Worry-Free Business Security Advanced5

Transkrypt

1 TM Worry-Free Business Security Advanced5 for Small and Medium Business Podręcznik administratora

2

3 Firma Trend Micro Incorporated zastrzega sobie prawo do wprowadzania, bez wcześniejszej zapowiedzi, zmian w tym dokumencie oraz w opisanych w nim produktach. Przed zainstalowaniem i korzystaniem z oprogramowania należy zapoznać się z plikami readme, uwagami do wydania oraz najnowszą wersją właściwej dokumentacji użytkownika, które są dostępne w witrynie internetowej firmy Trend Micro pod adresem: Nazwy Trend Micro, TrendProtect, TrendSecure, Worry-Free, OfficeScan, PC-cillin, InterScan, ScanMail oraz logo t-ball firmy Trend Micro są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Trend Micro Incorporated. Pozostałe nazwy produktów i firm mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi odpowiednich właścicieli. Copyright Trend Micro Incorporated. Wszelkie prawa zastrzeżone. Data wydania: luty 2009 Podlega ochronie patentami USA o numerach: 5,951,698 and 7,188,369

4 Dokumentacja użytkownika programu Trend Micro Worry-Free Business Security Advanced Podręcznik administratora ma na celu przedstawienie głównych funkcji oprogramowania i instrukcji instalacji w określonym środowisku produkcyjnym. Należy go przeczytać przed zainstalowaniem lub rozpoczęciem użytkowania oprogramowania. Szczegółowe informacje na temat korzystania z poszczególnych funkcji oprogramowania znajdują się w pliku pomocy elektronicznej oraz w elektronicznej Bazie wiedzy, dostępnej w witrynie internetowej firmy Trend Micro.

5 Spis treści Spis treści Wstęp Odbiorcy... xiv Dokumentacja produktu... xiv Informacje dostępne w Podręczniku administratora... xvi Konwencje i pojęcia przyjęte w dokumentacji... xviii Rozdział 1: Program Worry-Free Business Security Advanced wprowadzenie Przegląd programu Worry-Free Business Security Advanced Co nowego w tej wersji? Co nowego w wersji Co nowego w wersji Zawartość pakietu Worry-Free Business Security Advanced Konsola internetowa Program Security Server Client/Server Security Agent Messaging Security Agent Silnik skanowania Plik sygnatur wirusów Silnik czyszczenia wirusów Ogólny sterownik zapory Plik sygnatur wirusów sieciowych Plik sygnatur narażenia na atak Informacje o zagrożeniach Wirusy/złośliwe oprogramowanie Spyware/grayware Wirusy sieciowe Spam Włamania Złośliwe zachowanie Fałszywe punkty dostępu Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych iii

6 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Programy nasłuchujące naciskane klawisze w trybie online Narzędzia do kompresji Zdarzenie typu phishing Ataki typu mass-mailing Sposób ochrony komputerów i sieci przez program Worry-Free Business Security Advanced Składniki informacje Inne dodatkowe produkty firmy Trend Micro Inne możliwości programu Worry-Free Business Security Advanced Zarządzanie bezpieczeństwem za pomocą jednej konsoli Analizowanie ochrony sieci Stosowanie reguł zabezpieczeń Zawsze aktualna ochrona Poddawanie zarażonych plików kwarantannie Kontrolowanie epidemii w sieci Zarządzanie grupami programu Worry-Free Business Security Advanced Ochrona klientów przed atakami hakerów za pomocą zapory Ochrona wiadomości Filtrowanie zawartości wiadomości błyskawicznych Kontrola ustawień zabezpieczeń na podstawie lokalizacji Monitorowanie zachowań Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web Obsługa bezpiecznych transakcji w trybie online Dozwolone programy spyware/grayware Bezpieczna komunikacja Składniki z możliwością aktualizacji Pakiety hot fix, poprawki i dodatki Service Pack Rozdział 2: Praca z konsolą internetową Możliwości konsoli internetowej Funkcje konsoli internetowej Korzystanie z funkcji Stan aktywności i Powiadomienia Konfigurowanie powiadomień Korzystanie z funkcji Stan aktywności iv

7 Spis treści Stan zagrożenia Stan systemu Rozdział 3: Instalowanie agentów Wybór metody instalacji Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent Wymagania systemowe agenta Wykonywanie nowej instalacji Instalowanie z wewnętrznej strony internetowej Instalacja za pomocą skryptu logowania Instalacja za pomocą skryptów systemów Windows 2000/ Server 2003/Server Instalacja za pomocą programu Client Packager Instalowanie za pomocą pliku MSI Instalowanie za pomocą instalacji zdalnej Instalacja za pomocą narzędzia Vulnerability Scanner Instalowanie programu MSA z poziomu konsoli internetowej Weryfikowanie instalacji, uaktualnienia lub migracji agenta Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów Testowanie instalacji klienta za pomocą skryptu testowego EICAR Usuwanie agentów Usuwanie programu Client/Server Security Agent za pomocą dezinstalatora Usuwanie programu Client/Server Security Agent za pomocą konsoli internetowej Usuwanie programu Messaging Security Agent z serwerów Microsoft Exchange Usuwanie programu Messaging Security Agent za pomocą programu odinstalowującego v

8 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Rozdział 4: Rozdział 5: Praca z grupami Przegląd grup Wyświetlanie klientów w grupie Pasek narzędzi Ustawienia zabezpieczeń Dodawanie grup Usuwanie grup Dodawanie klientów do grup Przenoszenie klientów Replikowanie ustawień grup Konfigurowanie grup komputerów i serwerów Przegląd opcji grup komputerów i serwerów, które można konfigurować Oprogramowanie antywirusowe/anty-spyware Konfigurowanie skanowania w czasie rzeczywistym Zapora Konfigurowanie zapory Ochrona przed zagrożeniami internetowymi Konfigurowanie ochrony przed zagrożeniami internetowymi Monitorowanie zachowań Zmienne środowiskowe Konfigurowanie monitorowania zachowań TrendSecure Konfigurowanie usługi TrendSecure Skanowanie poczty POP Wymagania skanowania poczty POP Wymagania paska narzędzi Anti-Spam Włączanie skanowania poczty Konfiguracja skanowania poczty POP3 w celu przeskanowania innych portów Uprawnienia klienta Konfigurowanie uprawnień klienta Kwarantanna Konfigurowanie katalogu kwarantanny vi

9 Spis treści Rozdział 6: Rozdział 7: Konfigurowanie serwerów Microsoft Exchange Programy Messaging Security Agent informacje Opcje grup serwerów Microsoft Exchange, które można konfigurować Domyślne ustawienia programu Messaging Security Agent Ochrona antywirusowa Konfiguracja skanowania w czasie rzeczywistym dla programów Messaging Security Agent Anty-Spam Reputation Skanowanie zawartości Konfigurowanie usługi Reputation Skanowanie zawartości Filtrowanie zawartości Słowa kluczowe Wyrażenia regularne Wyświetlanie reguł filtrowania zawartości Dodawanie/edytowanie reguł filtrowania zawartości Zmiana kolejności reguł Blokowanie załączników Konfigurowanie blokowania załączników Kwarantanna Katalogi kwarantanny Konfigurowanie katalogów kwarantanny Tworzenie zapytań dotyczących katalogów kwarantanny Obsługa katalogów kwarantanny Zarządzanie narzędziem End User Quarantine Konfigurowanie folderu spamu Operacje Ustawienia powiadamiania Obsługa wiadomości typu spam Pomoc techniczna firmy Trend Micro/Diagnostyka Korzystanie z funkcji Ochrona przed epidemią Strategia ochrony przed epidemią Operacje funkcji Ochrona przed epidemią vii

10 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Bieżący stan Zapobieganie zagrożeniom Ochrona przed zagrożeniami Usuwanie zagrożeń Potencjalne zagrożenie Konfigurowanie funkcji Ochrona przed epidemią Ustawienia funkcji Ochrona przed epidemią Konfigurowanie ustawień oceny narażenia na atak Rozdział 8: Rozdział 9: Konfiguracja skanowania ręcznego i zaplanowanego Skanowanie za pomocą programu Worry-Free Business Security Advanced Skanowanie ręczne Skanowanie zaplanowane Skanowanie w czasie rzeczywistym Skanowanie klientów Konfigurowanie opcji skanowania dotyczących grup Konfigurowanie opcji skanowania w przypadku serwerów Microsoft Exchange Planowanie skanowania Aktualizacja składników Aktualizacja składników ActiveUpdate informacje Składniki, które można aktualizować Domyślny czas aktualizacji Aktualizacja programu Security Server Źródła aktualizacji Konfigurowanie źródła aktualizacji Korzystanie z agentów aktualizacji Aktualizacje ręczne i zaplanowane Ręczne aktualizowanie składników Planowanie aktualizacji składników Wycofywanie lub synchronizacja składników viii

11 Spis treści Rozdział 10: Przeglądanie i interpretowanie dzienników i raportów Dzienniki Raporty Interpretowanie raportów Korzystanie z kwerendy dziennika Generowanie raportów Zarządzanie dziennikami i raportami Obsługa raportów Automatyczne usuwanie dzienników Ręczne usuwanie dzienników Rozdział 11: Praca z powiadomieniami Powiadomienia informacje Zdarzenia zagrożeń Zdarzenia systemowe Konfigurowanie powiadomień Dostosowywanie alarmów powiadomień Konfigurowanie ustawień powiadamiania Rozdział 12: Konfigurowanie ustawień globalnych Opcje internetowego serwera proxy Opcje serwera SMTP Opcje komputera/serwera Rozpoznawanie lokalizacji Ogólne ustawienia skanowania Ustawienia skanowania wirusów Ustawienia skanowania spyware/grayware Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań Filtrowanie zawartości wiadomości błyskawicznych Ustawienia ostrzeżeń Ustawienia nadzoru Dezinstalacja agenta Zamykanie agenta Opcje systemowe Usuwanie nieaktywnego programu Client/Server Security Agent ix

12 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Weryfikacja łączności klient-serwer Obsługa folderu kwarantanny Rozdział 13: Wykonywanie dodatkowych zadań administracyjnych Zmiana hasła konsoli internetowej Praca z Menedżerem dodatków Wyświetlanie szczegółów licencji produktu Konsekwencje nieważnej licencji Zmiana licencji Uczestnictwo w infrastrukturze Smart Protection Network Zmiana języka interfejsu agenta Dezinstalacja programu Trend Micro Security Server Rozdział 14: Używanie narzędzi administracyjnych i klienckich Typy narzędzi Narzędzia administracyjne Ustawienia skryptu logowania Vulnerability Scanner Narzędzia klienckie Program Client Packager Przywracanie zaszyfrowanych wirusów Program Touch Tool Narzędzie Client Mover Dodatki Instalowanie dodatków SBS i EBS Korzystanie z dodatków SBS i EBS Rozdział 15: Często zadawane pytania, rozwiązywanie problemów i pomoc techniczna Często zadawane pytania (FAQ) Jak można dodatkowo chronić klientów? Rejestracja Instalacja, uaktualnianie i zgodność Ochrona oprogramowania Intuit Konfigurowanie ustawień Dokumentacja x

13 Spis treści Rozwiązywanie problemów Środowiska z ograniczonymi połączeniami Nie utworzono folderu spamu użytkownika Błędne rozpoznanie wewnętrznego nadawcy/odbiorcy Ponowne wysyłanie wiadomości poddanej kwarantannie kończy się niepowodzeniem Replikowanie ustawień kończy się niepowodzeniem Zapisywanie i odtwarzanie ustawień programu w celu przywrócenia lub ponownej instalacji Niektóre składniki nie zostały zainstalowane Brak dostępu do konsoli internetowej Nieprawidłowa liczba klientów wyświetlana w konsoli internetowej Nieudana instalacja ze strony internetowej lub za pomocą instalacji zdalnej Brak ikony klienta w konsoli internetowej po instalacji Problemy podczas migracji z programu antywirusowego innej firmy Nieprawidłowe/nieważne podpisy cyfrowe Centrum informacji o bezpieczeństwie firmy Trend Micro Znane problemy Kontakt z firmą Trend Micro Pomoc techniczna firmy Trend Micro Baza wiedzy Kontakt z działem pomocy technicznej Przesyłanie podejrzanych plików do firmy Trend Micro TrendLabs informacje Trend Micro informacje Dodatek A: Dodatek B: Systemowe listy kontrolne Lista kontrolna portów... A-1 Lista kontrolna adresów serwerów... A-2 Lista wykluczeń produktów Trend Micro Lista wykluczeń dla serwerów Microsoft Exchange...B-5 xi

14 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Dodatek C: Dodatek D: Dodatek E: Dodatek F: Usługi firmy Trend Micro Reguły ochrony przed epidemią firmy Trend Micro... C-2 Usługi Trend Micro Damage Cleanup Services... C-2 Rozwiązanie Damage Cleanup Services... C-3 Ocena narażenia na atak firmy Trend Micro... C-4 Funkcja Trend Micro IntelliScan... C-4 Funkcja Trend Micro ActiveAction... C-5 Ustawienia domyślne usługi ActiveAction... C-6 Mechanizm Trend Micro IntelliTrap... C-6 Rzeczywiste typy plików... C-7 Usługi Trend Micro Reputation... C-8 Ochrona przed zagrożeniami internetowymi firmy Trend Micro... C-8 Informacje o kliencie Klienci mobilni...d-2 Klienci 32-bitowi i 64-bitowi...D-4 Rodzaje oprogramowania typu Spyware/Grayware Glosariusz zwrotów Indeks xii

15 Wstęp Wstęp Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora zapraszamy Niniejsza książka zawiera informacje na temat działań, które należy wykonać w celu zainstalowania i skonfigurowania programu Worry-Free Business Security Advanced. Rozdział obejmuje następujące zagadnienia: Odbiorcy na stronie xiv Dokumentacja produktu na stronie xiv Konwencje i pojęcia przyjęte w dokumentacji na stronie xviii xiii

16 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Odbiorcy Jest ona przeznaczona zarówno dla nowicjuszy, jak i doświadczonych administratorów programu Worry-Free Business Security Advanced (WFBS-A), którzy chcą sprawnie skonfigurować produkt, administrować nim i z niego korzystać. Dokumentacja produktu Pakiet Worry-Free Business Security Advanced składa się zdwóch składników: hostowanej/zewnętrznej usługi ochorny wiadomości (InterScan Messaging Hosted Security Standard) i oprogramowania do ochrony serwerów, komputerów stacjonarnych i wiadomości . Dokumenty dotyczące programu InterScan Messaging Hosted Security Standard są dostępne pod adresem: erscan-messaging-hosted-security/ Dokumentacja programu Worry-Free Business Security Advanced obejmuje następujące elementy: Pomoc elektroniczna Dokumentacja w sieci Web dostępna z poziomu konsoli internetowej. Pomoc elektroniczna programu Worry-Free Business Security Advanced zawiera opis funkcji produktu i instrukcje dotyczące korzystania z nich. Zawiera także szczegółowe informacje na temat dostosowywania i uruchamiania zadań bezpieczeństwa. Kliknij ikonę, aby otworzyć pomoc kontekstową. Kto powinien korzystać z pomocy elektronicznej? Administratorzy WFBS-A, którzy potrzebują pomocy przy określonym ekranie. Podręcznik Wprowadzenie Podręcznik Wprowadzenie dostarcza informacji na temat instalacji/aktualizacji produktu i omawia pierwsze kroki. Przedstawia opis podstawowych funkcji iustawień domyślnych programu Worry-Free Business Security Advanced. xiv

17 Wstęp Podręcznik Wprowadzenie jest dostępny na dysku CD Trend Micro SMB lub można go pobrać z Centrum aktualizacji firmy Trend Micro: Kto powinien przeczytać ten podręcznik Administratorzy WFBS-A, którzy chcą zainstalować i rozpocząć pracę z programem Worry-Free Business Security Advanced. Podręcznik administratora Podręcznik administratora zawiera szczegółowe wskazówki dotyczące konfiguracji i korzystania z produktu. Podręcznik administratora jest dostępny na dysku CD Trend Micro SMB lub można go pobrać z Centrum aktualizacji firmy Trend Micro: Kto powinien przeczytać ten podręcznik Administratorzy programu WFBS-A, którzy muszą dostosowywać, nadzorować lub używać Worry-Free Business Security Advanced. Plik Readme Plik Readme zawiera najnowsze informacje o produkcie, niezamieszczone w dokumentacji elektronicznej ani drukowanej. Omawiane tematy to opis nowych funkcji, porady dotyczące instalacji, problemy związane z produktem, informacje dotyczące licencji itd. xv

18 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Baza wiedzy Baza wiedzy to elektroniczna baza danych zawierająca informacje dotyczące rozwiązywania problemów. Zawiera najnowsze informacje o znanych problemach dotyczących produktu. Aby uzyskać dostęp do Bazy wiedzy, odwiedź następującą witrynę internetową: Uwaga: W tym podręczniku przyjęto założenie, że używany jest program Worry-Free Business Security Advanced. Jeśli używany jest program Worry-Free Business Security, informacje zawarte w tym podręczniku mają zastosowanie, ale nie będzie możliwe korzystanie z funkcji wchodzących w skład programu Messaging Security Agent. Informacje dostępne w Podręczniku administratora Niniejszy dokument można podzielić na cztery główne części dotyczące planowania instalacji, instalowania produktu i składników, konfiguracji po zainstalowaniu oraz znajdowania pomocy. Rozdziały 1 i 2. Te rozdziały zawierają przegląd głównych funkcji i możliwości programu Worry-Free Business Security Advanced. Rozdział 3. W tym rozdziale opisano czynności umożliwiające instalację i uaktualnienie agentów. Znajdują się tu również informacje na temat dezinstalacji agenta. Rozdział 4. W tym rozdziale omówiono koncepcję i korzystanie z grup w programie Worry-Free Business Security Advanced. Rozdziały 5 i 6. W tym rozdziale zostały wyjaśnione W kroki niezbędne do skonfigurowania grup. Rozdział 7. W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci i klientów. Rozdział 8. W tym rozdziale opisano sposób korzystania z funkcji skanowania ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. xvi

19 Wstęp Rozdział 9. W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział 10. W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział 11. W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział 12. W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział 13. W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca zmenedżerem dodatków czy dezinstalacja programu Security Server. Rozdział 14. W tym rozdziale omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem Worry-Free Business Security Advanced. Rozdział 15. Ten rozdział zawiera odpowiedzi na często zadawane pytania dotyczące instalacji i wdrażania. Opisano w nim sposoby rozwiązywania problemów mogących wystąpić podczas pracy z programem Worry-Free Business Security Advanced i zawarto informacje potrzebne do kontaktu z pomocą techniczną firmy Trend Micro. Dodatki. W tych rozdziałach zawarto listy sprawdzania systemu oraz listy wykluczeń dla oprogramowania typu spyware/grayware, informacje na temat różnych usług firmy Trend Micro, na temat klientów, różnych rodzajów oprogramowania spyware/grayware oraz glosariusz. xvii

20 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konwencje i pojęcia przyjęte w dokumentacji Aby ułatwić odnalezienie i zrozumienie informacji, w dokumentacji programu WFBS-A przyjęto poniższe konwencje. TABELA P-1. Konwencje i terminy stosowane w tym dokumencie KONWENCJA/POJĘCIE WIELKIE LITERY Pogrubienie Kursywa Stała szerokość liter Uwaga: Wskazówka OSTRZEŻENIE! Ścieżka nawigacji Security Server Konsola internetowa Agent/CSA/MSA Klienci OPIS Akronimy, skróty, nazwy poszczególnych poleceń oraz klawisze klawiatury Nazwy i polecenia menu, przyciski poleceń, karty, opcje oraz nazwy zadań Odwołania do innych dokumentów Przykładowe polecenia, kod programu, adresy URL w sieci Web, nazwy plików oraz dane wyjściowe programu Uwagi dotyczące konfiguracji Zalecenia Krytyczne operacje i opcje konfiguracji Ścieżka nawigacji pozwalająca wyświetlić określony ekran. Na przykład Skanowanie > Skanowanie ręczne oznacza, że należy kliknąć opcję Skanowanie, a następnie kliknąć opcję Skanowanie ręczne w interfejsie. Program Security Server zawiera także konsolę internetową, scentralizowaną konsolę zarządzania dla całego rozwiązania Worry-Free Business Security Advanced. Konsola internetowa jest scentralizowaną, internetową konsolą zarządzania wszystkimi agentami. Konsola internetowa znajduje się w programie Security Server. Client/Server Security Agent lub Messaging Security Agent. Agenci chronią komputery klienckie, na których są zainstalowane. Klienci to serwery Microsoft Exchange, komputery stacjonarne i przenośne oraz serwery, na których zainstalowano program Messaging Security Agent lub Client/Server Security Agent. xviii

21 Rozdział 1 Program Worry-Free Business Security Advanced wprowadzenie Ten rozdział zawiera przegląd głównych funkcji i możliwości programu Worry-Free Business Security Advanced. Rozdział obejmuje następujące zagadnienia: Przegląd programu Worry-Free Business Security Advanced na str. 1-2 Co nowego w tej wersji? na str. 1-2 Zawartość pakietu Worry-Free Business Security Advanced na str. 1-6 Informacje o zagrożeniach na str Sposób ochrony komputerów i sieci przez program Worry-Free Business Security Advanced na str Inne możliwości programu Worry-Free Business Security Advanced na str Składniki z możliwością aktualizacji na str

22 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Przegląd programu Worry-Free Business Security Advanced Program Trend Micro Worry-Free Business Security Advanced (WFBS-A) chroni firmę i jej reputację przed kradzieżą danych, potencjalnie niebezpiecznymi stronami internetowymi i spamem. Bezpieczniejsze, inteligentniejsze i prostsze systemy ochronne blokują zagrożenia internetowe oraz złośliwe oprogramowanie, chroniąc firmę oraz informacje o klientach. Dzięki stałym aktualizacjom nieobciążającym komputera firma Trend Micro oferuje ochronę przed zagrożeniami internetowymi. Ciągle rozbudowywana baza wiedzy chroni klientów niczym globalna straż sąsiedzka. Program Worry-Free Business Security Advanced zawiera moduł InterScan Messaging Hosted Security Standard blokujący spam zanim dotrze do sieci. Ponadto program Worry-Free Business Security Advanced chroni serwery Microsoft Exchange i Small Business Server oraz serwery Microsoft Windows, a także tradycyjne komputery biurowe i komputery przenośne. Co nowego w tej wersji? Co nowego w wersji 5.1 Ta wersja programu Worry-Free Business Security Advanced zapewnia wiele korzyści dla firm, które nie dysponują dedykowanymi zasobami do zarządzania ochroną antywirusową. W wersji 5.1 zachowane zostały wszystkie możliwości wersji poprzedniej, dodano także następujące nowe funkcje: Obsługa programu Windows Small Business Server 2008 Wersja 5.1 obsługuje program Windows Small Business Server (SBS) 2008, pozwalając użytkownikom na zarządzanie wbudowanymi elementami bezpieczeństwa w programie SBS 2008, jednocześnie unikając konfliktów. Wersja 5.1 obsługuje funkcje bezpieczeństwa programu SBS 2008 w następujący sposób: W programie instalacyjnym aplikacji Worry-Free Business Security Advanced wyświetlany jest monit o usunięcie programu Microsoft Forefront Security for Exchange Server, aby kontynuować instalację. 1-2

23 Program Worry-Free Business Security Advanced wprowadzenie Program instalacyjny aplikacji Security Server nie wyłącza, ani nie usuwa programu Microsoft Windows Live OneCare for Server. Natomiast program instalacyjny aplikacji Client/Server Security Agent (CSA) usuwa program OneCare z komputerów klienckich. Wersja 5.1 jest również wyposażona w dodatek do konsoli programu SBS, który pozwala administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie. Obsługa programu Windows Essential Business Server (EBS) 2008 Wersja 5.1 obsługuje program Windows Essential Business Server 2008, pozwalając użytkownikom na zainstalowanie odpowiednich składników programu Worry-Free Business Security Advanced na komputerach, które pełnią rolę serwerów zarządzanych w programie EBS Wersja 5.1 pozwala administratorom programu EBS 2008: Instalować program Security Server na komputerach pełniących rolę dowolnego typu serwera. Wyświetlać bieżące informacje o zabezpieczeniach i systemie w konsoli programu EBS za pośrednictwem dostarczonego dodatku. Instalować program Messaging Security Agent (MSA) na komputerach pełniących rolę serwerów poczty elektronicznej. Usuwać program Microsoft Forefront Security for Exchange Server (Forefront) przed dalszą instalacją programu MSA. Program instalacyjny aplikacji MSA wyświetla monit o konieczności usunięcia programu Forefront. Obsługa programu Microsoft Exchange Server 2007 w systemie operacyjnym Windows Server 2008 Wersja 5.1 zawiera nowszą wersję programu Messaging Security Agent (MSA), który obsługuje program Exchange Server 2007 w systemie operacyjnym Windows Server

24 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ulepszone silniki zabezpieczeń Wersja 5.1 jest wyposażona w następujące nowe silniki: silnik ochrony przed zagrożeniami internetowymi (wcześniej znanej jako usługi Web Reputation ) wraz z ulepszonym mechanizmem obsługującym infrastrukturę Trend Micro Smart Protection Network zapewniającą szybsze wykrywanie i eliminowanie nieznanych zagrożeń internetowych silnik skanowania o zmniejszonym zużyciu pamięci, wyposażony w ulepszenia zwiększające wydajność silnik monitorowania zachowań umożliwiający dezaktywację zagrożeń, inteligentne zarządzanie instalacjami formantów ActiveX oraz wyposażony w dodatkowe funkcje i ulepszenia Dodatkowe informacje o skanowaniu w drzewie grup zabezpieczeń Administratorzy mają obecnie dostęp do informacji na temat daty i godziny ostatniego przeprowadzonego skanowania ręcznego i zaplanowanego dla wybranej grupy komputerów lub serwerów w drzewie grup zabezpieczeń. Co nowego w wersji 5.0 Wersja 5.0 jest wyposażona w następujące funkcje dodatkowe: Program Security Server Rozpoznawanie lokalizacji: Program Worry-Free Business Security Advanced może określać lokalizację klienta na podstawie informacji o bramie serwera. Na podstawie lokalizacji klienta (mobilnego lub znajdującego się w biurze) administratorzy mogą obsługiwać różne ustawienia zabezpieczeń. Stan zagrożenia: Możliwość wyświetlania statystyk dotyczących ochrony przed zagrożeniami internetowymi i funkcji monitorowania zachowań na ekranie Stan aktywności. Menedżer dodatków: Umożliwia dodawanie/usuwanie dodatków dla agentów. Interfejs użytkownika: Program Security Server uzyskał nowy i ulepszony interfejs użytkownika. 1-4

25 Program Worry-Free Business Security Advanced wprowadzenie Client/Server Security Agent Obsługa systemu Windows Vista: Programy Client/Server Security Agent można teraz zainstalować na komputerach z systemem Windows Vista (32-bitowym i 64-bitowym). Porównanie funkcji programu CSA dla różnych platform przedstawiono w sekcji Klienci 32-bitowi i 64-bitowi na str. D-4. Monitorowanie zachowania: Funkcja Monitorowanie zachowań chroni komputery klienckie przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Ochrona przed zagrożeniami internetowymi: Ochrona przed zagrożeniami internetowymi (wcześniej znana, jako Usługa Web Reputation") ocenia potencjalne zagrożenia żądanego adresu URL, przeglądając bazę danych Trend Micro Web Security dla każdego żądania HTTP. Filtrowanie zawartości wiadomości błyskawicznych: Funkcja Filtrowanie zawartości wiadomości błyskawicznych może ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych. Ochrona oprogramowania: Korzystając z funkcji zabezpieczenia oprogramowania, użytkownik może ograniczyć aplikacje, które modyfikują zawartość folderów na komputerze. Skanowanie poczty POP3: Skanowanie poczty POP3 chroni klientów przez spamem i zagrożeniami, które są przesyłane w wiadomościach . Uwaga: Skanowanie poczty POP3 nie wykrywa zagrożeń i spamu w wiadomościach IMAP. W celu wykrywania zagrożeń i spamu w wiadomościach IMAP należy użyć programu Messaging Security Agent. TrendSecure : Usługa TrendSecure obejmuje zestaw narzędzi działających woparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach internetowych. Funkcja Transaction Protector określa bezpieczeństwo połączenia bezprzewodowego poprzez sprawdzenie autentyczności punktu dostępu. Ochrona Intuit : Ochrona plików i folderów oprogramowania QuickBook przed nieautoryzowanymi zmianami wprowadzanymi przez inne programy. 1-5

26 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Obsługa Menedżera dodatków: Zarządzanie dodatkami plug-in do programu Client/Server Security Agent poprzez program Security Server. Interfejs użytkownika: Program Client/Server Security Agent uzyskał nowy i ulepszony interfejs użytkownika. Messaging Security Agent Reputation: Usługę Trend Micro Reputation można włączyć wcelu blokowania wiadomości ze znanych i podejrzanych źródeł spamu. Zawartość pakietu Worry-Free Business Security Advanced Konsola internetowa zarządza wszystkimi agentami z jednego miejsca. Program Security Server, udostępniający konsolę internetową, pobiera uaktualnienia z serwera ActiveUpdate firmy Trend Micro, zbiera i przechowuje dzienniki oraz pomaga kontrolować epidemie wywołane przez wirusy i złośliwe oprogramowanie. Program Client/Server Security Agent, który chroni komputery z systemami Windows Vista/2000/XP/Server 2003/Server 2008 przed wirusami, złośliwym oprogramowaniem, oprogramowaniem typu spyware/grayware, trojanami i innymi zagrożeniami. Program Messaging Security Agent, który chroni serwery Microsoft Exchange, filtruje spam i blokuje zawartość. 1-6

27 Program Worry-Free Business Security Advanced wprowadzenie Internet Zapora Brama Windows Server Serwer Exchange Sieć lokalna RYSUNEK 1-1. Program Worry-Free Business Security Advanced chroni oraz serwery Microsoft Exchange. TABELA 1-1. Legenda Symbol Opis A MSA SS Program Client/Server Security Agent zainstalowany na klientach Program Messaging Security Agent zainstalowany na serwerze Exchange Program Security Server zainstalowany na serwerze Windows 1-7

28 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konsola internetowa Konsola internetowa jest scentralizowaną, sieciową konsolą zarządzania. Służy ona do konfigurowania agentów. Konsola internetowa jest instalowana podczas instalacji programu Trend Micro Security Server i korzysta z typowych technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. Za pomocą konsoli internetowej można także: Instalować agentów na serwerach, komputerach stacjonarnych i przenośnych. Grupować komputery stacjonarne i przenośne oraz serwery w grupy logiczne w celu ułatwienia równoczesnej konfiguracji i zarządzania. Konfigurować skanowanie antywirusowe i przeciwdziałające oprogramowaniu typu spyware oraz uruchamiać skanowanie ręczne dla jednej lub wielu grup. Odbierać powiadomienia i przeglądać raporty dziennika dotyczące wirusów izłośliwego oprogramowania. Odbierać powiadomienia i wysyłać ostrzeżenia o epidemii za pomocą wiadomości , pułapki SNMP lub dziennika zdarzeń systemu Windows w przypadku wykrycia zagrożeń na komputerach klienckich. Kontrolować epidemie przez konfigurowanie i włączanie funkcji Ochrona przed epidemią. Program Security Server Podstawowym elementem pakietu Worry-Free Business Security Advanced jest program Security Server (oznaczony symbolem SS na Rysunek 1-1). Program Security Server zawiera konsolę internetową scentralizowaną konsolę zarządzania dla programu Worry-Free Business Security Advanced. Program Security Server instaluje agentów na komputerach klienckich w sieci i tworzy z tymi agentami relacje typu klient-serwer. Program Security Server umożliwia wyświetlanie informacji o stanie zabezpieczeń, przeglądanie agentów, konfigurowanie zabezpieczeń systemu i pobieranie składników ze scentralizowanej lokalizacji. Program Security Server zawiera także bazę danych, w której przechowywane są dzienniki wykrytych zagrożeń internetowych zgłoszonych przez program Security Agent. 1-8

29 Program Worry-Free Business Security Advanced wprowadzenie Program Trend Micro Security Server spełnia następujące ważne funkcje: Instaluje i monitoruje agentów w sieci oraz zarządza nimi. Pobiera pliki sygnatur wirusów i oprogramowania typu spyware, silniki skanowania oraz aktualizacje programu z serwera aktualizacji firmy Trend Micro, anastępnie rozsyła je do agentów. Internet Program Trend Micro Security Server pobiera plik sygnatur i silnik skanowania ze źródła aktualizacji. Program Trend Micro Security Server z serwerem internetowym HTTP Konsola internetowa Zarządzanie programem Trend Micro Security Server i agentami za pomocą konsoli internetowej Programy Client/Server Security Agent i Messaging Security Agent RYSUNEK 1-2. Jak działa komunikacja klient-serwer za pośrednictwem protokołu HTTP Client/Server Security Agent Program Client/Server Security Agent (oznaczony symbolem A na Rysunek 1-1) przesyła raporty do programu Trend Micro Security Server, z którego został zainstalowany. Aby dostarczyć serwerowi najświeższe informacje o kliencie, agent przesyła w czasie rzeczywistym informacje o stanie zdarzeń. Raportowane są takie zdarzenia, jak wykrycie wirusa, uruchomienie agenta, zamknięcie agenta, rozpoczęcie skanowania i zakończenie aktualizacji. 1-9

30 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Program Client/Server Security Agent zapewnia trzy metody skanowania: skanowanie w czasie rzeczywistym, skanowanie zaplanowane oraz skanowanie ręczne. Ustawienia skanowania dla agentów należy skonfigurować z poziomu konsoli internetowej. Aby wprowadzić jednakowe zabezpieczenia komputerów w całej sieci, należy zdecydować o nieprzyznawaniu użytkownikom uprawnień do modyfikacji ustawień skanowania lub usunięcia agenta. Messaging Security Agent Serwery Microsoft Exchange można chronić przed zagrożeniami, instalując na każdym z nich program Messaging Security Agent (oznaczony symbolem MSA na Rysunek 1-1). Program Messaging Security Agent chroni serwer Microsoft Exchange przed wirusami, złośliwym oprogramowaniem, trojanami, robakami i innymi zagrożeniami. Zapewnia także dodatkowe zabezpieczenia, takie jak blokowanie spamu, filtrowanie zawartości i blokowanie załączników. Program Messaging Security Agent zapewnia trzy metody skanowania w czasie rzeczywistym, zaplanowane i ręczne. Program Messaging Security Agent przesyła raporty do programu Security Server, z którego został zainstalowany. Program Messaging Security Agent przesyła do serwera informacje o zdarzeniach i stanie w czasie rzeczywistym, aby zapewnić aktualne informacje na temat klienta. Informacje o zdarzeniach można uzyskać za pomocą konsoli internetowej. Silnik skanowania Głównym elementem wszystkich produktów firmy Trend Micro jest silnik skanowania. Początkowo opracowany w odpowiedzi na oparte na plikach wirusy komputerowe i złośliwe oprogramowanie, silnik skanowania jest obecnie wyjątkowo skomplikowany i zdolny do wykrywania robaków internetowych, spamu, zagrożeń ze strony trojanów, fałszywych witryn sieci Web oraz innych zagrożeń sieciowych, wtym także wirusów i złośliwych programów. Silnik skanowania wykrywa dwa rodzaje zagrożeń: Aktywnie się rozprzestrzeniające: Zagrożenia aktywnie krążące po Internecie. 1-10

31 Program Worry-Free Business Security Advanced wprowadzenie Znane i opanowane: Opanowane wirusy/złośliwe oprogramowanie, niekrążące, wykorzystywane do badań irozwoju. Silnik i plik sygnatur, zamiast skanować każdy bajt w każdym pliku, wspólnie identyfikują nie tylko charakterystyczne cechy kodu wirusów, ale dokładnie określają miejsca w pliku, w których może ukrywać się wirus lub złośliwe oprogramowanie. Jeżeli program Worry-Free Business Security Advanced wykryje wirusa/złośliwe oprogramowanie, może go usunąć i przywrócić spójność pliku. Silnik skanowania odbiera przyrostowo aktualizowane pliki sygnatur (w celu zmniejszenia zużycia przepustowości sieci) z firmy Trend Micro. Silnik skanowania może odszyfrować pliki we wszystkich ważniejszych formatach szyfrowania (włącznie z MIME i BinHex). Rozpoznaje również i skanuje popularne formaty kompresji, w tym ZIP, ARJ oraz CAB. Program Worry-Free Business Security Advanced umożliwia także określenie liczby skanowanych warstw kompresji (maksymalnie sześć). Ważną sprawą jest utrzymanie aktualności silnika skanowania. Firma Trend Micro zapewnia to na dwa sposoby: regularne aktualizacje pliku sygnatur wirusów aktualizacje oprogramowania silnika wymuszane przez zmiany natury zagrożeń ze strony wirusów/złośliwego oprogramowania, takie jak zwiększenie zagrożeń mieszanych, np. ze strony SQL Slammer Silnik skanowania firmy Trend Micro jest corocznie certyfikowany przez międzynarodowe organizacje bezpieczeństwa komputerowego, w tym ICSA (International Computer Security Association). Aktualizacje silnika skanowania Zapisując najbardziej zależne od upływu czasu informacje o wirusach/złośliwym oprogramowaniu w pliku sygnatur, firma Trend Micro może minimalizować ilość aktualizacji silnika skanowania, zapewniając jednocześnie aktualność ochrony. Mimo to firma Trend Micro okresowo udostępnia nowe wersje silnika skanowania. Firma Trend Micro publikuje nowe silniki w następujących okolicznościach: W oprogramowaniu wykorzystywane są nowe technologie skanowania i wykrywania wirusów. Odkryto nowy, potencjalnie szkodliwy wirus/złośliwe oprogramowanie. 1-11

32 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Poprawiono wydajność skanowania. Dodano obsługę dodatkowych formatów plików, języków skryptów, szyfrowania i/lub formatów kompresji. Aby sprawdzić najnowszy numer wersji silnika skanowania, odwiedź witrynę internetową firmy Trend Micro: Plik sygnatur wirusów Silnik skanowania firmy Trend Micro korzysta z zewnętrznego pliku danych, nazywanego plikiem sygnatur wirusów. Zawiera on informacje umożliwiające programowi Worry-Free Business Security Advanced zidentyfikować najnowsze wirusy, złośliwe oprogramowanie i inne zagrożenia internetowe, takie jak konie trojańskie, spam, robaki i ataki mieszane. Nowe pliki sygnatur wirusów są tworzone i publikowane kilka razy w tygodniu oraz zawsze w momencie odkrycia nowego zagrożenia. Wszystkie programy antywirusowe Trend Micro korzystające z funkcji ActiveUpdate są w stanie wykryć dostępność nowego pliku sygnatur wirusów na serwerze Trend Micro. Administratorzy mogą zaplanować przeszukiwanie serwera przez program antywirusowy w celu pobrania najnowszego pliku raz w tygodniu, codziennie lub co godzinę. Wskazówka: Firma Trend Micro zaleca zaplanowanie automatycznej aktualizacji co najmniej raz na godzinę. Domyślnie dla wszystkich produktów firmy Trend Micro aktualizacja odbywa się co godzinę. Pliki sygnatur wirusów można pobrać znastępującej witryny internetowej, na której można też znaleźć aktualna wersję, datę publikacji i listę definicji wszystkich nowych wirusów uwzględnionych w pliku: emea/pattern.asp?lng=emea 1-12

33 Program Worry-Free Business Security Advanced wprowadzenie Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Uwaga: Plik sygnatur, silnik skanowania i aktualizacje bazy danych są dostępne tylko dla zarejestrowanych użytkowników w ramach aktywnej umowy serwisowej. Silnik czyszczenia wirusów W celu wykrycia i naprawy uszkodzenia spowodowanego przez wirusy, złośliwe oprogramowanie czy inne zagrożenia internetowe program WFBS-A używa narzędzia do skanowania i czyszczenia o nazwie Silnik czyszczenia wirusów. Silnik czyszczenia wirusów wykrywa i czyści wirusy, złośliwe oprogramowanie, trojany i inne zagrożenia. Silnik czyszczenia wirusów używa bazy danych w celu odnalezienia komputerów docelowych i sprawdzenia, czy nie zostały one zaatakowane przez zagrożenia internetowe. Silnik czyszczenia wirusów znajduje się na jednym komputerze i podczas skanowania jest instalowany na komputerze klienckim w sieci. Silnik czyszczenia wirusów używa sygnatury czyszczenia wirusów do naprawy uszkodzeń spowodowanych przez ostatnio odkryte zagrożenia. Program WFBS-A regularnie aktualizuje te szablony. Firma Trend Micro zaleca uaktualnienie tych składników bezpośrednio po instalacji i aktywowaniu programu WFBS-A. Firma Trend Micro często aktualizuje plik sygnatur czyszczenia wirusów. Ogólny sterownik zapory Ogólny sterownik zapory, w połączeniu ze zdefiniowanymi przez użytkownika ustawieniami zapory, blokuje porty podczas epidemii. W celu wykrycia wirusów sieciowych ogólny sterownik zapory również korzysta z pliku sygnatur wirusów sieciowych. 1-13

34 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Plik sygnatur wirusów sieciowych Plik sygnatur wirusów sieciowych zawiera regularnie aktualizowaną bazę danych z sygnaturami wirusów sieciowych na poziomie pakietów. Firma Trend Micro aktualizuje plik sygnatur wirusów sieciowych co godzinę, aby program Worry-Free Business Security Advanced mógł identyfikować nowe wirusy sieciowe. Plik sygnatur narażenia na atak Program Worry-Free Business Security Advanced instaluje plik sygnatur narażenia na atak po zaktualizowaniu składników. Plik sygnatur narażenia na atak używany jest na ekranie Ochrona przed epidemią > Potencjalne zagrożenie podczas pracy znarzędziem Skanuj teraz w poszukiwaniu miejsc narażonych na atak, uruchamiania funkcji Ocena narażenia na atak oraz zawsze, gdy pobierany jest nowy plik sygnatur narażenia na atak. Wkrótce po pobraniu nowego pliku program Worry-Free Business Security Advanced rozpoczyna skanowanie klientów pod kątem narażenia na atak. Informacje o zagrożeniach Bezpieczeństwo komputerów jest dziedziną podlegającą szybkim zmianom. Administratorzy i specjaliści od bezpieczeństwa informacji wymyślają i przyjmują wiele różnych określeń i fraz w celu opisania potencjalnych zagrożeń iniepożądanych zdarzeń dotyczących komputerów i sieci. Poniżej znajduje się omówienie tych określeń i ich znaczenie używane w tym dokumencie. Wirusy/złośliwe oprogramowanie Wirus komputerowy/złośliwe oprogramowanie to program fragment wykonywalnego kodu który ma unikatową zdolność do replikacji. Wirusy/złośliwe oprogramowanie mogą dołączać się do niemal dowolnego typu pliku wykonywalnego i rozprzestrzeniać się jako pliki przesyłane pomiędzy użytkownikami komputerów. Poza zdolnością do replikacji niektóre wirusy/złośliwe oprogramowanie mają inne cechy wspólne: szkodliwe działanie, które powoduje wirus. Choć wirusy czasami wyświetlają tylko komunikaty lub obrazy, mogą one również zniszczyć pliki, sformatować dysk twardy albo spowodować inne straty. 1-14

35 Program Worry-Free Business Security Advanced wprowadzenie Złośliwe oprogramowanie: Złośliwe oprogramowanie zostało zaprojektowane w celu infiltracji lub uszkodzenia systemu komputerowego bez świadomej zgody właściciela. Trojany: Trojan jest złośliwym programem podszywającym się pod nieszkodliwą aplikację. W przeciwieństwie do wirusów/złośliwego oprogramowania, trojany nie powielają się automatycznie, jednakże potrafią być równie szkodliwe. Aplikacja, która ma według autora usuwać wirusy/złośliwe oprogramowanie z komputera, a w istocie wprowadza wirusy/złośliwe oprogramowanie, jest przykładem trojana. Robaki: Robak komputerowy to samodzielny program (lub zbiór programów), który ma zdolność rozpowszechniania własnych funkcjonalnych kopii lub własnych segmentów na inne systemy komputerowe. Rozpowszechnianie zazwyczaj ma miejsce przez połączenia sieciowe lub przez załączniki wiadomości . W przeciwieństwie do wirusów/złośliwego oprogramowania robaki nie muszą dołączać się do programów-nosicieli. Umyślnie utworzone luki w zabezpieczeniach: Umyślnie utworzona luka w zabezpieczeniach (backdoor) to metoda pomijania normalnego uwierzytelniania, zabezpieczenia zdalnego dostępu do komputera i/lub uzyskiwania dostępu do informacji. Jednocześnie wykonywana jest próba uniknięcia wykrycia. Oprogramowanie typu rootkit: Rootkit to zestaw programów stworzonych w celu zakłócenia prawidłowej kontroli użytkowników nad systemem operacyjnym. Zwykle oprogramowanie typu rootkit ukrywa swoją instalację i próbuje zapobiec swojemu wykryciu poprzez podwersję standardowych zabezpieczeń systemu. Wirusy makr: Wirusy makr są zależne od aplikacji. Wirusy te rezydują w plikach aplikacji, takich jak Microsoft Word (.doc) i Microsoft Excel (.xls). W związku ztym można je wykryć w plikach o rozszerzeniach typowych dla aplikacji obsługujących makra, takich jak.doc,.xls czy.ppt. Wirusy makr przemieszczają się pomiędzy plikami danych w aplikacji i jeśli nie zostaną powstrzymane, mogą ostatecznie zarazić setki plików. Programy Client/Server Security Agent i Messaging Security Agent mogą wykrywać wirusy/złośliwe oprogramowanie podczas skanowania antywirusowego. Zalecaną przez firmę Trend Micro operacją w przypadku wirusów/złośliwego oprogramowania jest czyszczenie. 1-15

