączenie wszystkich folderów programu Microsoft Exchange Server ze skanowania. Aby wyłączyć ze skanowania wszystkie foldery serwera Exchange, przejdź do pozycji Preferencje > Ustawienia globalne, kliknij kartę Komputer/serwer i zaznacz opcję Wyklucz foldery Microsoft Exchange, jeśli program jest zainstalowany na serwerze Microsoft Exchange. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (dla skanowania antywirusowego): Mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-6, aby uzyskać więcej informacji. Skanuj zmapowane dyski i udostępnione foldery sieciowe (dla skanowania antywirusowego) Skanuj dyskietkę podczas zamykania systemu (dla skanowania antywirusowego) Skanuj pliki skompresowane (dla skanowania antywirusowego): Wybierz liczbę warstw do skanowania. Lista dozwolonych programów spyware/grayware (dla skanowania anty-spyware): Ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 7-8, aby uzyskać więcej informacji. 2. Na karcie Operacja ekranu Oprogramowanie antywirusowe/anty-spyware określ sposób postępowania programu Worry-Free Business Security w przypadku wykrycia zagrożeń: Operacja w przypadku wykrycia wirusa 5-7

110 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Wykonaj taką samą operację w przypadku wszystkich wykrytych zagrożeń internetowych: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: Kopia zarażonego pliku zostanie zapisana w następującym katalogu komputera klienckiego: C:\Program Files\Trend Micro\Client Server Security Agent\Backup Operacja w przypadku wykrycia spyware/grayware Wyczyść: Podczas czyszczenia oprogramowania typu spyware/grayware program Worry-Free Business Security może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Odmów dostępu OSTRZEŻENIE! Odmawianie dostępu aplikacji typu spyware/grayware do komputera nie usuwa takiej aplikacji z zainfekowanych klientów. Ustawienia zaawansowane W przypadku wykrycia wirusa/spyware wyświetl komunikat ostrzeżenia na komputerze lub serwerze 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str

111 Konfigurowanie grup komputerów i serwerów Zapora Zapora pomaga chronić komputery klienckie przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między komputerem klienckim a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Dodatkowo zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na komputery klienckie. Program WFBS umożliwia wybranie jednej z dwóch opcji konfigurowania zapory: tryb prosty lub zaawansowany. W trybie prostym włączane są domyślne ustawienia zapory, zalecane przez firmę Trend Micro. Aby dostosować ustawienia zapory, należy użyć trybu zaawansowanego. Wskazówka: Firma Trend Micro zaleca odinstalowanie innych zapór z komputerów klienckich przed zainstalowaniem i włączeniem zapory. Najnowsze informacje na temat zgodności zapór innych firm znajdują się pod adresem viewxml.do?contentid=en Domyślne ustawienia trybu prostego zapory Zapora zapewnia ustawienia domyślne, które stanowią podstawę opracowania strategii ochrony komputerów klienckich. Domyślne reguły i wyjątki powinny obejmować często występujące warunki, które mogą pojawiać się na komputerach klienckich, takie jak potrzeba dostępu do Internetu bądź pobierania lub przesyłania plików przy użyciu protokołu FTP. Uwaga: Domyślnie w programie WFBS zapora jest wyłączona we wszystkich nowych grupach i klientach. TABELA 5-3. Domyślne ustawienia zapory Poziom zabezpieczeń Niskie Opis Przychodzący i wychodzący ruch dozwolony, zablokowane tylko wirusy sieciowe. 5-9

112 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ustawienia Stan System wykrywania intruzów IDS Komunikat ostrzeżenia (wysyłanie) Wyłączone Wyłączone Nazwa wyjątku Operacja Kierunek Protokół Port DNS Zezwól Przychodzące i wychodzące NetBIOS Zezwól Przychodzące i wychodzące HTTPS Zezwól Przychodzące i wychodzące HTTP Zezwól Przychodzące i wychodzące Telnet Zezwól Przychodzące i wychodzące SMTP Zezwól Przychodzące i wychodzące FTP Zezwól Przychodzące i wychodzące POP3 Zezwól Przychodzące i wychodzące MSA Zezwól Przychodzące i wychodzące TCP/UDP 53 TCP/UDP 137,138,139,445 TCP 443 TCP 80 TCP 23 TCP 25 TCP 21 TCP 110 TCP 16372,16373 Lokalizacja Ustawienia zapory W biurze Poza biurem Wył. Wył. 5-10

113 Konfigurowanie grup komputerów i serwerów Filtrowanie ruchu Zapora monitoruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów: Kierunek (przychodzący lub wychodzący) Protokoły (TCP/UDP/ICMP) Porty docelowe Komputer docelowy Informacje na temat filtrowania ruchu znajdują się w sekcji Praca z wyjątkami zapory na str System wykrywania intruzów Zapora zawiera również system wykrywania intruzów (IDS). Po uruchomieniu system IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą wskazywać na atak na klienta. Zapora umożliwia zapobieganie następującym typom ataków: Ponadwymiarowy fragment: Ta luka obejmuje wyjątkowo duże fragmenty w datagramie IP. Niektóre systemy operacyjne nie obsługują prawidłowo dużych fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Atak Ping of Death: Ping of Death (w skrócie POD ) to typ ataku polegający na wysłaniu zniekształconego lub złośliwego polecenia ping do komputera. Polecenie ping ma zwykle wielkość 64 bajtów (lub 84 bajtów po uwzględnieniu nagłówka IP). Wiele systemów komputerowych nie może obsłużyć polecenia ping przekraczającego maksymalną wielkość pakietu IP, która wynosi bajtów. Wysłanie polecenia ping o tej wielkości może spowodować zawieszenie komputera docelowego. Skonfliktowane ARP: Ten atak występuje, kiedy źródłowe i docelowe adresy IP są identyczne. Atak typu SYN flood: Atak typu SYN flood to forma ataku typu "odmowa usługi", w którym osoba atakująca wysyła kolejne żądania SYN do systemu docelowego. Pokrywający się fragment: Ta luka obejmuje dwa fragmenty w obrębie tego samego datagramu IP, których przesunięcie wskazuje na współdzielenie położenia w datagramie. Może to oznaczać, że fragment A zostaje całkowicie lub częściowo 5-11

114 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora nadpisany przez fragment B. Niektóre systemy operacyjne nie obsługują prawidłowo pokrywających się fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Jest to podstawa do tzw. ataków odmowy obsługi typu teardrop. Atak typu Teardrop: Atak typu teardrop jest związany z wysyłaniem do komputera docelowego fragmentów IP z pokrywającymi się ładunkami o nadmiernej wielkości. Błąd w kodzie ponownego asemblowania fragmentacji TCP/IP w różnych systemach operacyjnych spowodował, że fragmenty są niepoprawnie obsługiwane, co prowadzi do zawieszenia tych systemów. Niewielki fragment: Jeśli dowolny fragment poza końcowym ma wielkość mniejszą niż 400 bajtów, oznacza to, że fragment ten został specjalnie utworzony. Małe fragmenty mogą być używane w atakach typu "odmowa usługi" lub w przypadku próby pominięcia zabezpieczeń lub wykrywania. Pofragmentowany IGMP: Kiedy klient odbiera pofragmentowany pakiet IGMP (Internet Group Management Protocol), wydajność klienta może się obniżyć lub komputer może przestać reagować (zawiesić się), wymagając ponownego uruchomienia w celu przywrócenia działania. Atak typu LAND: Atak typu LAND to atak typu "odmowa usługi", który obejmuje wysyłanie specjalnie sfałszowanego, zatrutego pakietu do komputera, powodując niepożądane działanie sprzętu. Ten atak jest związany z wysyłaniem sfałszowanego pakietu TCP SYN (inicjacja połączenia) z adresem IP hosta docelowego i otwartym portem zarówno jako źródło, jak i miejsce docelowe. Kontrola stanowa Zapora zapewnia przetwarzanie z pełną analizą pakietów i monitoruje wszystkie połączenia z komputerem klienckim, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach i regułach, ale także na kontekście ustanowionym w czasie analizowania połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. 5-12

115 Konfigurowanie grup komputerów i serwerów Konfigurowanie zapory Uwaga: Zaporę należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem RYSUNEK 5-2. Ekran Zapora - W biurze Aby skonfigurować zaporę: 1. Zmień odpowiednio następujące opcje na ekranie Zapora: Włącz zaporę: Wybierz, aby włączyć zaporę dla grupy i lokalizacji. Tryb prosty: Włącza zaporę z ustawieniami domyślnymi. Patrz część Domyślne ustawienia zapory na str

116 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Tryb zaawansowany: Włącza zaporę z ustawieniami niestandardowymi. Informacje na temat opcji konfiguracji znajdują się w sekcji Zaawansowane opcje zapory na str Kliknij przycisk Zapisz. Zmiany zostają zastosowane natychmiast. Zaawansowane opcje zapory Zaawansowane opcje zapory umożliwiają skonfigurowanie niestandardowych ustawień zapory dla określonej grupy klientów. Aby skonfigurować zaawansowane opcje zapory: 1. Na ekranie Zapora wybierz pozycję Tryb zaawansowany. 2. Zmień odpowiednio następujące opcje: Poziom zabezpieczeń: Poziom zabezpieczeń określa reguły ruchu, które mają być stosowane na portach spoza listy wyjątków. Wysoki: Blokuje cały ruch przychodzący i wychodzący. Średni: Blokuje cały ruch przychodzący, ruch wychodzący jest dozwolony. Niski: Zezwala na cały ruch przychodzący i wychodzący. Ustawienia Włącz system wykrywania intruzów: System wykrywania intruzów identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak. Patrz System wykrywania intruzów na str. 5-11, aby uzyskać więcej informacji. Włącz komunikaty ostrzeżeń: Kiedy program Worry-Free Business Security wykryje naruszenie, zostanie powiadomiony administrator. Więcej informacji jest zawartych w sekcji Konfigurowanie powiadomień na str Wyjątki: Porty na liście wyjątków nie będą blokowane. Zobacz temat Praca zwyjątkami zapory na str. 5-15, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. 5-14

117 Konfigurowanie grup komputerów i serwerów Praca z wyjątkami zapory Wyjątki obejmują określone ustawienia, które zezwalają na różny typ ruchu lub blokują go na podstawie kierunku, protokołu, portu i komputerów. Na przykład podczas epidemii można zablokować cały ruch kliencki, łącznie z ruchem przez port HTTP (port 80). Jeżeli jednak zablokowani klienci mają mieć dostęp do Internetu, można dodać serwer proxy sieci Internet do listy wyjątków. Dodawanie wyjątków Aby dodać wyjątek: 1. Na ekranie Zapora tryb zaawansowany kliknij przycisk Dodaj w sekcji Wyjątki. 2. Zmień odpowiednio opcje: Nazwa: Wpisz unikalną nazwę wyjątku. Akcja: Blokowanie lub zezwolenie na ruch dla wybranego protokołu, portów i klientów. Kierunek: Opcja Przychodzące oznacza ruch z Internetu do sieci. Opcja Wychodzące oznacza ruch z sieci do Internetu. Protokół: Protokół ruchu sieciowego dla tego wyjątku. Porty Wszystkie porty (domyślne) Zakres Określone porty: Poszczególne wpisy należy oddzielać przecinkami. Komputer Wszystkie adresy IP (domyślne) Zakres IP Pojedynczy adres IP: Adres IP określonego klienta. 3. Kliknij przycisk Zapisz. Wyświetlony zostanie ekran Konfiguracja zapory. Na liście wyjątków znajduje się nowy wyjątek. 5-15

118 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Edytowanie wyjątków Aby poddać wyjątek edycji: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek, który chcesz edytować. 2. Kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. Patrz Dodawanie wyjątków na str. 5-15, aby uzyskać więcej informacji. 4. Kliknij przycisk Zapisz. Usuwanie wyjątków Aby usunąć wyjątek: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek do usunięcia. 2. Kliknij przycisk Usuń. Ochrona przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. Jeśli ochrona przed zagrożeniami sieciowymi blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawiera sekcja Ochrona przed zagrożeniami internetowymi na str

119 Konfigurowanie grup komputerów i serwerów Konfigurowanie ochrony przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi ocenia potencjalne zagrożenia wszystkich żądanych adresów URL, przeglądając bazę danych Trend Micro Security dla każdego żądania HTTP. Uwaga: Ustawienia ochrony przed zagrożeniami internetowymi należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Ochrona przed zagrożeniami internetowymi > W biurze/poza biurem RYSUNEK 5-3. Ekran Ustawienia zabezpieczeń > Ochrona przed zagrożeniami internetowymi Aby dokonać edycji ustawień ochrony przed zagrożeniami internetowymi: 1. Zmień odpowiednio następujące ustawienia na ekranie Ochrona przed zagrożeniami internetowymi: Włącz ochronę przed zagrożeniami internetowymi 5-17

120 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Poziom zabezpieczeń Wysoki: Blokuje strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Powiązane ze spamem lub mogące stanowić zagrożenie. Strony niesklasyfikowane Średni: Blokuje strony które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Niski: Blokuje strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. 2. Kliknij przycisk Zapisz. Monitorowanie zachowań Agenci stale monitorują komputery klienckie pod kątem nietypowych modyfikacji systemu operacyjnego lub zainstalowanego oprogramowania. Administratorzy (lub użytkownicy) mogą tworzyć listy wyjątków umożliwiające działanie niektórych programów z naruszeniem monitorowanej zmiany, bądź całkowicie zablokować określone programy. Ponadto zawsze jest możliwe uruchomienie programów zprawidłowymi podpisami cyfrowymi. Informacje na temat rozwiązywania problemów związanych z podpisami cyfrowymi znajdują się wsekcji Nieprawidłowe/nieważne podpisy cyfrowe na str Tabela Tabela 5-4 na str zawiera opis i wartości domyślne monitorowanych zmian. TABELA 5-4. Opis i wartości domyślne monitorowanych zmian Monitorowana zmiana Nowy program startowy Opis Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Wartość domyślna Pytaj wrazie konieczności 5-18

121 Konfigurowanie grup komputerów i serwerów TABELA 5-4. Opis i wartości domyślne monitorowanych zmian Monitorowana zmiana Modyfikacja pliku hosts Wstrzykiwanie biblioteki programu Nowy dodatek do przeglądarki Internet Explorer Modyfikacja ustawień przeglądarki Internet Explorer Modyfikacja powłoki Nowa usługa Modyfikacja reguł zabezpieczeń Modyfikacja reguł zapory Opis Plik hosts dopasowuje nazwy domen do adresów IP. Wiele złośliwych programów modyfikuje plik hosts, przez co przeglądarka internetowa zostaje przekierowana do zainfekowanych, nieistniejących lub fałszywych witryn sieci Web. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Programy spyware/grayware często instalują niechciane dodatki do przeglądarki Internet Explorer, włącznie z paskami narzędzi i obiektami pomocniczymi przeglądarki. Wiele wirusów i złośliwych programów zmienia ustawienia przeglądarki Internet Explorer, takie jak strona domowa, zaufane witryny sieci Web, ustawienia serwera proxy i rozszerzenia menu. Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows, aby utworzyć powiązania zokreślonymi typami plików. W ten sposób złośliwe programy mogą być uruchamiane automatycznie, jeśli użytkownik otworzy powiązane pliki w Eksploratorze Windows. Zmiany w ustawieniach powłoki systemu Windows umożliwiają złośliwym programom także śledzenie używanych programów i uruchamianie się wraz z autentycznymi aplikacjami. Usługi systemu Windows to procesy mające specjalne funkcje, które zwykle działają w tle, z pełnym dostępem administracyjnym. Złośliwe programy czasami instalują się jako usługi w celu pozostania w ukryciu. Modyfikacje reguł zabezpieczeń systemu Windows mogą umożliwić uruchamianie niechcianych aplikacji oraz zmianę przez nie ustawień systemu. Reguły zapory systemu Windows określają aplikacje mające dostęp do sieci, porty otwarte do komunikacji oraz adresy IP, które mogą komunikować się z komputerem. Wiele złośliwych programów modyfikuje reguły, aby zapewnić sobie dostęp do sieci i Internetu. Wartość domyślna Zawsze blokuj Pytaj wrazie konieczności Pytaj wrazie konieczności Zawsze blokuj Pytaj wrazie konieczności Pytaj wrazie konieczności Zawsze blokuj Pytaj wrazie konieczności 5-19

122 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 5-4. Opis i wartości domyślne monitorowanych zmian Monitorowana zmiana Modyfikacja systemu plików Zduplikowany system plików Dostawca usług warstwowych Opis Niektóre pliki systemowe Windows określają zachowanie systemu, włącznie z programami startowymi i ustawieniami wygaszacza ekranu. Wiele złośliwych programów modyfikuje pliki systemowe w celu automatycznego uruchamiania podczas startu komputera i kontrolowania działania systemu. Wiele złośliwych programów tworzy kopie siebie lub innych złośliwych programów przy użyciu nazw plików systemowych Windows. Zwykle jest to wykonywane w celu nadpisania lub zastąpienia plików systemowych, zapobiegania wykryciu lub zniechęcenia użytkowników do usuwania złośliwych plików. Dostawca usług warstwowych może manipulować przychodzącym i wychodzącym ruchem sieciowym. Złośliwe programy mogą używać dostawców usług warstwowych w celu przechwytywania komunikacji sieciowej i uzyskiwania dostępu do sieci. Wartość domyślna Zawsze blokuj Pytaj wrazie konieczności Pytaj wrazie konieczności Zmienne środowiskowe Program Worry-Free Business Security umożliwia użycie zmiennych środowiskowych w celu określenia konkretnych folderów na komputerze klienckim. Za pomocą tych zmiennych można utworzyć wyjątki dla określonych folderów. Poniższa tabela przedstawia dostępne zmienne: TABELA 5-5. Obsługiwane zmienne Zmienna środowiskowa $windir$ $rootdir$ $tempdir$ $programdir$ Folder Windows Folder główny Wskazuje na... Folder tymczasowy systemu Windows Folder Program Files 5-20

123 Konfigurowanie grup komputerów i serwerów Konfigurowanie monitorowania zachowań Funkcja Monitorowanie zachowań chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Monitorowanie zachowań RYSUNEK 5-4. Ekran Monitorowanie zachowań 5-21