36 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Spyware/grayware Oprogramowanie typu grayware to programy wykonujące nieoczekiwane lub nieautoryzowane operacje. Jest to ogólne określenie obejmujące spyware, adware, dialery, programy-żarty, narzędzia dostępu zdalnego oraz inne niepożądane pliki i programy. Zależnie od typu, takie oprogramowanie może, ale nie musi, zawierać replikujący się lub niereplikujący się złośliwy kod. Spyware: Spyware to oprogramowanie komputerowe, które jest instalowane na komputerze bez zgody lub wiedzy użytkownika i gromadzi oraz przesyła informacje osobiste. Dialery: Dialery są niezbędne w celu łączenia się z Internetem za pomocą linii telefonicznej. Złośliwe dialery są tworzone w celu łączenia poprzez numery o podwyższonych stawkach zamiast bezpośrednio z usługodawcą internetowym. Dostawcy takich złośliwych dialerów zarabiają dodatkowe pieniądze. Inne sposoby użycia dialerów obejmują przesyłanie informacji osobistych i pobieranie złośliwego oprogramowania. Narzędzia hakerskie: Narzędzie hakerskie to program lub zestaw programów przeznaczonych do pomocy podczas włamań. Adware: Adware lub oprogramowanie wspierające reklamy to dowolny pakiet oprogramowania, który automatycznie odtwarza, wyświetla lub pobiera materiały reklamowe na komputer po zainstalowaniu oprogramowania lub podczas korzystania z niego. Keyloggery: Keylogger to program komputerowy, które rejestruje wszystkie znaki wpisywane przez użytkownika. Haker może następnie pobrać te informacje i wykorzystać do własnych celów. Boty: Bot (skrót od słowa robot ) to program działający jako agent użytkownika lub innego programu bądź symulujący ludzką aktywność. Uruchomiony bot może się replikować, kompresować i rozpowszechniać swoje kopie. Boty mogą służyć do koordynacji zautomatyzowanego ataku na komputery w sieci. Programy Client/Server Security Agent i Messaging Security Agent mogą wykrywać oprogramowanie grayware. Zalecaną przez firmę Trend Micro operacją w przypadku oprogramowania typu spyware/grayware jest czyszczenie. 1-16

37 Program Worry-Free Business Security Advanced wprowadzenie Wirusy sieciowe Wirus rozpowszechniający się przez sieć nie jest, ściśle rzecz biorąc, wirusem sieciowym. Jedynie kilka wspomnianych w tej sekcji zagrożeń, takich jak robaki, zalicza się do wirusów sieciowych. Wirusy sieciowe używają do replikacji protokołów sieciowych, takich jak TCP, FTP, UDP, HTTP, i protokołów . Zapora umożliwia identyfikację i blokowanie wirusów sieciowych na podstawie pliku sygnatur wirusów. Spam Spam obejmuje niezamówione wiadomości (wiadomości-śmieci), często o charakterze reklamowym, wysyłane masowo na wiele list pocztowych, do pojedynczych osób i grup dyskusyjnych. Istnieją dwa rodzaje spamu: niezamawiana poczta reklamowa (UCE) i niezamawiana poczta masowa (UBE). Włamania Włamanie oznacza próbę uzyskania dostępu do sieci lub komputera metodą siłową lub bez uprawnienia. Określenie to może także oznaczać pominięcie zabezpieczeń sieci lub komputera. Złośliwe zachowanie Złośliwe zachowanie oznacza nieautoryzowane zmiany dokonane przez oprogramowanie w systemie operacyjnym, wpisach rejestru, innych programach bądź plikach i folderach. Fałszywe punkty dostępu Fałszywe punkty dostępu, znane także jako złe bliźniaki, to punkty dostępu Wi-Fi, które wydają się być prawidłowe, ale zostały skonfigurowane przez hakera w celu podsłuchiwania komunikacji bezprzewodowej. 1-17

38 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Zawartość tekstowa przesyłana za pomocą aplikacji do obsługi wiadomości błyskawicznych, która jest obraźliwa lub ograniczona tylko do danej organizacji (poufna). Mogą to być na przykład poufne informacje firmowe. Programy nasłuchujące naciskane klawisze w trybie online Wersja online keyloggerów. Patrz Spyware/grayware na str. 1-16, aby uzyskać więcej informacji. Narzędzia do kompresji Narzędzia do kompresji to narzędzia służące do tzw. pakowania programów wykonywalnych. Skompresowanie programu sprawia, że kod zawarty w pliku wykonywalnym jest trudniejszy do wykrycia dla tradycyjnych programów antywirusowych. Skompresowany plik może ukrywać trojana lub robaka. Silnik skanowania programu Trend Micro może wykrywać spakowane pliki, a zalecaną operacją dla nich jest kwarantanna. Zdarzenie typu phishing Zdarzenie typu phishing zaczyna się od wiadomości , której autorzy podszywają się pod znaną lub legalnie działającą firmę. Wiadomość zachęca adresata do kliknięcia łącza przekierowującego do fałszywej witryny internetowej. Znajduje się na niej monit do użytkownika o uaktualnienie informacji osobistych, na przykład haseł, numerów ubezpieczenia czy numerów kart kredytowych. Ma to na celu oszukanie odbiorcy i nakłonienie go do ujawnienia informacji, które mogą zostać użyte w celu kradzieży tożsamości. Program Messaging Security Agents korzysta z funkcji Anty-spam do wykrywania zdarzeń typu phishing. Zalecaną przez firmę Trend Micro operacją w przypadku zdarzeń typu phishing jest usunięcie całej wiadomości, w której wykryto phish. 1-18

39 Program Worry-Free Business Security Advanced wprowadzenie Ataki typu mass-mailing Wirusy/złośliwe oprogramowanie używające poczty elektronicznej mogą rozprzestrzeniać się za pomocą wiadomości , automatyzując działania programu do obsługi poczty elektronicznej zainstalowanego na komputerze, lub poprzez rozprzestrzenianie samego wirusa/złośliwego oprogramowania. Działanie typu mass mailing to sytuacja, gdy zarażenie rozprzestrzenia się szybko w środowisku Microsoft Exchange. Firma Trend Micro opracowała silnik skanowania do wykrywania zachowań, które wykazują zazwyczaj ataki typu mass-mailing. Zachowania te są zapisane w pliku sygnatur wirusów, który jest aktualizowany poprzez serwery Trend Micro ActiveUpdate. Program Messaging Security Agent może wykrywać ataki typu mass-mailing podczas skanowania antywirusowego. Domyślne operacja ustawiona jako reakcja na działanie typu mass mailing ma pierwszeństwo przed innymi operacjami. Zalecaną przez firmę Trend Micro operacją przeciw atakom typu mass mailing jest usunięcie całej wiadomości. Sposób ochrony komputerów i sieci przez program Worry-Free Business Security Advanced Poniższa tabela przedstawia, jak różne składniki programu Worry-Free Business Security Advanced chronią sieć przed zagrożeniami. TABELA 1-2. Zagrożenia i ochrona za pomocą programu Worry-Free Business Security Advanced Zagrożenie Wirusy/złośliwe oprogramowanie. Wirusy, trojany, robaki, umyślnie utworzone luki w zabezpieczeniach i oprogramowanie typu rootkit Spyware/grayware. Spyware, dialery, narzędzia hakerskie, programy do łamania haseł, adware, programy-żarty i keyloggery Worry-Free Business Security AdvancedOchrona Mechanizmy skanowania w poszukiwaniu wirusów i spyware przy użyciu plików sygnatur w programie Client/Server Security Agent i programie Messaging Security Agent 1-19

40 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 1-2. Zagrożenia i ochrona za pomocą programu Worry-Free Business Security Advanced Wirusy, złośliwe oprogramowanie oraz oprogramowanie typu spyware i grayware przesyłane w wiadomościach oraz spam Robaki sieciowe i wirusy Włamania Potencjalnie szkodliwe strony internetowe i witryny phishingowe Złośliwe zachowanie Zagrożenie Fałszywe punkty dostępu Obraźliwa lub poufna zawartość w aplikacjach do obsługi wiadomości błyskawicznych Worry-Free Business Security AdvancedOchrona Skanowanie poczty POP3 w programie Client/Server Security Agent i skanowanie poczty IMAP w programie Messaging Security Agent Zapora w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Ochrona przed zagrożeniami internetowymi i TrendProtect w programie Client/Server Security Agent Funkcja Monitorowanie zachowań programu Client/Server Security Agent Narzędzie Transaction Protector programu Client/Server Security Agent Funkcja Filtrowanie zawartości wiadomości błyskawicznych programu Client/Server Security Agent Składniki informacje Oprogramowanie Worry-Free Business Security Advanced to wielowarstwowa aplikacja chroniąca serwery Microsoft Exchange, komputery stacjonarne i przenośne oraz serwery przy użyciu następujących składników: Antywirus Silnik skanowania antywirusowego (32-bitowy/64-bitowy) programu Client/Server Security Agent i programu Messaging Security Agent: Silnik skanowania wykorzystuje plik sygnatur wirusów do wykrywania wirusów, złośliwego oprogramowania i innych zagrożeń bezpieczeństwa plików, które są otwierane i/lub zapisywane przez użytkowników. Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków 1-20

41 Program Worry-Free Business Security Advanced wprowadzenie odróżniających go od innych kodów, specjaliści do spraw wirusów w firmie Trend Micro umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. Sygnatura wirusów: Plik pomagający programowi Security Agent zidentyfikować sygnatury wirusów unikatowe sygnatury bitów i bajtów, które sygnalizują obecność wirusa. Szablon czyszczenia wirusów: Używany w silniku czyszczenia wirusów; pomaga w identyfikacji plików i procesów trojanów, robaków i programów typu spyware/grayware oraz umożliwia silnikowi ich eliminację. Silnik czyszczenia wirusów (32-bitowy/64-bitowy): Silnik używany przez usługi czyszczenia do wykrywania i usuwania plików i procesów trojanów, robaków oraz programów typu spyware/grayware. Sygnatura wyjątków IntelliTrap: Sygnatura wyjątków używana przez mechanizm IntelliTrap i silniki skanowania podczas poszukiwania złośliwego kodu w skompresowanych plikach. Sygnatura IntelliTrap: Sygnatura używana przez mechanizm IntelliTrap i silniki skanowania do wyszukiwania złośliwego kodu w skompresowanych plikach. Oprogramowanie anty-spyware Silnik skanowania w poszukiwaniu spyware (32-bitowy): Odrębny silnik skanowania, skanujący w poszukiwaniu programów typu spyware/grayware, wykrywający je i usuwający z zainfekowanych komputerów klienckich i serwerów pracujących pod kontrolą 32-bitowych systemów operacyjnych opartych na platformie i386 (Windows Vista, Windows XP, Windows Server 2003 i Windows 2000). Silnik skanowania w poszukiwaniu spyware (64-bitowy): Podobny do silnika skanowania w poszukiwaniu spyware/grayware dla systemów 32-bitowych, prowadzący skanowanie pod kątem spyware, wykrywający je i usuwający z zainfekowanych komputerów klienckich oraz serwerów pracujących pod kontrolą 64-bitowych systemów operacyjnych opartych na procesorze x64 (Windows Vista x64, Windows XP Professional x64 Edition, Windows 2003 x64 Edition). Sygnatury spyware: Plik zawierający znane sygnatury spyware używany przez silniki skanowania w poszukiwaniu spyware (zarówno 32-bitowe, jak i 64-bitowe) 1-21

42 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora do wykrywania programów spyware/grayware na komputerach i serwerach podczas skanowania ręcznego i zaplanowanego. Sygnatura aktywnego monitorowania spyware: Moduł podobny do sygnatury spyware, ale używany przez silnik skanowania podczas skanowania w czasie rzeczywistym w poszukiwaniu spyware. Anty-spam Silnik spamu (32-bitowy/64-bitowy): Wykrywa niezamówioną pocztę reklamową (UCE) lub masową (UBE), znaną także pod nazwą spamu. Sygnatura spamu: Zawiera definicje spamu umożliwiające wykrywanie spamu przez silnik antyspamowy w wiadomościach . Usługa Reputation (ERS). Zatrzymuje do 80 procent spamu, zanim dotrze on do bramy i doprowadzi do obciążenia infrastruktury przesyłania wiadomości. Ochrona przed epidemią Funkcja Ochrona przed epidemią zapewnia wczesne ostrzeganie o zagrożeniu internetowym lub innej epidemii na skalę światową. Funkcja ta reaguje automatycznie, stosując czynności zapobiegawcze chroniące komputery i sieć. Następnie wykonuje czynności zabezpieczające mające na celu zidentyfikowanie problemu i naprawienie uszkodzeń. Sygnatura narażenia na atak: Plik zawierający bazę danych wszystkich luk w zabezpieczeniach. Zawiera on instrukcje dla silnika skanowania, który wyszukuje znane luki w zabezpieczeniach. Zapora Ogólny silnik zapory (32-bitowy/64-bitowy): Zapora wykorzystuje ten silnik wraz z plikiem sygnatur wirusów sieciowych do ochrony komputerów przed atakami hakerów i wirusów sieciowych. Ogólna sygnatura zapory: Podobnie jak plik sygnatur wirusów, plik ten umożliwia programowi Worry-Free Business Security Advanced zidentyfikowanie sygnatur wirusów sieciowych. Sterownik TDI (32-bitowy/64-bitowy): Moduł przekierowujący ruch sieciowy do modułów skanowania. 1-22

43 Program Worry-Free Business Security Advanced wprowadzenie Sterownik WFP (32-bitowy/64-bitowy): W przypadku komputerów klienckich z systemem Windows Vista zapora używa tego sterownika wraz z plikiem sygnatur wirusów sieciowych do skanowania w poszukiwaniu wirusów sieciowych. Ochrona przed zagrożeniami internetowymi Baza danych Trend Micro Security: Ochrona przed zagrożeniami internetowymi ocenia potencjalne zagrożenie bezpieczeństwa ze strony żądanej witryny internetowej przed jej wyświetleniem. W zależności od oceny zwróconej przez bazę danych i skonfigurowanego poziomu zabezpieczeń, program Client/Server Security Agent zablokuje lub zatwierdzi żądanie. Silnik filtrowania adresów URL (32-bitowy/64-bitowy): Silnik wykonujący zapytania do bazy danych Trend Micro Security w celu oceny strony. Narzędzie TrendProtect Baza danych Trend Micro Security: Narzędzie TrendProtect ocenia potencjalne zagrożenie bezpieczeństwa ze strony hiperłączy wyświetlanych na stronie internetowej. W zależności od oceny zwróconej przez bazę danych i poziomu zabezpieczeń skonfigurowanego w dodatku przeglądarki, ten dodatek dokona oceny łącza. Ochrona oprogramowania Lista zabezpieczeń oprogramowania: Lista zabezpieczeń oprogramowania zawiera programy, które mogą modyfikować zawartość plików lub folderów. Programy spoza listy nie mogą tworzyć, modyfikować ani usuwać plików lub folderów. Monitorowanie zachowań Sterowniki głównego monitora zachowań (32-bitowe): Te sterowniki wykrywają zachowanie procesów na komputerach klienckich. Usługa głównego monitora zachowań (32-bitowa): Program CSA używa tych usług do obsługi sterowników głównego monitora zachowań. Sygnatura stosowania reguł: Lista reguł skonfigurowanych w programie Security Server, które muszą być wymuszane przez agentów. Sygnatura listy elementów pomijanych: Lista firm zaakceptowanych przez firmę Trend Micro, których oprogramowanie może być bezpiecznie używane. 1-23

44 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Sygnatura konfiguracji monitora zachowań: Ta sygnatura zawiera domyślne reguły monitorowania zachowań. Narzędzie Transaction Protector Narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów programu Security Server, metod uwierzytelniania oraz wymagań dotyczących szyfrowania. Filtrowanie zawartości Lista zastrzeżonych słów/wyrażeń: Lista zastrzeżonych słów/wyrażeń zawiera słowa i wyrażenia, które nie mogą być przesyłane poprzez aplikacje do obsługi wiadomości błyskawicznych. Stan aktywności i Powiadomienia Funkcja Stan aktywności zapewnia natychmiastowy przegląd stanu zabezpieczeń funkcji Ochrona przed epidemią, Antywirus, Oprogramowanie anty-spyware i Wirusy sieciowe. Jeśli program Worry-Free Business Security Advanced chroni serwery Microsoft Exchange, można również wyświetlać stan ochrony przed spamem. Podobnie program Worry-Free Business Security Advanced może przesyłać do administratorów powiadomienia o wystąpieniu znaczących zdarzeń. Inne dodatkowe produkty firmy Trend Micro Program Worry-Free Business Security Advanced zapewnia wszechstronną ochronę serwerów Exchange oraz komputerów stacjonarnych i serwerów z systemem Windows pracujących w sieci lokalnej. Nie stanowi jednak rozwiązania w przypadku, urządzeń o charakterze bramy ani systemów operacyjnych innych niż Windows. Aby rozszerzyć ochronę, należy rozważyć połączenie programu Worry-Free Business Security Advanced z produktami Trend Micro InterScan VirusWall for Small and Medium Business. Program InterScan VirusWall jest najbardziej wszechstronnym, dostępnym na rynku oprogramowaniem służącym do zabezpieczania bram sieciowych i ochrony firm przed zagrożeniami sieciowymi ze strony wirusów/złośliwego 1-24

45 Program Worry-Free Business Security Advanced wprowadzenie oprogramowania, spyware/grayware, spamu, zagrożeń typu phishing, botów oraz niewłaściwej zawartości. Inne możliwości programu Worry-Free Business Security Advanced Dzięki programowi Worry-Free Business Security Advanced administratorzy mają następujące możliwości: Zarządzanie bezpieczeństwem za pomocą jednej konsoli na str Analizowanie ochrony sieci na str Stosowanie reguł zabezpieczeń na str Zawsze aktualna ochrona na str Poddawanie zarażonych plików kwarantannie na str Kontrolowanie epidemii w sieci na str Zarządzanie grupami programu Worry-Free Business Security Advanced na str Ochrona klientów przed atakami hakerów za pomocą zapory na str Ochrona wiadomości na str Filtrowanie zawartości wiadomości błyskawicznych na str Kontrola ustawień zabezpieczeń na podstawie lokalizacji na str Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web na str Obsługa bezpiecznych transakcji w trybie online na str Dozwolone programy spyware/grayware na str Bezpieczna komunikacja na str Zarządzanie bezpieczeństwem za pomocą jednej konsoli Program Trend Micro Security Server zarządza całym systemem antywirusowym za pomocą jednej konsoli, znanej jako konsola internetowa. Konsola internetowa jest instalowana podczas instalacji programu Trend Micro Security Server i korzysta z typowych technologii internetowych, takich jak Java, CGI, HTML i HTTP. 1-25

46 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Analizowanie ochrony sieci W programie Worry-Free Business Security Advanced można generować różnego typu dzienniki, takie jak dzienniki wirusów/złośliwego oprogramowania, dzienniki zdarzeń systemowych i dzienniki sprawdzania połączeń. Służą one do weryfikowania instalacji aktualizacji, sprawdzania komunikacji klient-serwer iokreślania, które komputery są zagrożone zarażeniem. Na podstawie informacji z dzienników można projektować i modyfikować ochronę sieci, określając, które komputery są wwiększym stopniu zagrożone zarażeniem i odpowiednio zmienić ustawienia antywirusowe dla tych komputerów. Stosowanie reguł zabezpieczeń W programie Worry-Free Business Security Advanced dostępne są trzy rodzaje skanowania: skanowanie zaplanowane, skanowanie ręczne i skanowanie w czasie rzeczywistym. Poprzez odpowiednią konfigurację tych trzech rodzajów skanowania można zastosować w firmie reguły zabezpieczeń. Można określić typy plików do skanowania i operacje, które wykona program Worry-Free Business Security Advanced w przypadku wykrycia zagrożenia. Aby zastosować określone metody skanowania dla wszystkich agentów, nie należy przyznawać użytkownikom uprawnień i zablokować agenta za pomocą hasła, uniemożliwiając w ten sposób użytkownikom zmianę ustawień, wyłączenie lub usunięcie ochrony. Zawsze aktualna ochrona Autorzy wirusów/złośliwego oprogramowania tworzą i rozpowszechniają nowe wirusy z dużą częstotliwością. Aby zapewnić stałą ochronę przed najnowszymi zagrożeniami, firma Trend Micro często publikuje nowe pliki sygnatur wirusów. Program Worry-Free Business Security Advanced może automatycznie pobierać iwdrażać pliki sygnatur na wszystkich agentach. 1-26

47 Program Worry-Free Business Security Advanced wprowadzenie Poddawanie zarażonych plików kwarantannie Można określić folder kwarantanny, aby panować nad aktywnymi wirusami/złośliwym oprogramowaniem i zarażonymi plikami. Program Trend Micro Security Server automatycznie przeniesie zarażone pliki do folderu kwarantanny. Kontrolowanie epidemii w sieci Natychmiastowa odpowiedź na rozwijające się epidemie przez włączenie funkcji Ochrona przed epidemią oraz ustawienie powiadomień o epidemii. Funkcja Ochrona przed epidemią pomaga w powstrzymaniu rozprzestrzeniania się epidemii w sieci w następujący sposób: blokując udostępnione foldery i wrażliwe porty klientów blokując prawa do zapisu w folderach blokując załączniki i filtrując zawartość Zarządzanie grupami programu Worry-Free Business Security Advanced W programie Worry-Free Business Security Advanced grupa to zbiór klientów korzystających z takiej samej konfiguracji i wykonujących te same zadania. Grupa programu Worry-Free Business Security Advanced różni się od domeny systemu Windows. W dowolnej domenie systemu Windows może znajdować się kilka grup programu Worry-Free Business Security Advanced. Ochrona klientów przed atakami hakerów za pomocą zapory Zapora pomaga chronić komputery klienckie przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między komputerem klienckim a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Ponadto zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na komputery klienckie. 1-27

48 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ochrona wiadomości Wiadomości w protokole POP3 Chroni komputery klienckie z systemem Windows 2000/XP/Server 2003 przed zarażonymi wiadomościami oraz załącznikami i spamem w poczcie Post Office Protocol 3 (POP3). W przypadku wykrycia zagrożenia użytkownik ma do wyboru usunięcie, wyczyszczenie lub zignorowanie wiadomości zawierającej wirusa. Wiadomości protokół IMAP Program Worry-Free Business Security Advanced zapewnia zaawansowaną technologię skanowania, która umożliwia wykrywanie, czyszczenie i poddawanie kwarantannie różnych rodzajów zagrożeń. Program udostępnia także funkcje blokowania załączników, filtrowania zawartości i inne funkcje dostępne z poziomu konsoli internetowej. Filtrowanie zawartości wiadomości błyskawicznych Dzięki funkcji Filtrowanie zawartości wiadomości błyskawicznych administratorzy mogą ograniczyć użycie określonych słów przesyłanych w aplikacjach do obsługi wiadomości błyskawicznych. Więcej informacji zawiera sekcja Filtrowanie zawartości wiadomości błyskawicznych na str Kontrola ustawień zabezpieczeń na podstawie lokalizacji Rozpoznawanie lokalizacji pozwala administratorom kontrolować ustawienia zabezpieczeń wzależności od sposobu połączenia klienta z siecią. Na przykład, jeśli określonej osoby nie ma w biurze, administratorzy mogą ustawić surowsze reguły oraz włączyć zaporę. Jeśli natomiast ta osoba pracuje w biurze, zapora może zostać wyłączona. Programy Client/Server Security Agent mogą mieć różne profile w zależności od ich lokalizacji. W programie WFBS-A stosuje się następującą klasyfikację klientów: Klienci zwykli Klienci mobilni 1-28

49 Program Worry-Free Business Security Advanced wprowadzenie Klienci zwykli Klienci zwykli to komputery stacjonarne mające stałe połączenie z programem Security Server. Klienci mobilni Klienci mobilni to komputery niepodłączone na stałe w sieci do programu Security Server, na przykład komputery przenośne. Programy Client/Server Security Agent na tych klientach cały czas zapewniają ochronę przed wirusami i złośliwym oprogramowaniem, ale informacje o swoim stanie przesyłają do programu Security Server z opóźnieniem. Uprawnienia mobilności są zazwyczaj przydzielane komputerom klienckim, które są odłączone od programu Security Server przez dłuższy czas. Jeżeli klient posiada uprawnienia mobilności, może przeprowadzać aktualizację bezpośrednio z serwera ActiveUpdate firmy Trend Micro. W tym celu należy kliknąć polecenie Aktualizuj teraz w menu skrótów programu Client/Server Security Agent. Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń W biurze i Poza biurem. Patrz część Rozpoznawanie lokalizacji na str Monitorowanie zachowań Funkcja Monitorowanie zachowania stale monitoruje komputery klienckie w poszukiwaniu prób modyfikacji w systemie operacyjnym i innych programach. Po wykryciu takiej próby przez agentów funkcja powiadamia użytkownika o żądaniu zmiany, na które użytkownik może zezwolić lub je zablokować. Użytkownicy i administratorzy mogą dodawać programy do listy wyjątków. Programy znajdujące się na liście wyjątków mogą wprowadzać zmiany w innych programach oraz w systemie operacyjnym. Inną opcją funkcji Monitorowanie zachowania jest ochrona plików EXE i DLL przed usunięciem lub modyfikacją. Użytkownicy z tymi uprawnieniami mogą zabezpieczać określone foldery. Ponadto użytkownicy mogą wybrać wspólną ochronę wszystkich programów Intuit QuickBooks. 1-29

50 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web Ochrona przed zagrożeniami internetowymi uniemożliwia użytkownikom odwiedzanie złośliwych witryn sieci Web. Wykorzystuje ona rozbudowaną bazę danych Trend Micro Web Security w celu sprawdzenia reputacji adresów URL HTTP, do których użytkownicy próbują uzyskać dostęp, lub adresów URL zawartych w wiadomościach . Usługa HTTP Web Reputation ocenia potencjalne zagrożenia żądanego adresu URL, przeglądając bazę danych Trend Micro Web Security dla każdego żądania HTTP W zależności od ustawionego poziomu zabezpieczeń, usługa może zablokować dostęp do witryn sieci Web, o których wiadomo, że stanowią zagrożenie internetowe lub są o to podejrzewane bądź nie posiadają oceny w bazie danych reputacji. Ochrona przed zagrożeniami internetowymi dostarcza zarówno powiadomienia dla administratora, jak i powiadomienia online dla użytkownika dotyczące zdarzeń związanych z tą usługą. Informacje na temat konfiguracji ochrony przed zagrożeniami internetowymi znajdują się w sekcji Ochrona przed zagrożeniami internetowymi na str Ocena reputacji Ocena reputacji adresu URL określa, czy stanowi on zagrożenie internetowe. Firma Trend Micro wyznacza ocenę przy użyciu własnych metryk. Firma Trend Micro uznaje, że adres URL stanowi zagrożenie internetowe, najprawdopodobniej stanowi zagrożenie internetowe lub prawdopodobnie stanowi zagrożenie internetowe, jeśli ocena tego adresu przypada w zakresie określonym dla jednej z tych kategorii. Firma Trend Micro uznaje, że dostęp do adresu URL jest bezpieczny, jeśli jego ocena przekracza zdefiniowany próg. Poniżej przedstawiono trzy poziomy zabezpieczeń, które określają, czy agenci będą zezwalać na dostęp do adresu URL, czy go blokować. Wysoki: Blokuje nieocenione adresy URL, stanowiące zagrożenie w sieci Web, stanowiące zagrożenie w sieci Web z bardzo dużym i dużym prawdopodobieństwem. 1-30

51 Program Worry-Free Business Security Advanced wprowadzenie Średni: Blokuje nieocenione adresy URL, stanowiące zagrożenie w sieci Web lub stanowiące zagrożenie w sieci Web z bardzo dużym prawdopodobieństwem. Niski: Blokuje wyłącznie adresy URL stanowiące zagrożenie w sieci Web. Więcej informacji zawierają sekcje Ochrona przed zagrożeniami internetowymi na str i Ochrona przed zagrożeniami internetowymi na str Obsługa bezpiecznych transakcji w trybie online Usługa TrendSecure pomaga zabezpieczać transakcje internetowe poprzez określanie bezpieczeństwa połączenia bezprzewodowego i odwiedzanej strony sieci Web. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Oceny stron: Określa bezpieczeństwo hiperłączy na stronie (funkcja dostępna dla połączeń przewodowych i bezprzewodowych). Patrz TrendSecure na str. 5-24, aby uzyskać więcej informacji. Dozwolone programy spyware/grayware Niektóre aplikacje są sklasyfikowane przez firmę Trend Micro jako spyware/grayware nie dlatego, że mogą czynić szkody w systemie, w którym są zainstalowane, lecz dlatego, że narażają komputer kliencki lub sieć na ataki ze strony szkodliwego oprogramowania lub hakerów. Na przykład program Hotbar wbudowuje pasek narzędzi do przeglądarki internetowej. Hotbar śledzi adresy URL odwiedzane przez użytkowników i rejestruje słowa lub frazy wprowadzane w wyszukiwarkach. Informacje te są używane do wyświetlania w przeglądarce użytkownika docelowych ogłoszeń, w tym okien wyskakujących. Informacje gromadzone przez program Hotbar mogą zostać wysłane do osób trzecich i wykorzystane przez szkodliwe oprogramowanie lub hakerów w celu zbierania informacji o użytkownikach, program Worry-Free Business 1-31

52 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Security Advanced domyślnie uniemożliwia zainstalowanie i uruchomienie tej aplikacji. Jeśli użytkownicy potrzebują uruchomić program Hotbar lub jakąkolwiek inną aplikację uznaną przez program Worry-Free Business Security Advanced jako spyware lub grayware, muszą dodać ten program do listy dozwolonych spyware/grayware. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 8-8, aby uzyskać więcej informacji. Zabezpieczając przed uruchamianiem potencjalnie niebezpiecznych aplikacji i zapewniając użytkownikowi pełną kontrolę nad listą dozwolonych spyware/grayware, program Worry-Free Business Security Advanced pomaga zadbać o to, aby na komputerach klienckich działały tylko dozwolone aplikacje. Bezpieczna komunikacja Program Worry-Free Business Security Advanced zapewnia bezpieczną komunikację pomiędzy programem Trend Micro Security Server a konsolą internetową dzięki technologii Secure Socket Layer (SSL). Program Trend Micro Security Server może wygenerować certyfikat dla każdej sesji, umożliwiając konsoli internetowej szyfrowanie danych w oparciu o normy szyfrowania infrastruktury kluczy publicznych (PKI, Public Key Infrastructure). Domyślny okres ważności certyfikatu wynosi trzy lata. Składniki z możliwością aktualizacji Aby upewnić się, że program Worry-Free Business Security Advanced używa najnowszych składników do skanowania, identyfikacji i czyszczenia klientów, firma Trend Micro regularnie aktualizuje następujące elementy: Składniki: Zobacz tematy Składniki informacje na str i Składniki, które można aktualizować na str. 9-3, aby uzyskać więcej informacji. Pakiety typu hot fix oraz poprawki zabezpieczeń: Sugerowane rozwiązania problemów klientów lub nowo odkrytych naruszeń ochrony, które można pobrać z witryny internetowej firmy Trend Micro i zainstalować na komputerze z programem Trend Micro Security Server i/lub na agencie. 1-32

53 Program Worry-Free Business Security Advanced wprowadzenie Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki informacje na str Pakiety hot fix, poprawki i dodatki Service Pack Po oficjalnym wydaniu produktu firma Trend Micro często tworzy pakiety hot fix, poprawki oraz dodatki service pack, aby rozwiązać wykryte problemy, zwiększyć wydajność produktu lub dodać nowe funkcje. Poniżej znajduje się podsumowanie dotyczące uaktualnień, które mogą być wydawane przez firmę Trend Micro: Pakiet hot fix: Sugerowane rozwiązanie określonego problemu zgłaszanego przez pojedynczego klienta. Pakiety hot fix są specyficzne dla danego problemu, dlatego nie są wydawane dla wszystkich klientów. Pakiety hot fix dla systemu Windows zawierają programy instalacyjne. W pozostałych systemach należy zazwyczaj zatrzymać demony programów, skopiować plik (zastępując jego odpowiednik w instalacji) i ponownie uruchomić demony. Poprawka zabezpieczeń: Pakiet hot fix koncentrujący się na problemach zabezpieczeń, nadający się do wdrożenia na wszystkich klientach. Poprawki zabezpieczeń dla systemu Windows zawierają programy instalacyjne. Poprawka: Zestaw pakietów hot fix i poprawek zabezpieczeń rozwiązujących różne problemy dotyczące programów. Firma Trend Micro regularnie udostępnia poprawki. Poprawki dla systemu Windows zawierają programy instalacyjne. Dodatek Service Pack: Pełny zestaw pakietów hot fix, poprawek i ulepszeń funkcji, na tyle istotny, aby mógł być uważany za uaktualnienie produktu. Dodatki Service Pack, przeznaczone zarówno dla systemu Windows, jak i pozostałych systemów operacyjnych, zawierają program instalacyjny oraz skrypt instalacyjny. Pakiety hot fix można uzyskać od lokalnego menedżera pomocy technicznej. Baza wiedzy firmy Trend Micro umożliwia wyszukiwanie wydanych pakietów hot fix:

54 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby pobierać poprawki i dodatki Service Pack, należy regularnie odwiedzać witrynę internetową firmy Trend Micro: Uwaga: Wszystkie publikacje zawierają plik Readme z informacjami na temat instalacji, wdrożenia oraz konfiguracji produktu. Przed rozpoczęciem instalacji pakietów hot fix, poprawek lub dodatków Service Pack należy dokładnie zapoznać się ztreścią pliku Readme. 1-34

55 Praca z konsolą internetową Rozdział 2 W tym rozdziale opisano sposób korzystania z programu Worry-Free Business Security Advanced. Rozdział obejmuje następujące zagadnienia: Możliwości konsoli internetowej początek na str. 2-2 Korzystanie z funkcji Stan aktywności i Powiadomienia początek na str

56 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Możliwości konsoli internetowej Podczas instalowania programu Trend Micro Security Server jest instalowana scentralizowana internetowa konsola zarządzania. Konsola ta korzysta z technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. Aby otworzyć konsolę internetową: 1. Wybierz jedną znastępujących opcji, aby otworzyć konsolę internetową: Kliknij skrót Worry-Free Business Security na pulpicie. W menu Start systemu Windows kliknij kolejno pozycje Trend Micro Worry-Free Business Security > Worry-Free Business Security. Konsolę internetową można także otworzyć z dowolnego komputera w sieci. Należy otworzyć przeglądarkę internetową i w polu adresu wpisać następujący adres: portu}/smb Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. Domyślny port dla połączeń HTTP to 8059, a dla połączeń HTTPS to Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera_zabezpieczeń} na {adres_ip_serwera}. 2. W przeglądarce wyświetlony zostanie ekran logowania do programu Trend Micro Worry-Free Business Security. 2-2

57 Praca z konsolą internetową RYSUNEK 2-1. Ekran logowania programu Worry-Free Business Security Advanced 3. W polu tekstowym Hasło wpisz hasło administratora i kliknij przycisk Zaloguj. W przeglądarce wyświetlony zostanie ekran Stan aktywności konsoli internetowej. Patrz Korzystanie z funkcji Stan aktywności na str Funkcje konsoli internetowej Poniżej znajduje się opis głównych funkcji konsoli internetowej. TABELA 2-1. Główne funkcje konsoli internetowej Funkcja menu główne Obszar konfiguracji Pasek boczny menu Opis W górnej części konsoli internetowej znajduje się menu główne. To menu jest zawsze dostępne. Pod pozycjami menu głównego znajduje się obszar konfiguracji. Ten obszar można wykorzystać do wyboru opcji, zależnych od wybranej pozycji menu. Po wybraniu klienta lub grupy na ekranie Ustawienia zabezpieczeń ikliknięciu opcji Konfiguruj zostanie wyświetlony pasek boczny menu. Za pomocą paska bocznego można skonfigurować ustawienia zabezpieczeń oraz skanowania komputerów i serwerów. Po wybraniu serwera Microsoft Exchange na ekranie Ustawienia zabezpieczeń można za pomocą paska bocznego skonfigurować ustawienia zabezpieczeń i skanowania dla serwerów Microsoft Exchange. 2-3

58 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 2-1. Główne funkcje konsoli internetowej Funkcja Pasek narzędzi Ustawienia zabezpieczeń Opis Po otwarciu ekranu Ustawienia zabezpieczeń widoczny jest pasek narzędzi, który zawiera wiele ikon. Po kliknięciu klienta lub grupy na ekranie Ustawienia zabezpieczeń ikliknięciu ikony umieszczonej na pasku narzędzi program Security Server wykona skojarzone zikoną zadanie. Patrz Pasek narzędzi Ustawienia zabezpieczeń na str. 4-5, aby uzyskać więcej informacji. menu główne Pasek boczny menu konfiguracja obszar RYSUNEK 2-2. Przegląd konsoli internetowej 2-4

59 Praca z konsolą internetową Ikony konsoli internetowej Poniższa tabela zawiera opis ikon, które są wyświetlane na konsoli internetowej oraz objaśnienia, do czego one służą. TABELA 2-2. Ikony konsoli internetowej Ikona Opis Ikona Pomoc. Służy do otwierania pomocy elektronicznej. Ikona Odśwież. Odświeża widok bieżącego ekranu. / Ikona sekcji zwijania/rozwijania. Powoduje zwinięcie/rozwinięcie sekcji. Można rozwinąć jednocześnie tylko jedną sekcję. Ikona Informacje. Służy do wyświetlania informacji dotyczących określonego elementu. Korzystanie z funkcji Stan aktywności i Powiadomienia Kiedy program Worry-Free Business Security Advanced wykrywa istotne zdarzenie systemowe lub zagrożenie, na ekranie Stan aktywności zostają wyświetlone odpowiednie informacje (patrz sekcja Rysunek2-3, strona 2-7). Program Worry-Free Business Security Advanced można skonfigurować pod kątem wysyłania powiadomień za każdym razem, gdy takie zdarzenia mają miejsce. Ponadto można dostosować do własnych wymagań parametry dotyczące powiadomień oraz informacji wyświetlanych na ekranie Stan aktywności. Konfigurowanie powiadomień Aby skonfigurować powiadomienia o zdarzeniach albo dostosować ich parametry, należy skorzystać z opcji Preferencje > Powiadomienia. Patrz Praca z powiadomieniami na str. 11-1, aby uzyskać więcej informacji. 2-5

60 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Zalecane przez firmę Trend Micro ustawienia opcji Powiadomienia Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, aich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora. Aby w razie potrzeby wyświetlić szczegóły zawartości powiadomienia i je dostosować, należy kliknąć powiadomienie. Poniższe ustawienia to domyślne wartości stosowane w programie Worry-Free Business Security Advanced. Antywirus Liczba wirusów/złośliwych programów wykrytych na komputerach/serwerach przekracza 5 wystąpień na godzinę. Liczba wirusów/złośliwych programów wykrytych na serwerach Microsoft Exchange przekracza 10 wystąpień na godzinę. Oprogramowanie anty-spyware Liczba programów spyware/grayware wykrytych na komputerach/serwerach przekracza 15 wystąpień na godzinę. Anty-spam Udział spamu przekracza 10% ogólnej liczby wiadomości. Ochrona przed zagrożeniami internetowymi Liczba naruszeń reguł dotyczących adresów URL przekracza 200 wystąpień na godzinę. Monitorowanie zachowań Liczba naruszeń reguł przekracza 20 wystąpień na godzinę. Wirus sieciowy Liczba wykrytych wirusów sieciowych przekracza 10 wystąpień na godzinę. Nietypowe zdarzenia systemowe. Ilość dostępnego wolnego miejsca na dysku spada poniżej 1%. 2-6

61 Praca z konsolą internetową Korzystanie z funkcji Stan aktywności Ekran Stan aktywności jest pierwszym ekranem, który pojawia się po otwarciu konsoli internetowej. Wszystkie wymagane informacje są wyświetlane na ekranie. Częstotliwość odświeżania informacji na ekranie Stan aktywności różni się w zależności od sekcji. Przeważnie częstotliwość odświeżania wynosi od 1 do 10 minut. Aby ręcznie odświeżyć informacje na ekranie, kliknij opcję Odśwież. RYSUNEK 2-3. Ekran Stan aktywności 2-7

62 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Sposób działania ikon Na ekranie Stan aktywności za pomocą ikon jest określany stan zagrożeń i systemu. W poniższej tabeli objaśniono znaczenie poszczególnych ikon: TABELA 2-3. Ikony na ekranie Stan aktywności Ikona Opis Nie jest wymagana żadna operacja. Wymagane jest zainstalowanie poprawki tylko na kilku klientach. Aktywność wirusów, spyware i złośliwego oprogramowania na komputerach oraz w sieci stanowi nieznaczne zagrożenie. Ostrzeżenie Należy podjąć działania w celu ograniczenia stopnia zagrożenia sieci. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje określona liczba komputerów narażonych na atak, które raportują zbyt wiele przypadków wystąpienia wirusów lub innego złośliwego oprogramowania. W przypadku ogłoszenia przez firmę Trend Micro żółtego alarmu (patrz sekcja Żółte alarmy na str. 2-11) wyświetlane jest ostrzeżenie funkcji Ochrona przed epidemią. Kliknij pozycję ( ) obok ikony ostrzeżenia, aby wyświetlić szczegółowe informacje. Kliknij podkreślone łącza, aby wyświetlić szczegółowe informacje i wykonać kolejne operacje. Wymagane działanie. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje wiele komputerów narażonych na atak, które raportują przypadki wystąpienia wirusa. W przypadku ogłoszenia przez firmę Trend Micro czerwonego alarmu (patrz sekcja Czerwone alarmy na str. 2-11) wyświetlane jest ostrzeżenie funkcji Ochrona przed epidemią. Kliknij pozycję ( ) obok ikony ostrzeżenia, aby wyświetlić szczegółowe informacje. Kliknij podkreślone łącza, aby wyświetlić informacje szczegółowe i wykonać kolejne operacje. Obok każdego elementu na ekranie Stan aktywności znajduje się ikona ( ). Kliknięcie ikony powoduje wyświetlenie panelu z informacjami na temat danego elementu. Na rozwiniętym panelu można kliknąć łącza, aby przejść na inne ekrany, na których można wykonać operacje w celu rozwiązania problemu związanego z danym panelem. 2-8

63 Praca z konsolą internetową Informacje wyświetlane na ekranie Stan aktywności są generowane przez program Security Server i opierają się na danych zebranych z klientów. Stan zagrożenia Sekcja Stan zagrożenia, która stanowi część ekranu Stan aktywności, raportuje potencjalne zagrożenia dla bezpieczeństwa sieci na podstawie reguł zalecanych przez firmę Trend Micro. Ikona powiadamia o konieczności przeprowadzenia operacji w celu zabezpieczenia klientów w sieci. Rozwiń sekcję, aby wyświetlić więcej informacji. Można także kliknąć elementy tabeli w celu wyświetlenia określonych szczegółów. Domyślnie informacje są odświeżane co godzinę. Aby ręcznie odświeżyć informacje, kliknij opcję Odśwież ( ). Na ekranie Stan aktywności są wyświetlane następujące zagrożenia: Ochrona przed epidemią na str. 2-9 Czerwone alarmy na str Żółte alarmy na str Ochrona antywirusowa na str Oprogramowanie anty-spyware na str Anty-spam na str Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str Wirusy sieciowe na str Ochrona przed epidemią Na podstawie reguł pobranych z firmy Trend Micro program Security Server określa, czy w sieci wystąpiła epidemia. Jeżeli pojawi się problem, program Security Server wyświetla czerwony (niebezpieczeństwo) lub żółty (ostrzeżenie) alarm i uruchamia funkcję Ochrona przed epidemią. Podczas ochrony przed epidemią program Security Server może wykonać operacje takie jak: blokowanie portów, pobieranie składników oraz uruchamianie skanowania. Te operacje można wyświetlić, klikając opcję Widok w sekcji Informacje o zagrożeniu w opcjach Ochrona przed epidemią > Bieżący stan. 2-9

64 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK 2-4. Szczegóły automatycznej odpowiedzi Podczas ostrzeżenia o epidemii kliknięcie podkreślonego łącza w obszarze Komputery narażone na atak lub Komputery do wyczyszczenia otwiera ekran Aktualne zagrożenie wcelu wyświetlenia przez program Security Server sposobu ochrony klientów i sieci. W normalnych warunkach kliknięcie tych łączy powoduje wyświetlenie ekranu Potencjalne zagrożenia, który zawiera listę zagrożonych klientów i pozwala na uruchomienie skanowania w poszukiwaniu miejsc narażonych na atak oraz usunięcie uszkodzeń. Patrz Strategia ochrony przed epidemią na str

65 Praca z konsolą internetową RYSUNEK 2-5. Ekran Ochrona przed epidemią > Potencjalne zagrożenie Czerwone alarmy Kilka raportów z każdej jednostki biznesowej na temat zarażeń, donoszących o szybkim rozprzestrzenianiu się wirusów/złośliwych programów, które powodują, że bramy internetowe oraz serwery poczty mogą wymagać poprawek. Zostaje uruchomione pierwsze w branży rozwiązanie w postaci 45-minutowego czerwonego alarmu: instalowana jest oficjalna publikacja bazy sygnatur (OPR) oraz wysyłane jest powiadomienie o jej dostępności, zostają wysłane wszystkie inne stosowne powiadomienia, a na stronach pobierania umieszczane są narzędzia naprawiania oraz informacje dotyczące podatności na uszkodzenia. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. W przypadku rozprzestrzeniania się złośliwych programów za pośrednictwem poczty zostają wysłane reguły filtrowania zawartości (tzw. reguły ochrony przed epidemią), które automatycznie blokują pokrewne załączniki na serwerach wyposażonych w funkcję produktu. 2-11

66 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ochrona antywirusowa W sekcji Antywirus wyświetlane są informacje dotyczące ostatniego skanowania antywirusowego oraz wpisy dziennika wirusów. Kolumna Liczba przypadków w tabeli Przypadki zagrożenia wirusem przedstawia wyniki ostatniego skanowania antywirusowego. Oprogramowanie anty-spyware W sekcji Oprogramowanie anty-spyware wyświetlana jest liczba przypadków zagrożenia ze strony spyware/grayware w danym okresie. W sekcji tej ponadto wyświetlana jest liczba klientów, które należy ponownie uruchomić wcelu zakończenia procesu ich czyszczenia ze spyware/grayware. Anty-spam Sekcja Anty-spam zawiera informacje związane z aktywnością spamu na serwerach Microsoft Exchange. Sekcja Stan aktywności zawiera informacje o aktualnym progu spamu i ilości spamu otrzymywanego przez serwery Microsoft Exchange. Należy kliknąć łącze Wysoki, Średni lub Niski, aby nastąpiło przekierowanie do ekranu konfiguracji wybranego serwera Microsoft Exchange, gdzie na ekranie Anty-spam można ustawić wartość progu. Poziom wykrywania określa stopień tolerancji programu Messaging Security Agent dotyczący podejrzanych wiadomości . Wysoki: To najbardziej rygorystyczny poziom wykrywania spamu. Program MSA monitoruje wszystkie wiadomości w poszukiwaniu podejrzanych plików lub tekstu, ale powoduje to zwiększenie liczby fałszywych alarmów. Fałszywe alarmy to wiadomości , które program MSA filtruje jako spam, chociaż są one prawidłowymi wiadomościami . Średni: Jest to ustawienie domyślne. Program MSA zapewnia monitorowanie na wysokim poziomie wykrywania spamu przy średnim ryzyku wystąpienia fałszywych alarmów. 2-12