124 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby edytować ustawienia funkcji Monitorowanie zachowań: 1. Zmień odpowiednio następujące ustawienia na ekranie Monitorowanie zachowań: Włącz monitorowanie zachowań Uwaga: Przejdź do opcji Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta i wsekcji Monitorowanie zachowań wybierz polecenie Edytuj listę wyjątków. Włącz ochronę programu Intuit QuickBooks : Ochrona plików i folderów oprogramowania Intuit QuickBooks przed nieautoryzowanymi zmianami przez inne programy. Włączenie tej funkcji nie wpłynie na zmiany dokonywane z poziomu programów Intuit QuickBooks, ale uniemożliwi dokonanie zmian w plikach poprzez inne nieautoryzowane aplikacje. Obsługiwane są następujące produkty: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Wskazówka: Firma Trend Micro zaleca włączenie tej funkcji. Monitorowane zmiany: Wybierz opcję Zawsze zezwalaj, Pytaj w razie konieczności lub Zawsze blokuj dla każdej monitorowanej zmiany. Informacje na temat różnych zmian znajdują się w tabeli Tabela 5-4 na str Wyjątki: Wyjątki obejmują Listę dozwolonych programów i Listę zablokowanych programów: Programy z Listy dozwolonych programów mogą być uruchamiane, nawet jeśli naruszają monitorowaną zmianę, natomiast programów z listy Listy zablokowanych programów nie można nigdy uruchamiać. 5-22

125 Konfigurowanie grup komputerów i serwerów Pełna ścieżka programu: Wpisz pełną ścieżkę programu. Poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj do listy dozwolonych programów lub Dodaj do listy zablokowanych programów. W razie potrzeby użyj zmiennych środowiskowych do określenia ścieżek. Lista obsługiwanych zmiennych znajduje się w tabeli Tabela 5-5, Obsługiwane zmienne na str Lista dozwolonych programów: Programy (maksymalnie 100) z tej listy mogą być uruchamiane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Lista zablokowanych programów: Programy (maksymalnie 100) z tej listy nigdy nie mogą być uruchomione. Kliknij odpowiednią ikonę, aby usunąć pozycję. 2. Kliknij przycisk Zapisz. TrendSecure Usługa TrendSecure obejmuje zestaw narzędzi działających w oparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach. Funkcja Transaction Protector określa bezpieczeństwo połączenia bezprzewodowego poprzez sprawdzenie autentyczności punktu dostępu. Funkcja ta obejmuje narzędzie do szyfrowania danych osobistych, które użytkownicy wprowadzają w witrynach internetowych. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor. Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Szyfrowanie klawiatury: Ukrywa wpisywany tekst przed keyloggerami. 5-23

126 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Oceny stron: Określa bezpieczeństwo bieżącej strony. Uwaga: Ustawienia usługi TrendSecure należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Konfigurowanie usługi TrendSecure Istnieje możliwość skonfigurowania dostępności narzędzi TrendSecure dla użytkowników w zależności od ich lokalizacji. Uwaga: Usługę TrendSecure należy skonfigurować dla połączeń W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą wymuszane ustawienia Połączenie wewnętrzne. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Paski narzędzi TrendSecure > W biurze/poza biurem 5-24

127 Konfigurowanie grup komputerów i serwerów RYSUNEK 5-5. Ekran Paski narzędzi TrendSecure W biurze Aby dokonać edycji dostępności narzędzi TrendSecure: 1. Zmień odpowiednio następujące ustawienia na ekranie Paski narzędzi TrendSecure W biurze/poza biurem: Włącz narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Włącz szyfrowanie klawiatury: Ukrywa wpisywany tekst przed keyloggerami. Włącz ocenę stron: Określa bezpieczeństwo bieżącej strony. 2. Kliknij przycisk Zapisz. Uwaga: Paski narzędzi TrendSecure można udostępnić dla agentów tylko z poziomu konsoli internetowej. Użytkownicy muszą instalować i odinstalowywać narzędzia z poziomu konsoli agenta. 5-25

128 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Skanowanie poczty POP3 Skanowanie poczty POP3 oraz użycie dodatku Pasek narzędzi Anty-spam firmy Trend Micro chroni klientów przez spamem i zagrożeniami przesyłanymi w wiadomościach POP3. Uwaga: Domyślnie skanowanie poczty POP3 obsługuje tylko nowe wiadomości wysyłane za pośrednictwem portu 110 w folderze wiadomości przychodzących i folderze wiadomości-śmieci. Nie obsługuje bezpiecznego skanowania poczty POP3 (SSL-POP3), z którego domyślnie korzysta program Exchange Server Wymagania skanowania poczty POP3 Skanowanie poczty POP3 obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Microsoft Vista) Mozilla Thunderbird w wersji 1.5 i 2.0 Uwaga: Skanowanie poczty POP3 nie wykrywa zagrożeń i spamu w wiadomościach IMAP. Wymagania paska narzędzi Anti-Spam Pasek narzędzi Trend Micro Anti-Spam obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Windows Vista) Pasek narzędzi Anti-Spam obsługuje następujące systemy operacyjne: Windows XP SP2 (wersja 32-bitowa) 5-26

129 Konfigurowanie grup komputerów i serwerów Windows Vista 32- i 64-bitowy Włączanie skanowania poczty Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Skanowanie poczty RYSUNEK 5-6. Ekran Skanowanie poczty Aby dokonać edycji dostępności funkcji skanowania poczty: 1. Zmień odpowiednio następujące ustawienia na ekranie Skanowanie poczty: Włącz skanowanie POP3 w czasie rzeczywistym Włączanie paska narzędzi Trend Micro Anti-Spam 2. Kliknij przycisk Zapisz. Konfiguracja skanowania poczty POP3 w celu przeskanowania innych portów Skanowanie poczty POP3 można skonfigurować w taki sposób, aby skanowane były wiadomości wysyłane za pośrednictwem innych portów niż domyślny port 110. Uwaga: Ta zaawansowana procedura wymaga zmodyfikowania rejestru systemu Windows oraz ponownego uruchomienia usługi proxy firmy Trend Micro na każdym kliencie. Procedurę tę należy wykonać wyłącznie wtedy, jeśli jest to konieczne. Należy również pamiętać o wykonaniu kopii zapasowej rejestru. 5-27

130 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby skonfigurować skanowanie poczty POP3 w celu przeskanowania portów innych niż domyślny: 1. Kliknij kolejno Start > Uruchom. 2. Wprowadź REGEDIT i kliknij przycisk OK. Otworzy się Edytor rejestru. 3. Przejdź do następującego klucza podrzędnego rejestru: HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ ProtocolHandler\pop3\Redirect\Pop3Mailer 4. Kliknij prawym przyciskiem myszy wartość Port, a następnie wybierz pozycję Modyfikuj. 5. Upewnij się, że jako Baza wybrana jest pozycja Liczby dziesiętne, a następnie w pozycji Wartość danych określ numer portu, który ma zostać przeskanowany. 6. Kliknij przycisk OK, a następnie zamknij Edytora rejestru. 7. Kliknij kolejno Start > Uruchom. 8. Wprowadź CMD i kliknij przycisk OK. 9. W wierszu polecenia wpisz polecenie net stop tmproxy, aby zatrzymać usługę proxy firmy Trend Micro. 10. Po zatrzymaniu usługi, aby uruchomić usługę proxy, wprowadź polecenie net start tmproxy. Uprawnienia klienta Uprawnienia klienta należy przyznać, aby umożliwić użytkownikom modyfikowanie ustawień agenta zainstalowanego na komputerze. Wskazówka: Aby zachować określone reguły zabezpieczeń wcałej organizacji, firma Trend Micro zaleca nadanie użytkownikom ograniczonych uprawnień. Dzięki temu użytkownicy nie będą mogli modyfikować ustawień skanowania ani wyłączać programu Client/Server Security Agent. 5-28

131 Konfigurowanie grup komputerów i serwerów Konfigurowanie uprawnień klienta Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta RYSUNEK 5-7. Ekran Uprawnienia klienta Aby przyznać uprawnienia klientom: 1. Zmień odpowiednio następujące ustawienia na ekranie Uprawnienia klienta: Oprogramowanie antywirusowe/anty-spyware Ustawienia skanowania ręcznego Ustawienia skanowania zaplanowanego 5-29

132 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ustawienia skanowania w czasie rzeczywistym Zatrzymaj skanowanie zaplanowane Włącz tryb mobilny Zapora Wyświetlaj kartę Zapora Zezwalaj klientom na włączanie/wyłączanie zapory Uwaga: Jeśli użytkownikom zezwolono na włączanie i wyłączanie zapory, nie można zmieniać tych ustawień w konsoli internetowej. Jeśli użytkownikom nie przyznano tego uprawnienia, ustawienia można zmienić za pomocą konsoli internetowej. Informacje wyświetlane w obszarze ustawień zapory lokalnej agenta zawsze przedstawiają ustawienia skonfigurowane z poziomu agenta, a nie konsoli internetowej. Ochrona przed zagrożeniami internetowymi Edytuj listę dozwolonych adresów URL Monitorowanie zachowań Wyświetl kartę Monitorowanie zachowań ipozwól użytkownikom na dostosowywanie list: Pozwól użytkownikom na włączanie i wyłączanie monitorowania zachowań oraz konfigurowanie listy wyjątków i listy zabezpieczeń oprogramowania. Skanowanie poczty Umożliwia użytkownikom konfigurację skanowania poczty POP3 w czasie rzeczywistym Ustawienia proxy Zezwalaj użytkownikom na konfigurację ustawień serwera proxy Aktualizuj uprawnienia Wykonaj polecenie Aktualizuj teraz Włącz/wyłącz zaplanowaną aktualizację Ustawienia aktualizacji 5-30

133 Konfigurowanie grup komputerów i serwerów Pobieraj pliki z serwera Trend Micro ActiveUpdate: Kiedy użytkownicy zainicjują aktualizację, agent pobierze aktualizacje ze źródła określonego na ekranie Źródło aktualizacji. W przypadku niepowodzenia aktualizacji agent próbuje przeprowadzić aktualizację z programu Security Server. Wybranie opcji Pobieraj pliki z serwera Trend Micro ActiveUpdate umożliwi agentowi próbę pobrania aktualizacji z serwera Trend Micro ActiveUpdate w przypadku niepowodzenia aktualizacji z programu Security Server. Wskazówka: Aby zapewnić aktualizację agentów na przenośnych komputerach klienckich poza biurem, należy włączyć opcję Pobieraj pliki z serwera Trend Micro ActiveUpdate. Włącz zaplanowaną aktualizację Wyłącz aktualizację programu i instalację pakietu hot fix Bezpieczeństwo klienta Wysokie: Uniemożliwia dostęp do folderów, plików i pozycji rejestru agenta. Normalne: Umożliwia dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru agenta. Uwaga: W przypadku wybrania opcji Wysokie, ustawienia uprawnień dostępu do folderów, plików i pozycji rejestru agenta będą dziedziczone z folderu Program Files (w przypadku komputerów klienckich z systemu Windows Vista/2000/XP/Server 2003). Jeśli więc ustawienia uprawnień (ustawienia Bezpieczeństwo systemu Windows) pliku WINNT lub folderu Program Files zostaną ustawione na dostęp w trybie odczytu/zapisu, wybranie opcji Wysoki nadal umożliwi klientom dostęp w trybie odczytu/zapisu do folderów, plików i wpisów rejestru programu Client/Server Security Agent. 2. Kliknij przycisk Zapisz. 5-31

134 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Kwarantanna W katalogu kwarantanny przechowywane są zarażone pliki. Katalog kwarantanny może znajdować się na komputerze klienckim lub innym serwerze. Jeżeli określono niepoprawny katalog kwarantanny, agent użyje domyślnego katalogu kwarantanny na komputerze klienckim: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT Domyślny folder na serwerze to: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: Jeżeli program CSA nie może z jakiegoś powodu wysłać pliku do programu Security Server (np. ze względu na problem z połączeniem sieciowym), plik pozostaje w folderze z podejrzanymi plikami klienta. Agent ponowi próbę wysłania pliku po ponownym nawiązaniu połączenia z programem Security Server. Konfigurowanie katalogu kwarantanny Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Kwarantanna RYSUNEK 5-8. Ekran Katalog kwarantanny 5-32

135 Konfigurowanie grup komputerów i serwerów Aby skonfigurować katalog kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Katalog kwarantanny: Katalog kwarantanny: Wpisz adres URL lub ścieżkę UNC wskazujące miejsce przechowywania zarażonych plików. Przykład: lub \\TymczSerwer\Kwarantanna. 2. Kliknij przycisk Zapisz. 5-33

136 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 5-34

137 Rozdział 6 Korzystanie z funkcji Ochrona przed epidemią W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci i klientów. Rozdział obejmuje następujące zagadnienia: Strategia ochrony przed epidemią na str. 6-2 Bieżący stan na str. 6-3 Potencjalne zagrożenie na str. 6-9 Konfigurowanie funkcji Ochrona przed epidemią na str

138 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Strategia ochrony przed epidemią Funkcja ochrony przed epidemią jest kluczowym składnikiem rozwiązania Worry-Free Business Security i służy zabezpieczeniu firmy przed światową epidemią zagrożeń. Strategia ochrony przed epidemią opiera się na założeniu, że epidemie internetowe mają podobny przebieg. Przeciwdziałanie epidemii dzieli się na trzy etapy zapobieganie zagrożeniom, ochrona przed zagrożeniami i czyszczenie zagrożeń. Firma Trend Micro zwalcza każdy etap epidemii za pomocą strategii obrony o nazwie Ochrona przed epidemią. TABELA 6-1. Odpowiedź funkcji Ochrona przed epidemią na etapy epidemii Etap epidemii W pierwszym etapie rozwoju epidemii specjaliści w firmie TrendLabs obserwują zagrożenie, które aktywnie rozprzestrzenia się w Internecie. W tym momencie nie ma znanego rozwiązania dla tego zagrożenia. W następnym etapie epidemii, komputery, które uległy zagrożeniu, przekazują je innym komputerom. Zagrożenie zaczyna się szybko rozprzestrzeniać przez sieci lokalne, powodując zakłócenia wdziałalności firm i uszkadzając komputery. W końcowym etapie epidemii zagrożenie zanika, notuje się coraz mniej przypadków. Etap funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Funkcja Ochrona przed epidemią powstrzymuje zagrożenie zaatakowania komputerów i sieci poprzez podejmowanie operacji zgodnych z regułami ochrony przed epidemią pobranymi z serwerów aktualizacji firmy Trend Micro. Te operacje polegają na wysyłaniu raportów, blokowaniu portów i dostępu do folderów iplików. Ochrona przed zagrożeniami Funkcja Ochrona przed epidemią chroni zagrożone komputery, powiadamiając je o konieczności pobrania najnowszych składników i poprawek. Usuwanie zagrożeń Funkcja Ochrona przed epidemią naprawia uszkodzenia, uruchamiając usługi Damage Cleanup. Inne operacje skanowania dostarczają informacje, które administratorzy mogą wykorzystać wcelu przygotowania się do przyszłych zagrożeń. 6-2

139 Korzystanie z funkcji Ochrona przed epidemią Operacje funkcji Ochrona przed epidemią Strategia ochrony przed epidemią pozwala zarządzać epidemiami na każdym etapie ich przebiegu. W oparciu o reguły zapobiegania epidemii, funkcja automatycznej odpowiedzi na zagrożenie zazwyczaj podejmuje kroki zapobiegawcze, takie jak: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy/złośliwe oprogramowanie plików w folderach udostępnionych; Blokowanie portów w celu powstrzymania wirusów/złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do rozprzestrzeniania infekcji w sieci i na komputerach klienckich; Uwaga: Funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. Zablokowanie możliwości zapisu plików i folderów w celu zapobieżenia modyfikacji plików przez wirusy/złośliwe oprogramowanie Ocenianie zagrożenia komputerów klienckich rozwijającą się epidemią w sieci firmowej. Wdrażanie najnowszych wersji składników, takich jak plik sygnatur wirusów i silnik czyszczenia wirusów Przeprowadzanie czyszczenie na wszystkich komputerach klienckich, które uległy epidemii. Po włączeniu skanuje komputery klienckie oraz sieci i podejmuje operacje przeciwko wykrytym zagrożeniom. Bieżący stan Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan Konsola internetowa śledzi stan zagrożenia epidemiami wirusów/złośliwego oprogramowania na całym świecie i wyświetla na ten temat informacje na ekranie Bieżący stan. Stan w przybliżeniu odpowiada etapom rozwoju epidemii. Podczas zagrożenia epidemią funkcja Ochrona przed epidemią stosuje strategię ochrony przed epidemią w celu zabezpieczenia komputerów i sieci. Na każdym 6-3

140 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora etapie odświeża informacje na stronie Bieżący stan. Trzy etapy funkcji Ochrona przed epidemią: Zapobieganie zagrożeniom Ochrona przed zagrożeniami Czyszczenie zagrożeń RYSUNEK 6-1. Ekran Ochrona przed epidemią brak zagrożenia 6-4

141 Korzystanie z funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Na etapie zapobiegania zagrożeniom, na ekranie bieżącego stanu wyświetlane są informacje o ostatnich zagrożeniach, komputerach klienckich, które mają włączone ostrzeżenia oraz komputerach narażonych na bieżące zagrożenie. RYSUNEK 6-2. Ekran Ochrona przed epidemią etap zapobiegania zagrożeniom 6-5

142 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Informacje o zagrożeniu W sekcji Informacje o zagrożeniu wyświetlane są informacje o aktualnie występujących w Internecie wirusach/złośliwym oprogramowaniu, które stwarzają potencjalne zagrożenie dla sieci i klientów. Opierając się na informacjach o zagrożeniu, reguły ochrony przed epidemią podejmują odpowiednie kroki, aby zabezpieczyć sieć i klientów, podczas gdy w laboratoriach firmy Trend Micro opracowywane jest rozwiązanie problemu. (Patrz Reguły ochrony przed epidemią firmy Trend Micro na str. C-2). Więcej informacji o zagrożeniu można uzyskać w witrynie internetowej firmy Trend Micro, klikając kolejno łącza Pomoc > Informacje o zagrożeniach. W niniejszej sekcji znajdują się informacje związane z następującymi tematami: Poziom ryzyka: Poziom ryzyka, które niesie ze sobą zagrożenie, określony na podstawie liczby i poziomu zagrożenia wirusów i złośliwego oprogramowania. Szczegóły automatycznej odpowiedzi: Należy kliknąć, aby wyświetlić określone działania podejmowane w ramach reguł ochrony przed epidemią w celu zabezpieczenia komputerów klienckich przed bieżącym zagrożeniem. Aby wyłączyć funkcję Automatyczna odpowiedź po stronie serwera i agentów, należy kliknąć pozycję Wyłącz. Uwaga: Po wyłączeniu funkcji Ochrona przed epidemią firma Trend Micro zaleca uruchomienie funkcji Wyczyść teraz, aby ułatwić klientom usunięcie trojanów oraz jakichkolwiek aktywnych procesów związanych z trojanami i innymi typami złośliwego kodu. (Patrz Komputery do wyczyszczenia na str. 6-11). Stan ostrzeżenia komputerów w trybie online W sekcji Stan ostrzeżenia komputerów w trybie online wyświetlana jest liczba klientów, na których funkcja automatycznego ostrzegania jest włączona lub wyłączona. Kliknij łącze z numerem w kolumnach Włączone i Wyłączone, aby uzyskać szczegółowe informacje o określonych klientach. Komputery narażone na atak W sekcji Komputery narażone na atak wyświetlana jest lista klientów podatnych na zagrożenia wyświetlone w sekcji Informacje o zagrożeniach. 6-6

143 Korzystanie z funkcji Ochrona przed epidemią Ochrona przed zagrożeniami Na etapie ochrony przed zagrożeniami na ekranie Bieżący stan wyświetlane są informacje o stanie pobierania rozwiązania w odniesieniu do składników aktualizacji firmy Trend Micro oraz o stanie instalowania rozwiązania w odniesieniu do wszystkich agentów. RYSUNEK 6-3. Ekran Ochrona przed epidemią etap ochrony Stan pobierania rozwiązania W tej sekcji wyświetlana jest lista składników, które należy zaktualizować w odpowiedzi na listę zagrożeń wyświetloną w sekcji Informacje o zagrożeniu. Stan instalacji rozwiązania Wyświetlana jest także liczba agentów, na których są zainstalowane aktualne oraz nieaktualne składniki. Dostępne są także łącza służące do wyświetlenia klientów z aktualnymi lub nieaktualnymi składnikami. 6-7

144 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Usuwanie zagrożeń Na etapie czyszczenia zagrożeń na ekranie Bieżący stan wyświetlany jest stan skanowania, które odbywa się po wdrożeniu zaktualizowanych składników. Na tym etapie wyświetlany jest także stan komputerów klienckich po skanowaniu oraz lista zawierająca informacje na temat tego, czy zaktualizowane składniki pomyślnie wyczyściły lub usunęły pozostałości po zagrożeniach. RYSUNEK 6-4. Ekran Ochrona przed epidemią etap czyszczenia Uwaga: Aby skanowanie odbywało się automatycznie po wdrożeniu nowych składników, musi ono zostać włączone na ekranie Ochrona przed epidemią > Ustawienia. 6-8

145 Korzystanie z funkcji Ochrona przed epidemią Stan skanowania komputerów dla Klikając odpowiednie łącza, wyświetl listę komputerów klienckich, które otrzymały powiadomienie o skanowaniu pod kątem zagrożeń, oraz listę komputerów klienckich, które takiego powiadomienia nie otrzymały. Komputery klienckie, które nie są włączone lub zostały odłączone od sieci nie mogą otrzymywać powiadomień. Stan czyszczenia komputerów dla W tym panelu wyświetlane są wyniki skanowania czyszczącego. Należy kliknąć przycisk Eksportuj, aby wyeksportować te informacje. Potencjalne zagrożenie Ścieżka nawigacji: Ochrona przed epidemią > Potencjalne zagrożenie Ekran Potencjalne zagrożenie przedstawia informacje dotyczące zagrożeń bezpieczeństwa komputerów klienckich i sieci. Program Security Server zbiera informacje o zagrożeniach za pomocą funkcji oceny narażenia na atak i usługi Damage Cleanup. RYSUNEK 6-5. Ekran Potencjalne zagrożenie 6-9

146 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora W przeciwieństwie do ekranu Aktualne zagrożenie, na którym wyświetlane są informacje tylko o aktualnym zagrożeniu, ekran Potencjalne zagrożenie przedstawia informacje dotyczące wszystkich zagrożeń bezpieczeństwa komputerów klienckich i sieci, które nie zostały jeszcze usunięte. Komputery narażone na atak Komputer narażony na atak ma luki w zabezpieczeniach systemu operacyjnego lub aplikacji. Wiele zagrożeń wykorzystuje te luki, aby powodować szkody lub zdobyć nieuprawnioną kontrolę. A zatem luki w zabezpieczeniach stanowią ryzyko nie tylko dla komputera, na którym występują, ale również dla innych komputerów w sieci. Sekcja Komputery narażone na atak zawiera listę wszystkich komputerów klienckich w sieci, które zawierają luki w zabezpieczeniach odkryte od ostatniej oceny narażenia na atak. W prawym górnym rogu ekranu można sprawdzić czas ostatniej aktualizacji. Ekran Potencjalne zagrożenie przedstawia listę komputerów klienckich według poziomu ryzyka, jaki stanowią one w sieci. Poziom ryzyka jest obliczany przez firmę Trend Micro i oznacza liczbę względną i poziom zagrożenia związanego z lukami w zabezpieczeniach dla każdego komputera klienckiego. Po kliknięciu opcji Skanuj teraz w poszukiwaniu miejsc narażonych na atak program Worry-Free Business Security uruchomi funkcję Ocena narażenia na atak. Funkcja Ocena narażenia na atak sprawdza wszystkie komputery klienckie w sieci pod kątem narażenia na atak i wyświetla wyniki na ekranie Potencjalne zagrożenie. Funkcja Ocena narażenia na atak może dostarczyć następujących informacji na temat komputerów klienckich w sieci: Zidentyfikowanie luk w zabezpieczeniach, zgodnie ze standardową konwencją nazewnictwa. Dodatkowe informacje o luce w zabezpieczeniach i sposobie jej usuwania można uzyskać po kliknięciu jej nazwy. Wyświetlanie luk w zabezpieczeniach według komputera klienckiego i adresu IP. Wyniki zawierają poziom zagrożenia, jaki luka w zabezpieczeniach stwarza dla komputera klienckiego i całej sieci. Zgłaszanie luk w zabezpieczeniach. Zgłaszanie luk w zabezpieczeniach według poszczególnych komputerów klienckich i opisanie zagrożeń bezpieczeństwa, jakie te komputery klienckie stwarzają dla całej sieci. 6-10

147 Korzystanie z funkcji Ochrona przed epidemią W celu uzyskania dodatkowych informacji patrz Ocena narażenia na atak firmy Trend Micro na str. C-4. Komputery do wyczyszczenia Funkcja czyszczenia działa w tle w czasie skanowania agentów w poszukiwaniu wirusów. Nie jest konieczne ustawianie zaplanowanych operacji skanowania czyszczenia. Programy Client/Server Security Agent korzystają z funkcji czyszczenia do ochrony klientów przed trojanami. W celu usunięcia zagrożeń i niedogodności stwarzanych przez trojany i inne wirusy/złośliwe oprogramowanie, usługa Czyszczenie wykonuje następujące operacje: Wykrywa i usuwa aktywne trojany oraz inne wirusy/złośliwe aplikacje. Przerywa procesy tworzone przez trojany i inne wirusy/złośliwe aplikacje. Naprawia pliki systemowe, zmodyfikowane przez trojany i inne wirusy/złośliwe aplikacje. Usuwa pliki i aplikacje tworzone przez trojany i inne wirusy/złośliwe aplikacje. Do wykonywania tych zadań usługa Damage Cleanup wykorzystuje następujące elementy: Silnik czyszczenia wirusów: Służy do wykrywania i usuwania trojanów oraz ich procesów, robaków i spyware/grayware. Sygnatura czyszczenia wirusów: Używana przez silnik czyszczenia wirusów. Szablon ten pomaga w identyfikowaniu plików i procesów trojanów, robaków oraz spyware/grayware, umożliwiając ich eliminowanie przez silnik czyszczenia wirusów. W następujących sytuacjach na komputerach klienckich uruchamiane jest czyszczenie: Użytkownicy wykonują ręczne czyszczenie z poziomu agenta. Administratorzy uruchamiają funkcję Wyczyść teraz na klientach z poziomu konsoli internetowej. Użytkownicy uruchamiają skanowanie ręczne lub czyszczenie. Po zainstalowaniu pakietu hot fix lub poprawki. Po uruchomieniu programu Security Server. 6-11

148 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ponieważ usługa Damage Cleanup działa automatycznie, nie trzeba jej konfigurować. Użytkownicy nawet nie są świadomi jej działania, bowiem jest ona uruchamiana w tle (gdy agenci są uruchomieni). Program Security Server może jednak czasami powiadomić użytkownika o konieczności ponownego uruchomienia komputera klienckiego w celu zakończenia czyszczenia. Więcej informacji dotyczących sposobu działania usług Damage Cleanup Services znajduje się w sekcji Usługi Trend Micro Damage Cleanup Services na str. C-2. Konfigurowanie funkcji Ochrona przed epidemią Na ekranie Ustawienia można skonfigurować funkcje Ochrona przed epidemią i Ocena narażenia na atak. Ustawienia funkcji Ochrona przed epidemią Program Worry-Free Business Security uruchamia funkcję Ochrona przed epidemią w odpowiedzi na instrukcje, które otrzymuje w formie reguł ochrony przed epidemią. Reguły ochrony przed epidemią firmy Trend Micro są opracowywane i udostępnianie przez firmę Trend Micro, aby zapewnić optymalną ochronę komputerom klienckim i sieci w warunkach epidemii. Firma Trend Micro udostępnia reguły ochrony przed epidemią, kiedy zauważy częste i poważne incydenty związane z wirusami/złośliwym oprogramowaniem, które aktywnie rozprzestrzeniają się w Internecie. Domyślnie program Security Server pobiera reguły ochrony przed epidemią z serwera Trend Micro ActiveUpdate co 30 minut albo przy każdym uruchomieniu programu Security Server. Podczas działania funkcji Ochrona przed epidemią program Security Server stosuje reguły ochrony przed epidemią i podejmuje działania dla ochrony swoich komputerów klienckich i sieci. W takim przypadku działanie normalnych funkcji sieci będzie zakłócane przez czynności takie jak zablokowane porty czy niedostępność katalogów. Za pomocą opcji Ustawienia ochrony przed epidemią można dostosować funkcję Ochrona przed epidemią dla komputerów klienckich i sieci, unikając w ten sposób nieoczekiwanych konsekwencji wynikających z zastosowania reguł podczas działania funkcji Ochrona przed epidemią. 6-12

149 Korzystanie z funkcji Ochrona przed epidemią Czerwone alarmy Wiele jednostek biznesowych doniosło o szybkim rozprzestrzenianiu się wirusa/złośliwego oprogramowania. W tej sytuacji firma Trend Micro uruchamia rozwiązanie 45-minutowego czerwonego alarmu, którego elementami jest wydanie rozwiązań zapobiegawczych i sygnatur skanowania oraz wysyłanie odpowiednich powiadomień. Firma Trend Micro może również rozsyłać narzędzia naprawiania oraz informacje dotyczące luk w zabezpieczeniach oraz zagrożeń. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. Zalecane ustawienia funkcji Ochrona przed epidemią Poniższe ustawienia umożliwiają uzyskanie optymalnej ochrony: TABELA 6-2. Zalecane ustawienia funkcji Ochrona przed epidemią Ustawienie Włącz funkcję Automatyczna ochrona przed epidemią w przypadku ogłoszenia czerwonego alarmu przez firmę Trend Micro Wyłącz czerwone alarmy po Wyłącz czerwone alarmy po zainstalowaniu wymaganych składników Automatyczne skanowanie komputera/serwera Włącz funkcję Automatycznej ochrony przed epidemią w przypadku ogłoszenia żółtego alarmu przez firmę Trend Micro Wyłącz żółte alarmy po Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika Zalecana wartość Włączone 2 dni Włączone Włączone Wyłączone ND ND 6-13

150 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 6-2. Zalecane ustawienia funkcji Ochrona przed epidemią Ustawienie Zalecana wartość Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika. Automatyczne skanowanie komputera/serwera Wyjątki Ustawienia zaplanowanego pobierania reguł ND Włączone Podczas działania automatycznej odpowiedzi ochrony przed epidemią poniższe usługi nie zostaną zablokowane: DNS NetBios HTTPS (bezpieczny serwer sieci Web) HTTP (serwer sieci Web) Telnet SMTP (Simple Mail Transport Protocol) FTP (File Transfer Protocol) Poczta internetowa (POP3) Częstotliwość: Co 30 minut Źródło: Serwer Trend Micro ActiveUpdate 6-14

151 Korzystanie z funkcji Ochrona przed epidemią Konfigurowanie funkcji Ochrona przed epidemią Uwaga: Firma Trend Micro stworzyła ustawienia domyślne funkcji Ochrona przed epidemią, aby zapewnić optymalną ochronę komputerów klienckich i sieci. Przed dostosowaniem ustawień funkcji Ochrona przed epidemią należy uważnie sprawdzić te ustawienia i modyfikować je tylko wówczas, gdy znane są konsekwencje zmian. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 6-6. Karta Ochrona przed epidemią na ekranie Ustawienia Ochrony przed epidemią 6-15

152 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby skonfigurować ustawienia funkcji Ochrona przed epidemią: 1. Zmień odpowiednio następujące opcje: Włącz funkcję Ochrona przed epidemią w przypadku czerwonego alarmu ogłoszonego przez firmę Trend Micro: Reguły ochrony przed epidemią są stosowane do momentu kliknięcia opcji Ochrona przed epidemią > Aktualny status > Wyłącz, albo gdy zostanie spełniony jeden z warunków ustawień wyłączenia. Gdy program Security Server pobiera nową regułę zapobiegania epidemii, wcześniejsza reguła jest zatrzymywana. Wyłącz czerwone alarmy po x dniach: Czas trwania alarmu ochrony przed epidemią. Dokonaj automatycznego skanowania w poszukiwaniu wirusów po zainstalowaniu wymaganych składników dla: Komputery/serwery Ustawienia żółtego alarmu: Skonfiguruj opcje dla żółtych alarmów. Patrz Żółte alarmy na str. 6-13, aby uzyskać więcej informacji. Wyjątki: Porty, które nie będą blokowane podczas działania automatycznej odpowiedzi ochrony przed epidemią. Patrz Korzystanie z wyjątków funkcji Ochrona przed epidemią na str. 6-17, aby pracować zwyjątkami. Uwaga: Dodając nowy wyjątek, należy upewnić się, że pole wyboru Włącz ten wyjątek jest zaznaczone. Ustawienia zaplanowanego pobierania reguł: Ustawienia okresowego pobierania zaktualizowanych składników. Częstotliwość Źródło: Źródło aktualizacji. Serwer Trend Micro ActiveUpdate (domyślnie) Lokalizacja kopii bieżącego pliku w sieci Intranet Inne źródło aktualizacji: Dowolne inne źródło aktualizacji w Internecie. 2. Kliknij przycisk Zapisz. 6-16

153 Korzystanie z funkcji Ochrona przed epidemią Korzystanie z wyjątków funkcji Ochrona przed epidemią Za pomocą funkcji Wyjątek można dodać, edytować lub usuwać porty z listy portów wykluczonych z blokowania. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 6-7. Sekcja Wyjątki na ekranie Ustawienia ochrony przed epidemią Aby dodać wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Kliknij przycisk Dodaj. 3. Na ekranie Ochrona przed epidemią > Ustawienia > Dodawanie wyjątku zmień odpowiednio następujące opcje: Włącz ten wyjątek Opis: Krótki opis, który pomoże zidentyfikować wyjątek. Protokół: Wybierz protokół, do którego musi zostać zastosowany wyjątek. Porty: Wpisz zakres portów lub poszczególne porty dla wyjątku. Poszczególne adresy URL oddzielaj średnikiem (;). 4. Kliknij przycisk Dodaj. 6-17

154 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby edytować wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. 4. Kliknij przycisk Zapisz. Aby usunąć wyjątek: Wskazówka: Zamiast usuwać wyjątek, można go wyłączyć. 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Usuń. 3. Kliknij przycisk OK, aby potwierdzić. 6-18

155 Korzystanie z funkcji Ochrona przed epidemią Konfigurowanie ustawień oceny narażenia na atak Ustawienia oceny narażenia na atak określają częstotliwość i elementy docelowe skanowania ochrony przed narażeniem na atak. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ocena narażenia na atak RYSUNEK 6-8. Karta Ocena narażenia na atak na ekranie Ustawienia ochrony przed epidemią Aby skonfigurować częstotliwość oceny narażenia na atak: 1. Zmień odpowiednio następujące opcje na karcie Ocena narażenia na atak ekranu Ochrona przed epidemią > Ustawienia: Włącz zaplanowaną ochronę przed narażeniem na atak Częstotliwość: Wybierz opcję Codziennie, Co tydzień lub Co miesiąc. W przypadku wybrania opcji Co tydzień lub Co miesiąc, wybierz dzień tygodnia lub dzień miesiąca. Czas rozpoczęcia Cel 6-19

156 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Wszystkie grupy: Umożliwia skanowanie wszystkich komputerów klienckich wyświetlanych w drzewie zarządzania grupami na ekranie Ustawienia zabezpieczeń. Określone grupy: Umożliwia ograniczenie skanowania oceny narażenia na atak do określonych grup. 2. Kliknij przycisk Zapisz. 6-20

157 Rozdział 7 Konfiguracja skanowania ręcznego i zaplanowanego W tym rozdziale opisano sposób korzystania z funkcji skanowania ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. Rozdział obejmuje następujące zagadnienia: Skanowanie za pomocą programu Worry-Free Business Security na str. 7-2 Skanowanie klientów na str

158 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Skanowanie za pomocą programu Worry-Free Business Security Worry-Free Business Security udostępnia trzy rodzaje skanowania w celu ochrony komputerów klienckich przed zagrożeniami internetowymi: skanowanie ręczne, skanowanie zaplanowane i skanowanie w czasie rzeczywistym. Każdy typ skanowania służy do innych zadań, ale wszystkie konfiguruje się w podobny sposób. W tym rozdziale opisano skanowanie ręczne i zaplanowane. Skanowanie ręczne Skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia z plików na komputerach klienckich. Ten rodzaj skanowania usuwa także ewentualne wcześniejsze infekcje, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego agenci podejmują działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora (lub użytkownika). Aby zatrzymać skanowanie, należy kliknąć przycisk Zatrzymaj skanowanie w trakcie skanowania. Uwaga: Czas trwania skanowania zależy od zasobów sprzętowych komputera klienckiego i liczby plików do skanowania. Do skanowania ręcznego należy skonfigurować opcje antywirusowe. Aby skonfigurować skanowanie ręczne, należy kliknąć kolejno opcje Skanowanie > Skanowanie ręczne. Aby uzyskać więcej informacji, zapoznaj się z sekcjami Konfigurowanie opcji skanowania dotyczących grup na str Skanowanie zaplanowane Skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki są skanowane w określonym czasie i z ustaloną częstotliwością. Skanowanie zaplanowane służy do automatyzowania rutynowych operacji skanowania komputerów klienckich i poprawy skuteczności zarządzania zagrożeniami. Aby skonfigurować skanowanie zaplanowane, kliknij kolejno opcje Skanuj > Skanowanie zaplanowane. Patrz Planowanie skanowania na str. 7-10, aby uzyskać więcej informacji. 7-2