67 Praca z konsolą internetową Niski: Jest to najmniej rygorystyczny poziom wykrywania spamu. Program MSA filtruje jedynie najbardziej oczywiste i powszechne wiadomości typu spam, ale ryzyko wystąpienia fałszywych alarmów jest niewielkie. Uwaga: Te informacje są aktualizowane co godzinę. Aby uzyskać najnowsze informacje, należy wygenerować raport. Patrz Generowanie raportów na str. 10-8, aby uzyskać więcej informacji. Ochrona przed zagrożeniami internetowymi Informacje te są generowane na podstawie liczby zastrzeżonych adresów URL, które zostały odwiedzone przez użytkowników. Kiedy liczba odwiedzonych adresów URL przekracza ustalony próg, ikona stanu zmienia się. Monitorowanie zachowań Informacje te są generowane na podstawie liczby naruszeń reguł monitorowania zachowań na komputerach klienckich. Kiedy liczba naruszeń przekracza próg, ikona stanu zmienia się. Wirusy sieciowe Informacje wyświetlane w sekcji Wirus sieciowy są generowane na podstawie ustawień zapory. Po wykryciu wirusa sieciowego przez skanowanie ręczne, zaplanowane lub w czasie rzeczywistym informacje zostaną wyświetlone w sekcji Wirusy sieciowe na ekranie Stan aktywności. Stan systemu Umożliwia wyświetlanie informacji dotyczących stanu licencji, zaktualizowanych składników oraz ilości wolnego miejsca na serwerach z zainstalowanymi agentami. Licencja Sekcja Licencja ekranu Stan aktywności zawiera informacje o stanie licencji produktu, szczególnie o czasie jej wygaśnięcia. Aby wyświetlić szczegóły dotyczące licencji produktu, kliknij łącze Licencja produktu. Na ekranie Licencja produktu można uaktualnić lub odnowić licencję produktu. 2-13

68 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aktualizacje Sekcja Aktualizacje zawiera informacje dotyczące stanu składników aktualizacji programu Security Server lub wdrażania zaktualizowanych składników na agentach. Domyślnie program Worry-Free Business Security Advanced pobiera składniki z serwera AutoUpdate firmy Trend Micro, a następnie udostępnia je agentom. Agenci pobierają składniki z programu Security Server (tzn. program Security Server wdraża zaktualizowane składniki na agentach). Aby zainstalować zaktualizowane składniki na agentach, kliknij opcję Instaluj teraz. Aby ręcznie zaktualizować składniki programu Security Server przez pobranie ich z serwera ActiveUpdate, kliknij opcję Aktualizuj teraz. Nietypowe zdarzenia systemowe Sekcja System zawiera informacje o miejscu na dyskach klientów, którzy działają jako serwery (pod kontrolą serwerowego systemu operacyjnego). Program Client/Server Security Agent raportuje ilość wolnego miejsca na dysku dostępnego do użytku na serwerach. 2-14

69 Instalowanie agentów Rozdział 3 W tym rozdziale opisano czynności umożliwiające instalację i uaktualnienie agentów. Znajdują się tu również informacje na temat dezinstalacji agenta. Rozdział obejmuje następujące zagadnienia: Wybór metody instalacji na str. 3-2 Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent na str. 3-4 Wymagania systemowe agenta na str. 3-5 Wykonywanie nowej instalacji na str. 3-7 Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR na str Usuwanie agentów na str

70 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Wybór metody instalacji Program Worry-Free Business Security Advanced umożliwia kilka metod instalacji programu Client/Server Security Agent. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: W organizacjach, w których reguły są ściśle przestrzegane firma Trend Micro zaleca instalację zdalną lub za pomocą skryptu logowania. Wewnętrzna strona internetowa: W tej metodzie należy polecić wszystkim użytkownikom w organizacji, aby odwiedzili wewnętrzną stronę Web i pobrali pliki instalacyjne programu Client/Server Security Agent (patrz sekcja Instalowanie z wewnętrznej strony internetowej na str. 3-7). Ustawienia skryptu logowania: Ta metoda umożliwia zautomatyzowanie procesu instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po zalogowaniu się w domenie (patrz sekcja Instalacja za pomocą skryptu logowania na str. 3-8). Program Client Packager: Ta metoda umożliwia instalację lub aktualizację plików programu Client/Server Security Agent na komputerach klienckich za pomocą poczty (patrz sekcja Instalacja za pomocą programu Client Packager na str. 3-11). Instalacja zdalna: Ta metoda umożliwia zainstalowanie agenta na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP/Server 2003/Server 2008 za pomocą konsoli internetowej (patrz sekcja Instalowanie za pomocą instalacji zdalnej na str. 3-15). Vulnerability Scanner (TMVS): Program Client/Server Security Agent należy zainstalować na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP (Professional)/Server 2003/Server 2008 za pomocą narzędzia Vulnerability Scanner firmy Trend Micro (patrz sekcja Instalacja za pomocą narzędzia Vulnerability Scanner na str. 3-17). 3-2

71 Instalowanie agentów TABELA 3-1. Metody instalacji programu Trend Micro Client/Server Security Agent Strona internetow a Skrypty logowania Program Client Packager Instalacja zdalna TMVS Odpowiednia do instalacji w sieci rozległej WAN Odpowiednia do scentralizowanej administracji izarządzania Wymaga udziału użytkownika Wymaga zasobów informatycznych Odpowiednia do instalacji masowej Tak Nie Tak Nie Nie Tak Tak Nie Tak Tak Tak Nie Tak Nie Nie Nie Tak Tak Tak Tak Nie Tak Nie Tak Tak Wykorzystanie pasma Niskie (przy instalacji zaplanowanej) Wysokie (jeśli klienci zostali uruchomieni jednocześnie) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) Niskie (przy instalacji zaplanowanej) Wymagane uprawnienia We wszystkich metodach instalacji wymagane są uprawnienia administratora. Uwaga: Aby skorzystać z dowolnej z powyższych metod instalacji programu Client/Server Security Agent, należy mieć lokalne uprawnienia administratora na klientach docelowych. 3-3

72 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Instalowanie, uaktualnianie lub dokonywanie migracji programów Client/Server Security Agent W niniejszej sekcji znajdują się informacje na następujące tematy: Wymagania systemowe agenta na str. 3-5 Wykonywanie nowej instalacji programu Client/Server Security Agent za pomocą wybranej metody instalacji (patrz sekcja Wybór metody instalacji na str. 3-2). Uaktualnianie z poprzedniej wersji programu Client/Server Security Agent do wersji bieżącej (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-21). Migracja z programu antywirusowego innej firmy do bieżącej wersji programu Worry-Free Business Security Advanced (patrz sekcja Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-21). Uwaga: Przed rozpoczęciem instalacji programu Client/Server Security Agent na komputerach klienckich należy zamknąć wszystkie uruchomione aplikacje. Jeżeli podczas instalacji uruchomione są inne programy, proces ten może potrwać dłużej. 3-4

73 Instalowanie agentów Wymagania systemowe agenta W poniższej tabeli opisano minimalne wymagania systemowe dotyczące programów Client/Server Security Agent: TABELA 3-2. Wymagania dotyczące instalacji Wymaganie Procesor Minimalna specyfikacja Procesor Intel Pentium x86 lub kompatybilny Procesor x64 obsługujący technologie AMD64 oraz Intel EM64T Wymagania dotyczące częstotliwości procesora różnią się wzależności od systemu operacyjnego: 1 GHz (Windows Server 2008, SBS 2008 lub EBS 2008) 800 MHz (Windows Vista ) 450 MHz (Windows 2000, SBS 2000, XP, Server 2003, SBS 2003 i Home Server) Pamięć 512 MB (systemy x86) 1 GB (systemy x64) 4 GB (Windows Essential Business Server 2008 lub Windows Small Business Server 2008) Miejsce na dysku 300 MB 3-5

74 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 3-2. Wymagania dotyczące instalacji (ciąg dalszy) Wymaganie Minimalna specyfikacja System operacyjny Seria lub rodzina produktów Windows 2000 Windows Small Business Server (SBS) 2000 Windows XP Windows Server 2003 (obejmuje program Storage Server 2003) Windows SBS 2003 Windows Vista Windows Home Server Windows Server 2008 Windows SBS 2008 Windows Essential Business Server (EBS) 2008 Obsługiwane dodatki Service Pack lub wersje SP2, SP3 lub SP4 Bez dodatku Service Pack oraz SP1a Bez dodatku Service Pack, SP1, SP2 oraz SP3 Bez dodatku Service Pack, SP1, R2 oraz SP2 Bez dodatku Service Pack, SP1, R2 oraz SP2 Bez dodatku Service Pack oraz SP1 Bez dodatku Service Pack Bez dodatku Service Pack Bez dodatku Service Pack Bez dodatku Service Pack Uwaga: obsługiwane są wszystkie edycje i 64-bitowe wersje wyszczególnionych systemów operacyjnych, chyba że zaznaczono inaczej. Przeglądarka internetowa (dla instalacji opartej na sieci Web) Wyświetlacz Program Internet Explorer w wersji 5.5 SP2 lub nowszej Kolorowy wyświetlacz, 256 lub więcej kolorów, o rozdzielczości 800x600 lub wyższej 3-6

75 Instalowanie agentów Wykonywanie nowej instalacji Jeśli program Client/Server Security Agent jest instalowany po raz pierwszy na docelowym komputerze, należy wykonać następujące procedury. Instalowanie z wewnętrznej strony internetowej Jeśli program Trend Micro Security Server zainstalowano na komputerze z systemem operacyjnym Windows 2000, Windows XP lub Windows Server 2003 z serwerem Internet Information Server (IIS) 5.0 lub 6.0 bądź Apache , użytkownicy mogą zainstalować program Client/Server Security Agent zwewnętrznej witryny sieci Web utworzonej podczas instalacji głównej. Jest to wygodny sposób instalacji programu Client/Server Security Agent. Wystarczy polecić wszystkim użytkownikom, aby odwiedzili wewnętrzną witrynę sieci Web i pobrali pliki instalacyjne programu Client/Server Security Agent. Wskazówka: Aby sprawdzić, którzy użytkownicy nie zastosowali się do instrukcji instalacji z poziomu konsoli internetowej, można skorzystać znarzędzia Vulnerability Scanner (więcej informacji zawiera sekcja Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str. 3-22). Aby pobrać pliki instalacyjne programu Client/Server Security Agent, na komputerach użytkowników musi być zainstalowany program Microsoft Internet Explorer 5.5 lub nowszy z poziomem zabezpieczeń umożliwiającym uruchamianie formantów ActiveX. Poniższe instrukcje zostały sformułowane z punktu widzenia użytkownika. Należy je przesłać użytkownikom pocztą w celu zainstalowania programu Client/Server Security Agent z wewnętrznego serwera webowego. Aby przeprowadzić instalację zwewnętrznej witryny sieci Web: 1. Otwórz okno programu Internet Explorer i wpisz: Micro Security Server}:{port}/SMB/console/html/client Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. 3-7

76 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 2. Kliknij opcję Instaluj teraz, aby rozpocząć instalację programu Client/Server Security Agent. Uwaga: W przypadku systemu Windows Vista należy sprawdzić, czy włączono opcję Tryb chroniony. Aby włączyć opcję Tryb chroniony, w programie Internet Explorer kliknij kolejno polecenia Narzędzia > Opcje internetowe > Zabezpieczenia. Rozpocznie się instalacja. Po zakończeniu instalacji na ekranie zostanie wyświetlony komunikat Instalacja agenta została zakończona. 3. Należy zweryfikować poprawność instalacji, sprawdzając, czy ikona programu Client/Server Security Agent jest widoczna w pasku zadań systemu Windows. Instalacja za pomocą skryptu logowania Stosując skrypt logowania, można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach po ich zalogowaniu się do domeny. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Określa system operacyjny niezabezpieczonego komputera i programu Client/Server Security Agent Aktualizuje silnik skanowania, plik sygnatur wirusów, składniki usługi Damage Cleanup Services, pliki czyszczenia i pliki programowe. Uwaga: Aby wymusić zastosowanie metody instalacji z wykorzystaniem skryptu logowania, komputery klienckie muszą znajdować się na liście usługi Windows Active Directory serwera, który przeprowadza instalację. Aby dodać program autopcc.exe do skryptu logowania za pomocą Ustawień skryptu logowania: 1. Na komputerze z zainstalowanym programem Worry-Free Business Security Advanced uruchom plik C:\Program Files\Trend Micro\Security Server\PCCSRV\Admin\SetupUsr.exe. Zostanie załadowane narzędzie 3-8

77 Instalowanie agentów Ustawienia skryptu logowania. Na konsoli zostanie wyświetlone drzewo ze wszystkimi domenami sieci. 2. Znajdź komputer z systemem Windows 2000/Server 2003/Server 2008, którego skrypt logowania chcesz zmodyfikować, wybierz go, a następnie kliknij przycisk Wybierz. Ten serwer musi być podstawowym kontrolerem domeny. Należy mieć uprawnienia administratora tego komputera. W programie Ustawienia skryptu logowania zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. 3. Wpisz nazwę użytkownika i hasło. Kliknij przycisk OK, aby kontynuować. Zostanie wyświetlony ekran Wybór użytkownika. Lista Użytkownicy zawiera profile użytkowników, którzy logują się na serwerze. Lista Wybrani użytkownicy zawiera użytkowników, których skrypty logowania zostaną zmienione. Aby zmodyfikować skrypt logowania jednego lub kilku użytkowników, należy ich wybrać z listy Użytkownicy, a następnie kliknąć Dodaj. Aby zmienić skrypty logowania wszystkich użytkowników, kliknij przycisk Dodaj wszystkich. Aby wykluczyć użytkownika, którego komputer został wcześniej zmodyfikowany, należy wybrać nazwę z listy Wybrani użytkownicy ikliknąć opcję Usuń Aby anulować zaznaczenie wszystkich opcji, kliknij przycisk Usuń wszystkie. 4. Kliknij przycisk Zastosuj, gdy wszystkie docelowe profile użytkowników znajdują się na liście Wybrani użytkownicy. Zostanie wyświetlony komunikat informujący o pomyślnej modyfikacji skryptów logowania serwera. 5. Kliknij przycisk OK. Narzędzie Ustawienia skryptu logowania powróci do ekranu początkowego. Aby zmodyfikować skrypty logowania na innych serwerach, powtórz kroki od 2 do

78 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby zamknąć narzędzie Ustawienia skryptu logowania, kliknij przycisk Zakończ. Uwaga: Kiedy niezabezpieczony komputer loguje się na serwerze ze zmodyfikowanymi skryptami logowania, program autopcc.exe automatycznie instaluje na tym serwerze agenta. Instalacja za pomocą skryptów systemów Windows 2000/Server 2003/Server 2008 Jeśli istnieje gotowy skrypt logowania, narzędzie Ustawienia skryptu logowania doda polecenie, które uruchomi program autopcc.exe. W przeciwnym wypadku utworzy plik wsadowy o nazwie ofcscan.bat (który zawiera polecenie uruchamiające program autopcc.exe). Na końcu skryptu narzędzie Ustawienia skryptu logowania dopisuje następujące informacje: \\{nazwa_serwera}\ofcscan gdzie: {nazwa_serwera} to nazwa lub adres IP komputera, na którym zainstalowano program Trend Micro Security Server. Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera} na {adres_ip_serwera}. Skrypt logowania systemu Windows 2000 znajduje się na serwerze Windows 2000 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2000 server\{dysk_systemowy}\winnt\sysvol\ domain\scripts\ofcscan.bat 3-10

79 Instalowanie agentów Skrypt logowania systemu Windows Server 2003 znajduje się na serwerze Windows Server 2003 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2003 server\{dysk_systemowy}\%windir%\ sysvol\domain\scripts\ofcscan.bat Skrypt logowania systemu Windows Server 2008 znajduje się na serwerze Windows Server 2008 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2008 server\{dysk_systemowy}\%windir%\ sysvol\domain\scripts\ofcscan.bat Instalacja za pomocą programu Client Packager Narzędzie Client Packager może kompresować pliki instalacyjne i aktualizacyjne do postaci samorozpakowującej się, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Użytkownicy po otrzymaniu tego pakietu muszą tylko dwukrotnie kliknąć plik, aby uruchomić program instalacyjny. Program Client/Server Security Agent zostanie zainstalowany na serwerze za pomocą raportu programu Client Packager, w miejscu, gdzie program Client Packager utworzył pakiet instalacyjny. To narzędzie jest szczególnie przydatne podczas instalacji agenta lub aktualizacji plików na klientach w oddalonych biurach o niskiej przepustowości sieci. Uwaga: Program Client Packager wymaga przynajmniej 370 MB wolnego miejsca na dysku komputera klienckiego. Do uruchomienia pakietu MSI na komputerze klienckim niezbędny jest program Instalator Windows 2.0. Program Client Packager może utworzyć dwa typy samorozpakowujących się plików: Wykonywalne Uwaga: W przypadku systemu Windows Vista program musi być uruchamiany z uprawnieniami administratora (Uruchom jako administrator). 3-11

80 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Format Microsoft Installer Package (MSI): Ten typ plików odpowiada specyfikacji pakietu Microsoft Windows Installer i można go używać do instalacji dyskretnej i/lub instalacji za pomocą usługi Active Directory. Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Wskazówka: Firma Trend Micro zaleca instalację pakietu MSI za pomocą usługi Active Directory i opcji Computer Configuration zamiast User Configuration. Dzięki temu pakiet MSI zostanie zainstalowany niezależnie od tego, który użytkownik zaloguje się na komputerze. Aby utworzyć pakiet za pomocą interfejsu graficznego programu Client Packager: 1. Na komputerze z programem Trend Micro Security Server otwórz Eksploratora Windows. 2. Przejdź do folderu \PCCSRV\Admin\Utility\ClientPackager. 3. Kliknij dwukrotnie plik ClnPack.exe, aby uruchomić narzędzie. Zostanie otwarta konsola programu Client Packager. Uwaga: Program powinien być uruchamiany wyłącznie na komputerze z programem Trend Micro Security Server. 4. W polu Docelowy system operacyjny wybierz system operacyjny, dla którego chcesz utworzyć pakiet instalacyjny. 5. Wybierz typ pakietu, który chcesz utworzyć: Instaluj: Wybierz w przypadku instalacji agenta. Aktualizacja: Wybierz, jeśli ma być przeprowadzona tylko aktualizacja składników programu Client/Server Security Agent. 6. W obszarze Opcje wybierz odpowiednie opcje instalacji: Tryb cichy: Tworzy pakiet, który jest instalowany na komputerze klienckim w tle, niezauważalnie dla użytkownika. Okno stanu instalacji nie zostanie wyświetlone. 3-12

81 Instalowanie agentów Pakiet MSI: Tworzy pakiet zgodny z formatem Microsoft Windows Installer Package. Uwaga: Pakiet MSI należy instalować wyłącznie za pomocą usługi Active Directory. Aby zainstalować pakiet lokalnie, należy utworzyć plik.exe. Wyłącz skanowanie wstępne (tylko w przypadku nowej instalacji): Wyłącza standardowe skanowanie plików, które program Worry-Free Business Security Advanced wykonuje przed rozpoczęciem instalacji. 7. Na stronie Składniki wybierz składniki, które mają zostać uwzględnione w pakiecie instalacyjnym: Program: Wszystkie składniki. Silnik skanowania: Najnowszy silnik skanowania znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura wirusów: Najnowszy plik sygnatur wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura narażenia na atak: Najnowszy plik sygnatur narażenia na atak znajdujący się na komputerze z programem Trend Micro Security Server. Elementy spyware: Najnowsze elementy spyware znajdujące się na komputerze z programem Trend Micro Security Server. Ogólny sterownik zapory: Sterownik zapory. Sygnatura wirusa sieciowego: Najnowszy plik sygnatur wirusów sieciowych. DCE/DCT: Najnowszy silnik i szablon czyszczenia wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura IntelliTrap: Najnowszy plik sygnatur IntelliTrap znajdujący się na komputerze z programem Trend Micro Security Server. 8. Upewnij się, że lokalizacja pliku ofcscan.ini jest poprawna, sprawdzając ją obok pola Plik źródłowy. Aby zmienić ścieżkę, kliknij przycisk w celu odnalezienia pliku ofcscan.ini. Domyślnie plik jest umieszczony w folderze \PCCSRV programu Trend Micro Security Server. 3-13

82 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 9. W obszarze Plik wyjściowy kliknij przycisk, aby określić nazwę pliku (na przykład ClientSetup.exe) oraz miejsce, w którym ma zostać utworzony pakiet. 10. Kliknij przycisk Utwórz, aby utworzyć pakiet. Po utworzeniu pakietu w programie Client Packager pojawi się komunikat Tworzenie pakietu zakończone powodzeniem. Aby zweryfikować poprawność utworzonego pakietu, sprawdź określony katalog wyjściowy. 11. Prześlij pakiet instalacyjny do użytkowników za pomocą poczty lub skopiuj go na dysk CD lub podobny nośnik, a następnie roześlij go do użytkowników. OSTRZEŻENIE! Pakiet można przesłać wyłącznie do programów Client/Server Security Agent podlegających serwerowi, na którym utworzono pakiet. Nie należy przesyłać pakietów do programów Client/Server Security Agent, które podlegają innym komputerom z programem Trend Micro Security Server. Instalowanie za pomocą pliku MSI Jeśli używana jest usługa Active Directory, program Client/Server Security Agent można zainstalować, tworząc plik programu Microsoft Windows Installer. Aby utworzyć plik z rozszerzeniem.msi, należy użyć narzędzia Client Packager. Funkcje usługi Active Directory umożliwiają automatyczną instalację agenta na wszystkich komputerach klienckich równocześnie za pomocą pliku MSI. Eliminuje to potrzebę instalacji klienta programu Client/Server Security Agent na każdym komputerze oddzielnie. Więcej informacji na temat formatu MSI odnaleźć można na witrynie internetowej firmy Microsoft ( Instrukcje dotyczące tworzenia pliku MSI zawiera sekcja Instalacja za pomocą programu Client Packager na str

83 Instalowanie agentów Instalowanie za pomocą instalacji zdalnej Program Client/Server Security Agent można zainstalować zdalnie na wielu komputerach z zainstalowanym systemem operacyjnym Windows Vista, 2000, XP (tylko w wersji Professional Edition), Server 2003, Server 2008, SBS 2008 lub EBS Uwaga: Aby korzystać z funkcji instalacji zdalnej, należy posiadać uprawnienia administratora na komputerach docelowych. W przypadku systemów Windows Vista, Server 2008, SBS 2008 oraz EBS 2008 konieczne będzie użycie hasła wbudowanego konta administratora domeny ze względu na kontrolę konta użytkownika w systemie Windows. Aby wykonać instalację programu CSA za pomocą funkcji instalacji zdalnej: Uwaga: Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga kilku czynności dodatkowych. Dodatkowe informacje zawiera sekcja Umożliwienie zdalnej instalacji programu Client/Server Security Agent na komputerach klienckich z zainstalowanym systemem Windows Vista na str W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. W obszarze Typ komputera wybierz pozycję Komputer lub serwer. 3. W obszarze Metoda wybierz opcję Zdalna instalacja. 4. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Instalacja zdalna. 5. Z listy komputerów w oknie Grupy i komputery wybierz klienta i kliknij przycisk Dodaj. Zostanie wyświetlony monit o podanie nazwy użytkownika ihasła dla komputera docelowego. 6. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk Zaloguj. Komputer docelowy pojawi się na liście Wybrane komputery. 7. Powtarzaj te etapy, aż lista w oknie Wybrane komputery będzie zawierać wszystkie komputery z systemem Windows. 8. Kliknij przycisk Instaluj, aby zainstalować program Client/Server Security Agent na komputerach docelowych. Zostanie wyświetlone okno potwierdzenia. 3-15

84 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 9. Kliknij przycisk Tak, aby potwierdzić chęć instalacji agenta na komputerze klienckim. Podczas kopiowania plików programu Client/Server Security Agent na każdy komputer docelowy zostanie wyświetlony ekran postępu. Po zakończeniu instalacji programu Worry-Free Business Security Advanced na komputerze docelowym, w polu Wynik listy wybranych komputerów, zostanie wyświetlony stan instalacji, a obok nazwy komputera pojawi się zielony znacznik wyboru. Uwaga: Funkcja instalacji zdalnej nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony program Trend Micro Security Server. Umożliwienie zdalnej instalacji programu Client/Server Security Agent na komputerach klienckich z zainstalowanym systemem Windows Vista Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga czynności dodatkowych. Aby umożliwić zdalną instalację na klientach z zainstalowanym systemem Windows Vista: 1. Na komputerze klienckim włącz tymczasowo usługę Udostępnianie plików i drukarek. Uwaga: W przypadku, gdy reguły firmy dotyczące ochrony nakazują wyłączenie zapory systemu Windows, przejdź do kroku 2, aby uruchomić usługę Rejestr zdalny. a. Uruchom zaporę systemu Windows w Panelu sterowania. b. Kliknij polecenie Zezwalaj programowi na dostęp przez Zaporę systemu Windows. Jeśli zostanie wyświetlony monit o wpisanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź. Zostanie wyświetlone okno ustawień Zapory systemu Windows. c. Sprawdź, czy zaznaczone jest pole wyboru Udostępnianie plików i drukarek na karcie Wyjątki w obszarze Lista programów lub portów. 3-16

85 Instalowanie agentów d. Kliknij przycisk OK. 2. Uruchom tymczasowo usługę Rejestr zdalny. a. Otwórz konsolę Microsoft Management Console. Wskazówka: W oknie Uruchom wpisz ciąg services.msc, aby uruchomić konsolę Microsoft Management Console. b. Kliknij prawym przyciskiem myszy pozycję Rejestr zdalny i wybierz opcję Uruchom. 3. W razie potrzeby przywróć oryginalne ustawienia po zainstalowaniu programu Client/Server Security Agent na komputerze klienckim z zainstalowanym systemem Windows Vista. Instalacja za pomocą narzędzia Vulnerability Scanner Narzędzie Trend Micro Vulnerability Scanner (TMVS) służy do wykrywania zainstalowanych rozwiązań antywirusowych, wyszukiwania w sieci niechronionych komputerów oraz instalowania na nich programu Client/Server Security Agent. Aby określić, czy komputer potrzebuje zabezpieczenia, narzędzie Skaner narażenia na atak wysyła polecenie ping do portów używanych zwykle przez rozwiązania antywirusowe. W tej sekcji opisano sposób instalowania agenta za pomocą narzędzia Vulnerability Scanner. Instrukcje dotyczące korzystania z narzędzia Vulnerability Scanner do wykrywania rozwiązań antywirusowych znajdują się w sekcji Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem, że nie jest na nich uruchomiona usługa Terminal Server. Nie można zainstalować programu Client/Server Security Agent na komputerze klienckim za pomocą narzędzia Vulnerability Scanner, jeśli na tym komputerze zainstalowano już program Trend Micro Security Server. 3-17

86 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby zainstalować program Client/Server Security Agent za pomocą narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do następującej lokalizacji: Worry-Free Business Security Advanced > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3-18

87 Instalowanie agentów RYSUNEK 3-1. Ekran TMVS Settings 3. W obszarze Trend Micro Security Server Setting (for Install and Log Report) wpisz nazwę lub adres IP i numer portu komputera z programem Trend Micro Security Server. 4. Zaznacz pole wyboru Auto-install Client/Server Security Agent for unprotected computer. 3-19

88 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 5. Kliknij przycisk Install Account. 6. Podaj nazwę użytkownika i hasło dające uprawnienia administratora do serwera (lub domeny) i kliknij przycisk OK. 7. Kliknij przycisk OK, aby wrócić do głównego ekranu programu TMVS. 8. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci oraz instalację programu Client/Server Security Agent. Instalowanie programu MSA z poziomu konsoli internetowej Program Messaging Security Agent (MSA) może być także zainstalowany z poziomu konsoli internetowej. Aby zainstalować program MSA z poziomu konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń, a następnie kliknij przycisk Dodaj. 3. W obszarze Typ komputera kliknij ikonę Serwer Microsoft Exchange. 4. W obszarze Informacje o serwerze Microsoft Exchange wpisz następujące informacje: Nazwa serwera. Nazwa serwera Microsoft Exchange, na którym chcesz zainstalować program MSA. Konto. Nazwa konta administratora domeny. Hasło. Hasło administratora domeny. 5. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Ustawienia serwera Microsoft Exchange. 6. W obszarze Typ serwera Web wybierz typ serwera internetowego, który chcesz zainstalować na serwerze Microsoft Exchange. Możesz wybrać opcję Serwer IIS lub Serwer Apache. 7. W obszarze Typ zarządzania spamem wybierz opcje zarządzania spamem. Można wybrać opcje Funkcja End User Quarantine lub Integruj z folderem wiadomości-śmieci programu Outlook. 3-20

89 Instalowanie agentów 8. W obszarze Katalogi zmień lub zaakceptuj domyślne katalogi docelowe i udostępnione dla instalacji programu MSA. Domyślne katalogi docelowe i udostępniane to odpowiednio C:\Program Files\Trend Micro\Messaging Security Agent i C$. 9. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Ustawienia serwera Microsoft Exchange. 10. Sprawdź, czy ustawienia serwera Microsoft Exchange określone na poprzednich ekranach są poprawne, a następnie kliknij przycisk Dalej, aby rozpocząć instalację programu MSA. 11. Aby wyświetlić stan instalacji programu MSA, kliknij kartę Stan aktywności. Weryfikowanie instalacji, uaktualnienia lub migracji agenta Po zakończeniu instalacji lub uaktualnienia należy sprawdzić, czy program Client/Server Security Agent został prawidłowo zainstalowany. Aby zweryfikować instalację: Zlokalizuj skróty programu Worry-Free Business Security Advanced w menu Start systemu Windows na komputerze klienckim z agentem. Sprawdź, czy program Worry-Free Business Security Advanced znajduje się na liście Dodaj/usuń programy w Panelu sterowania klienta. Następnie zastosuj narzędzie Vulnerability Scanner (patrz sekcja Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów na str. 3-22). Użyj narzędzia Client Mover (patrz sekcja Narzędzie Client Mover na str lub Przenoszenie klientów na str. 4-10). 3-21

90 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Używanie narzędzia Vulnerability Scanner do weryfikacji instalacji klientów Istnieje możliwość sprawdzenia, czy na wszystkich klientach w sieci zainstalowani są agenci. Narzędzie Vulnerability Scanner można zautomatyzować, tworząc zadania zaplanowane. Informacje na temat automatyzacji narzędzia Vulnerability Scanner znajdują się w pomocy elektronicznej programu Worry-Free Business Security Advanced. Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem że nie jest na nich uruchomiona usługa Terminal Server. Aby zweryfikować instalację agenta za pomocą narzędzia Skaner narażenia na atak: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do katalogu Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3. W obszarze Product Query zaznacz pole wyboru Security Server i określ port używany przez serwer do komunikacji z klientami. 4. W obszarze Description Retrieval Settings wybierz metodę pobierania. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Normal retrieval, a następnie zaznaczając pole wyboru Retrieve computer descriptions when available, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, należy zaznaczyć pole wyboru results to the system administrator w obszarze Alert Settings. Następnie należy kliknąć opcję Configure, aby określić ustawienia poczty . W polu To wpisz adres odbiorcy. W polu From wpisz swój adres

91 Instalowanie agentów W polu SMTP Server wpisz adres serwera SMTP. Przykładowy adres to smtp.przyklad.com. Informacja o serwerze SMTP jest wymagana. W polu Subject wpisz nowy temat wiadomości lub zatwierdź domyślny. 6. Kliknij przycisk OK, aby zapisać ustawienia. 7. Aby na niezabezpieczonych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij opcję Customize, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Alert Message. 8. W polu tekstowym wpisz nowy komunikat ostrzeżenia lub zaakceptuj komunikat domyślny, a następnie kliknij przycisk OK. 9. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatically save the results to a CSV file. Skaner narażenia na atak domyślnie zapisuje pliki CSV w folderze TMVS. Aby zmienić folder domyślny z plikami CSV, kliknij przycisk Browse, a następnie wybierz folder docelowy na swoim komputerze lub w sieci i kliknij przycisk OK. 10. W obszarze Ping Settings określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Packet size i Timeout. 11. Kliknij przycisk OK. Zostanie wyświetlona konsola narzędzia Vulnerability Scanner. 12. Aby uruchomić skanowanie ręczne narażenia na atak w zakresie adresów IP, wykonaj następujące czynności: a. W polu IP Range to Check wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. b. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. 13. Aby uruchomić skanowanie ręczne narażenia na atak na komputerach uzyskujących adres IP z serwera DHCP, wykonaj następujące czynności: a. Kliknij kartę DHCP Scan w polu Results. Zostanie wyświetlony przycisk DHCP Start. 3-23

92 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora b. Kliknij przycisk DHCP Start. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów klienckich na atak, kiedy będą się logować do sieci. Narzędzie Vulnerability Scanner sprawdzi sieć, a wyniki zostaną wyświetlone w tabeli Results. Można sprawdzić, czy agent jest zainstalowany na wszystkich serwerach oraz komputerach stacjonarnych i przenośnych. Jeżeli narzędzie Skaner narażenia na atak znajdzie niechronione serwery bądź komputery stacjonarne lub przenośne, należy zainstalować na nich agenta przy użyciu wybranej metody. Patrz część Wybór metody instalacji na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR Firma Trend Micro zaleca wykonanie testu produktu za pomocą skryptu testowego EICAR celem sprawdzenia jego prawidłowego działania. Europejski Instytut Badań nad Ochroną Antywirusową Komputerów (EICAR, European Institute for Computer Antivirus Research) opracował skrypt testowy jako bezpieczną metodę sprawdzania poprawnej instalacji i konfiguracji programów antywirusowych. Więcej informacji można znaleźć na witrynie internetowej organizacji EICAR: Skrypt testowy EICAR jest plikiem tekstowym z rozszerzeniem.com. Plik ten nie jest wirusem i nie zawiera fragmentów kodu wirusów, jednak większość programów antywirusowych potraktuje go jako wirusa. Można za jego pomocą zasymulować zarażenie wirusem i sprawdzić, czy funkcje powiadamiania pocztą , skanowania za pomocą protokołu HTTP i dzienników wirusów działają prawidłowo. OSTRZEŻENIE! Nie należy stosować prawdziwych wirusów/złośliwych programów w celu testowania instalacji programu antywirusowego. Aby przetestować instalację agenta za pomocą skryptu testowego EICAR: 1. Upewnij się, że na agencie włączono skanowanie w czasie rzeczywistym. 2. Skopiuj poniższy ciąg znaków i wklej go do pliku utworzonego w Notatniku lub innym edytorze tekstu: 3-24

93 Instalowanie agentów TEST-FILE!$H+H* 3. Zapisz plik jako EICAR.com w katalogu tymczasowym. Program Client/Server Security Agent powinien natychmiast wykryć ten plik. 4. Aby przetestować inne komputery klienckie w sieci, należy dołączyć plik EICAR.com do wiadomości i wysłać ją do innych komputerów klienckich. Uwaga: Firma Trend Micro zaleca też przetestowanie skompresowanej wersji pliku EICAR. Za pomocą oprogramowania do kompresji należy skompresować skrypt testowy i wykonać powyższe czynności. Aby przetestować instalację agenta pod względem wydajności skanowania HTTP: Należy pobrać skrypt testowy EICAR.com z któregokolwiek z poniższych adresów URL: Program Client/Server Security Agent powinien powiadomić o wykryciu wirusa testowego EICAR. Usuwanie agentów Są dwa sposoby usunięcia agentów z konsoli internetowej lub przez uruchomienie dezinstalatora. Usuwanie programu Client/Server Security Agent za pomocą dezinstalatora OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Jeżeli użytkownikom przyznano uprawnienie do usuwania agenta, można im polecić, aby uruchomili program odinstalowujący agenta na swoich komputerach. 3-25

94 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby uruchomić program odinstalowujący agenta: 1. W menu Start systemu Windows należy kliknąć opcję Ustawienia > Panel sterowania > Dodaj lub usuń Programy. 2. Wybierz pozycję Trend Micro Client/Server Security Agent i kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran Dezinstalacja programu Client/Server Security Agent i monit o podanie hasła dezinstalacji, jeśli jest ono ustawione. 3. Wpisz hasło dezinstalacji i kliknij opcję OK. Na ekranie Dezinstalacja programu Client/Server Security Agentbędą wyświetlane informacje o postępie procesu dezinstalacji. Po zakończeniu operacji dezinstalacji zostanie wyświetlony komunikat Dezinstalacja została zakończona. Usuwanie programu Client/Server Security Agent za pomocą konsoli internetowej Program Client/Server Security Agent można także usunąć za pomocą konsoli internetowej. OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Aby zdalnie usunąć agenta za pomocą konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń. 3. W drzewie grup zabezpieczeń wybierz klienta, z którego chcesz usunąć agenta, anastępnie kliknij przycisk Usuń. Zostanie wyświetlony ekran Usuń komputer. 4. W obszarze Typ usuwania kliknij opcję Odinstaluj wybranych agentów, anastępnie kliknij przycisk Zastosuj. Zostanie wyświetlona prośba o potwierdzenie. 5. Kliknij przycisk OK. Zostanie wyświetlony ekran zawierający informacje o liczbie powiadomień wysłanych do serwera i otrzymanych przez klienta. 6. Kliknij przycisk OK. 3-26

95 Instalowanie agentów Aby sprawdzić, czy agent został usunięty, odśwież ekran Ustawienia zabezpieczeń. Klient nie powinien już być widoczny w drzewie grup zabezpieczeń. Usuwanie programu Messaging Security Agent z serwerów Microsoft Exchange OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Aby usunąć program Messaging Security Agent za pomocą konsoli internetowej: 1. W menu głównym konsoli internetowej kliknij pozycję Ustawienia zabezpieczeń. Zostanie wyświetlony ekran Ustawienia zabezpieczeń. 2. Wybierz serwer Microsoft Exchange, z którego ma być odinstalowany program Messaging Security Agent. 3. Kliknij narzędzie Usuń na pasku narzędzi. Zostanie wyświetlony ekran Usuń komputer, na którym będą dostępne następujące opcje: Usuń wybranych nieaktywnych agentów. Tę opcję należy wybrać, aby usunąć ikonę programu Messaging Security Agent z ekranu Ustawienia zabezpieczeń. Odinstaluj wybranych agentów. Tę opcję należy wybrać, aby całkowicie odinstalować program Messaging Security Agent z serwera i usunąć ikonę z ekranu Ustawienia zabezpieczeń. 4. Kliknij przycisk Zastosuj. W razie potrzeby wpisz nazwę konta i hasło serwera Microsoft Exchange, z którego chcesz usunąć program Messaging Security Agent. Zostanie wyświetlony monit o zweryfikowanie decyzji dotyczącej dezinstalacji programu Messaging Security Agent z wybranego serwera Microsoft Exchange. 5. Kliknij przycisk OK, aby usunąć program Messaging Security Agent z wybranego serwera Microsoft Exchange. 3-27

96 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Usuwanie programu Messaging Security Agent za pomocą programu odinstalowującego OSTRZEŻENIE! Usunięcie agentów powoduje, że komputery klienckie stają się podatne na zagrożenia. Aby usunąć program Messaging Security Agent: 1. Zaloguj się na serwerze Microsoft Exchange z uprawnieniami administratora. 2. Na serwerze Microsoft Exchange kliknij przycisk Start, a następnie pozycję Panel sterowania. 3. Otwórz okno Dodawanie lub usuwanie programów. 4. Wybierz pozycję Trend Micro Messaging Security Agent i kliknij przycisk Usuń. Postępuj zgodnie z instrukcjami na ekranie. 3-28

97 Praca z grupami Rozdział 4 W tym rozdziale omówiono koncepcję i korzystanie z grup w programie Worry-Free Business Security Advanced. Rozdział obejmuje następujące zagadnienia: Przegląd grup początek na str. 4-2 Wyświetlanie klientów w grupie początek na str. 4-2 Dodawanie grup początek na str. 4-7 Usuwanie grup początek na str. 4-8 Dodawanie klientów do grup początek na str. 4-8 Przenoszenie klientów początek na str Replikowanie ustawień grup początek na str

98 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Przegląd grup W programie Worry-Free Business Security Advanced grupy stanowią kolekcję komputerów lub serwerów (ale nie serwerów Microsoft Exchange), które mają tę samą konfigurację i na których uruchomione są te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wiele agentów i zarządzać nimi. W celu łatwiejszego zarządzania można grupować klientów według działów, do których należą lub wykonywanych funkcji. Można też grupować klientów owiększym ryzyku zarażenia, aby zastosować dla nich bardziej bezpieczną konfigurację za pomocą jednego ustawienia. Patrz Konfigurowanie grup komputerów iserwerów na str. 5-1, aby uzyskać więcej informacji. Serwerów Microsoft Exchange nie można grupować. Informacje na temat konfiguracji serwerów Microsoft Exchange znajdują się w sekcji Konfigurowanie serwerów Microsoft Exchange na str Program Security Server domyślnie tworzy grupy na podstawie istniejących domen systemu Windows Server, a jako nazwy klienta używa nazwy komputera. Można usuwać grupy utworzone w programie Security Server, zmieniać ich nazwy lub przenosić klientów z jednej grupy do innej. Wyświetlanie klientów w grupie Na ekranie Ustawienia zabezpieczeń można zarządzać wszystkimi klientami, na których zainstalowano programy Client/Server Security Agent i Messaging Security Agent oraz dostosować ustawienia zabezpieczeń dla agentów. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę 4-2

99 Praca z grupami RYSUNEK 4-1. Ekran Ustawienia zabezpieczeń pokazuje klientów w grupie W drzewie grup zabezpieczeń klienci są wyświetlani zgodnie z przynależnością do grup. Drzewo grup zabezpieczeń jest rozwijaną listą logicznych grup klientów. Po wybraniu grupy z listy po lewej stronie i kliknięciu opcji Konfiguruj, w konsoli internetowej zostanie wyświetlony nowy obszar konfiguracji. Wskazówka: Aby zaznaczyć wiele sąsiadujących klientów, należy kliknąć pierwszy komputer w zakresie, przytrzymać klawisz SHIFT i kliknąć ostatni komputer w zakresie. Aby zaznaczyć zakres niesąsiadujących klientów, należy kliknąć pierwszy komputer z tego zakresu. Przytrzymując naciśnięty klawisz CTRL, należy kliknąć klientów, którzy mają zostać wybrani. Uwaga: Serwery Microsoft Exchange z zainstalowanym programem Messaging Security Agent są rejestrowane w grupie serwerów. Jednak w drzewie grup zabezpieczeń są wyświetlane pojedynczo. 4-3

100 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Gdy z drzewa grup zabezpieczeń po lewej stronie zostanie wybrana grupa, po prawej stronie pojawi się lista klientów. Na ekranie Ustawienia zabezpieczeń dostępne są następujące informacje o klientach z określonej grupy: Nazwa Adres IP Stan online/offline Skanowanie zaplanowane Skanowanie ręczne System operacyjny Architektura Wersja silnika i sygnatur skanowania wirusów Liczba przypadków wykrycia wirusa Liczba przypadków wykrycia spyware Liczba przypadków naruszenia adresów URL Liczba przypadków wykrycia wiadomości typu spam Stan skanowania poczty POP3 Informacji tych używa się wcelu: Upewnienia się, czy agenci korzystają z najnowszych silników. Dostosowania ustawień zabezpieczeń w zależności od liczby przypadków wykrycia wirusów i programów typu spyware. Podjęcia specjalnych działań wobec klientów ze zbyt wysokimi wartościami liczników. Poznania ogólnego stanu sieci. Na tym ekranie można: Skonfigurować grupy: Patrz sekcja Konfigurowanie grup komputerów iserwerów na str. 5-1 i Konfigurowanie serwerów Microsoft Exchange na str Replikować ustawienia między grupami: Patrz sekcja Replikowanie ustawień grup na str Dodać nowe grupy: Patrz sekcja Dodawanie grup na str Usuwać grupy: Patrz sekcja Usuwanie grup na str

101 Praca z grupami Przenosić klientów między grupami lub programami Security Server: Patrz sekcja Przenoszenie klientów na str Zeruj liczniki: Na pasku narzędzi ekranu Ustawienia zabezpieczeń kliknij przycisk Zeruj liczniki. Powoduje to wyzerowanie liczników wiadomości typu spam, wirusów/złośliwego oprogramowania, programów typu spyware/grayware i naruszeń adresów URL. Po uaktualnieniu Jeśli program Worry-Free Business Security Advanced został uaktualniony z wersji wcześniejszej lub próbnej, to stare komputery i grupy w drzewie grup zabezpieczeń są w programie Worry-Free Business Security Advanced zachowane. Worry-Free Business Security Advanced Program 5.1 nie obsługuje ustawień indywidualnych dla klienta w ramach grupy. Jeśli poprzednia wersja już je zawierała, zostaną one wyświetlone jako grupa mieszane. Aby indywidualnie skonfigurować klienta, należy stworzyć nową grupę i dodać do niej tylko tego klienta. Konfiguruj grupę zgodnie z potrzebami. Pasek narzędzi Ustawienia zabezpieczeń Pasek narzędzi ekranu Ustawienia zabezpieczeń zawiera narzędzia potrzebne do pracy z grupami programu i klientami. RYSUNEK 4-2. Pasek narzędzi ekranu Ustawienia zabezpieczeń 4-5

102 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora W tej sekcji pokrótce opisano narzędzia z paska narzędzi ekranu Ustawienia zabezpieczeń. Szczegółowe informacje na temat sposobu korzystania z tych narzędzi do konfigurowania programów Client/Server Security Agent i Messaging Security Agent znajdują się w pomocy elektronicznej. TABELA 4-1. Narzędzia ustawień zabezpieczeń Narzędzie Konfiguruj Ustawienia replikacji Dodaj grupę Dodaj Usuń Przenieś Zerować liczniki Opis Pozwala skonfigurować ustawienia klienta na poziomie grupy, w przypadku ustawień skanowania, zapory, uprawnień klientów i katalogu kwarantanny. Pozwala skonfigurować Anty-spam, filtrowanie zawartości i blokowanie załączników na serwerach Microsoft Exchange. Zobacz tematy Konfigurowanie grup komputerów i serwerów na str. 5-1 i Konfigurowanie serwerów Microsoft Exchange na str. 6-1, aby uzyskać więcej informacji. Za pomocą tego narzędzia można replikować ustawienia konfiguracji z jednej grupy klientów do innej grupy lub grup klientów. Więcej informacji zawiera sekcja Replikowanie ustawień grup na str Za pomocą tego narzędzia można utworzyć nową grupę klientów. Więcej informacji zawiera sekcja Dodawanie grup na str Użyj opcji Dodaj, aby zainstalować program Client/Server Security Agent, Messaging Security Agent lub dodać ikonę do klientów już mających agenta. Po dodaniu nowego klienta, przeciągnij i upuść ikonę do odpowiedniej grupy. Użyj tego narzędzia, aby usunąć ikonę klienta lub grupy z konsoli internetowej lub odinstalować program Client/Server Security Agent lub Messaging Security Agent z wybranego klienta. Patrz sekcja Usuwanie grup początek na str. 4-8 lub Usuwanie agentów początek na str Za pomocą tego narzędzia można przenieść klienta z jednego programu Security Server do innego programu Security Server. Więcej informacji zawiera sekcja Przenoszenie klientów na str Powoduje to wyzerowanie liczników wiadomości typu spam, wirusów/złośliwego oprogramowania, programów typu spyware/grayware i naruszeń adresów URL. 4-6