159 Konfiguracja skanowania ręcznego i zaplanowanego Skanowanie w czasie rzeczywistym Skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. Zobacz temat Konfigurowanie skanowania w czasie rzeczywistym na str. 5-5, aby uzyskać więcej informacji. Skanowanie klientów W poniższej sekcji opisano sposób konfigurowania skanowania ręcznego i zaplanowanego klientów. Instrukcje dotyczące planowania skanowania zaplanowanego zawiera sekcja Planowanie skanowania na str Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane RYSUNEK 7-1. Ekran Skanowanie ręczne Aby skonfigurować skanowanie ręczne lub zaplanowane klientów: 1. Na ekranie Skanowanie ręczne lub Skanowanie zaplanowane wybierz grupy do skanowania. 2. Ustaw opcje skanowania dotyczące grupy, klikając jej nazwę. Patrz część Konfigurowanie opcji skanowania dotyczących grup na str W przypadku skanowania zaplanowanego należy zaktualizować harmonogram na karcie Harmonogram. Patrz część Planowanie skanowania na str Kliknij przycisk Skanuj teraz lub Zapisz. 7-3

160 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Konfigurowanie opcji skanowania dotyczących grup Konfigurowanie opcji skanowania dotyczących grup obejmuje ustawienie opcji Cel (pliki do skanowania) i Operacja (operacje wykonywane w przypadku wykrycia zagrożeń). Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę 7-4

161 Konfiguracja skanowania ręcznego i zaplanowanego Aby skonfigurować opcje skanowania: 1. Zmień odpowiednio następujące ustawienia na ekranie opcji skanowania grupy: Pliki do skanowania Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. 7-5

162 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz Funkcja Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: Program Worry-Free Business Security skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Skanuj zmapowane dyski i udostępnione foldery sieciowe Skanuj pliki skompresowane: Skonfiguruj liczbę warstw do skanowania. Wyłączenia: Umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro. Wyłączenia folderów: Wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia plików: Wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia rozszerzeń: Wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (dla skanowania antywirusowego): Mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-6, aby uzyskać więcej informacji. Skanuj obszar rozruchowy (w przypadku skanowania antywirusowego): Sektor rozruchowy zawiera dane używane przez klientów do ładowania i inicjowania systemu operacyjnego komputera. Wirus sektora rozruchowego zaraża sektor rozruchowy partycji lub dysku. 7-6

163 Konfiguracja skanowania ręcznego i zaplanowanego Lista dozwolonych programów spyware/grayware (dla skanowania anty-spyware): Ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 7-8, aby uzyskać więcej informacji. 2. Na karcie Operacja określ sposób postępowania programu Worry-Free Business Security w przypadku wykrycia zagrożeń: Wykorzystanie procesora: Czas między skanowaniem kolejnych plików przez serwer zabezpieczeń wpływa na wykorzystanie procesora. Wybierz niższy poziom wykorzystania CPU, aby zwiększyć okres oczekiwania między skanowaniem plików. Zwalnia to procesor, który może wykonywać inne zadania. Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Te same operacje dla wszystkich zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: Program Worry-Free Business Security wykonuje kopię zapasową zagrożenia przed czyszczeniem. Kopia pliku zostanie zaszyfrowana i zapisana w następującym katalogu komputera klienckiego: C:\Program Files\Trend Micro\Client Server Security Agent\Backup Informacje na temat odszyfrowywania plików znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str

164 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Operacja w przypadku wykrycia spyware/grayware Wyczyść: Podczas czyszczenia oprogramowania typu spyware/grayware program Worry-Free Business Security może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Pomiń: Infekcja jest rejestrowana tylko w celu poddania dalszej ocenie. Zobacz temat Dzienniki na str. 9-2, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Edycja listy dozwolonych programów typu spyware/grayware Lista dozwolonych spyware/grayware określa, które aplikacje typu spyware lub grayware mogą być wykorzystywane przez użytkownika. Lista ta może być aktualizowana tylko przez administratorów. Więcej informacji dotyczących różnego rodzaju oprogramowania typu spyware zawiera sekcjarodzaje oprogramowania typu Spyware/Grayware na str. E-1. Uwaga: W przypadku określonej grupy ta sama lista jest używana do skanowania w czasie rzeczywistym, skanowania zaplanowanego i ręcznego. Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę > Ustawienia zaawansowane 7-8

165 Konfiguracja skanowania ręcznego i zaplanowanego RYSUNEK 7-2. Ekran Lista dozwolonych spyware/grayware Aby zaktualizować listę dozwolonych programów typu spyware/grayware: 1. W sekcji Ustawienia zaawansowane kliknij opcję Zmodyfikuj listę dozwolonych spyware/grayware. 2. Zmień odpowiednio następujące ustawienia na ekranie Lista dozwolonych spyware/grayware: Lewy panel: Rozpoznane aplikacje typu spyware lub grayware. Używając łączy Wyszukaj lub Szybkie wyszukiwanie, znajdź aplikację spyware/grayware, która ma być dozwolona. Uwaga: Aplikacje są sortowane według typu, a następnie według nazwy (TypSpyware_NazwaAplikacji). Prawy panel: Dozwolone aplikacje typu spyware lub grayware. 7-9

166 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Dodaj>: Wybierz w lewym panelu nazwę aplikacji, a następnie kliknij przycisk Dodaj>. Aby zaznaczyć kilka aplikacji jednocześnie, klikaj nazwy aplikacji, przytrzymując naciśnięty klawisz CTRL. <Usuń 3. Kliknij przycisk Zapisz. Planowanie skanowania Istnieje możliwość zaplanowania okresowego skanowania klientów w poszukiwaniu zagrożeń. Wskazówka: Firma Trend Micro zaleca, aby nie planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Podobnie rozpoczęcie skanowania ręcznego w czasie skanowania zaplanowanego również spowoduje przerwanie skanowania zaplanowanego. Skanowanie zaplanowane zostanie przerwane, ale uruchomi się ponownie zgodnie z harmonogramem. Uwaga: Aby wyłączyć skanowanie zaplanowane, należy usunąć zaznaczenie wszystkich opcji w przypadku danej grupy i kliknąć przycisk Zapisz. Ścieżka nawigacji: Skanowanie > Skanowanie zaplanowane > karta Harmonogram 7-10

167 Konfiguracja skanowania ręcznego i zaplanowanego RYSUNEK 7-3. Ekran Skanowanie zaplanowane Aby zaplanować skanowanie: 1. Przed zaplanowaniem skanowania skonfiguruj ustawienia skanowania. Aby uzyskać więcej informacji, zapoznaj się z sekcjami Konfigurowanie opcji skanowania dotyczących grup na str Na ekranie Harmonogram zmień odpowiednie opcje każdej grupy: Codziennie: Skanowanie zaplanowane będzie wykonywane codziennie o określonej godzinie. Co tydzień w: Skanowanie zaplanowane będzie wykonywane raz w tygodniu, określonego dnia i ookreślonej godzinie. Co miesiąc, w dniu: Skanowanie zaplanowane będzie wykonywane raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, programworry-free Business Security nie będzie skanować klientów w tym miesiącu. Godzina rozpoczęcia: Godzina rozpoczęcia skanowania zaplanowanego. 7-11

168 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Wskazówka: Firma Trend Micro zaleca, aby skanowanie zaplanowane było przeprowadzane regularnie w celu zapewnienia optymalnej ochrony. 7-12

169 Aktualizacja składników Rozdział 8 W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział obejmuje następujące zagadnienia: Aktualizacja składników na str. 8-2 Składniki, które można aktualizować na str. 8-3 Źródła aktualizacji na str. 8-7 Aktualizacje ręczne i zaplanowane na str Wycofywanie lub synchronizacja składników na str

170 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aktualizacja składników Worry-Free Business Security ułatwia aktualizowanie do najnowszych składników, ponieważ agenci automatycznie otrzymują zaktualizowane składniki z serwera Security Server. Worry-Free Business Security pobiera składniki z serwera ActiveUpdate Server firmy Trend Micro (aby uzyskać więcej informacji, patrz ActiveUpdate informacje na str. 8-3): Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po uruchomieniu usługi Master programu Worry-Free Business Security, przeszukiwany jest serwer ActiveUpdate pod kątem aktualizacji. Domyślnie zaplanowane aktualizacje programu są przeprowadzane co godzinę. Domyślnie program Client/Server Security Agent przeprowadza zaplanowaną aktualizację co osiem godzin. Wskazówka: Aby upewnić się, że programy Client/Server Security Agent będą na bieżąco aktualizowane, nawet jeśli nie są połączone z programem Security Server, należy skonfigurować programy Client/Server Security Agent do pobierania aktualizacji z alternatywnych źródeł (Konfigurowanie źródła aktualizacji na str. 8-8). Ta możliwość jest przydatna dla użytkowników, którzy często znajdują się poza biurem i są odłączeni od sieci lokalnej. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. 8-2

171 Aktualizacja składników ActiveUpdate informacje Funkcja ActiveUpdate jest dostępna w wielu produktach Trend Micro. Połączona zwitryną aktualizacji firmy Trend Micro funkcja ActiveUpdate pobiera przez sieć Internet najnowsze pliki sygnatur wirusów, silniki skanowania i pliki programu. Funkcja ActiveUpdate nie zakłóca działania usług sieciowych, ani nie wymaga ponownego uruchamiania komputerów klienckich. Przyrostowe aktualizacje pliku sygnatur Funkcja ActiveUpdate obsługuje przyrostowe aktualizacje plików sygnatur. Funkcja ActiveUpdate pobiera tylko nową część pliku i dodaje ją do istniejącego pliku sygnatur, zamiast za każdym razem pobierać cały plik sygnatur. Ta wydajna metoda aktualizacji znacząco zmniejsza przepustowość sieci wymaganą do aktualizacji oprogramowania antywirusowego. Korzystanie z funkcji ActiveUpdate w programie Worry-Free Business Security Kliknij opcję Serwer ActiveUpdate firmy Trend Micro na ekranie Aktualizacje > Źródło aktualizacji, aby program Security Server używał serwera ActiveUpdate jako źródła ręcznych i zaplanowanych aktualizacji składników. Gdy wymagana jest aktualizacja składnika, program Security Server sprawdza bezpośrednio serwer ActiveUpdate. Jeśli nowy składnik jest dostępny do pobrania, program Security Server pobiera ten składnik z serwera ActiveUpdate. Składniki, które można aktualizować Aby mieć pewność, że komputery klienckie są zabezpieczone przed najnowszymi zagrożeniami, należy okresowo aktualizować składniki programu Worry-Free Business Security. Skonfiguruj program Security Server, aby pobrać składniki programu Worry-Free Business Security z serwera ActiveUpdate. Serwer ActiveUpdate udostępnia zaktualizowane składniki, takie jak pliki sygnatur wirusów, silniki skanowania i pliki programu. Po pobraniu wszystkich dostępnych aktualizacji serwer automatycznie wdraża je na agentach. 8-3

172 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Program Worry-Free Business Security oferuje dwie metody aktualizacji składników: Ręczna aktualizacja składników, patrz Ręczne aktualizowanie składników na str Aktualizacja składników według harmonogramu, patrz Planowanie aktualizacji składników na str Jeśli do łączenia z Internetem używany jest serwer proxy, przed pobraniem aktualizacji należy sprawdzić, czy ustawienia proxy zostały właściwie skonfigurowane. Aby uzyskać więcej informacji, patrz Opcje internetowego serwera proxy na str TABELA 8-1. Składniki, które można aktualizować Składnik Antywirus Oprogramowanie anty-spyware Anty-spam Ochrona przed epidemią Wirus sieciowy Podskładnik Sygnatura wirusów Silnik skanowania antywirusowego, 32 bity Silnik skanowania antywirusowego, 64 bity Szablon czyszczenia wirusów Silnik czyszczenia wirusów, 32 bity Silnik czyszczenia wirusów, 64 bity Sygnatura wyjątków IntelliTrap Sygnatura IntelliTrap Silnik skanowania w poszukiwaniu spyware, 32 bity Silnik skanowania w poszukiwaniu spyware, 64 bity Sygnatury spyware Sygnatura aktywnego monitorowania spyware Sygnatura antyspamowa Silnik antyspamowy, 32 bity Silnik antyspamowy, 64 bity Sygnatura narażenia na atak Ogólna sygnatura zapory Ogólny silnik zapory, 32 bity Ogólny silnik zapory, 64 bity Sterownik TDI, 32 bity Sterownik TDI, 64 bity Sterownik WFP, 32 bity Sterownik WFP, 64 bity 8-4

173 Aktualizacja składników TABELA 8-1. Składniki, które można aktualizować Składnik Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań Podskładnik Silnik filtrowania adresów URL (32 bitowy) Silnik filtrowania adresów URL (64 bitowy) Sterowniki głównego monitora zachowań, 32 bity Usługa głównego monitora zachowań, 32 bity Sygnatura stosowania reguł Sygnatura listy elementów pomijanych Sygnatura konfiguracji monitora zachowań Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki informacje na str Domyślny czas aktualizacji Domyślnie, program Worry-Free Business Security sprawdza dostępność aktualizacji i w razie potrzeby pobiera składniki z serwera Trend Micro ActiveUpdate w następujących przypadkach: Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Przy każdym uruchomieniu usługi głównej programu Worry-Free Business Security program Security Server aktualizuje reguły ochrony przed epidemią. Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Aby zapewnić, że agenci będą na bieżąco aktualizowani, program Client/Server Security Agent wykonuje co 8 godzin zaplanowaną aktualizację. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. Zazwyczaj firma Trend Micro aktualizuje silnik skanowania lub program jedynie przy publikowaniu nowej wersji programu Worry-Free Business Security. Firma Trend Micro często publikuje jednak nowe pliki sygnatur. 8-5

174 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aktualizacja programu Security Server Worry-Free Business Security automatycznie wykonuje następujące aktualizacje: Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i klientów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po każdym uruchomieniu Worry-Free Business Security program Security Server aktualizuje składniki i reguły ochrony przed epidemią. Domyślnie aktualizacje zaplanowane uruchamiane są co godzinę. Aby zapewnić aktualność klientów, agenci uruchamiają aktualizacje zaplanowane co 8 godzin. Aby skonfigurować program Trend Micro Security Server w celu wykonywania aktualizacji: 1. Wybierz źródło aktualizacji. Patrz część Źródła aktualizacji na str Skonfiguruj program Trend Micro Security Server pod kątem ręcznych lub zaplanowanych aktualizacji. Patrz część Aktualizacje ręczne i zaplanowane na str Użyj opcji Uprawnienia klienta, aby skonfigurować opcje aktualizacji dla komputerów klienckich z zainstalowanym programem Client/Server Security Agent. Patrz część Uprawnienia klienta na str

175 Aktualizacja składników Źródła aktualizacji Wybierając lokalizacje źródłowe aktualizacji agenta, należy wziąć pod uwagę przepustowość sekcji sieci między klientami a źródłami aktualizacji. Poniższa tabela zawiera opis różnych opcji aktualizacji składników i zalecane sytuacje, w jakich należy ich użyć: TABELA 8-2. Opcje źródła aktualizacji Opcja aktualizacji Opis Zalecenie Serwer ActiveUpdate > program Trend Micro Security Server > komputery klienckie Serwer ActiveUpdate > program Trend Micro Security Server > Agenci aktualizacji > komputery klienckie Serwer ActiveUpdate > Agenci aktualizacji > komputery klienckie Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) iwdraża je bezpośrednio na klientach. Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) iwdraża je bezpośrednio na agentach aktualizacji, które wdrażają składniki na klientach. Agenci aktualizacji otrzymują zaktualizowane składniki bezpośrednio z serwera ActiveUpdate (lub z innego agenta aktualizacji) i wdrażają je na klientach. Tej metody używa się, jeśli między programem Trend Micro Security Server a klientami w sieci nie ma takiej sekcji, która wykazywałaby niską przepustowość. Tej metody używa się w celu zrównoważenia obciążenia ruchem w sieci, jeśli między programem Trend Micro Security Server a klientami w sieci istnieją sekcje, które wykazują niską przepustowość. Tej metody używa się tylko w przypadku wystąpienia problemów z aktualizowaniem agentów aktualizacji poprzez program Trend Micro Security Server lub innych agentów aktualizacji. Wwiększości przypadków agenci aktualizacji szybciej otrzymują aktualizacje z programu Trend Micro Security Server lub od innych agentów aktualizacji niż zzewnętrznego źródła aktualizacji. 8-7

176 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Konfigurowanie źródła aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło RYSUNEK 8-1. Ekran Źródło aktualizacji Aby skonfigurować źródło aktualizacji dla programu Security Server: 1. Zmień odpowiednio następujące opcje na ekranie Źródło: Serwer Trend Micro ActiveUpdate: Serwer Trend Micro ActiveUpdate jest ustawiony domyślnie przez firmę Trend Micro jako źródło pobierania aktualizacji. Firma Trend Micro przesyła nowe składniki na serwer ActiveUpdate zaraz po ich udostępnieniu. Serwer ActiveUpdate należy wybrać jako źródło, gdy potrzebne są częste i regularne aktualizacje. Uwaga: Jeżeli do otrzymywania aktualizacji zostanie zdefiniowane źródło inne niż serwer ActiveUpdate firmy Trend Micro, do źródła tego muszą mieć dostęp wszystkie serwery otrzymujące aktualizacje. Lokalizacja kopii bieżącego pliku w sieci Intranet: Należy pobrać składniki ze źródła w sieci Intranet, które otrzymuje uaktualnione składniki. Należy wpisać ścieżkę UNC innego serwera w sieci i utworzyć na tym serwerze docelowym folder, który będzie dostępny dla wszystkich serwerów otrzymujących aktualizacje (np.: \Web\ActiveUpdate). 8-8

177 Aktualizacja składników Alternatywne źródło aktualizacji: Należy pobrać składniki z Internetu lub innego źródła. Należy udostępnić docelowy katalog wirtualny HTTP (udział w sieci Web) wszystkim serwerom otrzymującym aktualizacje. 2. Kliknij przycisk Zapisz. Korzystanie z agentów aktualizacji Określając sekcje sieci między klientami a programem Trend Micro Security Server jako te, które mają niską przepustowość lub intensywny ruch, można tak skonfigurować agentów, aby działali jako źródła aktualizacji (agenci aktualizacji) dla innych agentów. Ułatwia to rozłożenie ciężaru wdrażania składników na wszystkich agentach. Na przykład, jeśli sieć jest podzielona na segmenty według lokalizacji, a łącza sieciowe między segmentami są poddawane dużemu obciążeniu ruchem, firma Trend Micro zaleca, aby przynajmniej jeden agent w każdym z segmentów działał jako agent aktualizacji. Ścieżka nawigacji: Aktualizacje > Źródło > karta Security Agent Aby umożliwić agentom działanie w roli agentów aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Przypisz agenta aktualizacji. 2. Z listy Wybierz programy Security Agent wybierz co najmniej jednego agenta, który ma działać jako agent aktualizacji. 3. Kliknij przycisk Zapisz. Aby usunąć agenta aktualizacji, zaznacz pole wyboru odpowiadające nazwie komputera, a następnie kliknij przycisk Usuń. Uwaga: O ile nie zostanie to określone inaczej w sekcji Alternatywne źródła aktualizacji, wszyscy agenci aktualizacji będą otrzymywać aktualizacje z programu Trend Micro Security Server. 8-9

178 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby umożliwić agentom uzyskiwanie aktualizacji z alternatywnego źródła aktualizacji: 1. Zmień odpowiednio następujące opcje na karcie Security Agent ekranu Źródło: Włącz alternatywne źródła aktualizacji Zawsze aktualizuj z serwera bezpieczeństwa dla agentów aktualizacji: Jest to opcjonalny krok, który zapewnia, że agenci uzyskują aktualizacje tylko z programu Security Server. Uwaga: Po wybraniu tej opcji agenci aktualizacji będą pobierać aktualizacje z programu Trend Micro Security Server, nawet jeśli ich adres IP mieści się w zakresach określonych na ekranie Dodaj alternatywne źródło aktualizacji. Aby ta opcja działała, musi być wybrana opcja Włącz alternatywne źródła aktualizacji. 2. Kliknij przycisk Zapisz. Aby dodać alternatywne źródła aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Alternatywne źródła aktualizacji. 2. Zmień odpowiednio następujące opcje: IP od oraz IP do: Klienci z adresami IP mieszczącymi się w tym zakresie będą otrzymywać aktualizacje z podanego źródła aktualizacji. Uwaga: Aby określić pojedynczy program Client/Server Security Agent, wprowadź jego Client/Server Security Agent adres IP zarówno w polu IP od jak i w polu IP do. Źródło aktualizacji Agent aktualizacji: Jeśli lista rozwijana jest niedostępna, nie skonfigurowano żadnych agentów aktualizacji. Określone: Ścieżka do agenta aktualizacji lub serwera ActiveUpdate. 8-10

179 Aktualizacja składników 3. Kliknij przycisk Zapisz. Aby usunąć alternatywno źródło aktualizacji, zaznacz pole wyboru odpowiadające zakresowi adresów IP, a następnie kliknij przyciskusuń. Uwaga: Programy Client/Server Security Agent które nie zostały określone, będą automatycznie otrzymywać aktualizacje od programu Security Server firmy Trend Micro. Aktualizacje ręczne i zaplanowane Program Worry-Free Business Security daje możliwość zastosowania dwóch sposobów aktualizowania różnych składników. Aktualizacje ręczne Firma Trend Micro zaleca przeprowadzanie ręcznych aktualizacji serwera natychmiast po wdrożeniu programu Client/Server Security Agent oraz w przypadku epidemii wirusów lub złośliwego oprogramowania. Aktualizacje zaplanowane Można skonfigurować program Client/Server Security Agent w celu regularnego sprawdzania źródła aktualizacji i automatycznego pobierania dostępnych aktualizacji. Ponieważ agenci zazwyczaj pobierają aktualizacje z programu Client/Server Security Agent, korzystanie z automatycznej, zaplanowanej aktualizacji to łatwy i skuteczny sposób, aby zapewnić zawsze aktualną ochronę antywirusową oraz przed złośliwym oprogramowaniem. Konfigurowanie aktualizacji zaplanowanych jest podobne do konfigurowania aktualizacji ręcznych, dlatego obie procedury przedstawiono łącznie. Poniżej znajduje się dodatkowa sekcja dotycząca czasu aktualizacji. Wskazówka: Firma Trend Micro zaleca częste aktualizowanie składników. 8-11

180 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ręczne aktualizowanie składników Ścieżka nawigacji: Aktualizacje > Aktualizacja ręczna RYSUNEK 8-2. Ekran Aktualizacja ręczna Aby ręcznie zaktualizować składniki: 1. Zmień odpowiednio następujące opcje na ekranie Aktualizacja ręczna: Składniki: Aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki zmożliwością aktualizacji na str

181 Aktualizacja składników 2. Kliknij przycisk Skanuj teraz lub Zapisz. Aby uzyskać więcej informacji o planowaniu aktualizacji, patrz Planowanie aktualizacji składników na str Uwaga: Po pobraniu wszystkich zaktualizowanych składników serwer automatycznie wdroży je na agentach. Planowanie aktualizacji składników Istnieje możliwość zaplanowania aktualizacji w celu automatycznego odbierania najnowszych składników do zwalczania zagrożeń. Wskazówka: Nie należy planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Ścieżka nawigacji: Aktualizacje > Skanowanie zaplanowane > karta Harmonogram RYSUNEK 8-3. Ekran Aktualizacja zaplanowana Aby zaplanować aktualizację: 1. Zmień odpowiednio następujące opcje na karcie Składniki na ekranie Zaplanowana aktualizacja: Składniki: Aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia 8-13

182 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki zmożliwością aktualizacji na str Zmień odpowiednio następujące opcje na karcie Zaplanowana aktualizacja: Co godzinę: Sprawdza dostępność aktualizacji co godzinę. Codziennie: Zaplanowana aktualizacja będzie wykonywana codziennie o określonej godzinie rozpoczęcia. Co tydzień w: Zaplanowana aktualizacja będzie wykonywana raz w tygodniu, określonego dnia i o określonej godzinie rozpoczęcia. Co miesiąc, w dniu: Zaplanowana aktualizacja będzie wykonywana raz wmiesiącu, określonego dnia i o określonej godzinie rozpoczęcia. Godzina rozpoczęcia: Godzina rozpoczęcia zaplanowanej aktualizacji. Okres aktualizacji: Okres, w którym możliwe jest uruchamianie aktualizacji. 3. Kliknij przycisk Zapisz. Wskazówka: Firma Trend Micro szybko reaguje na epidemie wirusów oraz złośliwego oprogramowania, uaktualniając pliki sygnatur wirusów (aktualizacje mogą być wydawane kilka razy w tygodniu). Silnik skanowania oraz inne składniki są również uaktualniane regularnie. Firma Trend Micro zaleca aktualizowanie składników codziennie a podczas epidemii jeszcze częściej aby agent korzystał z jak najbardziej aktualnych składników. Wycofywanie lub synchronizacja składników Wycofywanie składników oznacza powrót do poprzedniej wersji pliku sygnatur wirusów lub silnika skanowania. Jeżeli używany plik sygnatur lub silnik skanowania nie działa prawidłowo, należy przywrócić poprzednią wersję tych składników. Synchronizacja oznacza instalację zaktualizowanych składników na wszystkich agentach. Uwaga: Można wycofywać wyłącznie plik sygnatur wirusów oraz silnik skanowania. Przywrócenie innych składników jest niemożliwe. 8-14

183 Aktualizacja składników Agenci korzystają znastępujących silników skanowania: Silnik skanowania antywirusowego, 32 bity Silnik skanowania antywirusowego, 64 bity Powyższe typy silników skanowania należy wycofywać niezależnie. Procedura wycofywania obu typów silnika skanowania jest jednakowa. Program Trend Micro Security Server pozostawia wyłącznie bieżącą i poprzednią wersję silnika skanowania oraz ostatnie pięć plików sygnatur. Ścieżka nawigacji: Aktualizacje > Wycofanie RYSUNEK 8-4. Ekran Wycofanie Aby wycofać lub zsynchronizować pliki sygnatur lub silniki skanowania: Zmień odpowiednio następujące opcje na ekranie Wycofanie: Wycofywanie: Przywraca składniki programu Security Server i agentów do poprzedniej wersji. Synchronizacja: Instaluje zaktualizowane składniki na agentach. 8-15

184 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 8-16

185 Przeglądanie i interpretowanie dzienników i raportów Rozdział 9 W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział obejmuje następujące zagadnienia: Dzienniki na str. 9-2 Raporty na str. 9-3 Zarządzanie dziennikami i raportami na str Generowanie raportów na str. 9-9 Zarządzanie dziennikami i raportami na str

186 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Dzienniki W programie Worry-Free Business Security prowadzone są wszechstronne dzienniki, w których odnotowywane są informacje o wirusach/złośliwym oprogramowaniu i oprogramowaniu typu spyware/grayware, wypadkach, zdarzeniach i aktualizacjach. Dzienników tych można użyć do oceny reguł ochrony organizacji, jak również do identyfikacji klientów, którzy są bardziej narażeni na zarażenie. Ponadto dzienniki pozwalają sprawdzić, czy aktualizacje zostały prawidłowo wdrożone. Uwaga: Do przeglądania plików dziennika w formacie CSV służą arkusze kalkulacyjne, takie jak Microsoft Excel. Program Worry-Free Business Security prowadzi dzienniki w następujących kategoriach: Dzienniki zdarzeń konsoli zarządzania Dzienniki komputerów/serwerów TABLE 9-1. Typ i zawartość dziennika Typ (zdarzenie lub element, który wygenerował wpis w dzienniku) Zdarzenia konsoli zarządzania Zawartość (typ dziennika, z którego pobierana jest zawartość) Skanowanie ręczne Aktualizacja Zdarzenia ochrony przed epidemią Zdarzenia konsoli 9-2

187 Przeglądanie i interpretowanie dzienników i raportów TABLE 9-1. Typ i zawartość dziennika Typ (zdarzenie lub element, który wygenerował wpis w dzienniku) Komputer/serwer Zawartość (typ dziennika, z którego pobierana jest zawartość) Dzienniki wirusów Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Czyszczenie Dzienniki spyware Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Dzienniki przypadków naruszenia adresów URL Dzienniki monitorowania zachowań Dzienniki aktualizacji Dzienniki wirusów sieciowych Dzienniki ochrony przed epidemiami Dzienniki zdarzeń Raporty W poniższej sekcji opisano sposób konfiguracji raportów jednorazowych i zaplanowanych. Raporty jednorazowe Generowanie jednorazowych raportów pozwala przeglądać informacje z dziennika w uporządkowanym i przejrzystym formacie graficznym. Raporty zaplanowane Zawartości raportów zaplanowanych i jednorazowych są do siebie podobne, jednakże są one generowane w ustalonym czasie i z określoną częstotliwością. W celu generowania raportów zaplanowanych należy wybrać zawartość raportu i zapisać ją jako szablon. W ustalonym czasie i z określoną częstotliwością, program Worry-Free Business Security korzysta z szablonu, aby wygenerować raport. 9-3

188 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Interpretowanie raportów Raporty programu Worry-Free Business Security zawierają następujące informacje. Wyświetlone informacje mogą być różne, w zależności od wybranych opcji. TABELA 9-2. Zawartość raportu Element raportu Antywirus Opis Podsumowanie aktywności wirusów na komputerach/serwerach Raporty o wirusach zawierają szczegółowe informacje dotyczące liczby i typów złośliwego oprogramowania/wirusów wykrytych przez silnik skanowania oraz operacji wykonanych w celu ich usunięcia. Raport zawiera także spis najczęściej występujących wirusów/złośliwego oprogramowania. Kliknij nazwy wirusów/złośliwego oprogramowania, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów/złośliwego oprogramowania firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. 5 komputerów/serwerów z największą liczbą wykrytych wirusów Wyświetla 5 komputerów lub serwerów najczęściej raportujących wykrycie wirusa/złośliwego oprogramowania. Śledzenie najczęstszych przypadków wirusów/złośliwego oprogramowania na jednym komputerze klienckim może wykazać, że dany klient stanowi duże zagrożenie dla bezpieczeństwa, co może wymagać podjęcia dodatkowych działań. 9-4

189 Przeglądanie i interpretowanie dzienników i raportów TABELA 9-2. Zawartość raportu Element raportu Oprogramowanie anty-spyware Opis Podsumowanie aktywności spyware/grayware na komputerach/serwerach W raportach dotyczących spyware/grayware przedstawione są szczegółowe informacje o wykrytym na klientach oprogramowaniu spyware/grayware, zawierające liczbę wykrytych przypadków idziałania podjęte przeciw nim przez program Worry-Free Business Security. Raport zawiera diagram kołowy, pokazujący udział procentowy wszystkich operacji skanowania podjętych przeciw programom spyware. 5 komputerów/serwerów z największą ilością wykrytego spyware/grayware W raporcie wymieniono też pięć najgroźniejszych wykrytych przypadków spyware/grayware i pięć komputerów/serwerów z największą liczbą wykrytych przypadków spyware/grayware. Aby dowiedzieć się więcej o zagrożeniach ze strony spyware/grayware, kliknij nazwy spyware/grayware. Zostanie otwarta nowa strona przeglądarki internetowej, na której wyświetlone będą informacje o spyware/grayware pochodzące z witryny internetowej firmy Trend Micro. Historia ochrony przed epidemiami Wirus sieciowy Historia ochrony przed epidemiami Wyświetla ostatnie epidemie, poziom zagrożenia ze strony epidemii, identyfikuje wirusa/złośliwe oprogramowanie powodujące epidemię oraz sposób jego dostarczenia (w wiadomości lub pliku). 10 najczęściej wykrywanych wirusów sieciowych Zawiera listę 10 wirusów sieciowych najczęściej wykrywanych przez ogólny sterownik zapory. Kliknij nazwy wirusów, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. 10 najczęściej atakowanych komputerów Lista klientów w sieci najczęściej zgłaszających przypadki wirusów/złośliwego oprogramowania. Ochrona przed zagrożeniami internetowymi 10 komputerów najczęściej naruszających reguły usług ochrony przed zagrożeniami internetowymi Zawiera listę 10 klientów najczęściej naruszających reguły ochrony przed zagrożeniami internetowymi. 9-5

190 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora TABELA 9-2. Zawartość raportu Element raportu Monitorowanie zachowań Opis 5 programów najczęściej naruszających reguły monitorowania zachowań Zawiera listę 5 programów najczęściej naruszających reguły monitorowania zachowań. 10 komputerów najczęściej naruszających reguły monitorowania zachowań Zawiera listę 10 klientów najczęściej naruszających reguły monitorowania zachowań. 9-6

191 Przeglądanie i interpretowanie dzienników i raportów Korzystanie z kwerendy dziennika W celu uzyskania informacji z bazy danych dziennika można wykonywać kwerendy dziennika. Do konfigurowania i uruchamiania kwerend można użyć ekranu Kwerenda dziennika. Wyniki można następnie wyeksportować do pliku w formacie CSV lub wydrukować. Ścieżka nawigacji: Raporty > Kwerenda dziennika RYSUNEK 9-1. Domyślny ekran Kwerenda dziennika Aby wyświetlić dzienniki: 1. Zmień odpowiednio następujące opcje na ekranie Kwerenda dziennika: Przedział czasu Wstępnie skonfigurowany zakres Określony zakres: Ogranicza kwerendę do określonych dat. Typ: Informacje rejestrowane w poszczególnych typach dziennika przedstawia Tabela 9-1 na str Zdarzenia konsoli zarządzania Komputer/serwer 9-7

192 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zawartość: Dostępne opcje są zależne od typu dziennika. 2. Kliknij opcję Wyświetl dzienniki. Aby zapisać dziennik jako plik w formacie CSV, kliknij opcję Eksport. Pliki CSV można przeglądać za pomocą arkusza kalkulacyjnego. RYSUNEK 9-2. Przykładowy ekran Kwerenda dziennika 9-8

193 Przeglądanie i interpretowanie dzienników i raportów Generowanie raportów Raport jednorazowy przedstawia podsumowanie wybranej zawartości tylko jeden raz. Raporty zaplanowane przedstawiają podsumowanie wybranej zawartości w sposób regularny. Ścieżka nawigacji: Raporty > Raporty jednorazowe lub Raporty zaplanowane Aby utworzyć lub zaplanować raport: 1. Na ekranie Raporty jednorazowe lub Raporty zaplanowane kliknij przycisk Nowy raport/dodaj. 2. Zmień odpowiednio następujące opcje: Nazwa raportu/nazwa szablonu raportu: Krótki tytuł, który pomoże zidentyfikować raport/szablon. 9-9

194 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Harmonogram: Dotyczy tylko raportów zaplanowanych. Codziennie: Raport zaplanowany będzie wykonywany codziennie o określonej godzinie. Co tydzień w: Raport zaplanowany będzie wykonywany raz w tygodniu, określonego dnia i o określonej godzinie. Co miesiąc, w dniu: Raport zaplanowany będzie wykonywany raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program Worry-Free Business Security nie wygeneruje raportu w tym miesiącu. Wygeneruj raport o: Godzina, o której program Worry-Free Business Security ma wygenerować raport. Przedział czasu: Ogranicza raport do określonych dat. Zawartość: Aby wybrać wszystkie zagrożenia, zaznacz pole wyboru Zaznacz wszystko. Aby wybrać poszczególne zagrożenia, zaznacz odpowiednie pole wyboru. Kliknij, aby rozwinąć wybór. Wyślij raport do: Program Worry-Free Business Security wysyła wygenerowany raport do określonych odbiorców. Poszczególne wpisy należy oddzielać średnikami (;). Jako załącznik PDF Jako łącze do raportu 3. Kliknij przycisk Generuj/Dodaj. Wyświetl raport na ekranie Raporty jednorazowe lub Raporty zaplanowane poprzez kliknięcie nazwy raportu. Jeżeli włączona jest opcja Wyślij raport do, program Worry-Free Business Security będzie wysyłać do odbiorców załącznik PDF lub łącze. Aby usunąć raport, na ekranie Raporty jednorazowe lub Raporty zaplanowane zaznacz pole wyboru odpowiadające raportowi i kliknij przycisk Usuń. Aby dokonać edycji szablonu raportu zaplanowanego, na ekranie Raporty zaplanowane kliknij nazwę szablonu i zmień odpowiednio opcje. 9-10

195 Przeglądanie i interpretowanie dzienników i raportów RYSUNEK 9-3. Przykładowy raport prezentujący podsumowanie aktywności spyware/grayware 9-11