103 Praca z grupami Dodawanie grup Grupy można tworzyć w celu zarządzania wieloma klientami jednocześnie. Uwaga: Klienci muszą być powiązani z grupą. Klient nie może znajdować się poza grupą. Ścieżka nawigacji: Ustawienia zabezpieczeń > Dodaj grupę RYSUNEK 4-3. Ekran Dodaj grupę Aby dodać grupę: 1. Zmień odpowiednio następujące ustawienia na ekranie Dodawanie grupy: Typ grupy Komputery Serwery Nazwa Importuj ustawienia z grupy: Importuje ustawienia zabezpieczeń z wybranej grupy. 2. Kliknij przycisk Zapisz. 4-7

104 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Usuwanie grup Kiedy administrator usuwa grupę, wszyscy klienci w tej grupie rejestrują się ponownie w programie Security Server i zostają dołączeni do grupy domyślnej na podstawie ich systemu operacyjnego. Na przykład jeśli klient jest serwerem, zostaje dołączony do domyślnej grupy serwerów. Ścieżka nawigacji: Ustawienia zabezpieczeń Aby usunąć grupę: 1. Wybierz grupę na ekranie Ustawienia zabezpieczeń. 2. Kliknij przycisk Usuń. Dodawanie klientów do grup W programie Worry-Free Business Security Advanced dodaj klientów do grupy za pomocą jednej z następujących metod: Instalacja powiadamiania pocztą Instalacja zdalna Utwórz skrypt logowania do domeny Ścieżka nawigacji: Ustawienia zabezpieczeń RYSUNEK 4-4. Ekran Dodaj komputer 4-8

105 Praca z grupami Aby dodać klienta do grupy: 1. Na ekranie Ustawienia zabezpieczeń kliknij przycisk Dodaj na pasku narzędzi. 2. Zmień odpowiednio następujące ustawienia: Typ komputera: Typ klienta. Komputer lub serwer Serwer Microsoft Exchange Metoda Instalacja zdalna: Umożliwia zdalną instalację agenta na kliencie. Patrz Instalowanie za pomocą instalacji zdalnej na str. 3-15, aby uzyskać więcej informacji. Utwórz skrypt logowania do domeny: Umożliwia instalację agenta przy użyciu skryptu logowania do domeny. Agent zostanie zainstalowany po następnym zalogowaniu klienta do sieci. Patrz Instalacja za pomocą skryptu logowania na str. 3-8, aby uzyskać więcej informacji. Informacje o serwerze Microsoft Exchange Nazwa serwera: Nazwa lub adres IP docelowego serwera Microsoft Exchange. Konto: Nazwa konta administratora domeny. Hasło: Hasło konta administratora domeny. 3. Kliknij przycisk Dalej. Postępuj zgodnie z instrukcjami na ekranie. Wskazówka: Więcej informacji na temat instalacji agentów znajduje się wsekcji Instalowanie agentów na str

106 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Przenoszenie klientów Program Worry-Free Business Security Advanced umożliwia przenoszenie klientów między grupami lub serwerami zabezpieczeń. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-5. Ekran Przenieś komputer/serwer Aby przenieść klienta z jednej grupy do innej: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Przeciągnij klienta do innej grupy. Klient odziedziczy ustawienia nowej grupy. Aby przenieść klienta z jednego serwera zabezpieczeń do innego: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Kliknij opcję Przenieś. 3. Wpisz nazwę nowego serwera i numer portu. 4. Kliknij opcję Przenieś. 4-10

107 Praca z grupami Replikowanie ustawień grup Za pomocą opcji Replikowanie ustawień można kopiować ustawienia między grupami lub sieciami. Ustawienia zostaną zastosowane dla wszystkich klientów, które są częścią grupy docelowej. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-6. Ekran Ustawienia replikacji Aby replikować ustawienia między grupami: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, której ustawienia mają być replikowane do innych grup. 2. Kliknij opcję Replikuj ustawienia. 3. Wybierz grupy docelowe, które mają odziedziczyć ustawienia z grupy źródłowej. 4. Kliknij przycisk Zastosuj. 4-11

108 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 4-12

109 Konfigurowanie grup komputerów iserwerów Rozdział 5 W tym rozdziale opisano czynności umożliwiające skonfigurowanie grup komputerów i serwerów. Rozdział obejmuje następujące zagadnienia: Przegląd opcji grup komputerów i serwerów, które można konfigurować na str. 5-2 Oprogramowanie antywirusowe/anty-spyware na str. 5-3 Zapora na str. 5-9 Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str TrendSecure na str Skanowanie poczty POP3 na str Uprawnienia klienta na str Kwarantanna na str

110 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Przegląd opcji grup komputerów i serwerów, które można konfigurować W programie Worry-Free Business Security Advanced grupa to zbiór klientów korzystających z takiej samej konfiguracji i wykonujących te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wiele klientów i zarządzać nimi. Więcej informacji znajduje się w sekcji Praca z grupami na str Poniższe funkcje są dostępne po wybraniu grupy i kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: TABELA 5-1. Opcje grup komputerów i serwerów, które można konfigurować Opcja Opis Domyślnie włączone? Oprogramowanie antywirusowe/anty-sp yware Konfigurowanie opcji skanowania w czasie rzeczywistym, ochrony antywirusowej i przeciwdziałania oprogramowaniu typu spyware. Włączone (skanowanie w czasie rzeczywistym) Zapora Konfigurowanie opcji zapory Wyłączone Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań TrendSecure Skanowanie poczty POP3 Uprawnienia klienta Kwarantanna Konfigurowanie opcji ochrony przed zagrożeniami internetowymi W biurze i Poza biurem Konfigurowanie opcji monitorowania zachowań Konfigurowanie opcji W biurze i Poza biurem ochrony narzędzi Transaction Protector i TrendProtect Konfigurowanie opcji skanowania wiadomości POP3 Konfigurowanie dostępu do ustawień z konsoli klienta Należy określić katalog kwarantanny W biurze: Włączone, Niski. Poza biurem: Włączone, Wysoki. Wyłączone W biurze: Wyłączone Poza biurem: Włączone Wyłączone nd. nd. 5-2

111 Konfigurowanie grup komputerów i serwerów Uwaga: Inne ustawienia klienta, jak na przykład Filtrowanie zawartości, oraz ich zastosowanie to wszystkich klientów jest możliwe za pośrednictwem karty Komputer/serwer na ekranie Preferencje > Ustawienia globalne. Oprogramowanie antywirusowe/anty-spyware Skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania jest kluczowym elementem strategii programu Worry-Free Business Security Advanced. Podczas skanowania współpracujący z plikiem sygnatur wirusów silnik skanowania firmy Trend Micro przeprowadza wykrywanie na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus/złośliwy program zawiera unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści w laboratoriach TrendLabs przechwytują nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. W razie wykrycia pliku zawierającego zagrożenie silnik skanowania wyczyści ten plik, podda go kwarantannie, usunie lub zamieni na tekst/plik. Te operacje można dostosować podczas konfigurowania zadań skanowania. Program Worry-Free Business Security Advanced udostępnia trzy rodzaje skanowania w celu ochrony komputerów klienckich przed zagrożeniami internetowymi: Skanowanie w czasie rzeczywistym: Skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. Zobacz temat Konfigurowanie skanowania w czasie rzeczywistym na str. 5-6, aby uzyskać więcej informacji. W przypadku wiadomości program Messaging Security Agent chroni wszystkie znane punkty wejścia wirusów, skanując w czasie rzeczywistym wszystkie przychodzące wiadomości , wiadomości SMTP, dokumenty wysyłane do folderów publicznych oraz pliki replikowane z innych serwerów Microsoft Exchange. Patrz część Ochrona antywirusowa na str Skanowanie ręczne: Skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia z plików na komputerach klienckich i w skrzynkach pocztowych programu Microsoft Exchange. Ten rodzaj skanowania usuwa także 5-3

112 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego program Worry-Free Business Security Advanced wykonuje działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora. Zobacz temat Skanowanie ręczne na str. 8-2, aby uzyskać więcej informacji. Skanowanie zaplanowane: Skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości skanowane są wokreślonym czasie i z ustaloną częstotliwością. Funkcję zaplanowanego skanowania stosuje się w celu zwiększenia wydajności zarządzania ochroną przed zagrożeniami, jak również do zautomatyzowania zaplanowanego skanowania klientów. Patrz Skanowanie zaplanowane na str. 8-2, aby uzyskać więcej informacji. Domyślne ustawienia skanowania w czasie rzeczywistym Domyślnie program Worry-Free Business Security Advanced ustawia dla agentów skanowanie w czasie rzeczywistym. W celu ochrony klientów nie jest wymagane wprowadzanie dodatkowych danych. Agenci podczas skanowania w poszukiwaniu zagrożeń internetowych korzystają zustawień zalecanych przez firmę Trend Micro. Po wykryciu zagrożenia program wykonuje operację domyślną przeciwdziałającą tym zagrożeniom oraz zapisuje operacje w dzienniku. Wyniki można zobaczyć na ekranie Stan aktywności lub po wygenerowaniu raportów lub kwerend dziennika. Domyślne ustawienia skanowania w czasie rzeczywistym zalecane przez firmę Trend Micro: Skanowanie w czasie rzeczywistym jest włączone. Agenci korzystają z funkcji IntelliScan w celu wybierania plików do skanowania. Agenci nie skanują folderów, w których są zainstalowane produkty firmy Trend Micro. Po wykryciu zagrożenia przez agentów domyślną operacją jest użycie funkcji ActiveAction. Po wykryciu programu spyware/grayware przez agentów domyślną operacją jest czyszczenie. Agenci usuwają pliki, których nie można wyczyścić. 5-4

113 Konfigurowanie grup komputerów i serwerów Agenci tworzą kopię zapasową wszystkich plików przed podjęciem operacji przeciw wykrytym zagrożeniom. TABELA 5-2. Zalecane operacje w przypadku wykrycia zagrożenia Zagrożenie Wszystkie typy Wirusy/złośliwe oprogramowanie Robaki/Trojany Żart Skompresowane pliki Wirus testowy Inne zagrożenia Zalecana operacja Wyczyść Wyczyść Kwarantanna Kwarantanna Kwarantanna Pominięcie Wyczyść 5-5

114 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konfigurowanie skanowania w czasie rzeczywistym Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Oprogramowanie antywirusowe/anty-spyware RYSUNEK 5-1. Ekran Ustawienia zabezpieczeń > Oprogramowanie antywirusowe/anty-spyware Aby skonfigurować skanowanie w czasie rzeczywistym: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Oprogramowanie antywirusowe/anty-spyware: Włącz oprogramowanie antywirusowe/anty-spyware działające w czasie rzeczywistym Pliki do skanowania Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz Funkcja Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. 5-6

115 Konfigurowanie grup komputerów i serwerów Skanuj pliki o następujących rozszerzeniach: Program Worry-Free Business Security Advanced skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Określ, kiedy pliki mają być skanowane. Skanuj pliki tworzone, modyfikowane lub pobierane Skanuj pliki pobierane Skanuj pliki tworzone lub modyfikowane Wyłączenia: Umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro. Nie skanuj następujących katalogów: Wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj następujących plików: Wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj plików o następujących rozszerzeniach: Wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Uwaga: Jeżeli na kliencie zainstalowany jest program Microsoft Exchange Server, firma Trend Micro zaleca wyłączenie wszystkich folderów programu Microsoft Exchange Server ze skanowania. Aby wyłączyć ze skanowania wszystkie foldery serwera Exchange, przejdź do pozycji Preferencje > Ustawienia globalne, kliknij kartę Komputer/serwer i zaznacz opcję Wyklucz foldery Microsoft Exchange, jeśli program jest zainstalowany na serwerze Microsoft Exchange. 5-7

116 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ustawienia zaawansowane Włącz mechanizm IntelliTrap (dla skanowania antywirusowego): Mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-6, aby uzyskać więcej informacji. Skanuj zmapowane dyski i udostępnione foldery sieciowe (dla skanowania antywirusowego) Skanuj dyskietkę podczas zamykania systemu (dla skanowania antywirusowego) Skanuj pliki skompresowane (dla skanowania antywirusowego): Wybierz liczbę warstw do skanowania. Lista dozwolonych programów spyware/grayware (dla skanowania anty-spyware): Ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 8-8, aby uzyskać więcej informacji. 2. Na karcie Operacja ekranu Oprogramowanie antywirusowe/anty-spyware określ sposób postępowania programu Worry-Free Business Security Advanced w przypadku wykrycia zagrożeń: Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Wykonaj taką samą operację w przypadku wszystkich wykrytych zagrożeń internetowych: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. 5-8

117 Konfigurowanie grup komputerów i serwerów Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: Kopia zarażonego pliku zostanie zapisana w następującym katalogu komputera klienckiego: C:\Program Files\Trend Micro\Client Server Security Agent\Backup Operacja w przypadku wykrycia spyware/grayware Wyczyść: Podczas czyszczenia oprogramowania typu spyware/grayware program Worry-Free Business Security Advanced może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Odmów dostępu OSTRZEŻENIE! Odmawianie dostępu aplikacji typu spyware/grayware do komputera nie usuwa takiej aplikacji z zainfekowanych klientów. Ustawienia zaawansowane W przypadku wykrycia wirusa/spyware wyświetl komunikat ostrzeżenia na komputerze lub serwerze 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Zapora Zapora pomaga chronić komputery klienckie przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między komputerem klienckim a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Dodatkowo zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na komputery klienckie. Program WFBS-A umożliwia wybranie jednej z dwóch opcji konfigurowania zapory: tryb prosty lub zaawansowany. W trybie prostym włączane są domyślne 5-9

118 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora ustawienia zapory, zalecane przez firmę Trend Micro. Aby dostosować ustawienia zapory, należy użyć trybu zaawansowanego. Wskazówka: Firma Trend Micro zaleca odinstalowanie innych zapór z komputerów klienckich przed zainstalowaniem i włączeniem zapory. Najnowsze informacje na temat zgodności zapór innych firm znajdują się pod adresem viewxml.do?contentid=en Domyślne ustawienia trybu prostego zapory Zapora zapewnia ustawienia domyślne, które stanowią podstawę opracowania strategii ochrony komputerów klienckich. Domyślne reguły i wyjątki powinny obejmować często występujące warunki, które mogą pojawiać się na komputerach klienckich, takie jak potrzeba dostępu do Internetu bądź pobierania lub przesyłania plików przy użyciu protokołu FTP. Uwaga: Domyślnie w programie WFBS-A zapora jest wyłączona we wszystkich nowych grupach i klientach. TABELA 5-3. Domyślne ustawienia zapory Poziom zabezpieczeń Niskie Opis Przychodzący i wychodzący ruch dozwolony, zablokowane tylko wirusy sieciowe. Ustawienia System wykrywania intruzów IDS Komunikat ostrzeżenia (wysyłanie) Wyłączone Wyłączone Stan 5-10

119 Konfigurowanie grup komputerów i serwerów Nazwa wyjątku Operacja Kierunek Protokół Port DNS Zezwól Przychodzące i wychodzące NetBIOS Zezwól Przychodzące i wychodzące HTTPS Zezwól Przychodzące i wychodzące HTTP Zezwól Przychodzące i wychodzące Telnet Zezwól Przychodzące i wychodzące SMTP Zezwól Przychodzące i wychodzące FTP Zezwól Przychodzące i wychodzące POP3 Zezwól Przychodzące i wychodzące MSA Zezwól Przychodzące i wychodzące TCP/UDP 53 TCP/UDP 137,138,139,445 TCP 443 TCP 80 TCP 23 TCP 25 TCP 21 TCP 110 TCP 16372,16373 Lokalizacja Ustawienia zapory W biurze Poza biurem Wył. Wył. Filtrowanie ruchu Zapora monitoruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów: Kierunek (przychodzący lub wychodzący) Protokoły (TCP/UDP/ICMP) Porty docelowe Komputer docelowy 5-11

120 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Informacje na temat filtrowania ruchu znajdują się w sekcji Praca z wyjątkami zapory na str System wykrywania intruzów Zapora zawiera również system wykrywania intruzów (IDS). Po uruchomieniu system IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą wskazywać na atak na klienta. Zapora umożliwia zapobieganie następującym typom ataków: Ponadwymiarowy fragment: Ta luka obejmuje wyjątkowo duże fragmenty w datagramie IP. Niektóre systemy operacyjne nie obsługują prawidłowo dużych fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Atak Ping of Death: Ping of Death (w skrócie POD ) to typ ataku polegający na wysłaniu zniekształconego lub złośliwego polecenia ping do komputera. Polecenie ping ma zwykle wielkość 64 bajtów (lub 84 bajtów po uwzględnieniu nagłówka IP). Wiele systemów komputerowych nie może obsłużyć polecenia ping przekraczającego maksymalną wielkość pakietu IP, która wynosi bajtów. Wysłanie polecenia ping o tej wielkości może spowodować zawieszenie komputera docelowego. Skonfliktowane ARP: Ten atak występuje, kiedy źródłowe i docelowe adresy IP są identyczne. Atak typu SYN flood: Atak typu SYN flood to forma ataku typu "odmowa usługi", w którym osoba atakująca wysyła kolejne żądania SYN do systemu docelowego. Pokrywający się fragment: Ta luka obejmuje dwa fragmenty w obrębie tego samego datagramu IP, których przesunięcie wskazuje na współdzielenie położenia w datagramie. Może to oznaczać, że fragment A zostaje całkowicie lub częściowo nadpisany przez fragment B. Niektóre systemy operacyjne nie obsługują prawidłowo pokrywających się fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Jest to podstawa do tzw. ataków odmowy obsługi typu teardrop. Atak typu Teardrop: Atak typu teardrop jest związany z wysyłaniem do komputera docelowego fragmentów IP z pokrywającymi się ładunkami o nadmiernej wielkości. Błąd w kodzie ponownego asemblowania fragmentacji TCP/IP w różnych systemach operacyjnych spowodował, że fragmenty są niepoprawnie obsługiwane, co prowadzi do zawieszenia tych systemów. 5-12

121 Konfigurowanie grup komputerów i serwerów Niewielki fragment: Jeśli dowolny fragment poza końcowym ma wielkość mniejszą niż 400 bajtów, oznacza to, że fragment ten został specjalnie utworzony. Małe fragmenty mogą być używane w atakach typu "odmowa usługi" lub w przypadku próby pominięcia zabezpieczeń lub wykrywania. Pofragmentowany IGMP: Kiedy klient odbiera pofragmentowany pakiet IGMP (Internet Group Management Protocol), wydajność klienta może się obniżyć lub komputer może przestać reagować (zawiesić się), wymagając ponownego uruchomienia w celu przywrócenia działania. Atak typu LAND: Atak typu LAND to atak typu "odmowa usługi", który obejmuje wysyłanie specjalnie sfałszowanego, zatrutego pakietu do komputera, powodując niepożądane działanie sprzętu. Ten atak jest związany z wysyłaniem sfałszowanego pakietu TCP SYN (inicjacja połączenia) z adresem IP hosta docelowego i otwartym portem zarówno jako źródło, jak i miejsce docelowe. Kontrola stanowa Zapora zapewnia przetwarzanie z pełną analizą pakietów i monitoruje wszystkie połączenia z komputerem klienckim, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach i regułach, ale także na kontekście ustanowionym w czasie analizowania połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. Konfigurowanie zapory Uwaga: Zaporę należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem 5-13

122 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK 5-2. Ekran Zapora - W biurze Aby skonfigurować zaporę: 1. Zmień odpowiednio następujące opcje na ekranie Zapora: Włącz zaporę: Wybierz, aby włączyć zaporę dla grupy i lokalizacji. Tryb prosty: Włącza zaporę z ustawieniami domyślnymi. Patrz część Domyślne ustawienia zapory na str Tryb zaawansowany: Włącza zaporę z ustawieniami niestandardowymi. Informacje na temat opcji konfiguracji znajdują się w sekcji Zaawansowane opcje zapory na str Kliknij przycisk Zapisz. Zmiany zostają zastosowane natychmiast. Zaawansowane opcje zapory Zaawansowane opcje zapory umożliwiają skonfigurowanie niestandardowych ustawień zapory dla określonej grupy klientów. 5-14

123 Konfigurowanie grup komputerów i serwerów Aby skonfigurować zaawansowane opcje zapory: 1. Na ekranie Zapora wybierz pozycję Tryb zaawansowany. 2. Zmień odpowiednio następujące opcje: Poziom zabezpieczeń: Poziom zabezpieczeń określa reguły ruchu, które mają być stosowane na portach spoza listy wyjątków. Wysoki: Blokuje cały ruch przychodzący i wychodzący. Średni: Blokuje cały ruch przychodzący, ruch wychodzący jest dozwolony. Niski: Zezwala na cały ruch przychodzący i wychodzący. Ustawienia Włącz system wykrywania intruzów: System wykrywania intruzów identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak. Patrz System wykrywania intruzów na str. 5-12, aby uzyskać więcej informacji. Włącz komunikaty ostrzeżeń: Kiedy program Worry-Free Business Security Advanced wykryje naruszenie, zostanie powiadomiony administrator. Więcej informacji jest zawartych w sekcji Konfigurowanie powiadomień na str Wyjątki: Porty na liście wyjątków nie będą blokowane. Zobacz temat Praca zwyjątkami zapory na str. 5-15, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. Praca z wyjątkami zapory Wyjątki obejmują określone ustawienia, które zezwalają na różny typ ruchu lub blokują go na podstawie kierunku, protokołu, portu i komputerów. Na przykład podczas epidemii można zablokować cały ruch kliencki, łącznie z ruchem przez port HTTP (port 80). Jeżeli jednak zablokowani klienci mają mieć dostęp do Internetu, można dodać serwer proxy sieci Internet do listy wyjątków. 5-15

124 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Dodawanie wyjątków Aby dodać wyjątek: 1. Na ekranie Zapora tryb zaawansowany kliknij przycisk Dodaj w sekcji Wyjątki. 2. Zmień odpowiednio opcje: Nazwa: Wpisz unikalną nazwę wyjątku. Akcja: Blokowanie lub zezwolenie na ruch dla wybranego protokołu, portów i klientów. Kierunek: Opcja Przychodzące oznacza ruch z Internetu do sieci. Opcja Wychodzące oznacza ruch z sieci do Internetu. Protokół: Protokół ruchu sieciowego dla tego wyjątku. Porty Wszystkie porty (domyślne) Zakres Określone porty: Poszczególne wpisy należy oddzielać przecinkami. Komputer Wszystkie adresy IP (domyślne) Zakres IP Pojedynczy adres IP: Adres IP określonego klienta. 3. Kliknij przycisk Zapisz. Wyświetlony zostanie ekran Konfiguracja zapory. Na liście wyjątków znajduje się nowy wyjątek. Edytowanie wyjątków Aby poddać wyjątek edycji: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek, który chcesz edytować. 2. Kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. Patrz Dodawanie wyjątków na str. 5-16, aby uzyskać więcej informacji. 4. Kliknij przycisk Zapisz. 5-16

125 Konfigurowanie grup komputerów i serwerów Usuwanie wyjątków Aby usunąć wyjątek: 1. Na ekranie Zapora tryb zaawansowany wsekcji Wyjątki kliknij wyjątek do usunięcia. 2. Kliknij przycisk Usuń. Ochrona przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. Jeśli ochrona przed zagrożeniami sieciowymi blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawiera sekcja Ochrona przed zagrożeniami internetowymi na str Konfigurowanie ochrony przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi ocenia potencjalne zagrożenia wszystkich żądanych adresów URL, przeglądając bazę danych Trend Micro Security dla każdego żądania HTTP. Uwaga: Ustawienia ochrony przed zagrożeniami internetowymi należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Ochrona przed zagrożeniami internetowymi > W biurze/poza biurem 5-17

126 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK 5-3. Ekran Ustawienia zabezpieczeń > Ochrona przed zagrożeniami internetowymi Aby dokonać edycji ustawień ochrony przed zagrożeniami internetowymi: 1. Zmień odpowiednio następujące ustawienia na ekranie Ochrona przed zagrożeniami internetowymi: Włącz ochronę przed zagrożeniami internetowymi Poziom zabezpieczeń Wysoki: Blokuje strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Powiązane ze spamem lub mogące stanowić zagrożenie. Strony niesklasyfikowane Średni: Blokuje strony które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Niski: Blokuje strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. 2. Kliknij przycisk Zapisz. 5-18

127 Konfigurowanie grup komputerów i serwerów Monitorowanie zachowań Agenci stale monitorują komputery klienckie pod kątem nietypowych modyfikacji systemu operacyjnego lub zainstalowanego oprogramowania. Administratorzy (lub użytkownicy) mogą tworzyć listy wyjątków umożliwiające działanie niektórych programów z naruszeniem monitorowanej zmiany, bądź całkowicie zablokować określone programy. Ponadto zawsze jest możliwe uruchomienie programów zprawidłowymi podpisami cyfrowymi. Informacje na temat rozwiązywania problemów związanych z podpisami cyfrowymi znajdują się wsekcji Nieprawidłowe/nieważne podpisy cyfrowe na str Tabela Tabela 5-4 na str zawiera opis i wartości domyślne monitorowanych zmian. TABELA 5-4. Opis i wartości domyślne monitorowanych zmian Monitorowana zmiana Nowy program startowy Modyfikacja pliku hosts Wstrzykiwanie biblioteki programu Nowy dodatek do przeglądarki Internet Explorer Modyfikacja ustawień przeglądarki Internet Explorer Opis Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Plik hosts dopasowuje nazwy domen do adresów IP. Wiele złośliwych programów modyfikuje plik hosts, przez co przeglądarka internetowa zostaje przekierowana do zainfekowanych, nieistniejących lub fałszywych witryn sieci Web. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Programy spyware/grayware często instalują niechciane dodatki do przeglądarki Internet Explorer, włącznie z paskami narzędzi i obiektami pomocniczymi przeglądarki. Wiele wirusów i złośliwych programów zmienia ustawienia przeglądarki Internet Explorer, takie jak strona domowa, zaufane witryny sieci Web, ustawienia serwera proxy i rozszerzenia menu. Wartość domyślna Pytaj wrazie konieczności Zawsze blokuj Pytaj wrazie konieczności Pytaj wrazie konieczności Zawsze blokuj 5-19

128 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 5-4. Opis i wartości domyślne monitorowanych zmian Monitorowana zmiana Modyfikacja powłoki Nowa usługa Modyfikacja reguł zabezpieczeń Modyfikacja reguł zapory Modyfikacja systemu plików Zduplikowany system plików Dostawca usług warstwowych Opis Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows, aby utworzyć powiązania zokreślonymi typami plików. W ten sposób złośliwe programy mogą być uruchamiane automatycznie, jeśli użytkownik otworzy powiązane pliki w Eksploratorze Windows. Zmiany w ustawieniach powłoki systemu Windows umożliwiają złośliwym programom także śledzenie używanych programów i uruchamianie się wraz z autentycznymi aplikacjami. Usługi systemu Windows to procesy mające specjalne funkcje, które zwykle działają w tle, z pełnym dostępem administracyjnym. Złośliwe programy czasami instalują się jako usługi w celu pozostania w ukryciu. Modyfikacje reguł zabezpieczeń systemu Windows mogą umożliwić uruchamianie niechcianych aplikacji oraz zmianę przez nie ustawień systemu. Reguły zapory systemu Windows określają aplikacje mające dostęp do sieci, porty otwarte do komunikacji oraz adresy IP, które mogą komunikować się z komputerem. Wiele złośliwych programów modyfikuje reguły, aby zapewnić sobie dostęp do sieci i Internetu. Niektóre pliki systemowe Windows określają zachowanie systemu, włącznie z programami startowymi i ustawieniami wygaszacza ekranu. Wiele złośliwych programów modyfikuje pliki systemowe w celu automatycznego uruchamiania podczas startu komputera i kontrolowania działania systemu. Wiele złośliwych programów tworzy kopie siebie lub innych złośliwych programów przy użyciu nazw plików systemowych Windows. Zwykle jest to wykonywane w celu nadpisania lub zastąpienia plików systemowych, zapobiegania wykryciu lub zniechęcenia użytkowników do usuwania złośliwych plików. Dostawca usług warstwowych może manipulować przychodzącym i wychodzącym ruchem sieciowym. Złośliwe programy mogą używać dostawców usług warstwowych w celu przechwytywania komunikacji sieciowej i uzyskiwania dostępu do sieci. Wartość domyślna Pytaj wrazie konieczności Pytaj wrazie konieczności Zawsze blokuj Pytaj wrazie konieczności Zawsze blokuj Pytaj wrazie konieczności Pytaj wrazie konieczności 5-20

129 Konfigurowanie grup komputerów i serwerów Zmienne środowiskowe Program Worry-Free Business Security Advanced umożliwia użycie zmiennych środowiskowych w celu określenia konkretnych folderów na komputerze klienckim. Za pomocą tych zmiennych można utworzyć wyjątki dla określonych folderów. Poniższa tabela przedstawia dostępne zmienne: TABELA 5-5. Obsługiwane zmienne Zmienna środowiskowa $windir$ $rootdir$ $tempdir$ $programdir$ Folder Windows Folder główny Wskazuje na... Folder tymczasowy systemu Windows Folder Program Files Konfigurowanie monitorowania zachowań Funkcja Monitorowanie zachowań chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Monitorowanie zachowań 5-21

130 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK 5-4. Ekran Monitorowanie zachowań Aby edytować ustawienia funkcji Monitorowanie zachowań: 1. Zmień odpowiednio następujące ustawienia na ekranie Monitorowanie zachowań: Włącz monitorowanie zachowań Uwaga: Przejdź do opcji Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta i wsekcji Monitorowanie zachowań wybierz polecenie Edytuj listę wyjątków. Włącz ochronę programu Intuit QuickBooks : Ochrona plików i folderów oprogramowania Intuit QuickBooks przed nieautoryzowanymi zmianami przez inne programy. Włączenie tej funkcji nie wpłynie na zmiany 5-22

131 Konfigurowanie grup komputerów i serwerów dokonywane z poziomu programów Intuit QuickBooks, ale uniemożliwi dokonanie zmian w plikach poprzez inne nieautoryzowane aplikacje. Obsługiwane są następujące produkty: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Wskazówka: Firma Trend Micro zaleca włączenie tej funkcji. Monitorowane zmiany: Wybierz opcję Zawsze zezwalaj, Pytaj w razie konieczności lub Zawsze blokuj dla każdej monitorowanej zmiany. Informacje na temat różnych zmian znajdują się w tabeli Tabela 5-4 na str Wyjątki: Wyjątki obejmują Listę dozwolonych programów i Listę zablokowanych programów: Programy z Listy dozwolonych programów mogą być uruchamiane, nawet jeśli naruszają monitorowaną zmianę, natomiast programów z listy Listy zablokowanych programów nie można nigdy uruchamiać. Pełna ścieżka programu: Wpisz pełną ścieżkę programu. Poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj do listy dozwolonych programów lub Dodaj do listy zablokowanych programów. W razie potrzeby użyj zmiennych środowiskowych do określenia ścieżek. Lista obsługiwanych zmiennych znajduje się w tabeli Tabela 5-5, Obsługiwane zmienne na str Lista dozwolonych programów: Programy (maksymalnie 100) z tej listy mogą być uruchamiane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Lista zablokowanych programów: Programy (maksymalnie 100) z tej listy nigdy nie mogą być uruchomione. Kliknij odpowiednią ikonę, aby usunąć pozycję. 2. Kliknij przycisk Zapisz. 5-23

132 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TrendSecure Usługa TrendSecure obejmuje zestaw narzędzi działających w oparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach. Funkcja Transaction Protector określa bezpieczeństwo połączenia bezprzewodowego poprzez sprawdzenie autentyczności punktu dostępu. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor. Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Oceny stron: Określa bezpieczeństwo bieżącej strony. Uwaga: Ustawienia usługi TrendSecure należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz część Rozpoznawanie lokalizacji na str Konfigurowanie usługi TrendSecure Istnieje możliwość skonfigurowania dostępności narzędzi TrendSecure dla użytkowników w zależności od ich lokalizacji. Uwaga: Usługę TrendSecure należy skonfigurować dla połączeń W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą wymuszane ustawienia Połączenie wewnętrzne. Patrz część Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Paski narzędzi TrendSecure > W biurze/poza biurem 5-24

133 Konfigurowanie grup komputerów i serwerów RYSUNEK 5-5. Ekran Paski narzędzi TrendSecure W biurze Aby dokonać edycji dostępności narzędzi TrendSecure: 1. Zmień odpowiednio następujące ustawienia na ekranie Paski narzędzi TrendSecure W biurze/poza biurem: Włącz narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Włącz ocenę stron: Określa bezpieczeństwo bieżącej strony. 2. Kliknij przycisk Zapisz. Uwaga: Paski narzędzi TrendSecure można udostępnić dla agentów tylko z poziomu konsoli internetowej. Użytkownicy muszą instalować i odinstalowywać narzędzia z poziomu konsoli agenta. 5-25

134 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Skanowanie poczty POP3 Skanowanie poczty POP3 oraz użycie dodatku Pasek narzędzi Anty-spam firmy Trend Micro chroni klientów przez spamem i zagrożeniami przesyłanymi w wiadomościach POP3. Uwaga: Domyślnie skanowanie poczty POP3 obsługuje tylko nowe wiadomości wysyłane za pośrednictwem portu 110 w folderze wiadomości przychodzących i folderze wiadomości-śmieci. Nie obsługuje bezpiecznego skanowania poczty POP3 (SSL-POP3), z którego domyślnie korzysta program Exchange Server Wymagania skanowania poczty POP3 Skanowanie poczty POP3 obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Microsoft Vista) Mozilla Thunderbird w wersji 1.5 i 2.0 Uwaga: Skanowanie poczty POP3 nie wykrywa zagrożeń i spamu w wiadomościach IMAP. W celu wykrywania zagrożeń i spamu w wiadomościach IMAP należy użyć programu Messaging Security Agent. Wymagania paska narzędzi Anti-Spam Pasek narzędzi Trend Micro Anti-Spam obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Windows Vista) 5-26

135 Konfigurowanie grup komputerów i serwerów Pasek narzędzi Anti-Spam obsługuje następujące systemy operacyjne: Windows XP SP2 (wersja 32-bitowa) Windows Vista 32- i 64-bitowy Włączanie skanowania poczty Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Skanowanie poczty RYSUNEK 5-6. Ekran Skanowanie poczty Aby dokonać edycji dostępności funkcji skanowania poczty: 1. Zmień odpowiednio następujące ustawienia na ekranie Skanowanie poczty: Włącz skanowanie POP3 w czasie rzeczywistym Włączanie paska narzędzi Trend Micro Anti-Spam 2. Kliknij przycisk Zapisz. Konfiguracja skanowania poczty POP3 w celu przeskanowania innych portów Skanowanie poczty POP3 można skonfigurować w taki sposób, aby skanowane były wiadomości wysyłane za pośrednictwem innych portów niż domyślny port 110. Uwaga: Ta zaawansowana procedura wymaga zmodyfikowania rejestru systemu Windows oraz ponownego uruchomienia usługi proxy firmy Trend Micro na każdym kliencie. Procedurę tę należy wykonać wyłącznie wtedy, jeśli jest to konieczne. Należy również pamiętać o wykonaniu kopii zapasowej rejestru. 5-27

136 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby skonfigurować skanowanie poczty POP3 w celu przeskanowania portów innych niż domyślny: 1. Kliknij kolejno Start > Uruchom. 2. Wprowadź REGEDIT i kliknij przycisk OK. Otworzy się Edytor rejestru. 3. Przejdź do następującego klucza podrzędnego rejestru: HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ ProtocolHandler\pop3\Redirect\Pop3Mailer 4. Kliknij prawym przyciskiem myszy wartość Port, a następnie wybierz pozycję Modyfikuj. 5. Upewnij się, że jako Baza wybrana jest pozycja Liczby dziesiętne, a następnie w pozycji Wartość danych określ numer portu, który ma zostać przeskanowany. 6. Kliknij przycisk OK, a następnie zamknij Edytora rejestru. 7. Kliknij kolejno Start > Uruchom. 8. Wprowadź CMD i kliknij przycisk OK. 9. W wierszu polecenia wpisz polecenie net stop tmproxy, aby zatrzymać usługę proxy firmy Trend Micro. 10. Po zatrzymaniu usługi, aby uruchomić usługę proxy, wprowadź polecenie net start tmproxy. Uprawnienia klienta Uprawnienia klienta należy przyznać, aby umożliwić użytkownikom modyfikowanie ustawień agenta zainstalowanego na komputerze. Wskazówka: Aby zachować określone reguły zabezpieczeń wcałej organizacji, firma Trend Micro zaleca nadanie użytkownikom ograniczonych uprawnień. Dzięki temu użytkownicy nie będą mogli modyfikować ustawień skanowania ani wyłączać programu Client/Server Security Agent. 5-28

137 Konfigurowanie grup komputerów i serwerów Konfigurowanie uprawnień klienta Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta RYSUNEK 5-7. Ekran Uprawnienia klienta Aby przyznać uprawnienia klientom: 1. Zmień odpowiednio następujące ustawienia na ekranie Uprawnienia klienta: Oprogramowanie antywirusowe/anty-spyware Ustawienia skanowania ręcznego Ustawienia skanowania zaplanowanego 5-29

138 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ustawienia skanowania w czasie rzeczywistym Zatrzymaj skanowanie zaplanowane Włącz tryb mobilny Zapora Wyświetlaj kartę Zapora Zezwalaj klientom na włączanie/wyłączanie zapory Uwaga: Jeśli użytkownikom zezwolono na włączanie i wyłączanie zapory, nie można zmieniać tych ustawień w konsoli internetowej. Jeśli użytkownikom nie przyznano tego uprawnienia, ustawienia można zmienić za pomocą konsoli internetowej. Informacje wyświetlane w obszarze ustawień zapory lokalnej agenta zawsze przedstawiają ustawienia skonfigurowane z poziomu agenta, a nie konsoli internetowej. Ochrona przed zagrożeniami internetowymi Edytuj listę dozwolonych adresów URL Monitorowanie zachowań Wyświetl kartę Monitorowanie zachowań ipozwól użytkownikom na dostosowywanie list: Pozwól użytkownikom na włączanie i wyłączanie monitorowania zachowań oraz konfigurowanie listy wyjątków i listy zabezpieczeń oprogramowania. Skanowanie poczty Umożliwia użytkownikom konfigurację skanowania poczty POP3 w czasie rzeczywistym Ustawienia proxy Zezwalaj użytkownikom na konfigurację ustawień serwera proxy Aktualizuj uprawnienia Wykonaj polecenie Aktualizuj teraz Włącz/wyłącz zaplanowaną aktualizację Ustawienia aktualizacji Pobieraj pliki z serwera Trend Micro ActiveUpdate: Kiedy użytkownicy zainicjują aktualizację, agent pobierze aktualizacje ze źródła 5-30

139 Konfigurowanie grup komputerów i serwerów określonego na ekranie Źródło aktualizacji. W przypadku niepowodzenia aktualizacji agent próbuje przeprowadzić aktualizację z programu Security Server. Wybranie opcji Pobieraj pliki z serwera Trend Micro ActiveUpdate umożliwi agentowi próbę pobrania aktualizacji z serwera Trend Micro ActiveUpdate w przypadku niepowodzenia aktualizacji z programu Security Server. Wskazówka: Aby zapewnić aktualizację agentów na przenośnych komputerach klienckich poza biurem, należy włączyć opcję Pobieraj pliki z serwera Trend Micro ActiveUpdate. Włącz zaplanowaną aktualizację Wyłącz aktualizację programu i instalację pakietu hot fix Bezpieczeństwo klienta Wysokie: Uniemożliwia dostęp do folderów, plików i pozycji rejestru agenta. Normalne: Umożliwia dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru agenta. Uwaga: W przypadku wybrania opcji Wysokie, ustawienia uprawnień dostępu do folderów, plików i pozycji rejestru agenta będą dziedziczone z folderu Program Files (w przypadku komputerów klienckich z systemu Windows Vista/2000/XP/Server 2003). Jeśli więc ustawienia uprawnień (ustawienia Bezpieczeństwo systemu Windows) pliku WINNT lub folderu Program Files zostaną ustawione na dostęp w trybie odczytu/zapisu, wybranie opcji Wysoki nadal umożliwi klientom dostęp w trybie odczytu/zapisu do folderów, plików i wpisów rejestru programu Client/Server Security Agent. 2. Kliknij przycisk Zapisz. 5-31

140 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Kwarantanna W katalogu kwarantanny przechowywane są zarażone pliki. Katalog kwarantanny może znajdować się na komputerze klienckim lub innym serwerze. Jeżeli określono niepoprawny katalog kwarantanny, agent użyje domyślnego katalogu kwarantanny na komputerze klienckim: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT Domyślny folder na serwerze to: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: Jeżeli program CSA nie może z jakiegoś powodu wysłać pliku do programu Security Server (np. ze względu na problem z połączeniem sieciowym), plik pozostaje w folderze z podejrzanymi plikami klienta. Agent ponowi próbę wysłania pliku po ponownym nawiązaniu połączenia z programem Security Server. Konfigurowanie katalogu kwarantanny Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Kwarantanna RYSUNEK 5-8. Ekran Katalog kwarantanny 5-32

141 Konfigurowanie grup komputerów i serwerów Aby skonfigurować katalog kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Katalog kwarantanny: Katalog kwarantanny: Wpisz adres URL lub ścieżkę UNC wskazujące miejsce przechowywania zarażonych plików. Przykład: lub \\TymczSerwer\Kwarantanna. 2. Kliknij przycisk Zapisz. 5-33

142 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 5-34

143 Konfigurowanie serwerów Microsoft Exchange Rozdział 6 W tym rozdziale opisano program Messaging Security Agent i wyjaśniono sposób ustawiania opcji skanowania w czasie rzeczywistym, konfigurowania Anty-spamu, filtrowania zawartości, blokowania załączników oraz opcji obsługi kwarantanny dla serwerów Microsoft Exchange. Rozdział obejmuje następujące zagadnienia: Programy Messaging Security Agent informacje na str. 6-2 Ochrona antywirusowa na str. 6-9 Anty-Spam na str Filtrowanie zawartości na str Blokowanie załączników na str Kwarantanna na str Operacje na str

144 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Programy Messaging Security Agent informacje W rozwiązaniu Worry-Free Business Security Advanced programy Messaging Security Agent odpowiedzialne są za ochronę serwerów Microsoft Exchange. Program Messaging Security Agent pomaga unieszkodliwiać zagrożenia rozprzestrzeniające się za pośrednictwem poczty przez skanowanie wiadomości przychodzących i wychodzących z magazynu skrzynek pocztowych programu Microsoft Exchange, jak również poczty przesyłanej między serwerem Microsoft Exchange a zewnętrznymi adresami. Ponadto, program Messaging Security Agent może: zmniejszać ilość spamu, blokować wiadomości na podstawie zawartości, blokować lub ograniczać wiadomości z załącznikami. Program Messaging Security Agent można instalować tylko na serwerach Microsoft Exchange. W drzewie grup wyświetlane są wszystkie programy Messaging Security Agent w sieci. Uwaga: Nie można połączyć wielu programów Messaging Security Agent w grupę. Każdym programem Messaging Security Agent należy administrować i zarządzać oddzielnie. Program Worry-Free Business Security Advanced używa programu Messaging Security Agent do zbierania informacji na temat bezpieczeństwa z serwerów Microsoft Exchange. Program Messaging Security Agent zgłasza na przykład wykrycie spamu lub zakończenie aktualizacji składników programu Trend Micro Security Server. Informacje te są wyświetlane w konsoli internetowej. Program Trend Micro Security Server używa także tych informacji do generowania 6-2

145 Konfigurowanie serwerów Microsoft Exchange dzienników i raportów dotyczących stanu zabezpieczeń serwerów Microsoft Exchange. Uwaga: Każde wykrycie zagrożenia powoduje wygenerowanie jednego wpisu w dzienniku/powiadomienia. Oznacza to, że wykrycie wielu zagrożeń w pojedynczej wiadomości przez program Messaging Security Agent spowoduje wygenerowanie wielu wpisów w dzienniku i powiadomień. To samo zagrożenie może zostać wykryte wielokrotnie, szczególnie w przypadku pracy w trybie buforowym w programie Outlook Po uruchomieniu trybu buforowego to samo zagrożenie może zostać wykryte w folderze kolejki transportu oraz folderze Elementy wysłane lub w folderze Skrzynka nadawcza. Skanowanie wiadomości przez program Messaging Security Agent Program Messaging Security Agent (MSA) korzysta z następującej procedury w celu przeskanowania wiadomości 1. skanowanie pod kątem spamu (funkcja Anty-spam), a. porównywanie wiadomości z listą dozwolonych/zablokowanych nadawców administratora, b. sprawdzanie pod kątem zagrożeń typu phishing, c. porównywanie wiadomości z listą wyjątków dostarczoną przez firmę Trend Micro, d. porównywanie wiadomości z bazą danych sygnatur spamu, e. stosowanie reguł skanowania heurystycznego, 2. skanowanie pod kątem naruszenia reguł filtrowania zawartości, 3. skanowanie pod kątem załączników przekraczających parametry zdefiniowane przez użytkownika, 4. skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania (Antywirus). 6-3