196 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zarządzanie dziennikami i raportami Liczba raportów rośnie szybko, jeśli nie są one okresowo usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program Worry-Free Business Security umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane. Obsługa raportów Usuwanie nieaktualnych raportów przez ograniczenie liczby raportów przechowywanych przez program Worry-Free Business Security. Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK 9-4. Ekran Obsługa raportów Aby ustalić maksymalną liczbę przechowywanych raportów: 1. Na karcie Raporty ekranu Obsługa skonfiguruj maksymalną liczbę raportów do zachowania dla następujących typów raportów: Raporty jednorazowe Zaplanowane raporty zapisywane w każdym szablonie Szablony raportów 2. Kliknij przycisk Zapisz. 9-12

197 Przeglądanie i interpretowanie dzienników i raportów Automatyczne usuwanie dzienników Automatyczne usuwanie nieaktualnych dzienników przez ustawienie maksymalnej liczby dni przechowywania dzienników. Ścieżka nawigacji: Raporty > Obsługa > Karta Automatyczne usuwanie dzienników RYSUNEK 9-5. Ekran Automatyczne usuwanie dzienników Aby automatycznie usuwać dzienniki: 1. Na karcie Automatyczne usuwanie dzienników ekranu Obsługa wybierz Typ dziennika i określ liczbę dni przechowywania. 2. Kliknij przycisk Zapisz. 9-13

198 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ręczne usuwanie dzienników Zaleca się ręczne usuwanie dzienników, gdy ich przechowywanie nie jest dłużej wymagane. Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK 9-6. Ekran Ręczne usuwanie dzienników Aby ręcznie usunąć dzienniki: 1. Na karcie Ręczne usuwanie dzienników ekranu Obsługa określ liczbę dni przechowywania dla wybranego typu dziennika i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. Wskazówka: Aby usunąć wszystkie dzienniki, podaj 0 jako liczbę dni i kliknij przycisk Usuń. 9-14

199 Praca z powiadomieniami Rozdział 10 W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział obejmuje następujące zagadnienia: Powiadomienia informacje na str Konfigurowanie powiadomień na str Dostosowywanie alarmów powiadomień na str Konfigurowanie ustawień powiadamiania na str

200 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Powiadomienia informacje Aby skrócić czas konieczny do monitorowania programu Worry-Free Business Security przez administratorów oraz zapewnić ich wczesne powiadamianie owystąpieniu sytuacji związanych z epidemią, należy skonfigurować program Security Server pod kątem wysyłania powiadomień w przypadku wystąpienia wszelkich nienaturalnych zdarzeń w sieci. Program Worry-Free Business Security może wysyłać powiadomienia do dowolnego komputera w sieci przy użyciu poczty , protokołu SNMP lub dzienników zdarzeń systemu Windows. Warunki powiadomień są uwzględniane na ekranie Stan aktywności. Wystąpienie warunków powoduje zmianę ikony stanu z Normalny na Ostrzeżenie lub Wymagane działanie. Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, aich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora systemu. Zdarzenia zagrożeń Ochrona przed epidemią: Firma TrendLabs ogłosiła alarm lub wykryto wysoce krytyczne luki w zabezpieczeniach. Ochrona antywirusowa: Liczba wirusów/złośliwego oprogramowania wykrytych na komputerach klienckich przekracza określoną wartość; działania podjęte przeciwko wirusom okazały się nieskuteczne; na komputerach klienckich wyłączono skanowanie w czasie rzeczywistym. Oprogramowanie anty-spyware: Na klientach wykryto oprogramowanie typu spyware/grayware, w tym wymagające ponownego uruchomienia zainfekowanego klienta w celu całkowitego usunięcia zagrożenia oprogramowaniem typu spyware/grayware. Możliwe jest również skonfigurowanie progu powiadamiania o oprogramowaniu typu spyware/grayware, czyli liczby przypadków wykrycia tego oprogramowania w danym okresie (domyślnie jest to jedna godzina). Ochrona przed zagrożeniami internetowymi: Liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. Monitorowanie zachowania: Liczba naruszeń reguł przekracza w pewnym okresie określoną wartość. 10-2

201 Praca z powiadomieniami Wirus sieciowy: Liczba wykrytych wirusów sieciowych przekracza określoną wartość. Zdarzenia systemowe Licencja: Wygasa Licencja produktu lub już wygasła, wykorzystanie liczby stanowisk przekracza 80% lub wynosi 100% liczby stanowisk. Aktualizacja składnika: Czas od ostatniej aktualizacji składników przekracza określoną liczbę dni lub zaktualizowane składniki nie zostały dostatecznie szybko wdrożone na agentach. Niezwykłe zdarzenia systemowe: Pozostała ilość miejsca na dysku jednego z komputerów klienckich z systemem operacyjnym Windows Server jest mniejsza niż określona wartość, osiągając niebezpiecznie niski poziom. Konfigurowanie powiadomień Konfigurowanie powiadomień składa się z dwóch etapów po pierwsze, wybór wydarzeń, dla których mają być wysyłane powiadomienia i skonfigurowanie metod dostarczania. Program Worry-Free Business Security zapewnia trzy metody dostarczania: powiadomienia , powiadomienia SNMP i dziennik zdarzeń systemu Windows. Ścieżka nawigacji: Preferencje > Powiadomienie > Karta Zdarzenia 10-3

202 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora RYSUNEK Ekran Powiadomienia zdarzenia Aby skonfigurować zdarzenia powiadamiania: 1. Zmień odpowiednio następujące opcje na karcie Zdarzenia na ekranie Powiadomienia: Zdarzenia zagrożeń: Zaznacz pole wyboru Typ, aby odbierać powiadomienia dotyczące wszystkich zdarzeń. Można także zaznaczyć pola wyboru dla poszczególnych zdarzeń. Kliknij, aby rozwinąć poszczególne zdarzenia i skonfigurować próg i/lub okres dla danego zdarzenia. 2. Kliknij przycisk Zapisz. 10-4

203 Praca z powiadomieniami Dostosowywanie alarmów powiadomień Można dostosować wiersz tematu i treść wiadomości z powiadomieniem o zdarzeniach. Ścieżka nawigacji: Preferencje > Powiadomienia > Kliknij powiadomienie RYSUNEK Ekran zawartości powiadomienia Aby dostosować zawartość powiadomienia: OSTRZEŻENIE! Nie należy zmieniać tekstu wyświetlanego w nawiasach kwadratowych. 1. Wprowadź nowy wiersz tematu w polu Temat. 2. Wprowadź nową wiadomość wpolu Wiadomość. 3. Kliknij przycisk Zapisz. 10-5

204 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Konfigurowanie ustawień powiadamiania Ścieżka nawigacji: Preferencje > Powiadomienia > Zakładka Ustawienia RYSUNEK Ekran Powiadomienia Aby skonfigurować metodę dostarczania powiadomień: 1. Zmień odpowiednio następujące opcje na karcie Ustawienia na ekranie Powiadomienia: Powiadomienie Ustaw adresy nadawcy i odbiorców powiadomień. Skonfiguruj zawartość wiadomości na karcie Zdarzenia. Od Do: Poszczególne adresy oddzielaj średnikiem (;). Odbiorca powiadomienia SNMP: SNMP to protokół używany przez hosty sieciowe do wymiany informacji służących do zarządzania sieciami. Aby wyświetlić dane z pułapki SNMP, należy użyć przeglądarki baz informacji zarządzania. 10-6

205 Praca z powiadomieniami Włącz powiadomienia SNMP Adres IP: Adres IP pułapki SNMP. Społeczność: Łańcuch społeczności SNMP. Rejestrowanie: Powiadomienia za pośrednictwem dziennika zdarzeń systemu Windows Zapisz do dziennika zdarzeń systemu Windows Uwaga: Możliwe jest użycie dowolnej lub wszystkich powyższych metod powiadamiania. 2. Kliknij przycisk Zapisz. 10-7

206 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 10-8

207 Rozdział 11 Konfigurowanie ustawień globalnych W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział obejmuje następujące zagadnienia: Opcje internetowego serwera proxy na str Opcje serwera SMTP na str Opcje komputera/serwera na str Opcje systemowe na str

208 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Opcje internetowego serwera proxy Jeśli w sieci do łączenia się z Internetem używany jest serwer proxy, należy określić ustawienia serwera proxy dla następujących usług: Aktualizacja składników, powiadomień związanych z licencją oraz infrastruktury Smart Protection Network Aby wybrać ustawienia serwera proxy dla tych usług, należy zmodyfikować pola w obszarze Ustawienia aktualizacji, powiadomień o licencji oraz infrastruktury Smart Protection Network na karcie Proxy. Ochrona przed zagrożeniami internetowymi i monitorowanie zachowań Aby wybrać ustawienia serwera proxy dla tych usług, należy zmodyfikować pola w obszarze Ustawienia dla usługi ochrony przed zagrożeniami internetowymi i monitorowania zachowań na karcie Proxy. Uwaga: Program CSA zawsze korzysta z tego samego serwera proxy i portu co program Internet Explorer, łącząc się z Internetem w celu zapewnienia ochrony przed zagrożeniami internetowymi i monitorowania zachowań. Poświadczenia logowania określone dla usługi aktualizacji należy zduplikować tylko w przypadku, gdy program Internet Explorer zainstalowany na komputerach klienckich używa tego samego serwera proxy i portu. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka Proxy 11-2

209 Konfigurowanie ustawień globalnych RYSUNEK Ekran Ustawienia globalne ustawienia serwera proxy Opcje serwera SMTP Ustawienia serwera SMTP dotyczą wszystkich powiadomień i raportów generowanych przez program Worry-Free Business Security. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka SMTP RYSUNEK Zakładka SMTP na ekranie Ustawienia globalne 11-3

210 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Aby ustawić serwer SMTP: 1. Zmień odpowiednio następujące opcje na karcie SMTP ekranu Ustawienia globalne: Serwer SMTP: Adres IP lub nazwa serwera SMTP. Port 2. Kliknij przycisk Zapisz. Opcje komputera/serwera Opcje Komputer/Serwer dotyczą ustawień globalnych programu Worry-Free Business Security. Ustawienia dla poszczególnych grup zastępują te ustawienia. Jeśli nie skonfigurowano określonej opcji dla grupy, używane są opcje komputera/serwera. Na przykład w przypadku braku dozwolonych adresów URL dla określonej grupy zostaną zastosowane do niej wszystkie adresy URL dozwolone na tym ekranie. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka Komputer/Serwer 11-4

211 Konfigurowanie ustawień globalnych RYSUNEK Zakładka Komputer/Serwer na ekranie Ustawienia globalne Aby skonfigurować opcje komputera/serwera: 1. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Rozpoznawanie lokalizacji na str

212 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Ogólne ustawienia skanowania na str Ustawienia skanowania wirusów na str Ustawienia skanowania spyware/grayware na str Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str Filtrowanie zawartości wiadomości błyskawicznych na str Ustawienia ostrzeżeń na str Ustawienia nadzoru na str Dezinstalacja agenta na str Zamykanie agenta na str Kliknij przycisk Zapisz. Rozpoznawanie lokalizacji Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń W biurze i Poza biurem. Patrz Kontrola ustawień zabezpieczeń na podstawie lokalizacji na str. 1-26, aby uzyskać więcej informacji. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz rozpoznawanie lokalizacji: Te ustawienia wpłyną na ustawienia połączeń W biurze/poza biurem ochrony przed zagrożeniami internetowymi, narzędzi TrendSecure i zapory. Informacje o bramie: Jeśli włączone jest rozpoznawanie lokalizacji, klienci ipołączenia na tej liście będą korzystać zustawień typu Połączenie wewnętrzne podczas zdalnego łączenia się z siecią (przy użyciu sieci VPN). Adres IP bramy Adres MAC: Dodanie adresu MAC zwiększa bezpieczeństwo poprzez umożliwienie podłączenia tylko skonfigurowanego urządzenia. Kliknij odpowiednią ikonę, aby usunąć pozycję. 11-6

213 Konfigurowanie ustawień globalnych Ogólne ustawienia skanowania Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Wyklucz folder bazy danych serwera Security Server: Agenci zainstalowani na serwerze zabezpieczeń nie będą skanowali własnej bazy danych podczas skanowania w czasie rzeczywistym. Uwaga: Domyślnie program Worry-Free Business Security nie skanuje własnej bazy danych. Firma Trend Micro zaleca zachowanie tego ustawienia, aby zapobiec ewentualnemu uszkodzeniu bazy danych podczas skanowania. Wyklucz foldery serwera Microsoft Exchange, jeśli program zainstalowano na serwerze Microsoft Exchange: Agenci zainstalowani na serwerze Microsoft Exchange nie będą skanowali folderów Microsoft Exchange. Wyklucz foldery kontrolerów domen firmy Microsoft: Agenci zainstalowani na serwerze kontrolera domeny nie będą skanowali folderów kontrolera domeny. Te foldery zawierają informacje o użytkownikach, nazwy użytkowników, hasła i inne ważne informacje. Wyklucz sekcje funkcji Shadow Copy: Usługi Shadow Copy lub Volume Snapshot Service tworzą ręcznie bądź automatycznie kopie zapasowe lub obrazy pliku albo folderu na określonym woluminie. Ustawienia skanowania wirusów Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Konfiguruj ustawienia skanowania dużych, skompresowanych plików: Określ maksymalną wielkość zdekompresowanego pliku oraz liczbę plików w skompresowanym pliku do przeskanowania przez agenta. Wyczyść skompresowane pliki: Agenci wykonają próbę wyczyszczenia zarażonych plików w skompresowanym pliku. Skanuj do { } warstw OLE: Agenci będą skanować określoną liczbę warstw OLE (Object Linking and Embedding). Warstwy OLE umożliwiają tworzenie obiektów 11-7

214 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora w jednej aplikacji, a następnie łączenie lub osadzanie ich w innej aplikacji. Przykładem może być plik.xls osadzony w pliku.doc. W klientach dodaj skrót skanowania ręcznego do menu skrótów Windows: Dodaje łącze Skanuj za pomocą programu Client/Server Security Agent do menu kontekstowego. Dzięki temu użytkownicy mogą kliknąć prawym przyciskiem myszy plik lub folder (na pulpicie lub w Eksploratorze Windows) iręcznie przeskanować ten plik lub folder. Ustawienia skanowania spyware/grayware Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Skanuj pliki cookie: Agenci będą skanować iusuwać śledzące pliki cookie, które zostały pobrane do klientów podczas odwiedzania witryn internetowych. Wykryte śledzące pliki cookie zwiększają licznik programów spyware/grayware na ekranie Stan aktywności. Uwzględnij pliki cookie w dzienniku spyware: Dodaje każdy wykryty plik cookie zidentyfikowany jako spyware do dziennika spyware. Ochrona przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi uniemożliwia użytkownikom odwiedzanie złośliwych witryn sieci Web. Wykorzystuje ona rozbudowaną bazę danych Trend Micro Web Security w celu sprawdzenia reputacji adresów URL HTTP, do których użytkownicy próbują uzyskać dostęp, lub adresów URL zawartych w wiadomościach . Więcej informacji zawiera sekcja Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web na str Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Adresy URL do zatwierdzenia: Poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj. Uwaga: Dodanie adresu URL obejmuje wszystkie jego subdomeny. 11-8

215 Konfigurowanie ustawień globalnych Lista dozwolonych adresów URL: Adresy URL na tej liście nie będą blokowane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Włącz dzienniki korzystania dla programu CSA: Agenci będą wysyłać szczegółowe informacje o odwiedzanych adresach URL do programu Security Server. Szczegółowe informacje dotyczące konfiguracji ochrony przed zagrożeniami internetowymi na podstawie lokalizacji klienta zawiera sekcja Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań Funkcja Monitorowanie zachowań chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Nie blokuj wyskakujących okienek dla zmian o niskim ryzyku lub monitorowanych operacji: Agenci ostrzegają użytkowników o zmianach o niskim ryzyku lub monitorowanych operacjach. Filtrowanie zawartości wiadomości błyskawicznych Administratorzy mogą ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych. Wiadomości błyskawiczne stanowią formę komunikacji w czasie rzeczywistym między dwoma lub większą liczbą osób w oparciu o wpisywany tekst. Tekst jest przesyłany między Klientami połączonymi poprzez sieć. Agenci mogą ograniczać używanie słów w następujących aplikacjach do obsługi wiadomości błyskawicznych: AIM 6 (nie są obsługiwane kompilacje wydane po marcu 2008) ICQ 6 (nie są obsługiwane kompilacje wydane po marcu 2008) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger

216 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zastrzeżone słowa: W tym polu wpisz zastrzeżone słowa lub wyrażenia. Można zastrzec maksymalnie 31 słów lub wyrażeń. Poszczególne słowa lub wyrażenia nie mogą zawierać więcej niż 35 znaków (17 w przypadku chińskich znaków). Wprowadź pozycję lub kilka pozycji oddzielonych średnikami (;), a następnie kliknij polecenie Dodaj>>. Lista zastrzeżonych słów/wyrażeń: Słowa lub wyrażenia z tej listy nie mogą być używane w wiadomościach błyskawicznych. Kliknij odpowiednią ikonę, aby usunąć pozycję. Ustawienia ostrzeżeń Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Pokaż ikonę ostrzegawczą na pasku zadań Windows, jeżeli plik sygnatur wirusów nie został zaktualizowany po { } dniach: Ikona ostrzegawcza jest wyświetlana na komputerach klienckich, których plik sygnatur nie został zaktualizowany po upływie określonej liczby dni. Ustawienia nadzoru Opcja nadzoru zapewnia stałą ochronę klientów przez program Client/Server Security Agent. Po włączeniu usługa nadzoru sprawdza dostępność agentów co x minut. Jeśli agent jest niedostępny, usługa nadzoru spróbuje uruchomić go ponownie. Wskazówka: Firma Trend Micro zaleca włączenie usługi nadzoru klienta, aby zapewnić ochronę komputera klienta przez program Client/Server Security Agent. Jeżeli program Client/Server Security Agent zostanie nieoczekiwanie zamknięty, na przykład podczas ataku hakera, usługa nadzoru ponownie uruchomi program Client/Server Security Agent. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz usługę nadzoru agenta 11-10

217 Konfigurowanie ustawień globalnych Sprawdź stan klienta co {} minut: Określa, jak często usługa nadzoru powinna sprawdzać stan klienta. Jeśli klienta nie można uruchomić, ponawiaj próbę {} razy: Określa, ile razy usługa nadzoru powinna podjąć próbę ponownego uruchomienia programu Client/Server Security Agent. Dezinstalacja agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwala klientowi na odinstalowanie programu Client/Server Security Agent: Zezwól użytkownikom na odinstalowanie programu Client/Server Security Agent. Aby odinstalować program Client/Server Security Agent, wymagaj hasła od użytkownika: Zezwala użytkownikom na odinstalowanie programu Client/Server Security Agent po podaniu określonego hasła. Hasło Potwierdź hasło Zamykanie agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól klientowi na zamknięcie programu Client/Server Security Agent: Zezwala użytkownikom na zamknięcie programu Client/Server Security Agent. Wymagaj hasła od użytkownika, aby zamknąć program Client/Server Security Agent: Zezwala użytkownikom na zamknięcie programu Client/Server Security Agent po podaniu określonego hasła. Hasło Potwierdź hasło 11-11