146 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Operacje programu MSA Administratorzy mogą skonfigurować program Messaging Security Agent w taki sposób, aby wykonywał operacje w zależności od typu zagrożenia, jakie stanowią wirusy/złośliwe oprogramowanie, trojany i robaki. Jeśli stosowane są operacje niestandardowe, należy określić odpowiednią operację dla każdego typu zagrożenia. TABELA 6-1. Operacje niestandardowe w programie Messaging Security Agent Operacja Wyczyść Opis Usuwa złośliwy kod z treści zarażonych wiadomości i załączników. Pozostała treść wiadomości, niezarażone pliki oraz wyczyszczone pliki są dostarczane do określonych odbiorców. Firma Trend Micro w przypadku wirusów/złośliwego oprogramowania zaleca używanie domyślnej operacji skanowania Wyczyść. W niektórych przypadkach program Messaging Security Agent nie może wyczyścić pliku. Patrz sekcja Pliki, których nie można wyczyścić na str Podczas skanowania ręcznego lub zaplanowanego program Messaging Security Agent aktualizuje magazyn informacji i zastępuje plik jego wyczyszczoną wersją. Zastąp tekstem/plikiem Poddaj całą wiadomość kwarantannie Program Messaging Security Agent usuwa zarażoną zawartość izastępuje ją tekstem lub plikiem. Wiadomość zostaje dostarczona do określonego odbiorcy, ale tekst zastępczy informuje ozarażeniu i zastąpieniu oryginalnej zawartości. Przenosi wiadomość do folderu z ograniczonym dostępem, eliminując zagrożenie bezpieczeństwa środowiska Microsoft Exchange. Pierwotny odbiorca nie otrzyma wiadomości. Opcja ta jest niedostępna przy skanowaniu ręcznym i zaplanowanym. Więcej informacji na temat folderu kwarantanny zawiera sekcja Katalogi kwarantanny na str Poddaj część wiadomości kwarantannie Przeniesiona do folderu kwarantanny i poddana kwarantannie zostaje tylko zarażona zawartość. Odbiorca otrzymuje wiadomość bez tej zawartości. 6-4

147 Konfigurowanie serwerów Microsoft Exchange TABELA 6-1. Operacje niestandardowe w programie Messaging Security Agent Operacja Usuń całą wiadomość Pominięcie Opis Podczas skanowania w czasie rzeczywistym program Messaging Security Agent usuwa całą wiadomość . Pierwotny odbiorca nie otrzyma wiadomości. Opcja ta jest niedostępna przy skanowaniu ręcznym i zaplanowanym. Tworzy w dzienniku wirusów wpis o zarażeniu plików złośliwym wirusem, ale nie wykonuje żadnej operacji. Uwaga: Wykluczone, zaszyfrowane lub chronione hasłem pliki są dostarczane do odbiorcy bez aktualizowania dzienników. Pliki, których nie można wyczyścić Jeśli czyszczenie pliku przez program Messaging Security Agent nie powiodło się, jest on oznaczany jako plik, którego nie można wyczyścić, a program wykonuje operację wybraną przez użytkownika dla takich plików. Domyślną operacją jest Usuń całą wiadomość. Program Messaging Security Agent zapisuje w pliku dziennika wszystkie zdarzenia związane z wirusami/złośliwym oprogramowaniem oraz związane z nimi operacje. Poniżej przedstawiono niektóre przyczyny, dla których program Messaging Security Agent nie może wykonać operacji czyszczenia: Plik zawiera trojana, robaka lub inny złośliwy kod. Aby uniemożliwić uruchamianie pliku wykonywalnego, program Messaging Security Agent musi go całkowicie usunąć. Program Messaging Security Agent nie obsługuje wszystkich formatów kompresji. Silnik skanowania czyści tylko pliki skompresowane za pomocą narzędzia pkzip, jeśli infekcja występuje w pierwszej warstwie kompresji. Nieoczekiwany problem uniemożliwia wykonanie czyszczenia przez program Messaging Security Agent, na przykład: Katalog tymczasowy, który służy jako repozytorium dla plików wymagających czyszczenia, został zapełniony. Plik jest zablokowany lub obecnie uruchomiony. 6-5

148 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Plik jest uszkodzony. Plik jest chroniony hasłem. Powiadomienia o wykrytych zagrożeniach Gdy program Messaging Security Agent (MSA) wykryje zagrożenie w wiadomości , może on wysłać powiadomienia do nadawcy wiadomości i/lub odbiorców. W obszarze karty Operacja ekranu Antywirus/Oprogramowanie anty-spyware można skonfigurować program MSA tak, aby wysyłał powiadomienia do wszystkich nadawców i/lub odbiorców lub tylko do nadawców i/lub odbiorców wewnętrznych. Program MSA można również skonfigurować tak, aby nie wysyłał powiadomień, gdy wykryje fałszywe wiadomości pocztowe (tzw. spoofing). Zaawansowane skanowanie makr Program Messaging Security Agent używa pliku sygnatur wirusów do identyfikacji znanych, złośliwych kodów makr podczas zwykłego skanowania. Program Messaging Security Agent wykonuje odpowiednią operację dla złośliwego kodu makra w zależności od operacji skonfigurowanej na ekranie Antywirus. Użycie funkcji zaawansowanego skanowania makr pozwala uzyskać dodatkową ochronę przed złośliwymi kodami makr. Funkcja zaawansowanego skanowania makr uzupełnia zwykłe skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania. Funkcja ta korzysta z technologii skanowania heurystycznego w celu wykrywania wirusów makr lub usuwania wszystkich wykrytych kodów makr. Skanowanie heurystyczne to metoda badawcza wykrywania wirusów, która wykorzystuje rozpoznawanie sygnatur i technologie oparte na regułach do wyszukiwania złośliwego kodu makr. Metoda ta sprawdza się najlepiej przy wykrywaniu nieznanych wirusów i zagrożeń, dla których nie istnieją jeszcze sygnatury wirusów. Po wykryciu złośliwego kodu makra przy użyciu skanowania heurystycznego program Messaging Security Agent wykonuje operację odpowiednią dla złośliwego kodu w zależności od operacji skonfigurowanej na ekranie Antywirus. Jeśli wybrana została opcja Usuń wszystkie makra wykryte przez funkcję zaawansowanego skanowania makr, program Messaging Security Agent usuwa wszystkie kody makr z przeskanowanych plików. 6-6

149 Konfigurowanie serwerów Microsoft Exchange Opcje grup serwerów Microsoft Exchange, które można konfigurować Poniższe funkcje są dostępne po kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: Ochrona antywirusowa: Służy do konfigurowania opcji skanowania w czasie rzeczywistym na serwerze Microsoft Exchange. Anty-spam: Służy do ustawiania poziomu wykrywania spamu, konfigurowania list dozwolonych/zablokowanych nadawców i ustawiania operacji dotyczących spamu. Filtrowanie zawartości: Umożliwia włączanie i konfigurowanie funkcji filtrowania zawartości. Blokowanie załączników: Służy do określania wymagań dotyczących blokowania załączników. Kwarantanna: Służy do wykonywania zapytań, obsługi kwarantanny i ustawiania katalogów kwarantanny. Operacje: Służy do obsługi wiadomości typu spam, ustawiania wewnętrznych adresów i opcji diagnostyki systemu. Domyślne ustawienia programu Messaging Security Agent Tabela 6-2 na str. 6-7 przedstawia opcje, które mogą pomóc w optymalizacji konfiguracji programu Messaging Security Agent. TABELA 6-2. Domyślne operacje firmy Trend Micro Default w programie Messaging Security Agent Spam Opcja skanowania Skanowanie w czasie rzeczywistym Anty-spam Poddaj wiadomość kwarantannie w folderze spamu użytkownika (domyślna opcja, jeśli zainstalowano narzędzie End User Quarantine) Skanowanie ręczne i zaplanowane Nie dotyczy 6-7

150 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-2. Domyślne operacje firmy Trend Micro Default w programie Messaging Security Agent Opcja skanowania Skanowanie w czasie rzeczywistym Skanowanie ręczne i zaplanowane Phishing Usuń całą wiadomość Nie dotyczy Filtrowanie zawartości Filtruj wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków Filtruj wiadomości, które spełniają wszystkie zdefiniowane warunki Monitoruj zawartość wiadomości z konkretnych kont Utwórz wyjątki dla konkretnych kont Poddaj całą wiadomość kwarantannie Poddaj całą wiadomość kwarantannie Poddaj całą wiadomość kwarantannie Pominięcie Zastąp Niedostępne Zastąp Pominięcie Operacja Pliki zaszyfrowane i chronione hasłem Pliki wykluczone (pliki wykraczające poza określone ograniczenia skanowania) Blokowanie załączników Zastąp załącznik tekstem/plikiem Inne Pomiń (po skonfigurowaniu operacji Pomiń pliki zaszyfrowane oraz pliki chronione hasłem są pomijane, a zdarzenie nie jest rejestrowane). Pomiń (po skonfigurowaniu operacji Pomiń pliki lub treść wiadomości wykraczające poza określone ograniczenia skanowania są pomijane, a zdarzenie nie jest rejestrowane). Zastąp załącznik tekstem/plikiem Pomiń (po skonfigurowaniu operacji Pomiń pliki zaszyfrowane oraz pliki chronione hasłem są pomijane, a zdarzenie nie jest rejestrowane). Pomiń (po skonfigurowaniu operacji Pomiń pliki lub treść wiadomości wykraczające poza określone ograniczenia skanowania są pomijane, a zdarzenie nie jest rejestrowane). 6-8

151 Konfigurowanie serwerów Microsoft Exchange Ochrona antywirusowa Program Worry-Free Business Security Advanced udostępnia trzy rodzaje skanowania w celu ochrony serwerów Microsoft Exchange przed zagrożeniami rozprzestrzeniającymi się za pośrednictwem poczty Skanowanie w czasie rzeczywistym: Skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Program Messaging Security Agent chroni wszystkie znane punkty wejścia wirusów, skanując w czasie rzeczywistym wszystkie przychodzące wiadomości , wiadomości SMTP, dokumenty wysyłane do folderów publicznych oraz pliki replikowane z innych serwerów Microsoft Exchange. Po wykryciu zagrożenia bezpieczeństwa program automatycznie wykonuje operację przeciwdziałającą tym zagrożeniom zgodnie z konfiguracją. Program Messaging Security Agent skanuje następujące elementy w czasie rzeczywistym: wszystkie przychodzące i wychodzące wiadomości , elementy wysyłane do folderu publicznego, wszystkie replikacje między serwerami. Szybkość skanowania w czasie rzeczywistym zależy od ustawień skanowania. Wydajność skanowania w czasie rzeczywistym można zwiększyć, określając pewne typy plików, które są narażone na działanie wirusów/złośliwego oprogramowania. Skanowanie ręczne: Skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia z plików na komputerach klienckich i w skrzynkach pocztowych programu Microsoft Exchange. Ten rodzaj skanowania usuwa także wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego program Worry-Free Business Security Advanced wykonuje działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora. Zobacz temat Skanowanie ręczne na str. 8-2, aby uzyskać więcej informacji. Skanowanie zaplanowane: Skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości skanowane są wokreślonym czasie i z ustaloną częstotliwością. Funkcję zaplanowanego skanowania stosuje się w celu zwiększenia wydajności zarządzania ochroną przed zagrożeniami, jak również do zautomatyzowania zaplanowanego skanowania 6-9

152 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora klientów. Patrz Skanowanie zaplanowane na str. 8-2, aby uzyskać więcej informacji. Konfiguracja skanowania w czasie rzeczywistym dla programów Messaging Security Agent Programy Messaging Security Agent należy skonfigurować w celu określenia elementów docelowych skanowania oraz operacji wykonywanych po wykryciu zagrożenia w docelowych wiadomościach i plikach. Ponadto należy skonfigurować agentów, aby po wykonaniu operacji przeciwdziałających zagrożeniom wysyłane były powiadomienia. Dodatkowe informacje na temat ustawień domyślnych można znaleźć w sekcji Tabela 6-2 na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Antywirus 6-10

153 Konfigurowanie serwerów Microsoft Exchange RYSUNEK 6-1. Ustawienia zabezpieczeń > ekran Antywirus Aby skonfigurować skanowanie w czasie rzeczywistym dla programu Messaging Security Agent: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Antywirus: Włącz program antywirusowy działający w czasie rzeczywistym OSTRZEŻENIE! Wyłączenie skanowania w czasie rzeczywistym sprawia, że serwer Microsoft Exchange staje się podatny na zarażenie. 6-11

154 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Pliki do skanowania IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz Funkcja Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. Określone typy plików: Program Worry-Free Business Security Advanced skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Włącz mechanizm IntelliTrap: Funkcja IntelliTrap wykrywa w plikach skompresowanych złośliwy kod, na przykład boty. Patrz Mechanizm Trend Micro IntelliTrap na str. C-6, aby uzyskać więcej informacji. Skanuj treść wiadomości: Powoduje skanowanie treści wiadomości , która może zawierać osadzone zagrożenia. Dodatkowe skanowanie w poszukiwaniu zagrożeń: Umożliwia wybranie dodatkowych zagrożeń, które powinny być skanowane przez program Worry-Free Business Security Advanced. Definicje zagrożeń zawiera sekcja Glosariusz zwrotów na str. F-1. Wyłączenia: Umożliwia wykluczenie ze skanowania wiadomości , które spełniają następujące kryteria: Rozmiar treści wiadomości przekracza Rozmiar załącznika przekracza Liczba rozpakowanych plików przekracza Rozmiar rozpakowanego pliku przekracza Liczba warstw kompresji przekracza Rozmiar rozpakowanego pliku jest x razy większy od rozmiaru pliku skompresowanego 2. Zmień odpowiednio następujące opcje na karcie Operacja: Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. 6-12

155 Konfigurowanie serwerów Microsoft Exchange Wykonaj taką samą operację w przypadku wszystkich wykrytych zagrożeń internetowych: Umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Określ operację dla wykrytego zagrożenia: Umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń, Poddaj całą wiadomość kwarantannie lub Poddaj kwarantannie część wiadomości dla każdego typu zagrożenia. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Włącz operację jako reakcję na działanie typu mass mailing : Umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości w przypadku zagrożeń typu mass-mailing. Patrz Tabela 6-1 na str. 6-4, aby uzyskać więcej informacji. Należy wybrać dodatkową operację dla nieudanych prób czyszczenia. Możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Przed czyszczeniem utwórz kopię zapasową zarażonego pliku: Utworzenie kopii zapasowej zagrożenia stanowi zabezpieczenie chroniące pierwotny plik przed uszkodzeniem. Uwaga: Firma Trend Micro zaleca usunięcie kopii zapasowych plików natychmiast po określeniu, czy pierwotne pliki nie są uszkodzone imogą być używane. Jeśli plik jest uszkodzony lub nie nadaje się do użytku, należy przesłać go do firmy Trend Micro w celu przeprowadzenia analizy. (Nawet jeśli program Messaging Security Agent całkowicie wyczyścił plik i usunął wirusa, niektóre wirusy/złośliwe progamy powodują uszkodzenie pierwotnego kodu pliku w sposób uniemożliwiający jego naprawę). Nie czyść zarażonych skompresowanych plików, aby zoptymalizować wydajność. Jeśli agent wykryje zagrożenie w pliku skompresowanym, nie czyści on pliku. Zamiast tego przetwarza pliki w taki sposób, jakby były plikami, których nie można wyczyścić. 6-13

156 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Powiadomienia: Program Worry-Free Business Security Advanced będzie wysyłać powiadomienia do wybranych osób. Administratorzy mogą także wyłączyć wysyłanie powiadomień do fałszywych nadawców. Makra: Typ wirusów zakodowanych jako makra aplikacji i często dołączonych do dokumentów. Poziom skanowania heurystycznego: Skanowanie heurystyczne jest szacunkową metodą wykrywania wirusów. Metoda ta sprawdza się najlepiej przy wykrywaniu nieznanych wirusów i zagrożeń, dla których nie istnieją jeszcze sygnatury wirusów. Usuń wszystkie makra wykryte przez funkcję zaawansowanego skanowania makr:więcej informacji zawiera sekcja Zaawansowane skanowanie makr na str Części wiadomości, których nie można przeskanować: Ustaw operację i warunek powiadamiania w przypadku plików zaszyfrowanych i/lub zabezpieczonych hasłem. Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Części wiadomości, które zostały wyłączone: Ustaw operację i warunek powiadamiania w przypadku części wiadomości, które zostały wykluczone. Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Ustawienia kopii zapasowych: Miejsce zapisu kopii zapasowych plików. Ustawienia zastępowania: Skonfiguruj tekst i plik dla tekstu zastępczego. Jeśli wybrano operację Zastąp tekstem/plikiem, program Worry-Free Business Security Advanced będzie zastępował zagrożenie tym łańcuchem tekstowym iplikiem. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Anty-Spam Worry-Free Business Security Advanced udostępnia dwa sposoby zwalczania spamu usługę Reputation i Skanowanie zawartości. 6-14

157 Konfigurowanie serwerów Microsoft Exchange Reputation Technologia Reputation określa spam na podstawie reputacji źródłowego agenta MTA (Mail Transport Agent). Zwalnia to serwer programu Worry-Free Business Security Advanced z konieczności wykonywania tego zadania. Po włączeniu usługi Reputation cały przychodzący ruch SMTP jest sprawdzany przez bazy danych adresów IP w celu ustalenia, czy źródłowy adres IP jest poprawny lub czy nie został umieszczony na czarnej liście jako znany dostawca spamu. Istnieją dwa poziomy usługi dla usługi Reputation. Zostały one przedstawione poniżej: Standardowy: Usługa standardowa korzysta z bazy danych, która śledzi reputację około dwóch miliardów adresów IP. Adresy IP, które są stale powiązane z dostarczaniem wiadomości typu spam, zostają dodane do bazy danych i rzadko są z niej usuwane. Zaawansowany: Poziom zaawansowany to usługa DNS, która jest oparta na zapytaniach i przypomina usługę standardową. Podstawą tej usługi jest standardowa baza danych reputacji oraz dynamiczna baza danych reputacji, która blokuje wiadomości ze znanych i podejrzanych źródeł spamu. Po znalezieniu wiadomości z zablokowanego lub podejrzanego adresu IP funkcja Reputation blokuje tę wiadomość, zanim osiągnie ona bramę. Skanowanie zawartości Skanowanie zawartości określa spam na podstawie zawartości wiadomości, a nie jej źródłowego adresu IP. Program Messaging Security Agent używa silnika anty-spam i plików sygnatur spamu firmy Trend Micro do badania wszystkich wiadomości pod względem spamu przed dostarczeniem ich do magazynu informacji. Serwer Microsoft Exchange nie przetwarza odrzuconych wiadomości zawierających spam, dzięki czemu nie trafiają one do skrzynek pocztowych użytkowników. Wykrywanie spamu W celu filtrowania wiadomości silnik anty-spam korzysta z sygnatur wirusów ireguł heurystycznych. Skanuje on wiadomości i na podstawie stopnia dopasowania do reguł i sygnatur zawartych w pliku sygnatur przypisuje każdej z nich ocenę dotyczącą zawartości spamu. Program Messaging Security Agent 6-15

158 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora porównuje stopień dopasowania do reguł z określonym przez użytkownika poziomem wykrywania spamu. Kiedy stopień dopasowania do reguł przekracza poziom wykrywania, program Messaging Security Agent wykonuje operację wcelu eliminacji spamu. Na przykład spamerzy często używają w wiadomościach wielu wykrzykników lub ciągów znaków składających się z kilku wykrzykników (!!!!). Gdy program Messaging Security Agent wykryje wiadomość charakteryzującą się takim użyciem znaków wykrzyknienia, podwyższa ocenę dotyczącą zawartości spamu dla danej wiadomości . Należy wybrać jedną z poniższych opcji wykrywania spamu: Wysoki: To najbardziej rygorystyczny poziom wykrywania spamu, ale powoduje zwiększenie liczby fałszywych alarmów. Fałszywe alarmy to wiadomości , które program Messaging Security Agent odfiltrował jako spam, mimo że są to prawidłowe wiadomości. Średni: Jest to ustawienie domyślne. Program Messaging Security Agent zapewnia monitorowanie na wysokim poziomie wykrywania spamu przy średnim ryzyku wystąpienia fałszywych alarmów. Niski: Jest to najmniej rygorystyczny poziom wykrywania spamu. Program Messaging Security Agent filtruje jedynie najbardziej oczywiste i powszechne wiadomości typu spam, z najniższym ryzykiem wystąpienia fałszywych alarmów. Program Messaging Security Agent używa silnika skanowania i pliku sygnatur spamu firmy Trend Micro do badania wszystkich wiadomości pod względem spamu przed dostarczeniem ich do magazynu informacji. Serwer Microsoft Exchange nie przetwarza odrzuconych wiadomości zawierających spam, dzięki czemu nie trafiają one do skrzynek pocztowych użytkowników. Program Messaging Security Agent wykonuje jedną z poniższych operacji dla spamu wykrytego podczas skanowania w czasie rzeczywistym: Poddaje spam kwarantannie w folderze wiadomości typu spam na serwerze Poddaje spam kwarantannie w folderze wiadomości typu spam użytkownika Usuwa wiadomość typu spam 6-16

159 Konfigurowanie serwerów Microsoft Exchange Oznacza wiadomości jako spam i dostarcza je Uwaga: Program Microsoft Outlook może automatycznie filtrować iprzesyłać wiadomości, które program MSA wykrył jako spam, do folderu wiadomości-śmieci. Phishing Zdarzenie typu phishing zaczyna się od wiadomości , której autorzy podszywają się pod znaną lub legalnie działającą firmę. Wiadomość zachęca adresata do kliknięcia łącza przekierowującego do fałszywej witryny internetowej. Znajduje się na niej monit do użytkownika o uaktualnienie informacji osobistych, na przykład haseł, numerów ubezpieczenia i numerów kart kredytowych. Ma to na celu oszukanie odbiorcy i nakłonienie go do ujawnienia informacji, które mogą zostać użyte do kradzieży tożsamości. Gdy program Messaging Security Agent wykryje wiadomość typu phish, może wykonać następujące operacje: Poddaj wiadomość kwarantannie w folderze spamu na serwerze: Program Messaging Security Agent wysyła całą wiadomość na serwer zabezpieczeń w celu poddania kwarantannie. Usuń całą wiadomość: Program Messaging Security Agent usuwa całą wiadomość, a serwer Microsoft Exchange jej nie dostarcza. Zaznacz i dostarcz: Program Messaging Security Agent dodaje do informacji nagłówka wiadomości znacznik, który identyfikuje tę wiadomość jako phish, a następnie dostarcza ją do określonego odbiorcy. Listy dozwolonych i zablokowanych nadawców Lista dozwolonych nadawców to lista zaufanych nadawców wiadomości . Program Messaging Security Agent nie filtruje pod kątem spamu wiadomości nadesłanych z tych adresów, z wyjątkiem sytuacji gdy włączona jest opcja Wykrywanie zdarzeń typu phishing. Jeśli opcja Wykrywanie zdarzeń typu phishing jest włączona i program Messaging Security Agent wykryje zdarzenie typu phishing w wiadomości , taka wiadomość nie zostanie dostarczona, nawet jeśli pochodzi od nadawcy umieszczonego na liście dozwolonych nadawców. Lista zablokowanych nadawców to lista podejrzanych adresów . Program 6-17

160 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Messaging Security Agent zawsze określa wiadomości od nadawców zablokowanych jako spam i podejmuje odpowiednie działania. Istnieją dwie listy dozwolonych nadawców: lista dla administratora serwera Microsoft Exchange i lista dla użytkowników końcowych. Lista dozwolonych nadawców i lista zablokowanych nadawców administratora serwera Microsoft Exchange (na ekranie Anty-spam) umożliwia kontrolowanie, w jaki sposób program Messaging Security Agent obsługuje wiadomości wysyłane na serwer Microsoft Exchange. Użytkownicy końcowi zarządzają folderem spamu, który jest dla nich tworzony podczas instalacji programu. Listy użytkowników końcowych wpływają tylko na wiadomości wysłane do magazynu skrzynek pocztowych poszczególnych użytkowników końcowych po stronie serwera. Uwaga: Listy dozwolonych i zablokowanych nadawców na serwerze Microsoft Exchange mają wyższy priorytet niż listy dozwolonych i zablokowanych nadawców na komputerze klienckim. Na przykład nadawca uzytkownik@przyklad.com znajduje się na liście zablokowanych nadawców administratora, ale użytkownik końcowy dodał ten adres do swojej listy dozwolonych nadawców. Wiadomości od tego nadawcy docierają do magazynu serwera Microsoft Exchange, a program Messaging Security Agent wykrywa je jako spam i wykonuje na nich operacje. Jeśli program Messaging Security Agent wykona operację Poddaj wiadomość kwarantannie w folderze spamu użytkownika, spróbuje on dostarczyć wiadomość do folderu spamu użytkownika końcowego, jednak wiadomość zostanie przekierowana do skrzynki odbiorczej tego użytkownika, ponieważ użytkownik końcowy zezwolił na odbieranie wiadomości od danego nadawcy. Uwaga: W przypadku programu Outlook istnieje limit wielkości, który dotyczy liczby idługości adresów na liście. W celu uniknięcia błędu systemowego program Messaging Security Agent ogranicza liczbę adresów, które użytkownik końcowy może umieścić na swojej liście dozwolonych nadawców (ten limit oblicza się zależnie od długości i liczby adresów ). Program Messaging Security Agent obsługuje dopasowanie z zastosowaniem symboli wieloznacznych dla list nadawców dozwolonych i zablokowanych. Jako symbol wieloznaczny używana jest gwiazdka (*). 6-18

161 Konfigurowanie serwerów Microsoft Exchange Program Messaging Security Agent nie obsługuje dopasowania z zastosowaniem symboli wieloznacznych w części nazwy użytkownika. Jednakże po wpisaniu wzorca takiego jak *@trend.com program Messaging Security Agent potraktuje go Symbolu wieloznacznego można używać tylko w następujących miejscach: obok tylko jednej kropki i pierwszego lub ostatniego znaku łańcucha, po lewej stronie i pierwszego znaku łańcucha, dowolna brakująca sekcja na początku lub końcu łańcucha pełni tę samą rolę co symbol wieloznaczny. TABELA 6-3. Dopasowanie adresu z zastosowaniem symboli wieloznacznych Sygnatura Przykłady dopasowania Przykłady niedopasowania jan@przyklad.com jan@przyklad.com Każdy adres inny niż *@przyklad.com przyklad.com *.przyklad.com przyklad.com.* jan@przyklad.com maria@przyklad.com jan@przyklad.com jan@ms1.przyklad.com maria@ms1.rd.przyklad.com maria@przyklad.com jan@ms1.przyklad.com maria@ms1.rd.przyklad.com jurek@ms1.przyklad.com. jan@przyklad.com.pl jan@ms1.przyklad.com.pl jan@ms1.rd.przyklad.com.pl maria@przyklad.com.pl jan@ms1.przyklad.com jan@przyklad.com.pl maria@przyklad.com.pl jan@przyklad.com.pl maria@mojprzyklad.com.pl jan@przyklad.comon jan@przyklad.com jan@mojprzyklad.com.pl maria@ms1.przyklad.como n jan@przyklad.com maria@ms1.przyklad.com jan@mojprzyklad.com.pl 6-19

162 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-3. Dopasowanie adresu z zastosowaniem symboli wieloznacznych Sygnatura *.przyklad.com.* *.*.*.przyklad.com *****.przyklad.com *przyklad.com przyklad.com* Przykłady dopasowania jan@ms1.przyklad.com.pl jan@ms1.rd.przyklad.com.pl maria@ms1.przyklad.com.pl Takie same jak *.przyklad.com Nieprawidłowe wzorce Przykłady niedopasowania jan@przyklad.com jan@ms1.przyklad.com jan@trend.przyklad.pl 6-20

163 Konfigurowanie serwerów Microsoft Exchange Konfigurowanie usługi Reputation Usługę Reputation należy skonfigurować w celu blokowania wiadomości ze znanych lub podejrzanych źródeł spamu. Ponadto można utworzyć wyłączenia, aby dopuścić lub blokować wiadomości od innych nadawców. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj> Anty-spam > Reputation RYSUNEK 6-2. Ekran Usługa Reputation Aby skonfigurować usługę Reputation: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Usługa Reputation: Włącz ochronę antyspamową działająca w czasie rzeczywistym ( Reputation) Poziom usługi: Więcej informacji na temat dostępnych usług zawiera sekcja Reputation na str Standardowy Zaawansowany Dozwolone adresy IP: Wiadomości z tych adresów IP nigdy nie będą blokowane. Wpisz adres IP do zatwierdzenia i kliknij przycisk Dodaj. W razie 6-21

164 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora potrzeby można zaimportować listę adresów IP z pliku tekstowego. Aby usunąć adres IP, wybierz adres i kliknij przycisk Usuń. Zablokowane adresy IP: Wiadomości z tych adresów IP będą zawsze blokowane. Wpisz adres IP do zablokowania i kliknij przycisk Dodaj. W razie potrzeby można zaimportować listę adresów IP z pliku tekstowego. Aby usunąć adres IP, wybierz adres i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. 3. Przejdź do: w celu wyświetlenia raportów. Więcej informacji znajduje się w dokumentacji usługi Reputation. Uwaga: Reputation jest usługą internetową. Administrator z poziomu konsoli internetowej może skonfigurować tylko poziom usługi. 6-22

165 Konfigurowanie serwerów Microsoft Exchange Skanowanie zawartości Konfigurowanie skanowania zawartości w celu poszukiwania spamu w ruchu SMTP to proces składający się z dwóch kroków. Najpierw należy wybrać poziom wykrywania spamu oraz skonfigurować listy dozwolonych/zablokowanych nadawców. Następnie należy wybrać operację wykonywaną, kiedy program Worry-Free Business Security Advanced wykryje spam. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Anty-spam > Skanowanie zawartości RYSUNEK 6-3. Ekran Skanowanie zawartości Aby skonfigurować skanowanie zawartości: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Skanowanie zawartości: Włącz ochronę antyspamową działająca w czasie rzeczywistym (skanowanie zawartości) 6-23

166 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Poziom wykrywania spamu: Więcej informacji na temat dostępnych usług zawiera sekcja Wykrywanie spamu na str Wykrywanie zdarzeń typu phishing: Zdarzenie typu phishing zachęca użytkowników do kliknięcia łącza, które przekierowuje przeglądarkę do fałszywych witryn sieci Web. Więcej informacji znajduje się w sekcji Phishing na str Zatwierdzeni nadawcy: Wiadomości z tych adresów lub nazw domen nigdy nie będą blokowane. Wpisz adresy lub nazwy domen do zatwierdzenia, anastępnie kliknij przycisk Dodaj. W razie potrzeby można zaimportować listę adresów lub nazw domen z pliku tekstowego. Aby usunąć adresy lub nazwy domen, wybierz adres i kliknij przycisk Usuń. Więcej informacji znajduje się wsekcji Listy dozwolonych i zablokowanych nadawców na str Zablokowani nadawcy: Wiadomości z tych adresów lub nazw domen będą zawsze blokowane. Wpisz adresy lub nazwy domen do zablokowania, anastępnie kliknij przycisk Dodaj. W razie potrzeby można zaimportować listę adresów lub nazw domen z pliku tekstowego. Aby usunąć adresy lub nazwy domen, wybierz adres i kliknij przycisk Usuń. Więcej informacji znajduje się wsekcji Listy dozwolonych i zablokowanych nadawców na str Uwaga: Lista zablokowanych adresów IP ma pierwszeństwo przed skanowaniem zawartości. 2. Kliknij przycisk Zapisz. 3. Zmień odpowiednio następujące opcje na karcie Operacja ekranu Skanowanie zawartości: Spam Poddaj wiadomość kwarantannie w folderze spamu na serwerze Poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika Usuń całą wiadomość Zaznacz i dostarcz: Dołącza znacznik do tematu wiadomości

167 Konfigurowanie serwerów Microsoft Exchange Zdarzenie typu phishing Poddaj wiadomość kwarantannie w folderze spamu na serwerze Usuń całą wiadomość Zaznacz i dostarcz: Dołącza znacznik do tematu wiadomości Kliknij przycisk Zapisz. Filtrowanie zawartości Funkcja Filtrowanie zawartości ocenia przychodzące i wychodzące wiadomości na podstawie reguł określonych przez użytkownika. Każda reguła zawiera listę słów kluczowych i fraz. Funkcja Filtrowanie zawartości ocenia nagłówek i/lub zawartość wiadomości przez ich porównanie z listą słów kluczowych. Gdy filtr zawartości znajdzie słowo zgodne ze słowem kluczowym, może wykonać operację, która zapobiega dostarczeniu niepożądanej zawartości do klientów Microsoft Exchange. Program Messaging Security Agent może wysyłać powiadomienia za każdym razem, gdy podejmuje operacje przeciw niepożądanej zawartości. Filtr zawartości umożliwia administratorom ocenę i kontrolę dostarczania poczty na podstawie samego tekstu wiadomości. Można go użyć do monitorowania przychodzących i wychodzących wiadomości w celu sprawdzenia ich pod kątem występowania napastliwych, obraźliwych lub innych niepożądanych treści. Filtr zawartości zawiera także funkcję sprawdzania synonimów, która umożliwia rozszerzenie zasięgu reguł. Można na przykład utworzyć reguły sprawdzające: Napastliwe treści o charakterze seksualnym Treści rasistowskie Spam osadzony w treści wiadomości Uwaga: Domyślnie filtrowanie zawartości jest wyłączone. 6-25

168 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Słowa kluczowe Poniżej przedstawiono słowa kluczowe, które są używane w programie Worry-Free Business Security Advanced do filtrowania wiadomości: słowa (pistolety, bomby itd.); cyfry (1, 2, 3 itd.); znaki specjalne (&, #, + itd.); krótkie frazy (niebieska ryba, czerwony telefon, duży dom itd.); słowa lub frazy połączone operatorami logicznymi (jabłka.and. pomarańcze); słowa lub frazy oparte na wyrażeniach regularnych (na przykład wzorzec.reg. a.*e spowoduje dopasowanie słów ale, ave i apanaże, ale nie akt, aby czy antywirus ). Importowanie słów kluczowych Program Worry-Free Business Security Advanced umożliwia importowanie istniejącej listy słów kluczowych z pliku tekstowego (.txt). Zaimportowane słowa kluczowe pojawiają się na liście. Korzystanie z operatorów dla słów kluczowych Operatory to polecenia łączące wiele słów kluczowych. Operatory mogą rozszerzać lub zawężać wyniki dla danych kryteriów. Operatory należy otoczyć kropkami (.). Na przykład: jabłka.and. pomarańcze lub jabłka.not. pomarańcze Uwaga: Bezpośrednio przed i za operatorem występuje kropka. Między kropką kończącą asłowem kluczowym znajduje się znak spacji. TABELA 6-4. Korzystanie z operatorów Operator Sposób działania Przykład dowolne słowo kluczowe Program MSA wyszukuje zawartość pasującą do słowa. Wpisz słowo i dodaj je do listy słów kluczowych. 6-26

169 Konfigurowanie serwerów Microsoft Exchange TABELA 6-4. Korzystanie z operatorów Operator Sposób działania Przykład OR AND NOT Program MSA będzie szukał zawartości, w której występuje którekolwiek ze słów kluczowych rozdzielonych operatorem OR. Na przykład: jabłka OR pomarańcze. Program MSA będzie szukał zawartości, w której występuje słowo jabłka bądź pomarańcze. Jeśli treść zawiera któreś znich, zgłaszane jest dopasowanie. Program MSA będzie szukał zawartości, w której występują wszystkie słowa kluczowe rozdzielone operatorem AND. Na przykład: jabłka AND pomarańcze. Program MSA będzie szukał zawartości zarówno ze słowem jabłka, jak i słowem pomarańcze. Jeśli treść nie zawiera obydwu słów, nie ma dopasowania. Słowa kluczowe poprzedzone operatorem NOT są wykluczane z wyszukiwania. Wpisz.OR. między wszystkimi słowami, które mają zostać uwzględnione. Na przykład: jabłka.or. pomarańcze Wpisz.AND. między wszystkimi słowami, które mają zostać uwzględnione. Na przykład: jabłka.and. pomarańcze Wpisz.NOT. przed słowem, które chcesz wykluczyć. Na przykład:.not. duże. Program MSA wyszukuje treści niezawierające słowa duże. Jeśli w wiadomości obecny jest tekst dojrzałe pomarańcze, to dopasowanie istnieje; jeśli jednak obecny jest tekst duże pomarańcze, to dopasowanie nie istnieje. Na przykład:.not. duże 6-27

170 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-4. Korzystanie z operatorów Operator Sposób działania Przykład WILD REG Symbol wieloznaczny zastępuje brakującą część słowa. Zwracane są wszystkie wpisane słowa z dowolnymi znakami odpowiadającymi symbolowi wieloznacznemu. Uwaga: Program MSA nie umożliwia stosowania znaku? w poleceniu symbolu wieloznacznego.wild.. Aby określić wyrażenie regularne, poprzedź wzorzec operatorem.reg. (na przykład:.reg. a.*e). Więcej informacji zawiera sekcja Wyrażenia regularne na str Wpisz.WILD. przed częściami słów, które mają zostać uwzględnione. Na przykład, jeśli za pasujące mają być uznawane wszystkie słowa zawierające ciąg wart, wpisz;.wild.wart. Pasować będą wszystkie słowa spośród: Wartburg, wartko i wartownicy. Wpisz.REG. przed wzorcem słowa, który chcesz wykryć. Na przykład do wzorca.reg. a.*e pasują: ale, ave i apanaże, ale nie akt, aby czy antywirus. Efektywne korzystanie ze słów kluczowych Program MSA udostępnia proste w użyciu i rozbudowane funkcje tworzenia wysoce wyspecjalizowanych filtrów. Podczas tworzenia reguł filtrowania zawartości należy uwzględnić następujące uwagi: Program MSA domyślnie wyszukuje dokładnie dopasowane słowa kluczowe. Aby program MSA szukał słów częściowo pasujących do słów kluczowych, należy użyć wyrażeń regularnych. Więcej informacji znajduje się w sekcji Wyrażenia regularne na str Program MSA inaczej analizuje wiele słów kluczowych umieszczonych w jednym wierszu, wiele słów kluczowych umieszczonych w oddzielnych wierszach oraz wiele słów kluczowych rozdzielonych przecinkami, kropkami, myślnikami lub innymi znakami przestankowymi. Więcej informacji na temat używania słów kluczowych w wielu wierszach zawiera sekcja Tabela 6-5. Program MSA można skonfigurować również tak, aby szukał synonimów podanych słów kluczowych. 6-28

171 Konfigurowanie serwerów Microsoft Exchange TABELA 6-5. Sposób korzystania ze słów kluczowych Sytuacja Przykład Dopasowanie/niedopasowanie Dwa słowa w jednym wierszu pistolety bomby Dopasowanie: Kliknij tutaj, aby kupić pistolety bomby iinną broń. Dwa słowa rozdzielone przecinkiem pistolety, bomby Brak dopasowania: Kliknij tutaj, aby kupić pistolety i bomby. Dopasowanie: Kliknij tutaj, aby kupić pistolety, bomby iinną broń. Brak dopasowania: Kliknij tutaj, aby kupić używane pistolety, nowe bomby i inną broń. 6-29

172 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-5. Sposób korzystania ze słów kluczowych Sytuacja Przykład Dopasowanie/niedopasowanie Wiele słów wkilku wierszach pistolety bomby broń i amunicja Po wybraniu opcji Dowolne określone słowa kluczowe Dopasowanie: Pistolety na sprzedaż Pasuje też: Do kupienia pistolety, bomby i inna broń Po wybraniu opcji Wszystkie określone słowa kluczowe Dopasowanie: Do kupienia pistolety bomby broń i amunicja Brak dopasowania: Do kupienia pistolety bomby broń amunicja Wiele słów kluczowych w jednym wierszu pistolety bomby broń amunicja Nie pasuje też: Do kupienia pistolety, bomby, broń i amunicja Dopasowanie: Do kupienia pistolety bomby broń amunicja Brak dopasowania: Do kupienia amunicja do pistoletów oraz broń i nowe bomby 6-30

173 Konfigurowanie serwerów Microsoft Exchange Wyrażenia regularne Wyrażenia regularne służą do dopasowywania łańcuchów znaków. Niektóre typowe przykłady wyrażeń regularnych podano w następujących tabelach. Aby określić wyrażenie regularne, podany wzorzec należy poprzedzić operatorem.reg.. W sieci dostępne jest wiele witryn i przewodników. Jedną z takich witryn jest PerlDoc, dostępna pod adresem: OSTRZEŻENIE! Wyrażenia regularne to bardzo skuteczne narzędzie służące do dopasowywania łańcuchów znaków. Dlatego też firma Trend Micro zaleca, aby administratorzy decydujący się na korzystanie z nich, znali dobrze ich składnię. Błędnie napisane wyrażenia regularne mogą znacznie obniżyć wydajność. Firma Trend Micro zaleca na początek stosowanie prostych wyrażeń regularnych, które nie mają skomplikowanej składni. Wprowadzając nowe reguły, używaj operacji archiwizacji i obserwuj, jak program MSA obsługuje wiadomości przy użyciu tych reguł. Gdy okaże się, że reguła nie wprowadza żadnych nieoczekiwanych zmian, można zmienić operację. Niektóre typowe przykłady wyrażeń regularnych podano w następujących tabelach. Aby określić wyrażenie regularne, podany wzorzec należy poprzedzić operatorem.reg.. TABELA 6-6. Zliczanie i grupowanie Element Znaczenie Przykład. Znak kropki reprezentuje dowolny znak, z wyjątkiem znaku nowej linii. * Znak gwiazdki oznacza zero lub więcej wystąpień elementu poprzedzającego. + Znak plus oznacza jedno lub więcej wystąpień elementu poprzedzającego.? Znak zapytania oznacza zero lub jedno wystąpienie elementu poprzedzającego. Do do. pasują: dok, dog, dom, doń itp. Do d.r pasują: dar, dur itp. Do do* pasują: d, do, doo, dooo, doooo itd. Do do+ pasują: do, doo, dooo, doooo itd., ale nie samo d. Do do?k pasują: dk lub dok, ale nie dook, doook itp. 6-31

174 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-6. Zliczanie i grupowanie Element Znaczenie Przykład ( ) Nawiasy służą do łączenia wzorca znajdującego się między nimi w jedną grupę, która jest następnie traktowana jak pojedynczy element. [ ] Nawiasy kwadratowe wskazują zbiór lub zakres znaków. [ ^ ] Znak daszka w nawiasach kwadratowych logicznie neguje określony zbiór lub zakres. Funkcja dopasuje więc każdy znak, który nie znajduje się w zbiorze lub zakresie. { } Nawiasy klamrowe określają konkretną liczbę wystąpień elementu poprzedzającego. Pojedyncza wartość w nawiasach spowoduje dopasowanie dokładnie takiej liczby wystąpień. Para liczb rozdzielonych przecinkiem reprezentuje zbiór właściwych liczb wystąpień poprzedniego znaku. Pojedyncza cyfra, po której następuje przecinek, oznacza brak górnej granicy. Do d(wór)+ pasują: dwór lub dwórór, lub dwórórór itd. Znak + odnosi się do podłańcucha w nawiasach okrągłych, więc funkcja regex szuka litery d, po której następuje przynajmniej jedna grupa wór. Do d[aeiouy]+ pasują: da, de, di, do, du, dy, daa, dae, dai itd. Znak + odnosi się do zestawu wewnątrz nawiasów kwadratowych, więc funkcja regex szuka litery d, po której następuje przynajmniej jeden ze znaków z zestawu [aeioy]. Do d[a-z] pasują: da, db, dc itd. aż do dz. Zestaw w nawiasach kwadratowych reprezentuje przedział złożony ze wszystkich wielkich liter: od A do Z. Do d[^aeiouy] pasują: db, dc lub dd, d9, d#, czyli litera d, po której następuje dowolny pojedynczy znak, z wyjątkiem samogłoski nienosowej. Do da{3} pasuje daaa, czyli litera d, po której następują dokładnie 3 wystąpienia litery a. Do da{2,4} pasują: daa, daaa, daaaa, and daaaa (ale nie: daaaaa), czyli litera d, po której następują 2, 3 lub 4 wystąpienia litery a. Do da{4,} pasują: daaaa, daaaaa, daaaaaa itd., czyli litera d, po której następują nie mniej niż 4 wystąpienia litery a. 6-32

175 Konfigurowanie serwerów Microsoft Exchange TABELA 6-7. Klasy znaków (zapis skrótowy) Element Znaczenie Przykład \d Dowolny znak cyfry. Zapis ten jest równoważny oznaczeniu [0-9] i [[:digit:]]. \D Dowolny znak oprócz cyfr. Zapis ten jest równoważny oznaczeniu [^0-9] i [^[:digit:]]. \w Dowolny znak słowa, tzn. dowolny znak alfanumeryczny; funkcjonalny odpowiednik zapisu [_A-Za-z0-9] lub [_[:alnum:]] \W Dowolny znak niealfanumeryczny; funkcjonalny odpowiednik zapisu [^_A-Za-z0-9] lub [^_[:alnum:]] \s Dowolny znak biały: znak odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu [[:space:]]. \S Dowolny znak oprócz znaków białych: dowolny zwrot bez znaku odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu [^[:space:]]. Do \d pasują: 1, 12, 123 itd., ale nie 1b7, czyli przynajmniej jedna cyfra. Do \D pasują: a, ab, ab&, ale nie 1, czyli przynajmniej jeden dowolny znak oprócz 0, 1, 2, 3, 4, 5, 6, 7, 8 i 9. Do \w pasują: a, ab, a1, ale nie!&, czyli przynajmniej jedna wielka lub mała litera bądź cyfra, ale nie znak interpunkcyjny ani inny znak specjalny. Do \W pasują: *, &, ale nie as ani ale, czyli przynajmniej jeden znak oprócz wielkiej lub małej litery bądź cyfry. Do por\s pasuje por, po którym następuje dowolny znak biały. Zatem na frazę Lubię por w zupie funkcja regex zareagowałaby, ale na frazę Lubię pory w zupie już nie. Do por\s pasuje por, po którym następuje dowolny znak inny niż biały. Zatem na frazę Lubię pory w zupie funkcja regex zareagowałaby, ale na frazę Lubię por w zupie już nie. TABELA 6-8. Klasy znaków Element Znaczenie Przykład [:alpha:] Dowolny znak alfabetyczny Do.REG. [[:alpha:]] pasują: abc, def, xxx, ale nie

176 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-8. Klasy znaków Element Znaczenie Przykład [:digit:] [:alnum:] [:space:] [:graph:] [:print:] [:cntrl:] Dowolna cyfra; funkcjonalny odpowiednik zapisu \d Dowolny znak słowa, tzn. dowolny znak alfanumeryczny; funkcjonalny odpowiednik zapisu \w. Dowolny znak biały: znak odstępu, nowej linii, tabulacji, odstępu nierozdzielającego itd. Zapis ten jest równoważny oznaczeniu \s. Dowolne znaki z wyjątkiem znaku odstępu, znaków sterujących itp. Dowolne znaki (podobnie jak [:graph]), ale obejmuje także znak odstępu. Dowolne znaki sterujące (np. CTRL+C, CTRL+X) Do.REG. [[:digit:]] powoduje dopasowanie zwrotu 1, 12, 123 itd. Do.REG. [[:alnum:]] pasują: abc, 123, ale nie ~!@. Do.REG. (por)[[:space:]] pasuje por, po którym następuje dowolny znak biały. Zatem na frazę Lubię por w zupie funkcja regex zareagowałaby, ale na frazę Lubię pory w zupie już nie. Do.REG. [[:graph:]] pasują: 123, abc, xxx, ><, ale nie spacja ani znaki sterujące. Do.REG. [[:print:]] pasują 123, abc, xxx, >< i znaki odstępu. Do.REG. [[:cntrl:]] pasują: 0x03, 0x08, ale nie: abc, 123,!@#. [:blank:] Znaki odstępu i tabulacji Do.REG. [[:blank:]] pasują znaki odstępu i tabulacje, ale nie 123, abc,!@#. [:punct:] Znaki interpunkcyjne Do.REG. [[:punct:]] pasują znaki ; :?! # $ % & * itp., ale nie: 123, abc. [:lower:] [:upper:] [:xdigit:] Dowolne małe litery. (Uwaga: musi być włączona opcja Dopasuj zuwzględnieniem wielkości liter, bo w przeciwnym razie będzie funkcjonować jako [:alnum:]). Dowolne wielkie litery. (Uwaga: musi być włączona opcja Dopasuj zuwzględnieniem wielkości liter, bo w przeciwnym razie będzie funkcjonować jako [:alnum:]). Cyfry dozwolone w liczbach szesnastkowych (0-9a-fA-F). Do.REG. [[:lower:]] pasują: abc, Def, stres, Do itp., ale nie: ABC, DEF, STRES, DO, 123,!@#. Do.REG. [[:upper:]] pasują: ABC, DEF, STRES, DO itp., ale nie: abc, Def, Stres, Do, 123,!@#. Do.REG. [[:xdigit:]] pasują 0a, 7E, 0f itd. 6-34

177 Konfigurowanie serwerów Microsoft Exchange TABELA 6-9. Punkty zaczepienia wzorców Element Znaczenie Przykład ^ Wskazuje początek ciągu znaków. Do ^(mimo wszystko) pasuje dowolny blok tekstu zaczynający się słowami mimo wszystko. Zatem na frazę mimo wszystko faktycznie lubię pory w zupie funkcja regex zareagowałaby, ale na frazę faktycznie lubię pory w zupie mimo wszystko już nie. $ Wskazuje koniec ciągu znaków. Do (mimo wszystko)$ pasuje dowolny blok tekstu kończący się słowami mimo wszystko. Zatem na frazę mimo wszystko faktycznie lubię pory w zupie funkcja regex nie zareagowałaby, ale na frazę faktycznie lubię pory w zupie mimo wszystko już tak. TABELA 6-10.Sekwencje specjalne i łańcuchy literałowe Element Znaczenie Przykład \ Służy do dopasowywania znaków mających specjalne znaczenie wwyrażeniu regularnym (na przykład + ). (1) Do.REG. C\\C\+\+ pasuje C\C++. (2) Do.REG. \* pasuje znak *. (3) Do.REG. \? pasuje znak?. \t Oznacza znak tabulacji. Do (stres)\t pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje tabulacja (znak 0x09 w kodzie ASCII). 6-35

178 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-10.Sekwencje specjalne i łańcuchy literałowe Element Znaczenie Przykład \n Oznacza znak nowego wiersza. UWAGA: Znak nowego wiersza różni się wzależności od platformy. W systemie Windows jest to para znaków: znak powrotu karetki, po którym występuje znak wysuwu wiersza. W systemach Unix i Linux nowy wiersz jest oznaczany samym znakiem przejścia do nowego wiersza, natomiast w systemie Macintosh nowy wiersz jest oznaczany samym znakiem powrotu karetki. Do (stres)\n\n pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następują dwa znaki nowego wiersza (znak 0x0A w kodzie ASCII). \r Oznacza znak powrotu karetki. Do (stres)\r pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje jeden znak powrotu karetki (znak 0x0D w kodzie ASCII). \b Oznacza znak cofania. LUP Oznacza granice Do (stres)\b pasuje dowolny blok tekstu zawierający podłańcuch stres, po którym bezpośrednio następuje jeden znak cofnięcia (znak 0x08 w kodzie ASCII). Granica słowa (\b) to punkt między dwoma znakami, gdzie po jednej stronie znajduje się ciąg \w, a po drugiej ciąg \W (w dowolnej kolejności), zliczający znaki pozorne od końca i od początku ciągu zgodnego z \W. (W klasach znaków \b oznacza znak cofania, a nie granicę słowa). Przykładowo poniższe wyrażenie regularne pasuje do numeru ubezpieczenia społecznego: Do.REG. \b\d{3}-\d{2}-\d{4}\b 6-36

179 Konfigurowanie serwerów Microsoft Exchange TABELA 6-10.Sekwencje specjalne i łańcuchy literałowe Element Znaczenie Przykład \xhh Oznacza znak w kodzie ASCII o podanym numerze szesnastkowym (hh reprezentuje dowolną dwucyfrową liczbę szesnastkową). Do \x7e(\w){6} pasuje dowolny blok tekstu zawierający słowo o dokładnie sześciu znakach alfanumerycznych poprzedzonych tyldą (znakiem ~). Zatem pasowałyby słowa ~ab12cd, ~Pa3499, ale słowo ~ojej już nie. Korzystanie ze złożonej składni wyrażeń Wyrażenie słowa kluczowego złożone jest z tokenów, które są najmniejszą jednostką używaną do dopasowania wyrażenia do treści. Tokenem może być operator, symbol logiczny lub operant tj. argument lub wartość, na której działa operator. Operatory obejmują.and.,.or.,.not.,.near.,.occur.,.wild.,.(. i.). Operant i operator muszą być oddzielone spacją. Operant może również zawierać kilka tokenów. Patrz Słowa kluczowe na str. 6-26, aby uzyskać więcej informacji. Przykład wyrażenia regularnego Następujący przykład opisuje jak działa filtr numeru ubezpieczenia społecznego, jeden z domyślnych filtrów: [Format].REG. \b\d{3}-\d{2}-\d{4}\b Powyższe wyrażenie wykorzystuje \b, znak cofania, później \d,dowolna cyfra, następnie {x}, oznaczające liczbę cyfr i ostatecznie, -, oznaczający myślnik. To wyrażenie pasuje do numeru ubezpieczenia społecznego. Następująca tabela opisuje ciągi tekstowe które pasują do przykładowego wyrażenia regularnego: TABELA 6-11.Numery pasujące do wyrażenia regularnego numeru ubezpieczenia społecznego.reg. \b\d{3}-\d{2}-\d{4}\b Dopasowanie Brak dopasowania 6-37

180 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 6-11.Numery pasujące do wyrażenia regularnego numeru ubezpieczenia społecznego.reg. \b\d{3}-\d{2}-\d{4}\b Brak dopasowania Brak dopasowania Brak dopasowania Jeśli zmienisz wyrażenie następująco, [Format].REG. \b\d{3}\x20\d{2}\x20\d{4}\b to nowe wyrażenie pasować będzie do następującej sekwencji: Operacje skanowania Jeśli podczas filtrowania zawartości wiadomość będzie zgodna z regułą, można skonfigurować dowolną z poniższych operacji: Zamień na tekst/plik: Zastępuje przefiltrowaną zawartość plikiem tekstowym. Nie można zastąpić tekstu w polach: Od, Do, DW czy Temat. Poddaj całą wiadomość kwarantannie: Przenosi całą wiadomość do katalogu kwarantanny. Poddaj część wiadomości kwarantannie: Tylko filtrowana zawartość zostaje przeniesiona do folderu kwarantanny i poddana kwarantannie. Odbiorca otrzymuje wiadomość bez tej zawartości. Usuń całą wiadomość: Usuwa całą wiadomość . Archiwizuj: Umieszcza wiadomość w katalogu archiwum i dostarcza ją oryginalnemu odbiorcy. Pomiń: Dostarcza wiadomość bez żadnych zmian. Uwaga: Operacja kwarantanny jest niedostępna podczas skanowania ręcznego lub zaplanowanego. 6-38

181 Konfigurowanie serwerów Microsoft Exchange Wyświetlanie reguł filtrowania zawartości Program Messaging Security Agent (MSA) wyświetla wszystkie reguły filtrowania zawartości na ekranie Filtrowanie zawartości. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Filtrowanie zawartości RYSUNEK 6-4. Ekran Filtrowanie zawartości Ten ekran zawiera podsumowanie następujących reguł: Reguła Akcja: Program MSA wykonuje tę operację po wykryciu niepożądanej zawartości. Priorytet: Program MSA stosuje poszczególne filtry zgodnie z kolejnością wyświetlaną na tej stronie. Włączone: wskazuje włączoną regułę, a wskazuje wyłączoną regułę. Na tym ekranie administratorzy mogą wykonywać następujące czynności: Włączanie/wyłączanie reguł filtrowania zawartości:wybierz opcję Włącz filtrowanie zawartości w czasie rzeczywistym i kliknij przycisk Zapisz. Spowoduje to włączenie lub wyłączenie wszystkich reguł. Aby włączyć lub wyłączyć poszczególne reguły, kliknij lub w celu zmiany stanu reguły. 6-39

182 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Dodawanie/edytowanie reguł:patrz sekcja Dodawanie/edytowanie reguł filtrowania zawartości na str Zmiana kolejności reguł:patrz sekcja Zmiana kolejności reguł na str Usunąć reguły: Wybierz reguły do usunięcia i kliknij przycisk Usuń. Przywracanie reguł domyślnych: To ustawienie powoduje usunięcie wszystkich bieżących reguł i przywrócenie reguł domyślnych. Kliknij przycisk Przywróć domyślne. Dodawanie/edytowanie reguł filtrowania zawartości Aby utworzyć regułę filtrowania zawartości, należy wykonać szereg kroków. Po utworzeniu reguły program Messaging Security Agent (MSA) rozpocznie filtrowanie wszystkich przychodzących i wychodzących wiadomości według tej reguły. Możliwe jest utworzenie reguł, które: Filtruj wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków: Za pomocą reguły tego typu podczas skanowania można filtrować zawartość dowolnej wiadomości. Filtruj wiadomości, które spełniają wszystkie zdefiniowane warunki: Za pomocą reguły tego typu podczas skanowania można filtrować zawartość dowolnej wiadomości. Monitoruj zawartość wiadomości z konkretnych kont Reguła tego typu służy do monitorowania zawartości wiadomości z konkretnych kont . Reguły monitorowania są podobne do ogólnych reguł filtrowania zawartości poza tym, że filtrują zawartość wiadomości pochodzących wyłącznie z określonych kont . Utwórz wyjątki dla konkretnych kont Reguła tego typu powoduje utworzenie wyjątku dla określonych kont . Gdy konkretne konto zostanie w ten sposób wyłączone, nie będzie ono filtrowane pod kątem naruszenia reguł zawartości. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Filtrowanie zawartości > Dodaj/edytuj regułę 6-40

183 Konfigurowanie serwerów Microsoft Exchange Aby utworzyć/edytować regułę: 1. Na ekranie Filtrowanie zawartości kliknij przycisk Dodaj. Aby dokonać edycji reguły, kliknij jej nazwę. 2. Wybierz typ reguły i kliknij przycisk Dalej. Filtruj wiadomości, które spełniają którykolwiek ze zdefiniowanych warunków i. Nazwij regułę. ii. Ustaw warunki skanowania. iii.dodaj słowa kluczowe. Można dołączyć synonimy i/lub kryteria zuwzględnieniem wielkości liter. iv.skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. Filtruj wiadomości, które spełniają wszystkie zdefiniowane warunki i. Nazwij regułę. ii. Ustaw warunki skanowania. iii.skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. Monitoruj zawartość wiadomości z konkretnych kont i. Nazwij regułę. ii. Ustaw konta do monitorowania. iii.ustaw warunki skanowania. iv.dodaj słowa kluczowe. Można dołączyć synonimy i/lub kryteria zuwzględnieniem wielkości liter. v. Skonfiguruj operację wykonywaną na wiadomości zgodnej z kryteriami, ustal osoby, które mają być powiadamiane, zarchiwizuj wiadomość i/lub ustaw tekst lub łańcuch zastępczy. 6-41

184 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Utwórz listę wyjątków dla kont i. Nazwij regułę. ii. Ustaw konta do wykluczenia. Uwaga: Program Messaging Security Agent nie stosuje reguł zawartości oniższym priorytecie niż reguła dla kont znajdujących się na tej liście. 3. Kliknij przycisk Zakończ. Zmiana kolejności reguł Program MSA stosuje reguły filtrowania zawartości do wiadomości zgodnie z kolejnością przedstawioną na ekranie Filtrowanie zawartości. Istnieje możliwość określenia kolejności stosowania reguł. Program MSA filtruje wszystkie wiadomości zgodnie z każdą zreguł, dopóki naruszenie zawartości nie uruchomi operacji uniemożliwiającej dalsze skanowanie (na przykład Usuń lub Poddaj kwarantannie). Aby zoptymalizować filtrowanie zawartości, można zmienić kolejność reguł. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Filtrowanie zawartości > Aby zmienić kolejność reguł filtrowania zawartości: 1. Na ekranie Filtrowanie zawartości zaznacz pole wyboru odpowiadające regule, której kolejność chcesz zmienić. 2. Kliknij opcję Zmień kolejność. Wokół liczby wskazującej kolejność reguły zostanie wyświetlone pole. 3. Wpisz w polu liczbę oznaczającą nową kolejność reguły. Numer tej reguły zostanie zastąpiony przez wprowadzoną wartość, a numery wszystkich pozostałych reguł zmienią się odpowiednio. Na przykład wybranie reguły o numerze 5 i zmiana tego numeru na 3 spowoduje, że reguły o numerach 1 i 2 pozostaną bez zmian, natomiast numery pozostałych reguł, począwszy od numeru 3, zostaną zwiększone o

185 Konfigurowanie serwerów Microsoft Exchange Blokowanie załączników Funkcja Blokowanie załączników zapobiega dostarczaniu załączników w wiadomościach do magazynu informacji serwera Microsoft Exchange. Program Messaging Security Agent można skonfigurować tak, aby blokował załączniki według ich typu lub nazwy, a następnie zastąpił, poddał kwarantannie lub usunął wszystkie wiadomości, które zawierają załączniki spełniające określone kryteria. Blokowanie może mieć miejsce podczas skanowania w czasie rzeczywistym, ręcznego lub zaplanowanego, ale operacje usuwania i poddawania kwarantannie nie są dostępne podczas skanowania ręcznego i zaplanowanego. Rozszerzenie pliku załącznika pozwala określić jego typ, na przykład.txt,.exe lub.dll. Jednak program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Wiele wirusów/złośliwych programów jest ściśle powiązana z określonymi typami plików. Konfigurując program Messaging Security Agent tak, aby blokował pliki określonego typu, można zmniejszyć zagrożenie bezpieczeństwa serwerów Microsoft Exchange ze strony plików tego typu. Określone ataki są także często powiązane z określoną nazwą pliku. Wskazówka: Stosowanie blokowania to skuteczna metoda kontrolowania epidemii wirusów. Można tymczasowo poddać kwarantannie wszystkie typy plików o wysokim ryzyku albo o określonej nazwie, związanej ze znanym wirusem/złośliwym oprogramowaniem. W dogodnym momencie można sprawdzić folder kwarantanny i podjąć działania dotyczące zarażonych plików. Wybór elementów docelowych blokowania Blokuj załączniki, stosując dwie ogólne strategie: można zablokować wszystkie załączniki, a następnie wyłączyć blokowanie określonych załączników, bądź określić blokowanie wszystkich załączników. Wszystkie załączniki: Za pomocą programu Messaging Security Agent można blokować wszystkie wiadomości zawierające załączniki. Ten typ skanowania wymaga jednak znacznego przetwarzania. Należy uściślić ten typ skanowania, wybierając typy lub nazwy załączników do wykluczenia. 6-43

186 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Określone załączniki: Wybranie tego typu skanowania sprawia, że program Messaging Security Agent skanuje tylko wiadomości zawierające załączniki określone przez użytkownika. Ten typ skanowania jest bardzo zawężony i sprawdza się idealnie przy wykrywaniu wiadomości zzałącznikami, które prawdopodobnie zawierają zagrożenia. To skanowanie działa bardzo szybko, jeśli podana zostanie względnie mała liczba nazw lub typów załączników. Załączniki można blokować według następujących kryteriów: Nazwy załączników: Domyślnie program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Jeśli funkcja blokowania załączników zostanie ustawiona na skanowanie określonych nazw, program Messaging Security Agent będzie wykrywał typy załączników według ich nazw. Typ załącznika: Program Messaging Security Agent sprawdza nagłówek pliku zamiast jego nazwy, aby uzyskać pewność co do rzeczywistego typu pliku. Operacje blokowania załączników Program Messaging Security Agent można skonfigurować tak, aby podejmował działanie względem wiadomości zawierających wykryte zagrożenia. W poniższej tabeli przedstawiono listę operacji, które mogą być wykonywane przez program Messaging Security Agent. TABELA 6-12.Operacje blokowania załączników Operacja Zastąp tekstem/plikiem Poddaj całą wiadomość kwarantannie Poddaj część wiadomości kwarantannie Opis Program Messaging Security Agent usuwa załącznik i zastępuje go plikiem tekstowym. Wiadomość zostaje dostarczona do określonego odbiorcy, ale tekst zastępczy informuje o zarażeniu izastąpieniu oryginalnej zawartości. Wiadomość z załącznikiem zostaje przeniesiona do folderu z ograniczonym dostępem. Operacja ta jest niedostępna dla skanowania ręcznego lub zaplanowanego. Przeniesiona do folderu kwarantanny i poddana kwarantannie zostaje tylko filtrowana zawartość. Odbiorca otrzymuje wiadomość bez tej zawartości. 6-44

187 Konfigurowanie serwerów Microsoft Exchange TABELA 6-12.Operacje blokowania załączników Operacja Usuń całą wiadomość Opis Podczas skanowania w czasie rzeczywistym program Messaging Security Agent usuwa całą wiadomość . Konfigurowanie blokowania załączników Należy skonfigurować załączniki, które mają być blokowane, oraz określić operację dla zablokowanych wiadomości. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Blokowanie załączników RYSUNEK 6-5. Ekran Blokowanie załączników Aby zablokować załączniki: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Blokowanie załączników: Wszystkie załączniki Typy załączników do wykluczenia Nazwy załączników do wykluczenia 6-45

188 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Określone załączniki Typy załączników Nazwy załączników Blokuj typy lub nazwy załączników w plikach z rozszerzeniem ZIP 2. Zmień odpowiednio następujące opcje na karcie Operacja: Wybierz operację: Więcej informacji znajduje się w tabele Tabela 6-12 na str Powiadomienia: Skonfiguruj odbiorców powiadomienia o ograniczeniu. W razie potrzeby można wykluczyć zewnętrznych odbiorców lub nadawców. Ustawienia zastępowania: Skonfiguruj tekst i plik dla tekstu zastępczego. Jeśli wybrano operację Zastąp tekstem/plikiem, program Worry-Free Business Security Advanced będzie zastępował zagrożenie tym łańcuchem tekstowym iplikiem. 3. Kliknij przycisk Zapisz. Kwarantanna Kiedy program Messaging Security Agent wykryje zagrożenie, spam, ograniczone załączniki i/lub ograniczoną zawartość w wiadomościach , agent może przenieść wiadomość do folderu kwarantanny. Ten proces stanowi alternatywę usunięcia wiadomości/załącznika i uniemożliwia użytkownikom otwarcie zarażonej wiadomości i rozprzestrzenianie zagrożenia. Domyślny folder kwarantanny programu Message Security Agent to: C:\Program Files\Trend Micro\Messaging Security Client\ storage\quarantine Poddane kwarantannie pliki są szyfrowane w celu zwiększenia bezpieczeństwa. Aby otworzyć zarażony plik, należy użyć narzędzia Przywracanie zaszyfrowanych wirusów (VSEncode.exe). Dodatkowe informacje dotyczące przywracania plików zaszyfrowanych przez program MSA znajdują się wsekcji Przywracanie zaszyfrowanych wirusów na str Administratorzy mogą wysyłać zapytania do bazy danych kwarantanny w celu zebrania informacji o wiadomościach poddanych kwarantannie. Patrz Tworzenie zapytań dotyczących katalogów kwarantanny na str

189 Konfigurowanie serwerów Microsoft Exchange Funkcje kwarantanny umożliwiają: eliminację ryzyka trwałego usunięcia ważnych wiadomości, które zostały błędnie wykryte przez agresywne filtry; przeglądanie wiadomości , które wyzwalają akcje filtrów zawartości w celu określenia stopnia naruszenia polityki; zachowanie dowodów możliwego wykorzystywania systemu pocztowego firmy wniewłaściwy sposób przez pracowników. Uwaga: Nie należy mylić folderu kwarantanny z folderem spamu użytkownika końcowego. Folder kwarantanny to folder oparty na plikach. Gdy program Messaging Security Agent poddaje wiadomość kwarantannie, wysyła ją do folderu kwarantanny. Folder spamu użytkownika końcowego znajduje się w magazynie informacji skrzynki pocztowej każdego użytkownika. Do folderu spamu użytkownika końcowego dostarczane są tylko te wiadomości , które zostały odpowiednio zakwalifikowane w ramach operacji kwarantanny antyspamowej, a nie w wyniku reguł filtrowania zawartości, skanowania antywirusowego/anty-spyware lub blokowania załączników. Katalogi kwarantanny Program Messaging Security Agent poddaje kwarantannie wiadomości zgodnie ze skonfigurowanymi operacjami. Dla każdej operacji można utworzyć oddzielny folder kwarantanny. W programie Worry-Free Business Security Advanced istnieją cztery katalogi kwarantanny: Ochrona antywirusowa: Kwarantanna wiadomości zawierających wirusy, złośliwe oprogramowanie, spyware, grayware, robaki, trojany i inne złośliwe zagrożenia. Anty-spam: Kwarantanna poczty o charakterze spamu i stanowiącej zagrożenie typu phishing. Blokowanie załączników: Kwarantanna wiadomości zawierających ograniczone załączniki. Filtrowanie zawartości: Kwarantanna wiadomości zawierających ograniczoną zawartość. 6-47

190 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konfigurowanie katalogów kwarantanny Należy skonfigurować katalogi kwarantanny na serwerze Microsoft Exchange. Katalog kwarantanny zostanie wyłączony ze skanowania. Uwaga: Katalogi kwarantanny bazują na plikach i nie znajdują się w magazynie informacji. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Kwarantanna > Katalog RYSUNEK 6-6. Ekran Katalog kwarantanny Aby skonfigurować katalog kwarantanny 1. Na ekranie Katalog kwarantanny ustaw ścieżkę katalogu dla następujących folderów kwarantanny: Antywirus Anty-Spam 6-48

191 Konfigurowanie serwerów Microsoft Exchange Filtrowanie zawartości Blokowanie załączników Patrz Katalogi kwarantanny na str. 6-47, aby uzyskać więcej informacji. 2. Kliknij przycisk Zapisz. Tworzenie zapytań dotyczących katalogów kwarantanny Aby wyświetlić informacje o wiadomościach poddanych kwarantannie, należy utworzyć zapytanie dotyczące katalogów kwarantanny. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Kwarantanna > Zapytanie RYSUNEK 6-7. Ekran Zapytanie dotyczące kwarantanny 6-49

192 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby utworzyć zapytanie dotyczące katalogów kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Zapytanie dotyczące kwarantanny: Data/Przedział czasu Data i czas rozpoczęcia Data i czas zakończenia Powody poddawania kwarantannie Wszystkie powody Określone typy: Można wybrać następujące opcje: Skanowanie antywirusowe, Anty-spam, Filtrowanie zawartości, Blokowanie załączników i/lub Części wiadomości, których nie można przeskanować. Stan ponownego wysyłania Nigdy nie wysłane ponownie Przynajmniej raz wysłane ponownie Oba powyższe Kryteria zaawansowane Nadawca: Wiadomości od określonych nadawców. W razie potrzeby można użyć symboli wieloznacznych. Odbiorca: Wiadomości do określonych odbiorców. W razie potrzeby można użyć symboli wieloznacznych. Temat: Wiadomości z określonymi tematami. W razie potrzeby można użyć symboli wieloznacznych. Sortuj według: Umożliwia skonfigurowanie warunku sortowania strony wyników. Ekran: Liczba wyników na stronie. 2. Kliknij przycisk Wyszukaj. Patrz Wiadomości poddane kwarantannie na str. 6-51, aby uzyskać więcej informacji. 6-50

193 Konfigurowanie serwerów Microsoft Exchange Wiadomości poddane kwarantannie Po wykonaniu zapytania można wyświetlić szczegóły wiadomości i określić jej bezpieczeństwo. Jeśli wiadomość wydaje się być bezpieczna, można ponownie wysłać ją do pierwotnych odbiorców. W przeciwnym wypadku należy usunąć wiadomość. Informacje dotyczące wykonywania zapytań zawiera sekcja Tworzenie zapytań dotyczących katalogów kwarantanny na str OSTRZEŻENIE! Folder kwarantanny zawiera wiadomości cechujące się dużym ryzykiem zarażenia. W czasie obsługi wiadomości w folderze kwarantanny należy zachować ostrożność, aby przypadkowo nie zarazić komputera klienckiego. RYSUNEK 6-8. Ekran Wyniki zapytania dotyczącego kwarantanny Ekran Wyniki zapytania dotyczącego kwarantanny wyświetla następujące informacje o wiadomościach: Czas skanowania Nadawca Odbiorca 6-51

194 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Temat Przyczyna: Przyczyna, dla której wiadomość została poddana kwarantannie. Nazwa pliku: Nazwa zablokowanego pliku w wiadomości . Ścieżka kwarantanny: Położenie folderu kwarantanny wiadomości . Administrator może odszyfrować plik przy użyciu narzędzia VSEncoder.exe (Przywracanie zaszyfrowanych wirusów na str. 14-9) a następnie zmienić nazwę pliku na.eml, aby go wyświetlić. OSTRZEŻENIE! Wyświetlanie zarażonych plików może spowodować rozprzestrzenienie infekcji. Stan ponownego wysyłania Aby ponownie wysłać wiadomość poddaną kwarantannie: Na ekranie Wyniki zapytania dotyczącego kwarantanny wybierz wiadomość i kliknij ikonę. Wiadomość jest ponownie wysyłana do pierwotnego odbiorcy. Uwaga: Jeżeli poddane kwarantannie wiadomości, które zostały wysłane z wykorzystaniem programu Microsoft Outlook, są wysyłane ponownie, odbiorca może otrzymać wiele kopii tej samej wiadomości. Taka sytuacja może być spowodowana rozkładaniem przez silnik skanowania w poszukiwaniu wirusów każdej skanowanej wiadomości na klika sekcji. Aby usunąć wiadomość poddaną kwarantannie: Wybierz wiadomość i kliknij ikonę. Wskazówka: Skonfiguruj program Worry-Free Business Security Advanced, aby okresowo usuwał wiadomości poddane kwarantannie. Patrz Obsługa katalogów kwarantanny na str. 6-53, aby uzyskać więcej informacji. 6-52

195 Konfigurowanie serwerów Microsoft Exchange Obsługa katalogów kwarantanny Za pomocą tej funkcji można ręcznie lub automatycznie usuwać wiadomości poddane kwarantannie. Ta funkcja pozwala usuwać wszystkie wiadomości, ponownie wysłane wiadomości lub wiadomości, które nie zostały ponownie wysłane. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Kwarantanna > Obsługa RYSUNEK 6-9. Ekran Obsługa kwarantanny Aby obsługiwać katalogi kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Obsługa kwarantanny: Włącz automatyczną obsługę: Dostępne tylko dla obsługi automatycznej: Pliki do usunięcia Wszystkie pliki poddane kwarantannie Pliki poddane kwarantannie, które nigdy nie zostały wysłane ponownie Pliki poddane kwarantannie, które przynajmniej raz zostały ponownie wysłane Akcja: Liczba dni przechowywania wiadomości. Na przykład, jeśli bieżąca data to 21 listopada, a w polu Usuń pliki starsze niż wpisano wartość 10, to podczas wykonywania zadania automatycznego usuwania program Messaging Security Agent usunie wszystkie pliki sprzed 11 listopada. 2. Kliknij przycisk Zapisz. 6-53

196 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Zarządzanie narzędziem End User Quarantine Podczas instalacji program Messaging Security Agent dodaje na serwerze folder przeznaczony na spam do skrzynki pocztowej każdego użytkownika. Po otrzymaniu wiadomości sklasyfikowanych jako spam system poddaje je kwarantannie w tym folderze, zgodnie z regułami filtra spamu, wstępnie zdefiniowanymi przez program Messaging Security Agent. Użytkownicy końcowi mogą wyświetlić ten folder spamu, aby otworzyć, przeczytać lub usunąć podejrzane wiadomości . Patrz sekcja Konfigurowanie folderu spamu na str Użytkownicy końcowi mogą otwierać wiadomości , które zostały poddane kwarantannie w folderze spamu. Po otwarciu jednej z takich wiadomości w oknie wiadomości wyświetlane są dwa przyciski: Dozwolony nadawca oraz Wyświetl listę dozwolonych nadawców. Kliknięcie pozycji Dozwolony nadawca powoduje przesunięcie przez program Messaging Security Agent wiadomości od tego użytkownika do skrzynek odbiorczych i dodanie adresów wiadomości do listy dozwolonych nadawców. Kliknięcie opcji Wyświetl listę dozwolonych nadawców powoduje wyświetlenie ekranu, na którym użytkownik końcowy może wyświetlić i zmodyfikować swoją listę dozwolonych nadawców według adresu serwera SMTP poczty lub domeny. Kiedy serwer Microsoft Exchange odbierze wiadomości wysłane z adresów znajdujących się na liście dozwolonych nadawców użytkownika końcowego, dostarczy je do skrzynki odbiorczej tego użytkownika, niezależnie od nagłówka i zawartości wiadomości. Uwaga: Program Worry-Free Business Security Advanced zawiera też listy dozwolonych i zablokowanych nadawców utworzone przez administratora. Program Messaging Security Agent stosuje listy nadawców dozwolonych i zablokowanych przez administratora przed sprawdzeniem listy użytkownika końcowego. Funkcja porządkowania narzędzia End User Quarantine Funkcja porządkowania programu Messaging Security Agent realizuje następujące zadania co 24 godziny domyślnie o godzinie 2:30 rano: Automatycznie usuwa przeterminowane wiadomości o charakterze spamu. Na nowo tworzy folder spamu, jeśli został on usunięty. Tworzy foldery spamu dla nowo tworzonych kont pocztowych. Obsługuje reguły wiadomości

197 Konfigurowanie serwerów Microsoft Exchange Funkcja porządkowania stanowi integralną część programu Messaging Security Agent i nie wymaga konfigurowania. Konfigurowanie folderu spamu Otwórz ekran Obsługa wiadomości typu spam, klikając kolejno opcje Operacje > Obsługa wiadomości typu spam. Ponieważ program Messaging Security Agent identyfikuje folder według jego identyfikatora, a nie nazwy, użytkownicy końcowi mogą zmienić nazwę folderu spamu za pomocą programu Microsoft Outlook bez konsekwencji. Za pomocą tego ekranu można skonfigurować następujące funkcje: Wyłączanie narzędzia End User Quarantine Usuń zaznaczenie pola wyboru Włącz narzędzie End User Quarantine, aby wyłączyć narzędzie End User Quarantine dla wszystkich skrzynek pocztowych. Wyłączanie narzędzia End User Quarantine dla jednego lub kilku użytkowników Spowoduje to wyłączenie narzędzia End User Quarantine dla wszystkich użytkowników dodanych do listy Lista wyjątków narzędzia End User Quarantine. Tworzenie nowego folderu spamu Umożliwia utworzenie nowego folderu spamu dla każdego nowego użytkownika dodanego do serwera Microsoft Exchange, na którym zainstalowano narzędzie End User Quarantine. Modyfikowanie liczby dni przechowywania wiadomości typu spam przez program Messaging Security Agent Więcej informacji na temat narzędzia End User Quarantine zawiera sekcja Operacje na str Aby utworzyć folder spamu: 1. Kliknij kolejno opcje Operacje > Obsługa wiadomości typu spam. 2. Zaznacz pole wyboru Włącz narzędzie End User Quarantine. 3. Kliknij opcję Utwórz folder wiadomości typu spam i usuń te wiadomości. 4. Kliknij przycisk Zapisz. 6-55

198 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby zresetować limit czasu przechowywania: 1. Kliknij kolejno opcje Operacje > Obsługa wiadomości typu spam. 2. W polu obok pozycji Usuń wiadomości typu spam starsze niż: wpisz liczbę dni przechowywania wiadomości typu spam przez program Messaging Security Agent (wartość domyślna to 14 dni, a maksymalny limit to 30 dni). 3. Kliknij przycisk Zapisz. Aby wyłączyć folder spamu narzędzia EUQ danego użytkownika: 1. Kliknij kolejno opcje Operacje > Obsługa wiadomości typu spam. 2. W obszarze Lista wyjątków narzędzia End User Quarantine wpisz adres użytkownika, dla którego chcesz wyłączyć narzędzie EUQ. 3. Kliknij przycisk Dodaj. Adres użytkownika końcowego zostanie dodany do listy adresów z wyłączonym narzędziem End User Quarantine. 4. Aby usunąć użytkownika końcowego z listy i przywrócić usługę EUQ, zaznacz adres tego użytkownika na liście i kliknij przycisk Usuń. 5. Kliknij przycisk Zapisz. Operacje Program Messaging Security Agent podczas instalacji dodaje na serwerze folder o nazwie Spam do skrzynki pocztowej każdego użytkownika. Po otrzymaniu wiadomości sklasyfikowanych jako spam, system poddaje je kwarantannie w tym folderze, zgodnie z regułami filtra spamu, wstępnie zdefiniowanymi przez program Messaging Security Agent. Użytkownicy końcowi mogą wyświetlić ten folder spamu, aby otworzyć, przeczytać lub usunąć podejrzane wiadomości . Administratorzy mogą także utworzyć folder spamu na serwerze Microsoft Exchange. Kiedy administrator tworzy konto skrzynki pocztowej, obiekt skrzynki pocztowej nie jest tworzony na serwerze Microsoft Exchange natychmiast, a dopiero po spełnieniu następujących warunków: Użytkownik końcowy pierwszy raz loguje się na konto poczty Na konto poczty dostarczona zostanie pierwsza wiadomość 6-56

199 Konfigurowanie serwerów Microsoft Exchange Administrator musi utworzyć obiekt skrzynki pocztowej, zanim narzędzie End User Quarantine będzie mogło utworzyć folder spamu. Użytkownicy końcowi mogą otwierać wiadomości , które zostały poddane kwarantannie w folderze spamu. Po otwarciu jednej z takich wiadomości w oknie wiadomości wyświetlane są dwa przyciski: Zatwierdź nadawcę oraz Wyświetl listę dozwolonych nadawców. Po kliknięciu przycisku Zatwierdź nadawcę program Messaging Security Agent przeniesie wiadomość od tego nadawcy do lokalnego folderu spamu, doda adres wiadomości do osobistej listy dozwolonych nadawców i umieści w dzienniku wpis dotyczący zdarzenia (administrator będzie mógł później sprawdzić ten dziennik). Kliknięcie opcji Wyświetl listę dozwolonych nadawców spowoduje wyświetlenie ekranu, na którym użytkownik końcowy może przejrzeć i zmodyfikować swoją listę dozwolonych nadawców według nazwy, adresu serwera SMTP poczty lub domeny. Kiedy serwer Microsoft Exchange odbierze wiadomości wysłane z adresów znajdujących się na liście dozwolonych nadawców użytkownika końcowego, dostarczy je do skrzynki odbiorczej tego użytkownika, niezależnie od nagłówka i zawartości wiadomości. Ustawienia powiadamiania Program Worry-Free Business Security Advanced może wysyłać różne powiadomienia dotyczące ostrzeżeń w postaci wiadomości . Niektóre powiadomienia można skonfigurować w celu stosowania tylko do wewnętrznych wiadomości . Należy zdefiniować adresy lub domeny, które mają być traktowane jako adresy wewnętrzne. Niestandardowe definicje poczty wewnętrznej są przydatne, jeśli firma używa dwóch lub więcej domen i chce traktować wiadomości z obydwu domen jako pocztę wewnętrzną (na przykład: przyklad.com i przyklad.net). Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Operacje > Ustawienia powiadamiania 6-57

200 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Ekran Ustawienia powiadamiania Aby skonfigurować ustawienia powiadamiania: 1. Zmień odpowiednio następujące ustawienia na ekranie Ustawienia powiadamiania: Adres . Adres osoby, w imieniu której program Worry-Free Business Security Advanced będzie wysyłać powiadomienia. Definicja poczty wewnętrznej Domyślne: Program Worry-Free Business Security Advanced będzie traktować wiadomości z tej samej domeny jako pocztę wewnętrzną. Niestandardowa: Określ adresy lub domeny, z których wiadomości mają być traktowane jako poczta wewnętrzna. 2. Kliknij przycisk Zapisz. 6-58

201 Konfigurowanie serwerów Microsoft Exchange Obsługa wiadomości typu spam Na ekranie Obsługa wiadomości typu spam wyświetlana jest nazwa folderu spamu oraz liczba dni przechowywania wiadomości typu spam przez narzędzie End User Quarantine (EUQ). Użytkownicy końcowi mogą zmienić nazwę folderu spamu za pomocą programu Microsoft Outlook. Program Worry-Free Business Security identyfikuje ten folder według jego identyfikatora, a nie nazwy. Uwaga: Program EUQ oraz ekran Obsługa wiadomości typu spam są dostępne tylko w przypadku serwerów Microsoft Exchange 2000 i Ponadto, jeżeli użytkownicy w trakcie instalacji wybrali folder Wiadomości-śmieci zamiast programu EUQ, ekran Obsługa wiadomości typu spam nie będzie wyświetalny w konsoli internetowej. W przypadku braku programu EUQ, wykryty spam będzie przenoszony do folderu Wiadomości-śmieci. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Operacje > Obsługa wiadomości typu spam RYSUNEK Ekran Obsługa wiadomości typu spam 6-59

202 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby zarządzać wiadomościami typu spam: 1. Zmień odpowiednio następujące ustawienia na ekranie Obsługa wiadomości typu spam: Włącz narzędzie End User Quarantine: Instaluje narzędzie End User Quarantine dla wszystkich skrzynek pocztowych znajdujących się na serwerze Exchange. Wskazówka: W przypadku wybrania tej opcji firma Trend Micro zaleca wyłączenie paska Trend Micro Anti-Spam w agentach w celu zwiększenia wydajności klientów. Patrz część Skanowanie poczty POP3 na str Uwaga: Aby używać operacji Anty-spam > poddaj wiadomość kwarantannie w folderze wiadomości typu spam użytkownika, należy włączyć narzędzie EUQ. Utwórz folder wiadomości typu spam i usuń te wiadomości: Tworzy nowy folder spamu dla każdego nowego użytkownika dodanego na serwerze Exchange, na którym zostało zainstalowane narzędzie kwarantanny użytkownika końcowego. Kliknięcie opcji Utwórz folder wiadomości typu spam i usuń te wiadomości spowoduje natychmiastowe utworzenie folderu spamu dla nowego użytkownika. Usuń wiadomości typu spam starsze niż: Określ liczbę dni przechowywania wiadomości typu spam przed ich usunięciem. Lista wyjątków narzędzia End User Quarantine: Dla adresów na tej liście funkcja End User Quarantine jest wyłączona. Aby dodać nowy adres , wpisz ten adres i kliknij przycisk Dodaj. Aby usunąć istniejący adres , zaznacz go i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. 6-60

203 Konfigurowanie serwerów Microsoft Exchange Pomoc techniczna firmy Trend Micro/Diagnostyka Konsola diagnostyczna programu Messaging Security Agent może ułatwiać diagnostykę systemu lub jedynie raportować stan procesów programu Messaging Security Agent. Jeśli wystąpią nieoczekiwane trudności, można skorzystać z konsoli diagnostycznej, aby utworzyć raporty diagnostyczne i wysłać je do analizy do działu pomocy technicznej firmy Trend Micro. Każdy moduł programu Messaging Security wyświetla komunikaty w programie, anastępnie zapisuje działania w plikach dzienników po ich wykonaniu. Dzienniki te można przekazywać do zespołu pomocy technicznej firmy Trend Micro w celu przeprowadzenia diagnostyki działania programu w środowisku użytkownika. Za pomocą konsoli diagnostycznej można utworzyć dzienniki dla następujących modułów: Messaging Security Agent Usługa Master Messaging Security Agent Serwer zdalnej konfiguracji Messaging Security Agent Monitor systemu Funkcja API skanowania antywirusowego (VSAPI) Protokół SMTP (Simple Mail Transfer Protocol) Interfejs CGI (Common Gateway Interface) Domyślnie program Messaging Security Agent przechowuje dzienniki wnastępującym katalogu: c:\program Files\Trend Micro\Messaging Security Agent\Debug Dane wyjściowe można przeglądać w dowolnym edytorze tekstu. Generowanie raportów diagnostycznych Generowanie raportów diagnostycznych ułatwia pomocy technicznej firmy Trend Micro rozwiązanie problemu. Aby wygenerować raporty za pomocą modułu diagnostycznego: Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz serwer Microsoft Exchange > Konfiguruj > Operacje > Pomoc techniczna firmy Trend Micro/Diagnostyka 6-61

204 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Ekran Pomoc techniczna firmy Trend Micro/Diagnostyka 1. Na ekranie Pomoc techniczna firmy Trend Micro/Diagnostyka wybierz moduły do monitorowania: Messaging Security Agent Usługa Master Messaging Security Agent Serwer zdalnej konfiguracji Messaging Security Agent Monitor systemu Funkcja API skanowania antywirusowego (VSAPI) Protokół SMTP (Simple Mail Transfer Protocol) Interfejs CGI (Common Gateway Interface) Więcej informacji na temat poszczególnych modułów zawiera sekcja Pomoc techniczna firmy Trend Micro/Diagnostyka na str Kliknij przycisk Zastosuj. Konsola diagnostyczna rozpocznie gromadzenie danych dla wybranych modułów. Uwaga: Konsola diagnostyczna programu Messaging Security Agent będzie nadal gromadziła dane diagnostyczne aż do momentu, kiedy użytkownik usunie zaznaczenie wszystkich pozycji wybranych do diagnostyki i kliknie przycisk Zastosuj. 6-62

205 Rozdział 7 Korzystanie z funkcji Ochrona przed epidemią W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci i klientów. Rozdział obejmuje następujące zagadnienia: Strategia ochrony przed epidemią na str. 7-2 Bieżący stan na str. 7-3 Potencjalne zagrożenie na str. 7-9 Konfigurowanie funkcji Ochrona przed epidemią na str

206 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Strategia ochrony przed epidemią Funkcja ochrony przed epidemią jest kluczowym składnikiem rozwiązania Worry-Free Business Security Advanced i służy zabezpieczeniu firmy przed światową epidemią zagrożeń. Strategia ochrony przed epidemią opiera się na założeniu, że epidemie internetowe mają podobny przebieg. Przeciwdziałanie epidemii dzieli się na trzy etapy zapobieganie zagrożeniom, ochrona przed zagrożeniami i czyszczenie zagrożeń. Firma Trend Micro zwalcza każdy etap epidemii za pomocą strategii obrony o nazwie Ochrona przed epidemią. TABELA 7-1. Odpowiedź funkcji Ochrona przed epidemią na etapy epidemii Etap epidemii W pierwszym etapie rozwoju epidemii specjaliści w firmie TrendLabs obserwują zagrożenie, które aktywnie rozprzestrzenia się w Internecie. W tym momencie nie ma znanego rozwiązania dla tego zagrożenia. W następnym etapie epidemii, komputery, które uległy zagrożeniu, przekazują je innym komputerom. Zagrożenie zaczyna się szybko rozprzestrzeniać przez sieci lokalne, powodując zakłócenia wdziałalności firm i uszkadzając komputery. W końcowym etapie epidemii zagrożenie zanika, notuje się coraz mniej przypadków. Etap funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Funkcja Ochrona przed epidemią powstrzymuje zagrożenie zaatakowania komputerów i sieci poprzez podejmowanie operacji zgodnych z regułami ochrony przed epidemią pobranymi z serwerów aktualizacji firmy Trend Micro. Te operacje polegają na wysyłaniu raportów, blokowaniu portów i dostępu do folderów iplików. Ochrona przed zagrożeniami Funkcja Ochrona przed epidemią chroni zagrożone komputery, powiadamiając je o konieczności pobrania najnowszych składników i poprawek. Usuwanie zagrożeń Funkcja Ochrona przed epidemią naprawia uszkodzenia, uruchamiając usługi Damage Cleanup. Inne operacje skanowania dostarczają informacje, które administratorzy mogą wykorzystać w celu przygotowania się do przyszłych zagrożeń. 7-2

207 Korzystanie z funkcji Ochrona przed epidemią Operacje funkcji Ochrona przed epidemią Strategia ochrony przed epidemią pozwala zarządzać epidemiami na każdym etapie ich przebiegu. W oparciu o reguły zapobiegania epidemii, funkcja automatycznej odpowiedzi na zagrożenie zazwyczaj podejmuje kroki zapobiegawcze, takie jak: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy/złośliwe oprogramowanie plików w folderach udostępnionych; Blokowanie plików z określonymi rozszerzeniami na serwerze Microsoft Exchange Dodawanie reguł filtrowania zawartości do programu Messaging Security Agent Blokowanie portów w celu powstrzymania wirusów/złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do rozprzestrzeniania infekcji w sieci i na komputerach klienckich; Uwaga: Funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. Zablokowanie możliwości zapisu plików i folderów w celu zapobieżenia modyfikacji plików przez wirusy/złośliwe oprogramowanie Ocenianie zagrożenia komputerów klienckich rozwijającą się epidemią w sieci firmowej. Wdrażanie najnowszych wersji składników, takich jak plik sygnatur wirusów i silnik czyszczenia wirusów Przeprowadzanie czyszczenie na wszystkich komputerach klienckich, które uległy epidemii. Po włączeniu skanuje komputery klienckie oraz sieci i podejmuje operacje przeciwko wykrytym zagrożeniom. Bieżący stan Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan Konsola internetowa śledzi stan zagrożenia epidemiami wirusów/złośliwego oprogramowania na całym świecie i wyświetla na ten temat informacje na ekranie Bieżący stan. Stan w przybliżeniu odpowiada etapom rozwoju epidemii. 7-3