218 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Opcje systemowe Sekcja System ekranu Ustawienia globalne zawiera opcje służące do automatycznego usuwania nieaktywnych agentów, sprawdzania połączeń agentów oraz obsługi folderu kwarantanny. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka System RYSUNEK Zakładka System na ekranie Ustawienia globalne Aby skonfigurować opcje systemowe: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Usuwanie nieaktywnego programu Client/Server Security Agent na str Weryfikacja łączności klient-serwer na str Obsługa folderu kwarantanny na str Kliknij przycisk Zapisz

219 Konfigurowanie ustawień globalnych Usuwanie nieaktywnego programu Client/Server Security Agent W przypadku usuwania programu Client/Server Security Agent z komputera za pomocą jego własnego dezinstalatora, program automatycznie powiadamia program Security Server. Gdy program Security Server otrzyma to powiadomienie, usunie ikonę klienta z drzewa grup zabezpieczeń, wskazując w ten sposób, że dany klient już nie istnieje. Jeżeli jednak program Client/Server Security Agent będzie usuwany innymi metodami, na przykład za pomocą formatowania dysku twardego komputera lub w wyniku ręcznego usunięcia plików klienta, do programu Security Server nie dotrą informacje o usunięciu, a program Client/Server Security Agent będzie wyświetlany jako nieaktywny. Także wtedy, gdy użytkownik zamknie lub wyłączy klienta na dłuższy czas, program Security Server będzie wyświetlać program Client/Server Security Agent jako nieaktywny. Aby w drzewie grup zabezpieczeń wyświetlani byli wyłącznie aktywni klienci, program Security Server można skonfigurować tak, aby automatycznie usuwał nieaktywne programy Client/Server Security Agent z drzewa grup zabezpieczeń. Aby usunąć nieaktywnych agentów: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz automatyczne usuwanie nieaktywnego klienta Client/Server Security Agent: Umożliwia automatyczne usuwanie klientów, które nie nawiązały kontaktu z programem Security Server przez określoną liczbę dni. Automatycznie usuwaj klienta Client/Server Security Agent, jeśli jest nieaktywny przez {} dni: Liczba dni, przez które klient może być nieaktywny zanim zostanie usunięty z konsoli internetowej. 2. Kliknij przycisk Zapisz. Weryfikacja łączności klient-serwer W programie Worry-Free Business Security stan połączenia klienta jest przedstawiany w drzewie grup zabezpieczeń w postaci ikony. Jednak niektóre warunki mogą uniemożliwiać wyświetlanie właściwego stanu połączenia klienta w drzewie grup zabezpieczeń. Na przykład, przypadkowe wyjęcie kabla sieciowego 11-13

220 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora może uniemożliwić powiadomienie programu Trend Micro Security Server, że klient jest w trybie offline. W drzewie grup zabezpieczeń stan tego klienta będzie wciąż wyświetlany jako online. Połączenie klient-serwer można sprawdzić ręcznie lub według harmonogramu za pomocą konsoli internetowej. Uwaga: Funkcja Sprawdź połączenie nie pozwala na wybór określonych grup lub klientów. Sprawdza ona połączenie ze wszystkimi klientami zarejestrowanymi w programie Security Server. Aby zweryfikować łączność klient-serwer: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz sprawdzanie zaplanowane: Włącza zaplanowane sprawdzanie komunikacji agenta i programu Security Server. Co godzinę Codziennie Co tydzień, w Godzina rozpoczęcia: Godzina rozpoczęcia sprawdzania. Sprawdź teraz: Natychmiast rozpoczyna sprawdzanie łączności między agentami a programem Security Server. 2. Kliknij przycisk Zapisz. Obsługa folderu kwarantanny W przypadku, gdy agent wykryje zagrożenie internetowe w pliku, a operacją skanowania przypisaną do tego typu zagrożenia jest kwarantanna, agent zaszyfruje zarażony plik, umieści go w folderze kwarantanny klienta i wyśle do folderu kwarantanny programu Trend Micro Security Server. Program Worry-Free Business Security szyfruje zarażony plik, aby zapobiec zarażeniu innych plików. Domyślnie folder kwarantanny serwera Client/Server Security Agent znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT 11-14

221 Konfigurowanie ustawień globalnych Domyślnie folder kwarantanny programu Trend Micro Security Server znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: Jeżeli agent nie może z jakiegoś powodu wysłać zaszyfrowanego pliku do programu Trend Micro Security Server (np. ze względu na problem z połączeniem sieciowym), zaszyfrowany plik pozostaje w folderze kwarantanny klienta. Agent ponowi próbę wysłania pliku po połączeniu się z programem Trend Micro Security Server. Więcej informacji na temat konfiguracji ustawień skanowania i zmiany położenia folderu kwarantanny zawiera sekcja Ustawienia skanowania wirusów na str Aby obsługiwać foldery kwarantanny: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Pojemność folderu kwarantanny: Rozmiar folderu kwarantanny w megabajtach. Maksymalny rozmiar pojedynczego pliku: Maksymalny rozmiar (w megabajtach) pojedynczego pliku zapisanego w folderze kwarantanny. Usuń wszystkie pliki poddane kwarantannie: Usuwa wszystkie pliki w folderze kwarantanny. Jeśli folder jest pełny i załadowany zostanie nowy plik, nie zostanie on zapisany. 2. Kliknij przycisk Zapisz

222 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 11-16

223 Rozdział 12 Wykonywanie dodatkowych zadań administracyjnych W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca z Menedżerem dodatków czy dezinstalacja programu Security Server. Rozdział obejmuje następujące zagadnienia: Zmiana hasła konsoli internetowej na str Praca z Menedżerem dodatków na str Wyświetlanie szczegółów licencji produktu na str Uczestnictwo w infrastrukturze Smart Protection Network na str Zmiana języka interfejsu agenta na str Dezinstalacja programu Trend Micro Security Server na str

224 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Zmiana hasła konsoli internetowej Aby zapobiec zmianie ustawień lub usunięciu agentów z komputerów klienckich przez nieupoważnionych użytkowników, konsola internetowa jest chroniona hasłem. Główny program instalacyjny programu Worry-Free Business Security wymaga określenia hasła konsoli internetowej, jednak z poziomu konsoli można to hasło zmienić. Wskazówka: Firma Trend Micro zaleca użycie silnych haseł dla konsoli internetowej. Silne hasło ma długość co najmniej ośmiu znaków i zawiera co najmniej jedną wielką literę (A Z), co najmniej jedną małą literę (a z), co najmniej jedną cyfrę (0 9), jak również co najmniej jeden znak specjalny lub przestankowy (!@#$%^&,.:;?). Silne hasła nigdy nie powinny być identyczne jak nazwa logowania użytkownika ani zawierać tej nazwy. Nie należy także używać imienia ani nazwiska użytkownika, daty urodzin ani żadnej innej informacji, którą można łatwo utożsamić zużytkownikiem. Ścieżka nawigacji: Preferencje > Hasło RYSUNEK Ekran Preferencje hasło Aby zmienić hasło konsoli internetowej: 1. Zmień odpowiednio następujące opcje na ekranie Hasło: Stare hasło Nowe hasło Potwierdź hasło: Wpisz ponownie nowe hasło, aby je potwierdzić. 12-2

225 Wykonywanie dodatkowych zadań administracyjnych 2. Kliknij przycisk Zapisz. Uwaga: W przypadku zagubienia hasła konsoli internetowej, należy się skontaktować z pomocą techniczną firmy Trend Micro, aby otrzymać instrukcje dotyczące odzyskiwania dostępu do konsoli internetowej. Jedyną alternatywą jest usunięcie i ponowna instalacja programu Worry-Free Business Security. Patrz część Dezinstalacja programu Trend Micro Security Server na str Praca z Menedżerem dodatków Ścieżka nawigacji: Preferencje > Dodatki Menedżer dodatków wyświetla programy przeznaczone dla programu Worry-Free Business Security i agentów w konsoli internetowej zaraz po tym, jak zostaną one udostępnione. Można je instalować i zarządzać nimi za pośrednictwem konsoli internetowej, łącznie z instalowaniem dodatków na komputerach z agentami. Menedżera dodatków można pobrać i zainstalować, klikając opcję Menedżer dodatków w menu głównym konsoli internetowej. Po zainstalowaniu Menedżera dodatków można sprawdzić dostępność dodatków. Więcej informacji znajduje się w dokumentacji dodatków. Wyświetlanie szczegółów licencji produktu Na ekranie licencji produktu można odnowić, zaktualizować albo wyświetlić szczegóły dotyczące licencji produktu. Ścieżka nawigacji: Preferencje > Licencja produktu 12-3

226 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora RYSUNEK Ekran Preferencje Licencja produktu Na ekranie Licencja produktu wyświetlane są szczegółowe informacje odnośnie licencji. W zależności od opcji wybranych w czasie instalacji może to być wersja zpełną licencją lub wersja testowa. W obu przypadkach licencja upoważnia użytkownika do korzystania z umowy serwisowej. Po wygaśnięciu umowy serwisowej komputery klienckie w sieci będą chronione w bardzo ograniczony sposób. Należy użyć ekranu Licencja produktu, aby sprawdzić datę wygaśnięcia licencji i odnowić ją przed upływem tego terminu. Konsekwencje nieważnej licencji Po wygaśnięciu kodu aktywacyjnego pełnej wersji nie będzie możliwe pobieranie aktualizacji silników i plików sygnatur. Jednak w przeciwieństwie do kodu aktywacyjnego wersji testowej, wszystkie istniejące konfiguracje i ustawienia nadal obowiązują po wygaśnięciu kodu aktywacyjnego pełnej wersji. Umożliwia to zachowanie pewnego poziomu zabezpieczeń na wypadek, gdyby użytkownik przez nieuwagę doprowadził do wygaśnięcia licencji. Aby odnowić licencję produktu: 1. Skontaktuj się z przedstawicielem handlowym lub dystrybutorem oprogramowania firmy Trend Micro w celu odnowienia umowy licencyjnej. Informacje o sprzedawcach znajdują się w pliku: Program files\trend micro\security server\pccsrv\ private\contact_info.ini 12-4

227 Wykonywanie dodatkowych zadań administracyjnych 2. Sprzedawca firmy Trend Micro zaktualizuje informacje rejestracyjne za pomocą funkcji rejestracji produktów firmy Trend Micro. 3. Program Security Server sprawdza serwer rejestracji produktu i pobiera nową datę ważności bezpośrednio z tego serwera. Podczas odnawiania licencji nie jest konieczne ręczne wprowadzanie nowego kodu aktywacyjnego. Zmiana licencji Kod aktywacyjny decyduje o typie posiadanej licencji. Użytkownik może posiadać wersję testową lub wersję zpełną licencją, bądź licencję produktu Worry-Free Business Security Advanced albo produktu Worry-Free Business Security. Aby zmienić licencję, można użyć ekranu Licencja produktu celem wprowadzenia nowego kodu aktywacyjnego. Aby zmienić licencję z wersji testowej na wersję zpełną licencją: 1. Kliknij przycisk Wprowadź nowy kod. 2. Wpisz nowy kod aktywacyjny w odpowiednim polu. 3. Kliknij przycisk Aktywuj. Uczestnictwo w infrastrukturze Smart Protection Network Uczestnictwo w infrastrukturze Smart Protection Network firmy Trend Micro pomoże firmie Trend Micro dostarczać proaktywne rozwiązania, które blokują zagrożenia zanim dotrą do komputerów w Twojej firmie. Uczestnicy infrastruktury Smart Protection Network dostarczają informacji istotnych dla naszych technologii korelacji, dzięki którym możliwe jest wyeliminowanie źródeł zagrożeń zanim wyrządzą więcej szkód. Ten mechanizm pozwala na uzyskanie informacji o zagrożeniach opartych na reputacji źródła komunikacji, a nie na zawartości określonej komunikacji, w związku z czym informacje prywatne i firmowe klienta są zawsze chronione. Ścieżka nawigacji: Preferencje > Smart Protection Network 12-5

228 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora RYSUNEK Ekran przystąpienia do infrastruktury Smart Protection Network Więcej informacji na temat infrastruktury Smart Protection Network można uzyskać na stronie: Zmiana języka interfejsu agenta Administratorzy mogą udostępnić pakiety językowe z określonymi ustawieniami regionalnymi dla programu Client/Server Security Agent. Kiedy administratorzy zainstalują wszystkie pakiety językowe, użytkownicy będą mogli wyświetlić interfejs programu Client/Server Security Agent w języku odpowiadającym ustawieniom regionalnym systemu operacyjnego. Uwaga: Język używany w interfejsie agenta będzie odpowiadał ustawieniom regionalnym skonfigurowanym w systemie operacyjnym klienta. Aby udostępnić pakiety językowe: 1. Pobierz odpowiednie pakiety językowe przy użyciu łączy. 2. Skopiuj pakiety językowe do katalogu PCCSRV\Download\LangPack\ na serwerze zabezpieczeń. 3. Uruchom ponownie komputery klienckie, które wymagają nowego pakietu językowego. 12-6

229 Wykonywanie dodatkowych zadań administracyjnych Dezinstalacja programu Trend Micro Security Server OSTRZEŻENIE! Dezinstalacja programu Trend Micro Security Server naraża sieć na atak. Program Worry-Free Business Security korzysta z programu odinstalowującego, aby bezpiecznie usunąć program Trend Micro Security Server z komputera. Przed usunięciem programu Security Server usuń agenta ze wszystkich komputerów klienckich. Uwaga: Odinstalowanie programu Trend Micro Security Server nie powoduje dezinstalacji agentów. Przed odinstalowaniem programu Trend Micro Security Server administratorzy muszą odinstalować lub przenieść wszystkich agentów. Patrz część Usuwanie agentów na str Aby usunąć program Trend Micro Security Server: 1. Na komputerze, na którym przeprowadzono instalację, kliknij kolejno Start > Panel sterowania > Dodaj lub usuń programy. 2. Kliknij pozycję Trend Micro Security Server, a następnie kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran potwierdzenia. 3. Kliknij przycisk Dalej. Dezinstalator serwera poprosi o podanie hasła administratora. 4. W polu tekstowym wpisz hasło administratora i kliknij przycisk OK. Program odinstalowujący rozpocznie usuwanie plików serwera. Po odinstalowaniu programu Security Server zostanie wyświetlony komunikat potwierdzenia. 5. Kliknij przycisk OK, aby zamknąć program odinstalowujący. 12-7

230 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 12-8

231 Rozdział 13 Używanie narzędzi administracyjnych i klienckich W tym rozdziale omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem Worry-Free Business Security. Rozdział obejmuje następujące zagadnienia: Typy narzędzi na str Narzędzia administracyjne na str Narzędzia klienckie na str Dodatki na str

232 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Typy narzędzi Program Worry-Free Business Security zawiera zestaw narzędzi pozwalających łatwo wykonywać różne zadania, takie jak konfiguracja serwera i zarządzanie klientami. Uwaga: Nie można korzystać z opisanych narzędzi z poziomu konsoli internetowej. Aby uzyskać instrukcje na temat uruchamiania narzędzi, należy zapoznać się zponiższymi sekcjami. Narzędzia te dzielą się na trzy kategorie: Narzędzia administracyjne: Ułatwiają konfigurację programu Trend Micro Security Server oraz zarządzanie agentami. Ustawienia skryptu logowania (autopcc.exe): Umożliwia automatyzację instalacji programu Client/Server Security Agent. Narzędzie Vulnerability Scanner (TMVS.exe): Wyszukuje niezabezpieczone komputery w sieci. Narzędzia klienckie: Umożliwiają rozszerzenie możliwości agentów. Program Client Packager (ClnPack.exe): Umożliwia tworzenie samorozpakowujących się plików zawierających program Client/Server Security Agent i właściwe składniki. Przywracanie zaszyfrowanych wirusów (VSEncode.exe): Umożliwia otwarcie zainfekowanych plików przy użyciu Worry-Free Business Security. Narzędzie Touch Tool (TmTouch.exe): Umożliwia zmianę sygnatury czasowej pakietu hot fix w celu synchronizacji z zegarem systemowym. Narzędzie Client Mover Tool (IpXfer.exe): Przenosi klientów między programami Security Server. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu Worry-Free Business Security oraz systemu operacyjnego. Dodatki: Dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server 2008 pozwalają administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli 13-2

233 Używanie narzędzi administracyjnych i klienckich programów SBS i EBS. Te same szczegółowe informacje są wyświetlane na ekranie Stan aktywności. Uwaga: Niektóre narzędzia dostępne w poprzednich wersjach programu Worry-Free Business Security nie są dostępne w tej wersji. Jeżeli są one potrzebne, należy się skontaktować z pomocą techniczną firmy Trend Micro. Patrz Pomoc techniczna firmy Trend Micro na str Narzędzia administracyjne Niniejsza sekcja zawiera informacje o narzędziach administracyjnych programu Worry-Free Business Security. Ustawienia skryptu logowania Za pomocą Ustawień skryptu logowania można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach zaraz po zalogowaniu się w sieci. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Sprawdza wersję systemu operacyjnego niechronionego komputera klienckiego i instaluje odpowiednią wersję programu Client/Server Security Agent. Aktualizuje pliki programów i sygnatury wirusów. Aby uzyskać instrukcje odnośnie instalowania agentów, patrz Instalacja za pomocą skryptu logowania na str Vulnerability Scanner Narzędzie Vulnerability Scanner wykrywa zainstalowane rozwiązania antywirusowe i wyszukuje w sieci niezabezpieczone komputery. Aby określić, czy dany komputer jest zabezpieczony, narzędzie Vulnerability Scanner sprawdza porty używane zwykle przez programy antywirusowe. 13-3