208 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Podczas zagrożenia epidemią funkcja Ochrona przed epidemią stosuje strategię ochrony przed epidemią w celu zabezpieczenia komputerów i sieci. Na każdym etapie odświeża informacje na stronie Bieżący stan. Trzy etapy funkcji Ochrona przed epidemią: Zapobieganie zagrożeniom Ochrona przed zagrożeniami Czyszczenie zagrożeń RYSUNEK 7-1. Ekran Ochrona przed epidemią brak zagrożenia 7-4

209 Korzystanie z funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Na etapie zapobiegania zagrożeniom, na ekranie bieżącego stanu wyświetlane są informacje o ostatnich zagrożeniach, komputerach klienckich, które mają włączone ostrzeżenia oraz komputerach narażonych na bieżące zagrożenie. RYSUNEK 7-2. Ekran Ochrona przed epidemią etap zapobiegania zagrożeniom 7-5

210 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Informacje o zagrożeniu W sekcji Informacje o zagrożeniu wyświetlane są informacje o aktualnie występujących w Internecie wirusach/złośliwym oprogramowaniu, które stwarzają potencjalne zagrożenie dla sieci i klientów. Opierając się na informacjach o zagrożeniu, reguły ochrony przed epidemią podejmują odpowiednie kroki, aby zabezpieczyć sieć i klientów, podczas gdy w laboratoriach firmy Trend Micro opracowywane jest rozwiązanie problemu. (Patrz Reguły ochrony przed epidemią firmy Trend Micro na str. C-2). Więcej informacji o zagrożeniu można uzyskać w witrynie internetowej firmy Trend Micro, klikając kolejno łącza Pomoc > Informacje o zagrożeniach. W niniejszej sekcji znajdują się informacje związane z następującymi tematami: Poziom ryzyka: Poziom ryzyka, które niesie ze sobą zagrożenie, określony na podstawie liczby i poziomu zagrożenia wirusów i złośliwego oprogramowania. Szczegóły automatycznej odpowiedzi: Należy kliknąć, aby wyświetlić określone działania podejmowane w ramach reguł ochrony przed epidemią w celu zabezpieczenia komputerów klienckich przed bieżącym zagrożeniem. Aby wyłączyć funkcję Automatyczna odpowiedź po stronie serwera i agentów, należy kliknąć pozycję Wyłącz. Uwaga: Po wyłączeniu funkcji Ochrona przed epidemią firma Trend Micro zaleca uruchomienie funkcji Wyczyść teraz, aby ułatwić klientom usunięcie trojanów oraz jakichkolwiek aktywnych procesów związanych z trojanami i innymi typami złośliwego kodu. (Patrz Komputery do wyczyszczenia na str. 7-11). Stan ostrzeżenia komputerów w trybie online W sekcji Stan ostrzeżenia komputerów w trybie online wyświetlana jest liczba klientów, na których funkcja automatycznego ostrzegania jest włączona lub wyłączona. Kliknij łącze z numerem w kolumnach Włączone i Wyłączone, aby uzyskać szczegółowe informacje o określonych klientach. Komputery narażone na atak W sekcji Komputery narażone na atak wyświetlana jest lista klientów podatnych na zagrożenia wyświetlone w sekcji Informacje o zagrożeniach. 7-6

211 Korzystanie z funkcji Ochrona przed epidemią Ochrona przed zagrożeniami Na etapie ochrony przed zagrożeniami na ekranie Bieżący stan wyświetlane są informacje o stanie pobierania rozwiązania w odniesieniu do składników aktualizacji firmy Trend Micro oraz o stanie instalowania rozwiązania w odniesieniu do wszystkich agentów. RYSUNEK 7-3. Ekran Ochrona przed epidemią etap ochrony Stan pobierania rozwiązania W tej sekcji wyświetlana jest lista składników, które należy zaktualizować w odpowiedzi na listę zagrożeń wyświetloną w sekcji Informacje o zagrożeniu. Stan instalacji rozwiązania Wyświetlana jest także liczba agentów, na których są zainstalowane aktualne oraz nieaktualne składniki. Dostępne są także łącza służące do wyświetlenia klientów z aktualnymi lub nieaktualnymi składnikami. 7-7

212 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Usuwanie zagrożeń Na etapie czyszczenia zagrożeń na ekranie Bieżący stan wyświetlany jest stan skanowania, które odbywa się po wdrożeniu zaktualizowanych składników. Na tym etapie wyświetlany jest także stan komputerów klienckich po skanowaniu oraz lista zawierająca informacje na temat tego, czy zaktualizowane składniki pomyślnie wyczyściły lub usunęły pozostałości po zagrożeniach. RYSUNEK 7-4. Ekran Ochrona przed epidemią etap czyszczenia Uwaga: Aby skanowanie odbywało się automatycznie po wdrożeniu nowych składników, musi ono zostać włączone na ekranie Ochrona przed epidemią > Ustawienia. 7-8

213 Korzystanie z funkcji Ochrona przed epidemią Stan skanowania komputerów dla Klikając odpowiednie łącza, wyświetl listę komputerów klienckich, które otrzymały powiadomienie o skanowaniu pod kątem zagrożeń, oraz listę komputerów klienckich, które takiego powiadomienia nie otrzymały. Komputery klienckie, które nie są włączone lub zostały odłączone od sieci nie mogą otrzymywać powiadomień. Stan czyszczenia komputerów dla W tym panelu wyświetlane są wyniki skanowania czyszczącego. Należy kliknąć przycisk Eksportuj, aby wyeksportować te informacje. Potencjalne zagrożenie Ścieżka nawigacji: Ochrona przed epidemią > Potencjalne zagrożenie Ekran Potencjalne zagrożenie przedstawia informacje dotyczące zagrożeń bezpieczeństwa komputerów klienckich i sieci. Program Security Server zbiera informacje o zagrożeniach za pomocą funkcji oceny narażenia na atak i usługi Damage Cleanup. RYSUNEK 7-5. Ekran Potencjalne zagrożenie 7-9

214 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora W przeciwieństwie do ekranu Aktualne zagrożenie, na którym wyświetlane są informacje tylko o aktualnym zagrożeniu, ekran Potencjalne zagrożenie przedstawia informacje dotyczące wszystkich zagrożeń bezpieczeństwa komputerów klienckich i sieci, które nie zostały jeszcze usunięte. Komputery narażone na atak Komputer narażony na atak ma luki w zabezpieczeniach systemu operacyjnego lub aplikacji. Wiele zagrożeń wykorzystuje te luki, aby powodować szkody lub zdobyć nieuprawnioną kontrolę. A zatem luki w zabezpieczeniach stanowią ryzyko nie tylko dla komputera, na którym występują, ale również dla innych komputerów w sieci. Sekcja Komputery narażone na atak zawiera listę wszystkich komputerów klienckich w sieci, które zawierają luki w zabezpieczeniach odkryte od ostatniej oceny narażenia na atak. W prawym górnym rogu ekranu można sprawdzić czas ostatniej aktualizacji. Ekran Potencjalne zagrożenie przedstawia listę komputerów klienckich według poziomu ryzyka, jaki stanowią one w sieci. Poziom ryzyka jest obliczany przez firmę Trend Micro i oznacza liczbę względną i poziom zagrożenia związanego z lukami w zabezpieczeniach dla każdego komputera klienckiego. Po kliknięciu opcji Skanuj teraz w poszukiwaniu miejsc narażonych na atak program Worry-Free Business Security Advanced uruchomi funkcję Ocena narażenia na atak. Funkcja Ocena narażenia na atak sprawdza wszystkie komputery klienckie w sieci pod kątem narażenia na atak i wyświetla wyniki na ekranie Potencjalne zagrożenie. Funkcja Ocena narażenia na atak może dostarczyć następujących informacji na temat komputerów klienckich w sieci: Zidentyfikowanie luk w zabezpieczeniach, zgodnie ze standardową konwencją nazewnictwa. Dodatkowe informacje o luce w zabezpieczeniach i sposobie jej usuwania można uzyskać po kliknięciu jej nazwy. Wyświetlanie luk w zabezpieczeniach według komputera klienckiego i adresu IP. Wyniki zawierają poziom zagrożenia, jaki luka w zabezpieczeniach stwarza dla komputera klienckiego i całej sieci. Zgłaszanie luk w zabezpieczeniach. Zgłaszanie luk w zabezpieczeniach według poszczególnych komputerów klienckich i opisanie zagrożeń bezpieczeństwa, jakie te komputery klienckie stwarzają dla całej sieci. 7-10

215 Korzystanie z funkcji Ochrona przed epidemią W celu uzyskania dodatkowych informacji patrz Ocena narażenia na atak firmy Trend Micro na str. C-4. Komputery do wyczyszczenia Funkcja czyszczenia działa w tle w czasie skanowania agentów w poszukiwaniu wirusów. Nie jest konieczne ustawianie zaplanowanych operacji skanowania czyszczenia. Programy Client/Server Security Agent korzystają z funkcji czyszczenia do ochrony klientów przed trojanami. W celu usunięcia zagrożeń i niedogodności stwarzanych przez trojany i inne wirusy/złośliwe oprogramowanie, usługa Czyszczenie wykonuje następujące operacje: Wykrywa i usuwa aktywne trojany oraz inne wirusy/złośliwe aplikacje. Przerywa procesy tworzone przez trojany i inne wirusy/złośliwe aplikacje. Naprawia pliki systemowe, zmodyfikowane przez trojany i inne wirusy/złośliwe aplikacje. Usuwa pliki i aplikacje tworzone przez trojany i inne wirusy/złośliwe aplikacje. Do wykonywania tych zadań usługa Damage Cleanup wykorzystuje następujące elementy: Silnik czyszczenia wirusów: Służy do wykrywania i usuwania trojanów oraz ich procesów, robaków i spyware/grayware. Sygnatura czyszczenia wirusów: Używana przez silnik czyszczenia wirusów. Szablon ten pomaga w identyfikowaniu plików i procesów trojanów, robaków oraz spyware/grayware, umożliwiając ich eliminowanie przez silnik czyszczenia wirusów. W następujących sytuacjach na komputerach klienckich uruchamiane jest czyszczenie: Użytkownicy wykonują ręczne czyszczenie z poziomu agenta. Administratorzy uruchamiają funkcję Wyczyść teraz na klientach z poziomu konsoli internetowej. Użytkownicy uruchamiają skanowanie ręczne lub czyszczenie. Po zainstalowaniu pakietu hot fix lub poprawki. Po uruchomieniu programu Security Server. 7-11

216 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ponieważ usługa Damage Cleanup działa automatycznie, nie trzeba jej konfigurować. Użytkownicy nawet nie są świadomi jej działania, bowiem jest ona uruchamiana w tle (gdy agenci są uruchomieni). Program Security Server może jednak czasami powiadomić użytkownika o konieczności ponownego uruchomienia komputera klienckiego w celu zakończenia czyszczenia. Więcej informacji dotyczących sposobu działania usług Damage Cleanup Services znajduje się w sekcji Usługi Trend Micro Damage Cleanup Services na str. C-2. Konfigurowanie funkcji Ochrona przed epidemią Na ekranie Ustawienia można skonfigurować funkcje Ochrona przed epidemią i Ocena narażenia na atak. Ustawienia funkcji Ochrona przed epidemią Program Worry-Free Business Security Advanced uruchamia funkcję Ochrona przed epidemią w odpowiedzi na instrukcje, które otrzymuje w formie reguł ochrony przed epidemią. Reguły ochrony przed epidemią firmy Trend Micro są opracowywane i udostępnianie przez firmę Trend Micro, aby zapewnić optymalną ochronę komputerom klienckim i sieci w warunkach epidemii. Firma Trend Micro udostępnia reguły ochrony przed epidemią, kiedy zauważy częste i poważne incydenty związane z wirusami/złośliwym oprogramowaniem, które aktywnie rozprzestrzeniają się w Internecie. Domyślnie program Security Server pobiera reguły ochrony przed epidemią z serwera Trend Micro ActiveUpdate co 30 minut albo przy każdym uruchomieniu programu Security Server. Podczas działania funkcji Ochrona przed epidemią program Security Server stosuje reguły ochrony przed epidemią i podejmuje działania dla ochrony swoich komputerów klienckich i sieci. W takim przypadku działanie normalnych funkcji sieci będzie zakłócane przez czynności takie jak zablokowane porty czy niedostępność katalogów. Za pomocą opcji Ustawienia ochrony przed epidemią można dostosować funkcję Ochrona przed epidemią dla komputerów klienckich i sieci, unikając w ten sposób nieoczekiwanych konsekwencji wynikających z zastosowania reguł podczas działania funkcji Ochrona przed epidemią. 7-12

217 Korzystanie z funkcji Ochrona przed epidemią Czerwone alarmy Wiele jednostek biznesowych doniosło o szybkim rozprzestrzenianiu się wirusa/złośliwego oprogramowania. W tej sytuacji firma Trend Micro uruchamia rozwiązanie 45-minutowego czerwonego alarmu, którego elementami jest wydanie rozwiązań zapobiegawczych i sygnatur skanowania oraz wysyłanie odpowiednich powiadomień. Firma Trend Micro może również rozsyłać narzędzia naprawiania oraz informacje dotyczące luk w zabezpieczeniach oraz zagrożeń. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. W przypadku rozprzestrzeniania się wirusów/złośliwych programów za pośrednictwem poczty zostają wysłane reguły filtrowania zawartości (tzw. reguły ochrony przed epidemią), które automatycznie blokują pokrewne załączniki na serwerach wyposażonych w funkcję produktu. Zalecane ustawienia funkcji Ochrona przed epidemią Poniższe ustawienia umożliwiają uzyskanie optymalnej ochrony: TABELA 7-2. Zalecane ustawienia funkcji Ochrona przed epidemią Ustawienie Włącz funkcję Automatyczna ochrona przed epidemią w przypadku ogłoszenia czerwonego alarmu przez firmę Trend Micro Wyłącz czerwone alarmy po Wyłącz czerwone alarmy po zainstalowaniu wymaganych składników Automatyczne skanowanie komputera/serwera Automatyczne skanowanie serwera Microsoft Exchange: Zalecana wartość Włączone 2 dni Włączone Włączone Włączone 7-13

218 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 7-2. Zalecane ustawienia funkcji Ochrona przed epidemią Włącz funkcję Automatycznej ochrony przed epidemią w przypadku ogłoszenia żółtego alarmu przez firmę Trend Micro Wyłącz żółte alarmy po Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika. Automatyczne skanowanie komputera/serwera Automatyczne skanowanie serwera Microsoft Exchange: Wyjątki Ustawienie Ustawienia zaplanowanego pobierania reguł Wyłączone ND ND ND Włączone Włączone Zalecana wartość Podczas działania automatycznej odpowiedzi ochrony przed epidemią poniższe usługi nie zostaną zablokowane: DNS NetBios HTTPS (bezpieczny serwer sieci Web) HTTP (serwer sieci Web) Telnet SMTP (Simple Mail Transport Protocol) FTP (File Transfer Protocol) Poczta internetowa (POP3) Częstotliwość: Co 30 minut Źródło: Serwer Trend Micro ActiveUpdate 7-14

219 Korzystanie z funkcji Ochrona przed epidemią Konfigurowanie funkcji Ochrona przed epidemią Uwaga: Firma Trend Micro stworzyła ustawienia domyślne funkcji Ochrona przed epidemią, aby zapewnić optymalną ochronę komputerów klienckich i sieci. Przed dostosowaniem ustawień funkcji Ochrona przed epidemią należy uważnie sprawdzić te ustawienia i modyfikować je tylko wówczas, gdy znane są konsekwencje zmian. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 7-6. Karta Ochrona przed epidemią na ekranie Ustawienia Ochrony przed epidemią 7-15

220 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby skonfigurować ustawienia funkcji Ochrona przed epidemią: 1. Zmień odpowiednio następujące opcje: Włącz funkcję Ochrona przed epidemią w przypadku czerwonego alarmu ogłoszonego przez firmę Trend Micro: Reguły ochrony przed epidemią są stosowane do momentu kliknięcia opcji Ochrona przed epidemią > Aktualny status > Wyłącz, albo gdy zostanie spełniony jeden z warunków ustawień wyłączenia. Gdy program Security Server pobiera nową regułę zapobiegania epidemii, wcześniejsza reguła jest zatrzymywana. Wyłącz czerwone alarmy po x dniach: Czas trwania alarmu ochrony przed epidemią. Dokonaj automatycznego skanowania w poszukiwaniu wirusów po zainstalowaniu wymaganych składników dla: Komputery/serwery Serwery Microsoft Exchange Ustawienia żółtego alarmu: Skonfiguruj opcje dla żółtych alarmów. Patrz Żółte alarmy na str. 7-13, aby uzyskać więcej informacji. Wyjątki: Porty, które nie będą blokowane podczas działania automatycznej odpowiedzi ochrony przed epidemią. Patrz Korzystanie z wyjątków funkcji Ochrona przed epidemią na str. 7-17, aby pracować zwyjątkami. Uwaga: Dodając nowy wyjątek, należy upewnić się, że pole wyboru Włącz ten wyjątek jest zaznaczone. Ustawienia zaplanowanego pobierania reguł: Ustawienia okresowego pobierania zaktualizowanych składników. Częstotliwość Źródło: Źródło aktualizacji. Serwer Trend Micro ActiveUpdate (domyślnie) Lokalizacja kopii bieżącego pliku w sieci Intranet Inne źródło aktualizacji: Dowolne inne źródło aktualizacji w Internecie. 2. Kliknij przycisk Zapisz. 7-16

221 Korzystanie z funkcji Ochrona przed epidemią Korzystanie z wyjątków funkcji Ochrona przed epidemią Za pomocą funkcji Wyjątek można dodać, edytować lub usuwać porty z listy portów wykluczonych z blokowania. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 7-7. Sekcja Wyjątki na ekranie Ustawienia ochrony przed epidemią Aby dodać wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Kliknij przycisk Dodaj. 3. Na ekranie Ochrona przed epidemią > Ustawienia > Dodawanie wyjątku zmień odpowiednio następujące opcje: Włącz ten wyjątek Opis: Krótki opis, który pomoże zidentyfikować wyjątek. Protokół: Wybierz protokół, do którego musi zostać zastosowany wyjątek. Porty: Wpisz zakres portów lub poszczególne porty dla wyjątku. Poszczególne adresy URL oddzielaj średnikiem (;). 4. Kliknij przycisk Dodaj. 7-17

222 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby edytować wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. 4. Kliknij przycisk Zapisz. Aby usunąć wyjątek: Wskazówka: Zamiast usuwać wyjątek, można go wyłączyć. 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Usuń. 3. Kliknij przycisk OK, aby potwierdzić. 7-18

223 Korzystanie z funkcji Ochrona przed epidemią Konfigurowanie ustawień oceny narażenia na atak Ustawienia oceny narażenia na atak określają częstotliwość i elementy docelowe skanowania ochrony przed narażeniem na atak. Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ocena narażenia na atak RYSUNEK 7-8. Karta Ocena narażenia na atak na ekranie Ustawienia ochrony przed epidemią Aby skonfigurować częstotliwość oceny narażenia na atak: 1. Zmień odpowiednio następujące opcje na karcie Ocena narażenia na atak ekranu Ochrona przed epidemią > Ustawienia: Włącz zaplanowaną ochronę przed narażeniem na atak Częstotliwość: Wybierz opcję Codziennie, Co tydzień lub Co miesiąc. W przypadku wybrania opcji Co tydzień lub Co miesiąc, wybierz dzień tygodnia lub dzień miesiąca. Czas rozpoczęcia Cel 7-19

224 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Wszystkie grupy: Umożliwia skanowanie wszystkich komputerów klienckich wyświetlanych w drzewie zarządzania grupami na ekranie Ustawienia zabezpieczeń. Określone grupy: Umożliwia ograniczenie skanowania oceny narażenia na atak do określonych grup. 2. Kliknij przycisk Zapisz. 7-20

225 Rozdział 8 Konfiguracja skanowania ręcznego i zaplanowanego W tym rozdziale opisano sposób korzystania z funkcji skanowania ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. Rozdział obejmuje następujące zagadnienia: Skanowanie za pomocą programu Worry-Free Business Security Advanced na str. 8-2 Skanowanie klientów na str

226 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Skanowanie za pomocą programu Worry-Free Business Security Advanced Worry-Free Business Security Advanced udostępnia trzy rodzaje skanowania w celu ochrony komputerów klienckich przed zagrożeniami internetowymi: skanowanie ręczne, skanowanie zaplanowane i skanowanie w czasie rzeczywistym. Każdy typ skanowania służy do innych zadań, ale wszystkie konfiguruje się w podobny sposób. W tym rozdziale opisano skanowanie ręczne i zaplanowane. Skanowanie ręczne Skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia z plików na komputerach klienckich i w skrzynkach pocztowych programu Microsoft Exchange. Ten rodzaj skanowania usuwa także ewentualne wcześniejsze infekcje, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego agenci podejmują działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora (lub użytkownika). Aby zatrzymać skanowanie, należy kliknąć przycisk Zatrzymaj skanowanie w trakcie skanowania. Uwaga: Czas trwania skanowania zależy od zasobów sprzętowych komputera klienckiego i liczby plików do skanowania. Do skanowania ręcznego należy skonfigurować opcje antywirusowe, filtrowania zawartości i blokowania załączników. Aby skonfigurować skanowanie ręczne, należy kliknąć kolejno opcje Skanowanie > Skanowanie ręczne. Aby uzyskać więcej informacji, zapoznaj się z sekcjami Konfigurowanie opcji skanowania dotyczących grup na str. 8-4 i Konfigurowanie opcji skanowania w przypadku serwerów Microsoft Exchange na str Skanowanie zaplanowane Skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości są skanowane w określonym czasie i z ustaloną częstotliwością. Skanowanie zaplanowane służy do automatyzowania rutynowych operacji 8-2

227 Konfiguracja skanowania ręcznego i zaplanowanego skanowania komputerów klienckich i poprawy skuteczności zarządzania zagrożeniami. Aby skonfigurować skanowanie zaplanowane, kliknij kolejno opcje Skanuj > Skanowanie zaplanowane. Patrz Planowanie skanowania na str. 8-15, aby uzyskać więcej informacji. Skanowanie w czasie rzeczywistym Skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. Zobacz temat Konfigurowanie skanowania w czasie rzeczywistym na str. 5-6, aby uzyskać więcej informacji. W przypadku wiadomości program Messaging Security Agent chroni wszystkie znane punkty wejścia wirusów, skanując w czasie rzeczywistym wszystkie przychodzące wiadomości , wiadomości SMTP, dokumenty wysyłane do folderów publicznych oraz pliki replikowane z innych serwerów Microsoft Exchange. Patrz część Ochrona antywirusowa na str Skanowanie klientów W poniższej sekcji opisano sposób konfigurowania skanowania ręcznego i zaplanowanego klientów. Instrukcje dotyczące planowania skanowania zaplanowanego zawiera sekcja Planowanie skanowania na str Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane RYSUNEK 8-1. Ekran Skanowanie ręczne 8-3

228 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby skonfigurować skanowanie ręczne lub zaplanowane klientów: 1. Na ekranie Skanowanie ręczne lub Skanowanie zaplanowane wybierz grupy do skanowania. 2. Ustaw opcje skanowania dotyczące grupy, klikając jej nazwę. Patrz część Konfigurowanie opcji skanowania dotyczących grup na str W przypadku skanowania zaplanowanego należy zaktualizować harmonogram na karcie Harmonogram. Patrz część Planowanie skanowania na str Kliknij przycisk Skanuj teraz lub Zapisz. Konfigurowanie opcji skanowania dotyczących grup Konfigurowanie opcji skanowania dotyczących grup obejmuje ustawienie opcji Cel (pliki do skanowania) i Operacja (operacje wykonywane w przypadku wykrycia zagrożeń). Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę 8-4

229 Konfiguracja skanowania ręcznego i zaplanowanego Aby skonfigurować opcje skanowania: 1. Zmień odpowiednio następujące ustawienia na ekranie opcji skanowania grupy: Pliki do skanowania Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. 8-5

230 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz Funkcja Trend Micro IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: Program Worry-Free Business Security Advanced skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Skanuj zmapowane dyski i udostępnione foldery sieciowe Skanuj pliki skompresowane: Skonfiguruj liczbę warstw do skanowania. Wyłączenia: Umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro. Wyłączenia folderów: Wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia plików: Wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, anastępnie kliknij przycisk Usuń. Wyłączenia rozszerzeń: Wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (dla skanowania antywirusowego): Mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz Mechanizm Trend Micro IntelliTrap na str. C-6, aby uzyskać więcej informacji. Skanuj obszar rozruchowy (w przypadku skanowania antywirusowego): Sektor rozruchowy zawiera dane używane przez klientów do ładowania i inicjowania systemu operacyjnego komputera. Wirus sektora rozruchowego zaraża sektor rozruchowy partycji lub dysku. 8-6

231 Konfiguracja skanowania ręcznego i zaplanowanego Lista dozwolonych programów spyware/grayware (dla skanowania anty-spyware): Ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 8-8, aby uzyskać więcej informacji. 2. Na karcie Operacja określ sposób postępowania programu Worry-Free Business Security Advanced w przypadku wykrycia zagrożeń: Wykorzystanie procesora: Czas między skanowaniem kolejnych plików przez serwer zabezpieczeń wpływa na wykorzystanie procesora. Wybierz niższy poziom wykorzystania CPU, aby zwiększyć okres oczekiwania między skanowaniem plików. Zwalnia to procesor, który może wykonywać inne zadania. Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Te same operacje dla wszystkich zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: Program Worry-Free Business Security Advanced wykonuje kopię zapasową zagrożenia przed czyszczeniem. Kopia pliku zostanie zaszyfrowana i zapisana w następującym katalogu komputera klienckiego: C:\Program Files\Trend Micro\Client Server Security Agent\Backup Informacje na temat odszyfrowywania plików znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str

232 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Operacja w przypadku wykrycia spyware/grayware Wyczyść: Podczas czyszczenia oprogramowania typu spyware/grayware program Worry-Free Business Security Advanced może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Pomiń: Infekcja jest rejestrowana tylko w celu poddania dalszej ocenie. Zobacz temat Dzienniki na str. 10-2, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Edycja listy dozwolonych programów typu spyware/grayware Lista dozwolonych spyware/grayware określa, które aplikacje typu spyware lub grayware mogą być wykorzystywane przez użytkownika. Lista ta może być aktualizowana tylko przez administratorów. Więcej informacji dotyczących różnego rodzaju oprogramowania typu spyware zawiera sekcjarodzaje oprogramowania typu Spyware/Grayware na str. E-1. Uwaga: W przypadku określonej grupy ta sama lista jest używana do skanowania w czasie rzeczywistym, skanowania zaplanowanego i ręcznego. Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę > Ustawienia zaawansowane 8-8

233 Konfiguracja skanowania ręcznego i zaplanowanego RYSUNEK 8-2. Ekran Lista dozwolonych spyware/grayware Aby zaktualizować listę dozwolonych programów typu spyware/grayware: 1. W sekcji Ustawienia zaawansowane kliknij opcję Zmodyfikuj listę dozwolonych spyware/grayware. 2. Zmień odpowiednio następujące ustawienia na ekranie Lista dozwolonych spyware/grayware: Lewy panel: Rozpoznane aplikacje typu spyware lub grayware. Używając łączy Wyszukaj lub Szybkie wyszukiwanie, znajdź aplikację spyware/grayware, która ma być dozwolona. Uwaga: Aplikacje są sortowane według typu, a następnie według nazwy (TypSpyware_NazwaAplikacji). Prawy panel: Dozwolone aplikacje typu spyware lub grayware. 8-9

234 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Dodaj>: Wybierz w lewym panelu nazwę aplikacji, a następnie kliknij przycisk Dodaj>. Aby zaznaczyć kilka aplikacji jednocześnie, klikaj nazwy aplikacji, przytrzymując naciśnięty klawisz CTRL. <Usuń 3. Kliknij przycisk Zapisz. Konfigurowanie opcji skanowania w przypadku serwerów Microsoft Exchange Konfigurowanie opcji skanowania dla serwerów Microsoft Exchange obejmuje ustawianie opcji antywirusa, filtrowania zawartości i blokowania załączników. Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Rozwiń serwer Microsoft Exchange > Antywirus/Filtrowanie zawartości/blokowanie załączników Aby ustawić opcje skanowania dla serwerów Microsoft Exchange: 1. Na ekranie Skanowanie ręczne lub Skanowanie zaplanowane rozwiń serwer Microsoft Exchange, który ma być skanowany. 2. Wybierz opcje skanowania dla następujących funkcji: Ochrona antywirusowa: Więcej informacji zawiera sekcja Konfigurowanie opcji skanowania w poszukiwaniu wirusów w przypadku serwerów Microsoft Exchange na str Filtrowanie zawartości:więcej informacji zawiera sekcja Konfigurowanie opcji filtrowania zawartości w przypadku serwerów Microsoft Exchange na str Blokowanie załączników:więcej informacji zawiera sekcja Konfigurowanie opcji blokowania załączników w przypadku serwerów Microsoft Exchange na str W przypadku skanowania zaplanowanego należy zaktualizować harmonogram na karcie Harmonogram. Patrz część Planowanie skanowania na str Kliknij przycisk Skanuj teraz lub Zapisz. 8-10

235 Konfiguracja skanowania ręcznego i zaplanowanego Konfigurowanie opcji skanowania w poszukiwaniu wirusów w przypadku serwerów Microsoft Exchange Konfigurowanie opcji skanowania w poszukiwaniu wirusów dla serwerów Microsoft Exchange obejmuje ustawienie opcji Cel (zagrożenia do skanowania) i Operacja (operacje wykonywane w przypadku wykrycia zagrożeń). Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Rozwiń serwer Microsoft Exchange > Antywirus RYSUNEK 8-3. Opcje skanowania w poszukiwaniu wirusów w przypadku serwera Microsoft Exchange 8-11

236 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby ustawić opcje skanowania w poszukiwaniu wirusów dla serwerów Microsoft Exchange: 1. Zmień odpowiednio następujące opcje na ekranie Antywirus: Skanowanie domyślne Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. IntelliScan: Funkcja IntelliScan to technologia skanowania firmy Trend Micro, która optymalizuje wydajność, sprawdzając nagłówki plików z wykorzystaniem mechanizmu rozpoznawania rzeczywistego typu pliku i skanowania wyłącznie typów plików potencjalnie przenoszących złośliwy kod. Funkcja rozpoznawania rzeczywistego typu pliku pomaga zidentyfikować złośliwy kod, który może być maskowany przez nieszkodliwą nazwę rozszerzenia. Określone typy plików: Program Worry-Free Business Security Advanced będzie skanować pliki określonych rodzajów i z następującymi rozszerzeniami. Poszczególne wpisy należy oddzielać średnikami (;). Włącz mechanizm IntelliTrap: Funkcja IntelliTrap wykrywa w plikach skompresowanych złośliwy kod, na przykład boty. Skanuj treść wiadomości: Powoduje skanowanie treści wiadomości , która może zawierać osadzone zagrożenia. Dodatkowe skanowanie w poszukiwaniu zagrożeń: Umożliwia wybranie dodatkowych zagrożeń, które powinny być skanowane przez program Worry-Free Business Security Advanced. Definicje zagrożeń zawiera sekcja Glosariusz zwrotów na str. F-1. Wyłączenia: Umożliwia wykluczenie ze skanowania wiadomości , które spełniają następujące kryteria: Rozmiar treści wiadomości przekracza określony rozmiar Rozmiar załącznika przekracza określony rozmiar Liczba rozpakowanych plików przekracza określony rozmiar Rozmiar rozpakowanego pliku przekracza określony rozmiar Liczba warstw kompresji przekracza określony rozmiar Rozmiar rozpakowanego pliku jest x razy większy od rozmiaru pliku skompresowanego 8-12

237 Konfiguracja skanowania ręcznego i zaplanowanego 2. Zmień odpowiednio następujące opcje na karcie Operacja: Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz Funkcja Trend Micro ActiveAction na str. C-5, aby uzyskać więcej informacji. Te same operacje dla wszystkich zagrożeń: Umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Umożliwia wybranie opcji Wyczyść, Zamień na tekst/plik, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości w przypadku każdego typu zagrożenia. Włącz operację jako reakcję na działanie typu mass mailing : Umożliwia wybranie opcji Wyczyść, Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości w przypadku zagrożeń typu mass-mailing. Należy wybrać dodatkową operację dla nieudanych prób czyszczenia. Możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Przed czyszczeniem utwórz kopię zapasową zarażonego pliku: Program Worry-Free Business Security Advanced wykonuje kopię zapasową zagrożenia przed czyszczeniem. Kopia pliku zostanie zaszyfrowana i zapisana w następującym katalogu komputera klienckiego: C:\Program Files\Trend Micro\ Messaging Security Agent\Backup Informacje na temat odszyfrowywania plików znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str Nie czyść zarażonych skompresowanych plików, aby zoptymalizować wydajność Powiadomienia: Program Worry-Free Business Security Advanced będzie wysyłać powiadomienia do wybranych osób. Administratorzy mogą także wyłączyć wysyłanie powiadomień do odbiorców zewnętrznych, którzy podszywają się pod nadawców. 8-13

238 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Makra: Wirusy makr to wirusy zależne od aplikacji, które zarażają narzędzia w postaci makropoleceń towarzyszące aplikacjom. Poziom skanowania heurystycznego: Skanowanie heurystyczne jest szacunkową metodą wykrywania wirusów. Metoda ta sprawdza się najlepiej przy wykrywaniu nieznanych wirusów i zagrożeń, dla których nie istnieją jeszcze sygnatury wirusów. Usuń wszystkie makra wykryte przez funkcję zaawansowanego skanowania makr. Patrz Zaawansowane skanowanie makr na str. 6-6, aby uzyskać więcej informacji. Części wiadomości, których nie można przeskanować: Ustaw operację i warunek powiadamiania w przypadku plików zaszyfrowanych i/lub zabezpieczonych hasłem. Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Części wiadomości, które zostały wyłączone: Ustaw operację i warunek powiadamiania w przypadku części wiadomości, które zostały wykluczone. Więcej informacji na temat ustawiania wyłączeń zawiera sekcja page Dla tej operacji możliwe jest wybranie opcji Zastąp tekstem/plikiem, Usuń całą wiadomość, Pomiń lub Poddaj kwarantannie część wiadomości. Ustawienia kopii zapasowych: Miejsce zapisu kopii zapasowych plików. Ustawienia zastępowania: Skonfiguruj tekst i plik dla tekstu zastępczego. Jeśli wybrano operację Zastąp tekstem/plikiem, program Worry-Free Business Security Advanced będzie zastępował zagrożenie wskazanym łańcuchem tekstowym i plikiem. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Konfigurowanie opcji filtrowania zawartości w przypadku serwerów Microsoft Exchange Konfigurowanie opcji filtrowania zawartości dla serwerów Microsoft Exchange obejmuje ustawianie reguł blokowania wiadomości z określoną zawartością. 8-14

239 Konfiguracja skanowania ręcznego i zaplanowanego Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Rozwiń serwer Microsoft Exchange > Filtrowanie zawartości Patrz Filtrowanie zawartości na str. 6-25, aby uzyskać więcej informacji. Konfigurowanie opcji blokowania załączników w przypadku serwerów Microsoft Exchange Konfigurowanie opcji blokowania załączników dla serwerów Microsoft Exchange obejmuje ustawianie reguł blokowania wiadomości z określonymi załącznikami. Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Rozwiń serwer Microsoft Exchange > Blokowanie załączników Patrz Blokowanie załączników na str. 6-43, aby uzyskać więcej informacji. Planowanie skanowania Istnieje możliwość zaplanowania okresowego skanowania klientów i serwerów Microsoft Exchange w poszukiwaniu zagrożeń. Wskazówka: Firma Trend Micro zaleca, aby nie planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Podobnie rozpoczęcie skanowania ręcznego w czasie skanowania zaplanowanego również spowoduje przerwanie skanowania zaplanowanego. Skanowanie zaplanowane zostanie przerwane, ale uruchomi się ponownie zgodnie z harmonogramem. Uwaga: Aby wyłączyć skanowanie zaplanowane, należy usunąć zaznaczenie wszystkich opcji w przypadku danej grupy lub serwera Microsoft Exchange i kliknąć przycisk Zapisz. Ścieżka nawigacji: Skanowanie > Skanowanie zaplanowane > karta Harmonogram 8-15

240 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK 8-4. Ekran Skanowanie zaplanowane Aby zaplanować skanowanie: 1. Przed zaplanowaniem skanowania skonfiguruj ustawienia skanowania. Aby uzyskać więcej informacji, zapoznaj się z sekcjami Konfigurowanie opcji skanowania dotyczących grup na str. 8-4 i Konfigurowanie opcji skanowania w przypadku serwerów Microsoft Exchange na str Na ekranie Harmonogram zmień odpowiednie opcje każdej grupy lub serwera Microsoft Exchange: Codziennie: Skanowanie zaplanowane będzie wykonywane codziennie o określonej godzinie. Co tydzień w: Skanowanie zaplanowane będzie wykonywane raz w tygodniu, określonego dnia i ookreślonej godzinie. Co miesiąc, w dniu: Skanowanie zaplanowane będzie wykonywane raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, programworry-free Business Security 8-16

241 Konfiguracja skanowania ręcznego i zaplanowanego Advanced nie będzie skanować klientów lub grup serwerów Microsoft Exchange w tym miesiącu. Godzina rozpoczęcia: Godzina rozpoczęcia skanowania zaplanowanego. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz sekcja Powiadomienia informacje na str Wskazówka: Firma Trend Micro zaleca, aby skanowanie zaplanowane było przeprowadzane regularnie w celu zapewnienia optymalnej ochrony. 8-17

242 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 8-18

243 Aktualizacja składników Rozdział 9 W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział obejmuje następujące zagadnienia: Aktualizacja składników na str. 9-2 Składniki, które można aktualizować na str. 9-3 Źródła aktualizacji na str. 9-7 Aktualizacje ręczne i zaplanowane na str Wycofywanie lub synchronizacja składników na str

244 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aktualizacja składników Worry-Free Business Security Advanced ułatwia aktualizowanie do najnowszych składników, ponieważ agenci automatycznie otrzymują zaktualizowane składniki z serwera Security Server. Worry-Free Business Security Advanced pobiera składniki z serwera ActiveUpdate Server firmy Trend Micro (aby uzyskać więcej informacji, patrz ActiveUpdate informacje na str. 9-3): Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po uruchomieniu usługi Master programu Worry-Free Business Security Advanced, przeszukiwany jest serwer ActiveUpdate pod kątem aktualizacji. Domyślnie zaplanowane aktualizacje programu są przeprowadzane co godzinę. Domyślnie program Messaging Security Agent przeprowadza aktualizację zaplanowaną co 24 godziny, o godzinie 12:00. Domyślnie program Client/Server Security Agent przeprowadza zaplanowaną aktualizację co osiem godzin. Wskazówka: Aby upewnić się, że programy Client/Server Security Agent będą na bieżąco aktualizowane, nawet jeśli nie są połączone z programem Security Server, należy skonfigurować programy Client/Server Security Agent do pobierania aktualizacji z alternatywnych źródeł (Konfigurowanie źródła aktualizacji na str. 9-8). Ta możliwość jest przydatna dla użytkowników, którzy często znajdują się poza biurem i są odłączeni od sieci lokalnej. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. 9-2

245 Aktualizacja składników ActiveUpdate informacje Funkcja ActiveUpdate jest dostępna w wielu produktach Trend Micro. Połączona zwitryną aktualizacji firmy Trend Micro funkcja ActiveUpdate pobiera przez sieć Internet najnowsze pliki sygnatur wirusów, silniki skanowania i pliki programu. Funkcja ActiveUpdate nie zakłóca działania usług sieciowych, ani nie wymaga ponownego uruchamiania komputerów klienckich. Przyrostowe aktualizacje pliku sygnatur Funkcja ActiveUpdate obsługuje przyrostowe aktualizacje plików sygnatur. Funkcja ActiveUpdate pobiera tylko nową część pliku i dodaje ją do istniejącego pliku sygnatur, zamiast za każdym razem pobierać cały plik sygnatur. Ta wydajna metoda aktualizacji znacząco zmniejsza przepustowość sieci wymaganą do aktualizacji oprogramowania antywirusowego. Korzystanie z funkcji ActiveUpdate w programie Worry-Free Business Security Advanced Kliknij opcję Serwer ActiveUpdate firmy Trend Micro na ekranie Aktualizacje > Źródło aktualizacji, aby program Security Server używał serwera ActiveUpdate jako źródła ręcznych i zaplanowanych aktualizacji składników. Gdy wymagana jest aktualizacja składnika, program Security Server sprawdza bezpośrednio serwer ActiveUpdate. Jeśli nowy składnik jest dostępny do pobrania, program Security Server pobiera ten składnik z serwera ActiveUpdate. Składniki, które można aktualizować Aby mieć pewność, że komputery klienckie są zabezpieczone przed najnowszymi zagrożeniami, należy okresowo aktualizować składniki programu Worry-Free Business Security Advanced. Skonfiguruj program Security Server, aby pobrać składniki programu Worry-Free Business Security Advanced z serwera ActiveUpdate. Serwer ActiveUpdate udostępnia zaktualizowane składniki, takie jak pliki sygnatur wirusów, silniki skanowania i pliki programu. Po pobraniu wszystkich dostępnych aktualizacji serwer automatycznie wdraża je na agentach. 9-3

246 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Program Worry-Free Business Security Advanced oferuje dwie metody aktualizacji składników: Ręczna aktualizacja składników, patrz Ręczne aktualizowanie składników na str Aktualizacja składników według harmonogramu, patrz Planowanie aktualizacji składników na str Jeśli do łączenia z Internetem używany jest serwer proxy, przed pobraniem aktualizacji należy sprawdzić, czy ustawienia proxy zostały właściwie skonfigurowane. Aby uzyskać więcej informacji, patrz Opcje internetowego serwera proxy na str TABELA 9-1. Składniki, które można aktualizować Składnik Antywirus Oprogramowanie anty-spyware Anty-spam Ochrona przed epidemią Podskładnik Sygnatura wirusów Silnik skanowania antywirusowego, 32 bity Silnik skanowania antywirusowego, 64 bity Szablon czyszczenia wirusów Silnik czyszczenia wirusów, 32 bity Silnik czyszczenia wirusów, 64 bity Silnik skanowania programu Messaging Security Agent, 32 bity Wirus skanowania programu Messaging Security Agent, 64 bity Sygnatura wyjątków IntelliTrap Sygnatura IntelliTrap Silnik skanowania w poszukiwaniu spyware, 32 bity Silnik skanowania w poszukiwaniu spyware, 64 bity Sygnatury spyware Sygnatura aktywnego monitorowania spyware Sygnatura antyspamowa Silnik antyspamowy, 32 bity Silnik antyspamowy, 64 bity Sygnatura narażenia na atak 9-4

247 Aktualizacja składników TABELA 9-1. Składniki, które można aktualizować Składnik Wirus sieciowy Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań Podskładnik Ogólna sygnatura zapory Ogólny silnik zapory, 32 bity Ogólny silnik zapory, 64 bity Sterownik TDI, 32 bity Sterownik TDI, 64 bity Sterownik WFP, 32 bity Sterownik WFP, 64 bity Silnik filtrowania adresów URL (32 bitowy) Silnik filtrowania adresów URL (64 bitowy) Sterowniki głównego monitora zachowań, 32 bity Usługa głównego monitora zachowań, 32 bity Sygnatura stosowania reguł Sygnatura listy elementów pomijanych Sygnatura konfiguracji monitora zachowań Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki informacje na str Domyślny czas aktualizacji Domyślnie, program Worry-Free Business Security Advanced sprawdza dostępność aktualizacji i w razie potrzeby pobiera składniki z serwera Trend Micro ActiveUpdate w następujących przypadkach: Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Przy każdym uruchomieniu usługi głównej programu Worry-Free Business Security Advanced program Security Server aktualizuje reguły ochrony przed epidemią. Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Aby zapewnić, że agenci będą na bieżąco aktualizowani, program Client/Server Security Agent wykonuje co 8 godzin zaplanowaną aktualizację. 9-5

248 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. Zazwyczaj firma Trend Micro aktualizuje silnik skanowania lub program jedynie przy publikowaniu nowej wersji programu Worry-Free Business Security Advanced. Firma Trend Micro często publikuje jednak nowe pliki sygnatur. Aktualizacja programu Security Server Worry-Free Business Security Advanced automatycznie wykonuje następujące aktualizacje: Kiedy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i klientów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po każdym uruchomieniu Worry-Free Business Security Advanced program Security Server aktualizuje składniki i reguły ochrony przed epidemią. Domyślnie aktualizacje zaplanowane uruchamiane są co godzinę. Aby zapewnić aktualność klientów, agenci uruchamiają aktualizacje zaplanowane co 8 godzin. Aby skonfigurować program Trend Micro Security Server w celu wykonywania aktualizacji: 1. Wybierz źródło aktualizacji. Patrz część Źródła aktualizacji na str Skonfiguruj program Trend Micro Security Server pod kątem ręcznych lub zaplanowanych aktualizacji. Patrz część Aktualizacje ręczne i zaplanowane na str Użyj opcji Uprawnienia klienta, aby skonfigurować opcje aktualizacji dla komputerów klienckich z zainstalowanym programem Client/Server Security Agent i/lub Messaging Security Agent. Patrz część Uprawnienia klienta na str

249 Aktualizacja składników Źródła aktualizacji Wybierając lokalizacje źródłowe aktualizacji agenta, należy wziąć pod uwagę przepustowość sekcji sieci między klientami a źródłami aktualizacji. Poniższa tabela zawiera opis różnych opcji aktualizacji składników i zalecane sytuacje, w jakich należy ich użyć: TABELA 9-2. Opcje źródła aktualizacji Opcja aktualizacji Opis Zalecenie Serwer ActiveUpdate > program Trend Micro Security Server > komputery klienckie Serwer ActiveUpdate > program Trend Micro Security Server > Agenci aktualizacji > komputery klienckie Serwer ActiveUpdate > Agenci aktualizacji > komputery klienckie Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) iwdraża je bezpośrednio na klientach. Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) iwdraża je bezpośrednio na agentach aktualizacji, które wdrażają składniki na klientach. Agenci aktualizacji otrzymują zaktualizowane składniki bezpośrednio z serwera ActiveUpdate (lub z innego agenta aktualizacji) i wdrażają je na klientach. Tej metody używa się, jeśli między programem Trend Micro Security Server a klientami w sieci nie ma takiej sekcji, która wykazywałaby niską przepustowość. Tej metody używa się wcelu zrównoważenia obciążenia ruchem w sieci, jeśli między programem Trend Micro Security Server a klientami w sieci istnieją sekcje, które wykazują niską przepustowość. Tej metody używa się tylko w przypadku wystąpienia problemów z aktualizowaniem agentów aktualizacji poprzez program Trend Micro Security Server lub innych agentów aktualizacji. Wwiększości przypadków agenci aktualizacji szybciej otrzymują aktualizacje z programu Trend Micro Security Server lub od innych agentów aktualizacji niż zzewnętrznego źródła aktualizacji. 9-7