234 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Narzędzie Vulnerability Scanner może wykonywać następujące funkcje: Monitorowanie sieci pod kątem żądań DHCP wysyłanych przez komputery w trakcie pierwszego logowania do sieci narzędzie Vulnerability Scanner może określić ich stan Wysyłanie polecenia ping do komputerów w sieci w celu sprawdzenia ich stanu oraz wyszukania nazw, wersji platform i opisów Określanie rozwiązań antywirusowych zainstalowanych w sieci. Wykrywane są produkty Trend Micro (w tym OfficeScan, ServerProtect dla Windows NT i Linux, ScanMail dla Microsoft Exchange, InterScan Messaging Security Suite, oraz PortalProtect) i programy antywirusowe innych firm (w tym Norton AntiVirus Corporate Edition v7.5 i v7.6, oraz McAfee VirusScan epolicy Orchestrator). Wyświetlanie nazwy serwera i wersji pliku sygnatur, silnika skanowania i programu produktów OfficeScan oraz ServerProtect dla systemu Windows NT Wysyłanie wyników skanowania za pośrednictwem poczty Uruchamianie w trybie cichym (tryb wiersza polecenia) Zdalne instalowanie programu Client/Server Security Agent na komputerach z systemami Windows Vista/2000/XP (tylko Professional)/Server 2003 (R2) Narzędzie Vulnerability Scanner można też zautomatyzować, tworząc zadania zaplanowane. Aby uzyskać informacje na temat automatyzacji narzędzia Vulnerability Scanner, patrz pomoc elektroniczna TMVS. Aby uruchomić narzędzie Vulnerability Scanner na komputerze innym niż serwer, skopiuj na niego folder TMVS ze ścieżki \PCCSRV\Admin\Utility na serwerze. Uwaga: Nie można zainstalować programu Client/Server Security Agent z narzędziem Vulnerability Scanner, jeśli na tym samym komputerze znajduje się składnik serwera programu Worry-Free Business Security. Narzędzie Vulnerability Scanner nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony składnik serwera programu Worry-Free Business Security. 13-4

235 Używanie narzędzi administracyjnych i klienckich Aby skonfigurować narzędzie Vulnerability Scanner: 1. Na dysku, na którym zainstalowano składnik serwera programu Worry-Free Business Security, otwórz następujące katalogi: Trend Micro Security Server > PCCSRV >Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3. W polu Product Query wybierz produkty do sprawdzenia w sieci. Aby wybrać wszystkie produkty, wybierz opcję Check for all Trend Micro products. Jeżeli w sieci zainstalowano produkt InterScan firmy Trend Micro i program Norton AntiVirus Corporate Edition, kliknij przycisk Settings obok nazwy produktu, aby zweryfikować numer portu do sprawdzenia przez narzędzie Vulnerability Scanner. 4. W obszarze Description Retrieval Settings wybierz metodę wyszukiwania, której chcesz używać. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Normal Retrieval, a następnie zaznaczając pole wyboru Retrieve computer descriptions when available, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, w opcji Alert Settings zaznacz pole wyboru results to the system Administrator, a następnie kliknij przycisk Configure, aby określić ustawienia poczty To From SMTP Server: Adres serwera SMTP użytkownika. Na przykład adres smtp.firma.com. Informacja o serwerze SMTP jest wymagana. Subject 6. Aby na niechronionych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij przycisk Customize, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Alert Message. Można wpisać nowy komunikat ostrzeżenia lub zaakceptować domyślny. Kliknij przycisk OK. 13-5

236 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 7. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatically save the results to a CSV file. Pliki danych CSV są domyślnie zapisywane w folderze TMVS. Jeżeli chcesz zmienić domyślny folder CSV, kliknij przycisk Browse. Zostanie wyświetlony ekran Browse for folder. Przeglądaj w poszukiwaniu folderu docelowego w swoim komputerze lub sieci, a następnie kliknij przycisk OK. 8. Można ustawić narzędzie Vulnerability Scanner tak, aby wysyłało polecenia ping do komputerów w sieci w celu uzyskania informacji o ich stanach. W obszarze Ping Settingsokreśl sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Packet size i Timeout. 9. Aby zdalnie zainstalować agenta i wysłać dziennik na serwer, wpisz nazwę serwera i numer portu. Aby zdalnie zainstalować agenta w sposób automatyczny, zaznacz pole wyboru Auto-install Client/Server Security Client on unprotected computers. 10. Kliknij Install Account, aby skonfigurować konto. Zostanie wyświetlony ekran Account Information. 11. Wpisz nazwę użytkownika oraz hasło i kliknij przycisk OK. 12. Kliknij przycisk OK, aby zapisać ustawienia. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. Aby uruchomić ręczne skanowanie w zakresie podatności na uszkodzenie pewnego zakresu adresów IP: 1. W obszarze IP Range to Check wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. Uwaga: Narzędzie Vulnerability Scanner obsługuje tylko adresy IP klasy B. 2. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. Wyniki wyświetlane są w tabeli Results. 13-6

237 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Vulnerability Scanner na komputerach uzyskujących adres IP z serwera DHCP: 1. Kliknij kartę DHCP Scan w polu Results. Zostanie wyświetlony przycisk DHCP Start. 2. Kliknij przycisk DHCP Start. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów na atak, kiedy będą się logować do sieci. Aby utworzyć zadania zaplanowane: 1. W obszarze Scheduled Tasks kliknij pozycję Add/Edit. Zostanie wyświetlony ekran Scheduled Task. 2. W polu Task Name wpisz nazwę tworzonego zadania. 3. W obszarze IP Address Range wpisz zakres adresów IP do sprawdzenia pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. 4. W obszarze Task Schedule określ częstotliwość wykonywania tworzonego zadania. Można ustawić wykonywanie zadania Daily, Weekly lub Monthly. Po zaznaczeniu opcji Weekly należy wybrać dzień z listy. Po zaznaczeniu opcji Monthly należy wybrać datę z listy. 5. W menu Start time wpisz godzinę wykonania zadania lub wybierz ją z listy. Należy użyć 24-godzinnego formatu czasu. 6. W obszarze Settings wybierz opcję Use current settings, aby użyć istniejących ustawień lub opcję Modify settings. Po wybraniu opcji Modify settings należy kliknąć Settings, aby zmienić konfigurację. Aby uzyskać informacje na temat konfigurowania ustawień, należy zapoznać się zprocedurą opisaną w krokach od Step 3 do Step 12 w sekcji Aby skonfigurować narzędzie Vulnerability Scanner: na str Kliknij przycisk OK, aby zapisać ustawienia. Utworzone zadanie zostanie wyświetlone w obszarze Scheduled Tasks. 13-7

238 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Inne ustawienia Aby skonfigurować poniższe ustawienia, należy zmodyfikować plik TMVS.ini: EchoNum: Ustawianie liczby komputerów klienckich, do których narzędzie Vulnerability Scanner będzie jednocześnie wysyłać polecenie ping. ThreadNumManual: Ustawianie liczby komputerów klienckich, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego. ThreadNumSchedule: Ustawianie liczby komputerów klienckich, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego w trakcie wykonywania zadań zaplanowanych. Aby zmienić te ustawienia: 1. Otwórz folder TMVS i znajdź plik TMVS.ini. 2. Otwórz plik TMVS.ini w programie Notatnik lub innym edytorze. 3. Aby ustawić liczbę komputerów, do których narzędzie Vulnerability Scanner wysyła jednocześnie polecenie ping, zmień wartość pozycji EchoNum. Podaj wartość między 1 a 64. Przykładowo można wpisać wartość EchoNum=60, aby narzędzie Vulnerability Scanner wysyłało polecenie ping jednocześnie do 60 komputerów. 4. Aby ustawić liczbę komputerów sprawdzanych jednocześnie przez narzędzie Vulnerability Scanner pod kątem oprogramowania antywirusowego, zmień wartość pozycji ThreadNumManual. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumManual=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego. 5. Aby ustawić liczbę komputerów, które będą jednocześnie sprawdzane przez narzędzie Vulnerability Scanner pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania zadań zaplanowanych, zmień wartość ThreadNumSchedule. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumSchedule=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania przez narzędzie Vulnerability Scanner zadań zaplanowanych. 6. Zapisz plik TMVS.ini. 13-8

239 Używanie narzędzi administracyjnych i klienckich Narzędzia klienckie Niniejsza sekcja zawiera informacje o narzędziach klienckich programu Worry-Free Business Security. Program Client Packager Client Packager to narzędzie służące do kompresowania plików instalacyjnych i aktualizacyjnych do postaci samorozpakowującej, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Ma on również funkcję poczty elektronicznej umożliwiającą otwarcie książki adresowej programu Microsoft Outlook i przesłanie samorozpakowującego się pakietu z konsoli programu Client Packager. Aby uruchomić narzędzie Client Packager, dwukrotnie kliknij plik. Klienci programu Worry-Free Business Security zainstalowani za pomocą narzędzia Client Packager przesyłają do serwera informacje o lokalizacji pakietu ustawień. Przywracanie zaszyfrowanych wirusów Programy Client/Server Security Agent szyfrują zainfekowane pliki, aby zapobiec otwieraniu ich przez użytkowników i rozprzestrzenianiu wirusów oraz złośliwego oprogramowania na inne pliki komputera klienckiego. Program Client/Server Security Agent szyfruje plik za każdym razem, gdy tworzy jego kopię zapasową, poddaje go kwarantannie lub zmienia jego nazwę. Poddany kwarantannie plik jest przechowywany w folderze \Suspect na komputerze klienckim, a następnie wysyłany do katalogu kwarantanny. Plik kopii zapasowej jest przechowywany w folderze \Backup na komputerze klienckim, który znajduje się zazwyczaj w następującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\Backup\. W niektórych przypadkach może jednak zaistnieć konieczność otwarcia pliku, mimo że jest on zarażony. Przykładowo zarażony został ważny dokument; musisz odzyskać zawarte w nim informacje i w tym celu dokonasz odszyfrowania zainfekowanego 13-9

240 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora pliku. Do odszyfrowania zarażonych wirusów można użyć funkcji Przywracanie zaszyfrowanych plików. Uwaga: Aby zapobiec ponownemu wykryciu wirusa przez program Client/Server Security Agent podczas korzystania z opcji Przywracanie zaszyfrowanych wirusów oraz złośliwego oprogramowania, należy wyłączyć folder docelowy odszyfrowywania ze skanowania w czasie rzeczywistym. OSTRZEŻENIE! Odszyfrowanie zarażonego pliku może spowodować przeniesienie wirusa lub złośliwego oprogramowania na inne pliki. Narzędzie Przywracanie zaszyfrowanych wirusów wymaga następujących plików: Plik główny: VSEncode.exe Wymagane pliki DLL: VSAPI32.dll Aby odszyfrować pliki w folderze kwarantanny: 1. Skopiuj folder VSEncrypt z programu Security Server do komputera klienckiego: \PCCSRV\Admin\Utility\VSEncrypt. OSTRZEŻENIE! Nie należy kopiować folderu VSEncrypt do folderu programu Worry-Free Business Security. Wystąpi konflikt między plikiem VSAPI32.dll funkcji Przywracanie zaszyfrowanych wirusów a oryginalnym plikiem VSAPI32.dll. 2. Otwórz wiersz polecenia i przejdź do lokalizacji, w której znajduje się skopiowany folder VSEncrypt. 3. Uruchom funkcję Przywracanie zaszyfrowanego wirusa z następującymi parametrami: brak parametru: szyfrowanie plików w folderze kwarantanny -d: odszyfrowywanie plików w folderze kwarantanny -debug: tworzenie dziennika diagnostycznego w folderze głównym klienta /o: zastąpienie zaszyfrowanego lub odszyfrowanego pliku, jeżeli już istnieje 13-10

241 Używanie narzędzi administracyjnych i klienckich /f: {nazwa pliku}. zaszyfrowanie lub odszyfrowanie pojedynczego pliku /nr: nieprzywracanie oryginalnej nazwy pliku Można na przykład wpisać ciąg VSEncode [-d] [-debug], aby odszyfrować pliki w folderze Kwarantanna i utworzyć dziennik diagnostyczny. W przypadku szyfrowania lub odszyfrowywania pliku program OfficeScan tworzy zaszyfrowany lub odszyfrowany plik w tym samym katalogu. Uwaga: Zaszyfrowanie lub odszyfrowanie zablokowanych plików może być niemożliwe. Funkcja Przywracanie zaszyfrowanego wirusa udostępnia następujące dzienniki: VSEncrypt.log. Zawiera szczegóły dotyczące szyfrowania i odszyfrowywania. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:). VSEncDbg.log. Zawiera szczegóły diagnostyczne. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:), jeżeli program VSEncode.exe został uruchomiony z parametrem -debug. Aby zaszyfrowywać lub odszyfrowywać pliki w innej lokalizacji: 1. Utwórz plik tekstowy i wpisz pełną ścieżkę plików, które chcesz zaszyfrować lub odszyfrować. Na przykład aby zaszyfrować lub odszyfrować pliki znajdujące się w C:\Moje dokumenty\raporty, w pliku tekstowym wpisz C:\Moje dokumenty\raporty\*.*. Następnie zapisz plik tekstowy z rozszerzeniem INI lub TXT, na przykład jako DoZaszyfrowania.ini na dysku C:. 2. W wierszu polecenia uruchom narzędzie Przywracanie zaszyfrowanych wirusów, wpisując ciąg VSEncode.exe -d -i{lokalizacja pliku INI lub TXT}, gdzie {lokalizacja pliku INI lub TXT} jest ścieżką i nazwą utworzonego pliku INI lub TXT (na przykład C:\DoZaszyfrowania.ini)

242 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora Program Touch Tool Narzędzie Touch Tool umożliwia synchronizację sygnatury czasowej jednego pliku z sygnaturą innego pliku lub czasem systemowym komputera. Jeżeli nie powiodła się próba instalacji pakietu hot fix (aktualizacji lub poprawki firmy Trend Micro) na serwerze zabezpieczeń firmy Trend Micro, do zmiany sygnatury czasowej poprawki należy użyć narzędzia Touch Tool. Spowoduje to, że program Worry-Free Business Security zinterpretuje plik pakietu hot fix jako nowy, dzięki czemu serwer spróbuje ponownie automatycznie zainstalować ten pakiet. Aby uruchomić narzędzie Touch Tool: 1. Na serwerze zabezpieczeń firmy Trend Micro przejdź do następującego katalogu: \PCCSRV\Admin\Utility\Touch 2. Skopiuj plik TmTouch.exe do folderu, gdzie znajduje się plik, który ma zostać zmieniony. Aby zsynchronizować sygnaturę czasową pliku z sygnaturą innego pliku, umieść oba pliki w tym samym miejscu co narzędzie Touch Tool. 3. Otwórz wiersz polecenia i przejdź do lokalizacji narzędzia Touch Tool. 4. Wpisz poniższy tekst: gdzie: TmTouch.exe <nazwa_pliku_docelowego> <nazwa_pliku_źródłowego> <nazwa_pliku_docelowego> = nazwa pliku (na przykład hot fix), którego oznaczenie czasu ma zostać zmienione <nazwa_pliku_źródłowego> = nazwa pliku, którego oznaczenie czasowe ma być powielone Jeżeli nazwa pliku źródłowego nie zostanie określona, narzędzie ustawi sygnaturę czasową pliku docelowego zgodnie z czasem systemowym komputera. Uwaga: W polu nazwy pliku docelowego możesz użyć znaku *, ale nie możesz tego zrobić w polu nazwy pliku źródłowego

243 Używanie narzędzi administracyjnych i klienckich 5. Aby sprawdzić zmianę sygnatury, w wierszu polecenia wpisz dir lub w oknie Eksplorator Windows kliknij prawym przyciskiem myszy nazwę pliku i wybierz z menu polecenie Właściwości. Narzędzie Client Mover Jeśli w sieci pracuje więcej niż jeden serwer Worry-Free Business Security, można za pomocą narzędzia Client Mover przenosić klientów z jednego serwera Worry-Free Business Security na inny. Jest to szczególnie przydatne po dodaniu nowego serwera Worry-Free Business Security do sieci, gdy zachodzi potrzeba przeniesienia istniejących klientów na nowy serwer. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu Worry-Free Business Security oraz systemu operacyjnego. Narzędzie Client Mover wymaga pliku IpXfer.exe. Aby uruchomić narzędzie Client Mover: 1. Na serwerze Worry-Free Business Security przejdź do następującego katalogu: \PCCSRV\Admin\Utility\IpXfer. 2. Skopiuj plik IpXfer.exe na komputer kliencki, który ma zostać przeniesiony. 3. Otwórz na tym komputerze wiersz polecenia, a następnie przejdź do folderu zawierającego skopiowany plik. 4. Uruchom narzędzie Client Mover, używając następującej składni: gdzie: IpXfer.exe -s <nazwa_serwera> -p <server_listening_port> -m 1 -c <port_nasłuchiwania_klienta> <nazwa_serwera> = nazwa docelowego serwera Worry-Free Business Security (serwera, na który zostanie przeniesiony klient). <port_nasłuchiwania_serwera> = (zaufany) port nasłuchiwania serwera docelowego Worry-Free Business Security. Aby wyświetlić informację o porcie nasłuchiwania w konsoli internetowej, kliknij opcję Ustawienia zabezpieczeń. Numer portu jest widoczny obok nazwy serwera zabezpieczeń

244 Trend Micro Worry-Free Business Security 5.1 Podręcznik administratora 1 = Po opcji -m trzeba wprowadzić liczbę 1 <port_nasłuchiwania_klienta> = numer portu klienta Aby sprawdzić, czy komputer kliencki zgłasza się teraz do innego serwera: 1. W obszarze klienta kliknij prawym przyciskiem myszy ikonę Client/Server Security Agent na pasku zadań. 2. Wybierz opcję Client/Server Security Agent Konsola. 3. W sekcji Informacje o produkcie na karcie Pomoc kliknij opcję więcej informacji. 4. Upewnij się, że program CSA zgłasza się do właściwego serwera zabezpieczeń. Dodatki Program Worry-Free Business Security jest wyposażony w dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server Pozwalają one administratorowi wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS

245 Używanie narzędzi administracyjnych i klienckich RYSUNEK Konsola programu SBS, na której wyświetlane są informacje obieżącym stanie Instalowanie dodatków SBS i EBS Dodatki SBS lub EBS są instalowane automatycznie podczas instalacji programu Security Server na komputerze z zainstalowanymi programami SBS 2008 lub EBS Aby możliwe było korzystanie z tych dodatków na innym komputerze, konieczna jest ich ręczna instalacja. Aby ręcznie zainstalować dodatki dla programów SBS lub EBS 2008: 1. Należy przejść do konsoli internetowej, korzystając z komputera z zainstalowanym programem SBS lub EBS Kliknąć kolejno opcje Preferencje > Narzędzia, a następnie kliknąć kartę Dodatki. 3. Kliknąć odpowiednie łącze Pobierz, aby pobrać dodatek SBS lub EBS Otworzyć pobrany plik na komputerze lokalnym i przeprowadzić instalację