250 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konfigurowanie źródła aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło RYSUNEK 9-1. Ekran Źródło aktualizacji Aby skonfigurować źródło aktualizacji dla programu Security Server: 1. Zmień odpowiednio następujące opcje na ekranie Źródło: Serwer Trend Micro ActiveUpdate: Serwer Trend Micro ActiveUpdate jest ustawiony domyślnie przez firmę Trend Micro jako źródło pobierania aktualizacji. Firma Trend Micro przesyła nowe składniki na serwer ActiveUpdate zaraz po ich udostępnieniu. Serwer ActiveUpdate należy wybrać jako źródło, gdy potrzebne są częste i regularne aktualizacje. Uwaga: Jeżeli do otrzymywania aktualizacji zostanie zdefiniowane źródło inne niż serwer ActiveUpdate firmy Trend Micro, do źródła tego muszą mieć dostęp wszystkie serwery otrzymujące aktualizacje. Lokalizacja kopii bieżącego pliku w sieci Intranet: Należy pobrać składniki ze źródła w sieci Intranet, które otrzymuje uaktualnione składniki. Należy wpisać ścieżkę UNC innego serwera w sieci i utworzyć na tym serwerze docelowym folder, który będzie dostępny dla wszystkich serwerów otrzymujących aktualizacje (np.: \Web\ActiveUpdate). 9-8

251 Aktualizacja składników Alternatywne źródło aktualizacji: Należy pobrać składniki z Internetu lub innego źródła. Należy udostępnić docelowy katalog wirtualny HTTP (udział w sieci Web) wszystkim serwerom otrzymującym aktualizacje. 2. Kliknij przycisk Zapisz. Korzystanie z agentów aktualizacji Określając sekcje sieci między klientami a programem Trend Micro Security Server jako te, które mają niską przepustowość lub intensywny ruch, można tak skonfigurować agentów, aby działali jako źródła aktualizacji (agenci aktualizacji) dla innych agentów. Ułatwia to rozłożenie ciężaru wdrażania składników na wszystkich agentach. Na przykład, jeśli sieć jest podzielona na segmenty według lokalizacji, a łącza sieciowe między segmentami są poddawane dużemu obciążeniu ruchem, firma Trend Micro zaleca, aby przynajmniej jeden agent w każdym z segmentów działał jako agent aktualizacji. Ścieżka nawigacji: Aktualizacje > Źródło > karta Security Agent Aby umożliwić agentom działanie w roli agentów aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Przypisz agenta aktualizacji. 2. Z listy Wybierz programy Security Agent wybierz co najmniej jednego agenta, który ma działać jako agent aktualizacji. 3. Kliknij przycisk Zapisz. Aby usunąć agenta aktualizacji, zaznacz pole wyboru odpowiadające nazwie komputera, a następnie kliknij przycisk Usuń. Uwaga: O ile nie zostanie to określone inaczej w sekcji Alternatywne źródła aktualizacji, wszyscy agenci aktualizacji będą otrzymywać aktualizacje z programu Trend Micro Security Server. 9-9

252 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby umożliwić agentom uzyskiwanie aktualizacji z alternatywnego źródła aktualizacji: 1. Zmień odpowiednio następujące opcje na karcie Security Agent ekranu Źródło: Włącz alternatywne źródła aktualizacji Zawsze aktualizuj z serwera bezpieczeństwa dla agentów aktualizacji: Jest to opcjonalny krok, który zapewnia, że agenci uzyskują aktualizacje tylko z programu Security Server. Uwaga: Po wybraniu tej opcji agenci aktualizacji będą pobierać aktualizacje z programu Trend Micro Security Server, nawet jeśli ich adres IP mieści się w zakresach określonych na ekranie Dodaj alternatywne źródło aktualizacji. Aby ta opcja działała, musi być wybrana opcja Włącz alternatywne źródła aktualizacji. 2. Kliknij przycisk Zapisz. Aby dodać alternatywne źródła aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Alternatywne źródła aktualizacji. 2. Zmień odpowiednio następujące opcje: IP od oraz IP do: Klienci z adresami IP mieszczącymi się w tym zakresie będą otrzymywać aktualizacje z podanego źródła aktualizacji. Uwaga: Aby określić pojedynczy program Client/Server Security Agent, wprowadź jego Client/Server Security Agent adres IP zarówno w polu IP od jak i w polu IP do. Źródło aktualizacji Agent aktualizacji: Jeśli lista rozwijana jest niedostępna, nie skonfigurowano żadnych agentów aktualizacji. Określone: Ścieżka do agenta aktualizacji lub serwera ActiveUpdate. 9-10

253 Aktualizacja składników 3. Kliknij przycisk Zapisz. Aby usunąć alternatywno źródło aktualizacji, zaznacz pole wyboru odpowiadające zakresowi adresów IP, a następnie kliknij przyciskusuń. Uwaga: Programy Client/Server Security Agent które nie zostały określone, będą automatycznie otrzymywać aktualizacje od programu Security Server firmy Trend Micro. Aktualizacje ręczne i zaplanowane Program Worry-Free Business Security Advanced daje możliwość zastosowania dwóch sposobów aktualizowania różnych składników. Aktualizacje ręczne Firma Trend Micro zaleca przeprowadzanie ręcznych aktualizacji serwera natychmiast po wdrożeniu programu Client/Server Security Agent oraz w przypadku epidemii wirusów lub złośliwego oprogramowania. Aktualizacje zaplanowane Można skonfigurować program Client/Server Security Agent w celu regularnego sprawdzania źródła aktualizacji i automatycznego pobierania dostępnych aktualizacji. Ponieważ agenci zazwyczaj pobierają aktualizacje z programu Client/Server Security Agent, korzystanie z automatycznej, zaplanowanej aktualizacji to łatwy i skuteczny sposób, aby zapewnić zawsze aktualną ochronę antywirusową oraz przed złośliwym oprogramowaniem. Konfigurowanie aktualizacji zaplanowanych jest podobne do konfigurowania aktualizacji ręcznych, dlatego obie procedury przedstawiono łącznie. Poniżej znajduje się dodatkowa sekcja dotycząca czasu aktualizacji. Wskazówka: Firma Trend Micro zaleca częste aktualizowanie składników. 9-11

254 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ręczne aktualizowanie składników Ścieżka nawigacji: Aktualizacje > Aktualizacja ręczna RYSUNEK 9-2. Ekran Aktualizacja ręczna Aby ręcznie zaktualizować składniki: 1. Zmień odpowiednio następujące opcje na ekranie Aktualizacja ręczna: Składniki: Aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki zmożliwością aktualizacji na str

255 Aktualizacja składników 2. Kliknij przycisk Skanuj teraz lub Zapisz. Aby uzyskać więcej informacji o planowaniu aktualizacji, patrz Planowanie aktualizacji składników na str Uwaga: Po pobraniu wszystkich zaktualizowanych składników serwer automatycznie wdroży je na agentach. Planowanie aktualizacji składników Istnieje możliwość zaplanowania aktualizacji w celu automatycznego odbierania najnowszych składników do zwalczania zagrożeń. Wskazówka: Nie należy planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Ścieżka nawigacji: Aktualizacje > Skanowanie zaplanowane > karta Harmonogram RYSUNEK 9-3. Ekran Aktualizacja zaplanowana Aby zaplanować aktualizację: 1. Zmień odpowiednio następujące opcje na karcie Składniki na ekranie Zaplanowana aktualizacja: Składniki: Aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia 9-13

256 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki zmożliwością aktualizacji na str Zmień odpowiednio następujące opcje na karcie Zaplanowana aktualizacja: Co godzinę: Sprawdza dostępność aktualizacji co godzinę. Codziennie: Zaplanowana aktualizacja będzie wykonywana codziennie o określonej godzinie rozpoczęcia. Co tydzień w: Zaplanowana aktualizacja będzie wykonywana raz w tygodniu, określonego dnia i o określonej godzinie rozpoczęcia. Co miesiąc, w dniu: Zaplanowana aktualizacja będzie wykonywana raz wmiesiącu, określonego dnia i o określonej godzinie rozpoczęcia. Godzina rozpoczęcia: Godzina rozpoczęcia zaplanowanej aktualizacji. Okres aktualizacji: Okres, w którym możliwe jest uruchamianie aktualizacji. 3. Kliknij przycisk Zapisz. Wskazówka: Firma Trend Micro szybko reaguje na epidemie wirusów oraz złośliwego oprogramowania, uaktualniając pliki sygnatur wirusów (aktualizacje mogą być wydawane kilka razy w tygodniu). Silnik skanowania oraz inne składniki są również uaktualniane regularnie. Firma Trend Micro zaleca aktualizowanie składników codziennie a podczas epidemii jeszcze częściej aby agent korzystał z jak najbardziej aktualnych składników. Wycofywanie lub synchronizacja składników Wycofywanie składników oznacza powrót do poprzedniej wersji pliku sygnatur wirusów lub silnika skanowania. Jeżeli używany plik sygnatur lub silnik skanowania nie działa prawidłowo, należy przywrócić poprzednią wersję tych składników. Synchronizacja oznacza instalację zaktualizowanych składników na wszystkich agentach. Uwaga: Można wycofywać wyłącznie plik sygnatur wirusów oraz silnik skanowania. Przywrócenie innych składników jest niemożliwe. 9-14

257 Aktualizacja składników Agenci korzystają znastępujących silników skanowania: Silnik skanowania antywirusowego, 32 bity Silnik skanowania antywirusowego, 64 bity Powyższe typy silników skanowania należy wycofywać niezależnie. Procedura wycofywania obu typów silnika skanowania jest jednakowa. Program Trend Micro Security Server pozostawia wyłącznie bieżącą i poprzednią wersję silnika skanowania oraz ostatnie pięć plików sygnatur. Ścieżka nawigacji: Aktualizacje > Wycofanie RYSUNEK 9-4. Ekran Wycofanie Aby wycofać lub zsynchronizować pliki sygnatur lub silniki skanowania: Zmień odpowiednio następujące opcje na ekranie Wycofanie: Wycofywanie: Przywraca składniki programu Security Server i agentów do poprzedniej wersji. Synchronizacja: Instaluje zaktualizowane składniki na agentach. 9-15

258 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 9-16

259 Przeglądanie i interpretowanie dzienników i raportów Rozdział 10 W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział obejmuje następujące zagadnienia: Dzienniki na str Raporty na str Zarządzanie dziennikami i raportami na str Generowanie raportów na str Zarządzanie dziennikami i raportami na str

260 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Dzienniki W programie Worry-Free Business Security Advanced prowadzone są wszechstronne dzienniki, w których odnotowywane są informacje o wirusach/złośliwym oprogramowaniu i oprogramowaniu typu spyware/grayware, wypadkach, zdarzeniach i aktualizacjach. Dzienników tych można użyć do oceny reguł ochrony organizacji, jak również do identyfikacji klientów, którzy są bardziej narażeni na zarażenie. Ponadto dzienniki pozwalają sprawdzić, czy aktualizacje zostały prawidłowo wdrożone. Uwaga: Do przeglądania plików dziennika w formacie CSV służą arkusze kalkulacyjne, takie jak Microsoft Excel. Program Worry-Free Business Security Advanced prowadzi dzienniki wnastępujących kategoriach: Dzienniki zdarzeń konsoli zarządzania Dzienniki komputerów/serwerów Dzienniki serwera Microsoft Exchange TABLE Typ i zawartość dziennika Typ (zdarzenie lub element, który wygenerował wpis w dzienniku) Zdarzenia konsoli zarządzania Zawartość (typ dziennika, z którego pobierana jest zawartość) Skanowanie ręczne Aktualizacja Zdarzenia ochrony przed epidemią Zdarzenia konsoli 10-2

261 Przeglądanie i interpretowanie dzienników i raportów TABLE Typ i zawartość dziennika Typ (zdarzenie lub element, który wygenerował wpis w dzienniku) Komputer/serwer Serwer Microsoft Exchange Zawartość (typ dziennika, z którego pobierana jest zawartość) Dzienniki wirusów Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Czyszczenie Dzienniki spyware Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Dzienniki przypadków naruszenia adresów URL Dzienniki monitorowania zachowań Dzienniki aktualizacji Dzienniki wirusów sieciowych Dzienniki ochrony przed epidemiami Dzienniki zdarzeń Dzienniki wirusów Dzienniki części wiadomości, których nie można przeskanować Dzienniki blokowania załączników Dzienniki filtrowania zawartości Dzienniki aktualizacji Dzienniki kopii zapasowych Dzienniki archiwizacji Dzienniki ochrony przed epidemiami Dzienniki zdarzeń skanowania Dzienniki części wiadomości, których nie można przeskanować Raporty W poniższej sekcji opisano sposób konfiguracji raportów jednorazowych i zaplanowanych. Raporty jednorazowe Generowanie jednorazowych raportów pozwala przeglądać informacje z dziennika w uporządkowanym i przejrzystym formacie graficznym. 10-3

262 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Raporty zaplanowane Zawartości raportów zaplanowanych i jednorazowych są do siebie podobne, jednakże są one generowane w ustalonym czasie i z określoną częstotliwością. W celu generowania raportów zaplanowanych należy wybrać zawartość raportu i zapisać ją jako szablon. W ustalonym czasie i z określoną częstotliwością, program Worry-Free Business Security Advanced korzysta z szablonu, aby wygenerować raport. Interpretowanie raportów Raporty programu Worry-Free Business Security Advanced zawierają następujące informacje. Wyświetlone informacje mogą być różne, w zależności od wybranych opcji. TABELA 10-2.Zawartość raportu Element raportu Antywirus Opis Podsumowanie aktywności wirusów na komputerach/serwerach Raporty o wirusach zawierają szczegółowe informacje dotyczące liczby i typów złośliwego oprogramowania/wirusów wykrytych przez silnik skanowania oraz operacji wykonanych w celu ich usunięcia. Raport zawiera także spis najczęściej występujących wirusów/złośliwego oprogramowania. Kliknij nazwy wirusów/złośliwego oprogramowania, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów/złośliwego oprogramowania firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. 5 komputerów/serwerów z największą liczbą wykrytych wirusów Wyświetla 5 komputerów lub serwerów najczęściej raportujących wykrycie wirusa/złośliwego oprogramowania. Śledzenie najczęstszych przypadków wirusów/złośliwego oprogramowania na jednym komputerze klienckim może wykazać, że dany klient stanowi duże zagrożenie dla bezpieczeństwa, co może wymagać podjęcia dodatkowych działań. 10-4

263 Przeglądanie i interpretowanie dzienników i raportów TABELA 10-2.Zawartość raportu Element raportu Oprogramowanie anty-spyware Opis Podsumowanie aktywności spyware/grayware na komputerach/serwerach W raportach dotyczących spyware/grayware przedstawione są szczegółowe informacje o wykrytym na klientach oprogramowaniu spyware/grayware, zawierające liczbę wykrytych przypadków idziałania podjęte przeciw nim przez program Worry-Free Business Security Advanced. Raport zawiera diagram kołowy, pokazujący udział procentowy wszystkich operacji skanowania podjętych przeciw programom spyware. 5 komputerów/serwerów z największą ilością wykrytego spyware/grayware W raporcie wymieniono też pięć najgroźniejszych wykrytych przypadków spyware/grayware i pięć komputerów/serwerów z największą liczbą wykrytych przypadków spyware/grayware. Aby dowiedzieć się więcej o zagrożeniach ze strony spyware/grayware, kliknij nazwy spyware/grayware. Zostanie otwarta nowa strona przeglądarki internetowej, na której wyświetlone będą informacje o spyware/grayware pochodzące z witryny internetowej firmy Trend Micro. Historia ochrony przed epidemiami Podsumowanie anty-spamu Podsumowanie filtrowania zawartości Historia ochrony przed epidemiami Wyświetla ostatnie epidemie, poziom zagrożenia ze strony epidemii, identyfikuje wirusa/złośliwe oprogramowanie powodujące epidemię oraz sposób jego dostarczenia (w wiadomości lub pliku). Podsumowanie działalności spamu Raporty antyspamowe zawierają informacje o liczbie wiadomości typu spam i phishing wykrytych we wszystkich przeskanowanych wiadomościach. Zawierają listę zgłoszonych fałszywych alarmów. Podsumowanie filtrowania zawartości Raporty filtrowania zawartości zawierają informacje o liczbie wszystkich wiadomości przefiltrowanych przez program Messaging Security Agent. 10 najczęściej naruszanych reguł filtrowania zawartości Lista 10 najczęściej naruszanych reguł filtrowania zawartości. Informacje te umożliwiają lepsze dostosowanie reguł filtrowania. 10-5

264 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora TABELA 10-2.Zawartość raportu Element raportu Wirus sieciowy Opis 10 najczęściej wykrywanych wirusów sieciowych Zawiera listę 10 wirusów sieciowych najczęściej wykrywanych przez ogólny sterownik zapory. Kliknij nazwy wirusów, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. 10 najczęściej atakowanych komputerów Lista klientów w sieci najczęściej zgłaszających przypadki wirusów/złośliwego oprogramowania. Ochrona przed zagrożeniami internetowymi Monitorowanie zachowań 10 komputerów najczęściej naruszających reguły usług ochrony przed zagrożeniami internetowymi Zawiera listę 10 klientów najczęściej naruszających reguły ochrony przed zagrożeniami internetowymi. 5 programów najczęściej naruszających reguły monitorowania zachowań Zawiera listę 5 programów najczęściej naruszających reguły monitorowania zachowań. 10 komputerów najczęściej naruszających reguły monitorowania zachowań Zawiera listę 10 klientów najczęściej naruszających reguły monitorowania zachowań. Korzystanie z kwerendy dziennika W celu uzyskania informacji z bazy danych dziennika można wykonywać kwerendy dziennika. Do konfigurowania i uruchamiania kwerend można użyć ekranu Kwerenda dziennika. Wyniki można następnie wyeksportować do pliku w formacie CSV lub wydrukować. Uwaga: Program MSA co pięć minut wysyła dzienniki do programu Security Server (niezależnie od tego, kiedy generowany jest dziennik). 10-6

265 Przeglądanie i interpretowanie dzienników i raportów Ścieżka nawigacji: Raporty > Kwerenda dziennika RYSUNEK Domyślny ekran Kwerenda dziennika Aby wyświetlić dzienniki: 1. Zmień odpowiednio następujące opcje na ekranie Kwerenda dziennika: Przedział czasu Wstępnie skonfigurowany zakres Określony zakres: Ogranicza kwerendę do określonych dat. Typ: Informacje rejestrowane w poszczególnych typach dziennika przedstawia Tabela 10-1 na str Zdarzenia konsoli zarządzania Komputer/serwer Serwer Microsoft Exchange Zawartość: Dostępne opcje są zależne od typu dziennika. 2. Kliknij opcję Wyświetl dzienniki. Aby zapisać dziennik jako plik w formacie CSV, kliknij opcję Eksport. Pliki CSV można przeglądać za pomocą arkusza kalkulacyjnego. 10-7

266 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Przykładowy ekran Kwerenda dziennika Generowanie raportów Raport jednorazowy przedstawia podsumowanie wybranej zawartości tylko jeden raz. Raporty zaplanowane przedstawiają podsumowanie wybranej zawartości w sposób regularny. Ścieżka nawigacji: Raporty > Raporty jednorazowe lub Raporty zaplanowane 10-8

267 Przeglądanie i interpretowanie dzienników i raportów Aby utworzyć lub zaplanować raport: 1. Na ekranie Raporty jednorazowe lub Raporty zaplanowane kliknij przycisk Nowy raport/dodaj. 2. Zmień odpowiednio następujące opcje: Nazwa raportu/nazwa szablonu raportu: Krótki tytuł, który pomoże zidentyfikować raport/szablon. Harmonogram: Dotyczy tylko raportów zaplanowanych. Codziennie: Raport zaplanowany będzie wykonywany codziennie o określonej godzinie. Co tydzień w: Raport zaplanowany będzie wykonywany raz w tygodniu, określonego dnia i o określonej godzinie. 10-9

268 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Co miesiąc, w dniu: Raport zaplanowany będzie wykonywany raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program Worry-Free Business Security Advanced nie wygeneruje raportu w tym miesiącu. Wygeneruj raport o: Godzina, o której program Worry-Free Business Security Advanced ma wygenerować raport. Przedział czasu: Ogranicza raport do określonych dat. Zawartość: Aby wybrać wszystkie zagrożenia, zaznacz pole wyboru Zaznacz wszystko. Aby wybrać poszczególne zagrożenia, zaznacz odpowiednie pole wyboru. Kliknij, aby rozwinąć wybór. Wyślij raport do: Program Worry-Free Business Security Advanced wysyła wygenerowany raport do określonych odbiorców. Poszczególne wpisy należy oddzielać średnikami (;). Jako załącznik PDF Jako łącze do raportu 3. Kliknij przycisk Generuj/Dodaj. Wyświetl raport na ekranie Raporty jednorazowe lub Raporty zaplanowane poprzez kliknięcie nazwy raportu. Jeżeli włączona jest opcja Wyślij raport do, program Worry-Free Business Security Advanced będzie wysyłać do odbiorców załącznik PDF lub łącze. Aby usunąć raport, na ekranie Raporty jednorazowe lub Raporty zaplanowane zaznacz pole wyboru odpowiadające raportowi i kliknij przycisk Usuń. Aby dokonać edycji szablonu raportu zaplanowanego, na ekranie Raporty zaplanowane kliknij nazwę szablonu i zmień odpowiednio opcje

269 Przeglądanie i interpretowanie dzienników i raportów RYSUNEK Przykładowy raport prezentujący podsumowanie aktywności spyware/grayware Zarządzanie dziennikami i raportami Liczba raportów rośnie szybko, jeśli nie są one okresowo usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program Worry-Free Business Security Advanced umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane

270 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Obsługa raportów Usuwanie nieaktualnych raportów przez ograniczenie liczby raportów przechowywanych przez program Worry-Free Business Security Advanced. Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK Ekran Obsługa raportów Aby ustalić maksymalną liczbę przechowywanych raportów: 1. Na karcie Raporty ekranu Obsługa skonfiguruj maksymalną liczbę raportów do zachowania dla następujących typów raportów: Raporty jednorazowe Zaplanowane raporty zapisywane w każdym szablonie Szablony raportów 2. Kliknij przycisk Zapisz

271 Przeglądanie i interpretowanie dzienników i raportów Automatyczne usuwanie dzienników Automatyczne usuwanie nieaktualnych dzienników przez ustawienie maksymalnej liczby dni przechowywania dzienników. Ścieżka nawigacji: Raporty > Obsługa > Karta Automatyczne usuwanie dzienników RYSUNEK Ekran Automatyczne usuwanie dzienników Aby automatycznie usuwać dzienniki: 1. Na karcie Automatyczne usuwanie dzienników ekranu Obsługa wybierz Typ dziennika i określ liczbę dni przechowywania. 2. Kliknij przycisk Zapisz

272 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ręczne usuwanie dzienników Zaleca się ręczne usuwanie dzienników, gdy ich przechowywanie nie jest dłużej wymagane. Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK Ekran Ręczne usuwanie dzienników Aby ręcznie usunąć dzienniki: 1. Na karcie Ręczne usuwanie dzienników ekranu Obsługa określ liczbę dni przechowywania dla wybranego typu dziennika i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. Wskazówka: Aby usunąć wszystkie dzienniki, podaj 0 jako liczbę dni i kliknij przycisk Usuń

273 Praca z powiadomieniami Rozdział 11 W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział obejmuje następujące zagadnienia: Powiadomienia informacje na str Konfigurowanie powiadomień na str Dostosowywanie alarmów powiadomień na str Konfigurowanie ustawień powiadamiania na str

274 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Powiadomienia informacje Aby skrócić czas konieczny do monitorowania programu Worry-Free Business Security Advanced przez administratorów oraz zapewnić ich wczesne powiadamianie o wystąpieniu sytuacji związanych z epidemią, należy skonfigurować program Security Server pod kątem wysyłania powiadomień w przypadku wystąpienia wszelkich nienaturalnych zdarzeń w sieci. Program Worry-Free Business Security Advanced może wysyłać powiadomienia do dowolnego komputera w sieci przy użyciu poczty , protokołu SNMP lub dzienników zdarzeń systemu Windows. Warunki powiadomień są uwzględniane na ekranie Stan aktywności. Wystąpienie warunków powoduje zmianę ikony stanu z Normalny na Ostrzeżenie lub Wymagane działanie. Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, aich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora systemu. Zdarzenia zagrożeń Ochrona przed epidemią: Firma TrendLabs ogłosiła alarm lub wykryto wysoce krytyczne luki w zabezpieczeniach. Ochrona antywirusowa: Liczba wirusów/złośliwego oprogramowania wykrytych na komputerach klienckich lub serwerach Microsoft Exchange przekracza określoną wartość; działania podjęte przeciwko wirusom okazały się nieskuteczne; na komputerach klienckich lub serwerach Microsoft Exchange wyłączono skanowanie w czasie rzeczywistym. Oprogramowanie anty-spyware: Na klientach wykryto oprogramowanie typu spyware/grayware, w tym wymagające ponownego uruchomienia zainfekowanego klienta w celu całkowitego usunięcia zagrożenia oprogramowaniem typu spyware/grayware. Możliwe jest również skonfigurowanie progu powiadamiania o oprogramowaniu typu spyware/grayware, czyli liczby przypadków wykrycia tego oprogramowania w danym okresie (domyślnie jest to jedna godzina). Ochrona przed zagrożeniami internetowymi: Liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. Monitorowanie zachowania: Liczba naruszeń reguł przekracza w pewnym okresie określoną wartość. 11-2

275 Praca z powiadomieniami Anty-spam: Liczba wystąpień spamu w wiadomościach przekracza określony procent całkowitej liczby wiadomości . Wirus sieciowy: Liczba wykrytych wirusów sieciowych przekracza określoną wartość. Zdarzenia systemowe Licencja: Wygasa Licencja produktu lub już wygasła, wykorzystanie liczby stanowisk przekracza 80% lub wynosi 100% liczby stanowisk. Aktualizacja składnika: Czas od ostatniej aktualizacji składników przekracza określoną liczbę dni lub zaktualizowane składniki nie zostały dostatecznie szybko wdrożone na agentach. Niezwykłe zdarzenia systemowe: Pozostała ilość miejsca na dysku jednego z komputerów klienckich z systemem operacyjnym Windows Server jest mniejsza niż określona wartość, osiągając niebezpiecznie niski poziom. Konfigurowanie powiadomień Konfigurowanie powiadomień składa się z dwóch etapów po pierwsze, wybór wydarzeń, dla których mają być wysyłane powiadomienia i skonfigurowanie metod dostarczania. Program Worry-Free Business Security Advanced zapewnia trzy metody dostarczania: powiadomienia , powiadomienia SNMP i dziennik zdarzeń systemu Windows. Ścieżka nawigacji: Preferencje > Powiadomienie > Karta Zdarzenia 11-3

276 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Ekran Powiadomienia zdarzenia Aby skonfigurować zdarzenia powiadamiania: 1. Zmień odpowiednio następujące opcje na karcie Zdarzenia na ekranie Powiadomienia: Zdarzenia zagrożeń: Zaznacz pole wyboru Typ, aby odbierać powiadomienia dotyczące wszystkich zdarzeń. Można także zaznaczyć pola wyboru dla poszczególnych zdarzeń. Kliknij, aby rozwinąć poszczególne zdarzenia i skonfigurować próg i/lub okres dla danego zdarzenia. 2. Kliknij przycisk Zapisz. 11-4

277 Praca z powiadomieniami Dostosowywanie alarmów powiadomień Można dostosować wiersz tematu i treść wiadomości z powiadomieniem o zdarzeniach. Ścieżka nawigacji: Preferencje > Powiadomienia > Kliknij powiadomienie RYSUNEK Ekran zawartości powiadomienia Aby dostosować zawartość powiadomienia: OSTRZEŻENIE! Nie należy zmieniać tekstu wyświetlanego w nawiasach kwadratowych. 1. Wprowadź nowy wiersz tematu w polu Temat. 2. Wprowadź nową wiadomość wpolu Wiadomość. 3. Kliknij przycisk Zapisz. 11-5

278 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Konfigurowanie ustawień powiadamiania Ścieżka nawigacji: Preferencje > Powiadomienia > Zakładka Ustawienia RYSUNEK Ekran Powiadomienia Aby skonfigurować metodę dostarczania powiadomień: 1. Zmień odpowiednio następujące opcje na karcie Ustawienia na ekranie Powiadomienia: Powiadomienie Ustaw adresy nadawcy i odbiorców powiadomień. Skonfiguruj zawartość wiadomości na karcie Zdarzenia. Od Do: Poszczególne adresy oddzielaj średnikiem (;). Odbiorca powiadomienia SNMP: SNMP to protokół używany przez hosty sieciowe do wymiany informacji służących do zarządzania sieciami. Aby wyświetlić dane z pułapki SNMP, należy użyć przeglądarki baz informacji zarządzania. 11-6

279 Praca z powiadomieniami Włącz powiadomienia SNMP Adres IP: Adres IP pułapki SNMP. Społeczność: Łańcuch społeczności SNMP. Rejestrowanie: Powiadomienia za pośrednictwem dziennika zdarzeń systemu Windows Zapisz do dziennika zdarzeń systemu Windows Uwaga: Możliwe jest użycie dowolnej lub wszystkich powyższych metod powiadamiania. 2. Kliknij przycisk Zapisz. 11-7

280 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 11-8

281 Rozdział 12 Konfigurowanie ustawień globalnych W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział obejmuje następujące zagadnienia: Opcje internetowego serwera proxy na str Opcje serwera SMTP na str Opcje komputera/serwera na str Opcje systemowe na str

282 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Opcje internetowego serwera proxy Jeśli w sieci do łączenia się z Internetem używany jest serwer proxy, należy określić ustawienia serwera proxy dla następujących usług: Aktualizacja składników, powiadomień związanych z licencją oraz infrastruktury Smart Protection Network Aby wybrać ustawienia serwera proxy dla tych usług, należy zmodyfikować pola w obszarze Ustawienia aktualizacji, powiadomień o licencji oraz infrastruktury Smart Protection Network na karcie Proxy. Ochrona przed zagrożeniami internetowymi i monitorowanie zachowań Aby wybrać ustawienia serwera proxy dla tych usług, należy zmodyfikować pola w obszarze Ustawienia dla usługi ochrony przed zagrożeniami internetowymi i monitorowania zachowań na karcie Proxy. Uwaga: Program CSA zawsze korzysta z tego samego serwera proxy i portu co program Internet Explorer, łącząc się z Internetem w celu zapewnienia ochrony przed zagrożeniami internetowymi i monitorowania zachowań. Poświadczenia logowania określone dla usługi aktualizacji należy zduplikować tylko w przypadku, gdy program Internet Explorer zainstalowany na komputerach klienckich używa tego samego serwera proxy i portu. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka Proxy 12-2

283 Konfigurowanie ustawień globalnych RYSUNEK Ekran Ustawienia globalne ustawienia serwera proxy Opcje serwera SMTP Ustawienia serwera SMTP dotyczą wszystkich powiadomień i raportów generowanych przez program Worry-Free Business Security Advanced. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka SMTP RYSUNEK Zakładka SMTP na ekranie Ustawienia globalne 12-3

284 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Aby ustawić serwer SMTP: 1. Zmień odpowiednio następujące opcje na karcie SMTP ekranu Ustawienia globalne: Serwer SMTP: Adres IP lub nazwa serwera SMTP. Port 2. Kliknij przycisk Zapisz. Opcje komputera/serwera Opcje Komputer/Serwer dotyczą ustawień globalnych programu Worry-Free Business Security Advanced. Ustawienia dla poszczególnych grup zastępują te ustawienia. Jeśli nie skonfigurowano określonej opcji dla grupy, używane są opcje komputera/serwera. Na przykład w przypadku braku dozwolonych adresów URL dla określonej grupy zostaną zastosowane do niej wszystkie adresy URL dozwolone na tym ekranie. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka Komputer/Serwer 12-4

285 Konfigurowanie ustawień globalnych RYSUNEK Zakładka Komputer/Serwer na ekranie Ustawienia globalne Aby skonfigurować opcje komputera/serwera: 1. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Rozpoznawanie lokalizacji na str

286 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Ogólne ustawienia skanowania na str Ustawienia skanowania wirusów na str Ustawienia skanowania spyware/grayware na str Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań na str Filtrowanie zawartości wiadomości błyskawicznych na str Ustawienia ostrzeżeń na str Ustawienia nadzoru na str Dezinstalacja agenta na str Zamykanie agenta na str Kliknij przycisk Zapisz. Rozpoznawanie lokalizacji Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń W biurze i Poza biurem. Patrz Kontrola ustawień zabezpieczeń na podstawie lokalizacji na str. 1-28, aby uzyskać więcej informacji. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz rozpoznawanie lokalizacji: Te ustawienia wpłyną na ustawienia połączeń W biurze/poza biurem ochrony przed zagrożeniami internetowymi, narzędzi TrendSecure i zapory. Informacje o bramie: Jeśli włączone jest rozpoznawanie lokalizacji, klienci ipołączenia na tej liście będą korzystać zustawień typu Połączenie wewnętrzne podczas zdalnego łączenia się z siecią (przy użyciu sieci VPN). Adres IP bramy Adres MAC: Dodanie adresu MAC zwiększa bezpieczeństwo poprzez umożliwienie podłączenia tylko skonfigurowanego urządzenia. Kliknij odpowiednią ikonę, aby usunąć pozycję. 12-6

287 Konfigurowanie ustawień globalnych Ogólne ustawienia skanowania Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Wyklucz folder bazy danych serwera Security Server: Agenci zainstalowani na serwerze zabezpieczeń nie będą skanowali własnej bazy danych podczas skanowania w czasie rzeczywistym. Uwaga: Domyślnie program Worry-Free Business Security Advanced nie skanuje własnej bazy danych. Firma Trend Micro zaleca zachowanie tego ustawienia, aby zapobiec ewentualnemu uszkodzeniu bazy danych podczas skanowania. Wyklucz foldery serwera Microsoft Exchange, jeśli program zainstalowano na serwerze Microsoft Exchange: Agenci zainstalowani na serwerze Microsoft Exchange nie będą skanowali folderów Microsoft Exchange. Wyklucz foldery kontrolerów domen firmy Microsoft: Agenci zainstalowani na serwerze kontrolera domeny nie będą skanowali folderów kontrolera domeny. Te foldery zawierają informacje o użytkownikach, nazwy użytkowników, hasła i inne ważne informacje. Wyklucz sekcje funkcji Shadow Copy: Usługi Shadow Copy lub Volume Snapshot Service tworzą ręcznie bądź automatycznie kopie zapasowe lub obrazy pliku albo folderu na określonym woluminie. Ustawienia skanowania wirusów Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Konfiguruj ustawienia skanowania dużych, skompresowanych plików: Określ maksymalną wielkość zdekompresowanego pliku oraz liczbę plików w skompresowanym pliku do przeskanowania przez agenta. Wyczyść skompresowane pliki: Agenci wykonają próbę wyczyszczenia zarażonych plików w skompresowanym pliku. Skanuj do { } warstw OLE: Agenci będą skanować określoną liczbę warstw OLE (Object Linking and Embedding). Warstwy OLE umożliwiają tworzenie obiektów 12-7

288 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora w jednej aplikacji, a następnie łączenie lub osadzanie ich w innej aplikacji. Przykładem może być plik.xls osadzony w pliku.doc. W klientach dodaj skrót skanowania ręcznego do menu skrótów Windows: Dodaje łącze Skanuj za pomocą programu Client/Server Security Agent do menu kontekstowego. Dzięki temu użytkownicy mogą kliknąć prawym przyciskiem myszy plik lub folder (na pulpicie lub w Eksploratorze Windows) iręcznie przeskanować ten plik lub folder. Ustawienia skanowania spyware/grayware Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Skanuj pliki cookie: Agenci będą skanować iusuwać śledzące pliki cookie, które zostały pobrane do klientów podczas odwiedzania witryn internetowych. Wykryte śledzące pliki cookie zwiększają licznik programów spyware/grayware na ekranie Stan aktywności. Uwzględnij pliki cookie w dzienniku spyware: Dodaje każdy wykryty plik cookie zidentyfikowany jako spyware do dziennika spyware. Ochrona przed zagrożeniami internetowymi Ochrona przed zagrożeniami internetowymi uniemożliwia użytkownikom odwiedzanie złośliwych witryn sieci Web. Wykorzystuje ona rozbudowaną bazę danych Trend Micro Web Security w celu sprawdzenia reputacji adresów URL HTTP, do których użytkownicy próbują uzyskać dostęp, lub adresów URL zawartych w wiadomościach . Więcej informacji zawiera sekcja Ochrona klientów przed odwiedzaniem złośliwych witryn sieci Web na str Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Adresy URL do zatwierdzenia: Poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj. Uwaga: Dodanie adresu URL obejmuje wszystkie jego subdomeny. 12-8

289 Konfigurowanie ustawień globalnych Lista dozwolonych adresów URL: Adresy URL na tej liście nie będą blokowane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Włącz dzienniki korzystania dla programu CSA: Agenci będą wysyłać szczegółowe informacje o odwiedzanych adresach URL do programu Security Server. Szczegółowe informacje dotyczące konfiguracji ochrony przed zagrożeniami internetowymi na podstawie lokalizacji klienta zawiera sekcja Ochrona przed zagrożeniami internetowymi na str Monitorowanie zachowań Funkcja Monitorowanie zachowań chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. Nie blokuj wyskakujących okienek dla zmian o niskim ryzyku lub monitorowanych operacji: Agenci ostrzegają użytkowników o zmianach o niskim ryzyku lub monitorowanych operacjach. Filtrowanie zawartości wiadomości błyskawicznych Administratorzy mogą ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych. Wiadomości błyskawiczne stanowią formę komunikacji w czasie rzeczywistym między dwoma lub większą liczbą osób w oparciu o wpisywany tekst. Tekst jest przesyłany między Klientami połączonymi poprzez sieć. Agenci mogą ograniczać używanie słów w następujących aplikacjach do obsługi wiadomości błyskawicznych: AIM 6 (nie są obsługiwane kompilacje wydane po marcu 2008) ICQ 6 (nie są obsługiwane kompilacje wydane po marcu 2008) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger

290 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zastrzeżone słowa: W tym polu wpisz zastrzeżone słowa lub wyrażenia. Można zastrzec maksymalnie 31 słów lub wyrażeń. Poszczególne słowa lub wyrażenia nie mogą zawierać więcej niż 35 znaków (17 w przypadku chińskich znaków). Wprowadź pozycję lub kilka pozycji oddzielonych średnikami (;), a następnie kliknij polecenie Dodaj>>. Lista zastrzeżonych słów/wyrażeń: Słowa lub wyrażenia z tej listy nie mogą być używane w wiadomościach błyskawicznych. Kliknij odpowiednią ikonę, aby usunąć pozycję. Ustawienia ostrzeżeń Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Pokaż ikonę ostrzegawczą na pasku zadań Windows, jeżeli plik sygnatur wirusów nie został zaktualizowany po { } dniach: Ikona ostrzegawcza jest wyświetlana na komputerach klienckich, których plik sygnatur nie został zaktualizowany po upływie określonej liczby dni. Ustawienia nadzoru Opcja nadzoru zapewnia stałą ochronę klientów przez program Client/Server Security Agent. Po włączeniu usługa nadzoru sprawdza dostępność agentów co x minut. Jeśli agent jest niedostępny, usługa nadzoru spróbuje uruchomić go ponownie. Wskazówka: Firma Trend Micro zaleca włączenie usługi nadzoru klienta, aby zapewnić ochronę komputera klienta przez program Client/Server Security Agent. Jeżeli program Client/Server Security Agent zostanie nieoczekiwanie zamknięty, na przykład podczas ataku hakera, usługa nadzoru ponownie uruchomi program Client/Server Security Agent. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz usługę nadzoru agenta 12-10

291 Konfigurowanie ustawień globalnych Sprawdź stan klienta co {} minut: Określa, jak często usługa nadzoru powinna sprawdzać stan klienta. Jeśli klienta nie można uruchomić, ponawiaj próbę {} razy: Określa, ile razy usługa nadzoru powinna podjąć próbę ponownego uruchomienia programu Client/Server Security Agent. Dezinstalacja agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwala klientowi na odinstalowanie programu Client/Server Security Agent: Zezwól użytkownikom na odinstalowanie programu Client/Server Security Agent. Aby odinstalować program Client/Server Security Agent, wymagaj hasła od użytkownika: Zezwala użytkownikom na odinstalowanie programu Client/Server Security Agent po podaniu określonego hasła. Hasło Potwierdź hasło Zamykanie agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól klientowi na zamknięcie programu Client/Server Security Agent: Zezwala użytkownikom na zamknięcie programu Client/Server Security Agent. Wymagaj hasła od użytkownika, aby zamknąć program Client/Server Security Agent: Zezwala użytkownikom na zamknięcie programu Client/Server Security Agent po podaniu określonego hasła. Hasło Potwierdź hasło 12-11

292 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Opcje systemowe Sekcja System ekranu Ustawienia globalne zawiera opcje służące do automatycznego usuwania nieaktywnych agentów, sprawdzania połączeń agentów oraz obsługi folderu kwarantanny. Ścieżka nawigacji: Preferencje > Ustawienia globalne > Zakładka System RYSUNEK Zakładka System na ekranie Ustawienia globalne Aby skonfigurować opcje systemowe: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Usuwanie nieaktywnego programu Client/Server Security Agent na str Weryfikacja łączności klient-serwer na str Obsługa folderu kwarantanny na str Kliknij przycisk Zapisz

293 Konfigurowanie ustawień globalnych Usuwanie nieaktywnego programu Client/Server Security Agent W przypadku usuwania programu Client/Server Security Agent z komputera za pomocą jego własnego dezinstalatora, program automatycznie powiadamia program Security Server. Gdy program Security Server otrzyma to powiadomienie, usunie ikonę klienta z drzewa grup zabezpieczeń, wskazując w ten sposób, że dany klient już nie istnieje. Jeżeli jednak program Client/Server Security Agent będzie usuwany innymi metodami, na przykład za pomocą formatowania dysku twardego komputera lub w wyniku ręcznego usunięcia plików klienta, do programu Security Server nie dotrą informacje o usunięciu, a program Client/Server Security Agent będzie wyświetlany jako nieaktywny. Także wtedy, gdy użytkownik zamknie lub wyłączy klienta na dłuższy czas, program Security Server będzie wyświetlać program Client/Server Security Agent jako nieaktywny. Aby w drzewie grup zabezpieczeń wyświetlani byli wyłącznie aktywni klienci, program Security Server można skonfigurować tak, aby automatycznie usuwał nieaktywne programy Client/Server Security Agent z drzewa grup zabezpieczeń. Aby usunąć nieaktywnych agentów: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz automatyczne usuwanie nieaktywnego klienta Client/Server Security Agent: Umożliwia automatyczne usuwanie klientów, które nie nawiązały kontaktu z programem Security Server przez określoną liczbę dni. Automatycznie usuwaj klienta Client/Server Security Agent, jeśli jest nieaktywny przez {} dni: Liczba dni, przez które klient może być nieaktywny zanim zostanie usunięty z konsoli internetowej. 2. Kliknij przycisk Zapisz

294 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Weryfikacja łączności klient-serwer W programie Worry-Free Business Security Advanced stan połączenia klienta jest przedstawiany w drzewie grup zabezpieczeń w postaci ikony. Jednak niektóre warunki mogą uniemożliwiać wyświetlanie właściwego stanu połączenia klienta w drzewie grup zabezpieczeń. Na przykład, przypadkowe wyjęcie kabla sieciowego może uniemożliwić powiadomienie programu Trend Micro Security Server, że klient jest w trybie offline. W drzewie grup zabezpieczeń stan tego klienta będzie wciąż wyświetlany jako online. Połączenie klient-serwer można sprawdzić ręcznie lub według harmonogramu za pomocą konsoli internetowej. Uwaga: Funkcja Sprawdź połączenie nie pozwala na wybór określonych grup lub klientów. Sprawdza ona połączenie ze wszystkimi klientami zarejestrowanymi w programie Security Server. Aby zweryfikować łączność klient-serwer: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz sprawdzanie zaplanowane: Włącza zaplanowane sprawdzanie komunikacji agenta i programu Security Server. Co godzinę Codziennie Co tydzień, w Godzina rozpoczęcia: Godzina rozpoczęcia sprawdzania. Sprawdź teraz: Natychmiast rozpoczyna sprawdzanie łączności między agentami a programem Security Server. 2. Kliknij przycisk Zapisz

295 Konfigurowanie ustawień globalnych Obsługa folderu kwarantanny W przypadku, gdy agent wykryje zagrożenie internetowe w pliku, a operacją skanowania przypisaną do tego typu zagrożenia jest kwarantanna, agent zaszyfruje zarażony plik, umieści go w folderze kwarantanny klienta i wyśle do folderu kwarantanny programu Trend Micro Security Server. Program Worry-Free Business Security Advanced szyfruje zarażony plik, aby zapobiec zarażeniu innych plików. Domyślnie folder kwarantanny serwera Client/Server Security Agent znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT Domyślnie folder kwarantanny programu Trend Micro Security Server znajduje się wnastępującej lokalizacji: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: Jeżeli agent nie może z jakiegoś powodu wysłać zaszyfrowanego pliku do programu Trend Micro Security Server (np. ze względu na problem z połączeniem sieciowym), zaszyfrowany plik pozostaje w folderze kwarantanny klienta. Agent ponowi próbę wysłania pliku po połączeniu się z programem Trend Micro Security Server. Więcej informacji na temat konfiguracji ustawień skanowania i zmiany położenia folderu kwarantanny zawiera sekcja Ustawienia skanowania wirusów na str Aby obsługiwać foldery kwarantanny: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Pojemność folderu kwarantanny: Rozmiar folderu kwarantanny w megabajtach. Maksymalny rozmiar pojedynczego pliku: Maksymalny rozmiar (w megabajtach) pojedynczego pliku zapisanego w folderze kwarantanny. Usuń wszystkie pliki poddane kwarantannie: Usuwa wszystkie pliki w folderze kwarantanny. Jeśli folder jest pełny i załadowany zostanie nowy plik, nie zostanie on zapisany. 2. Kliknij przycisk Zapisz

296 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 12-16

297 Rozdział 13 Wykonywanie dodatkowych zadań administracyjnych W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca z Menedżerem dodatków czy dezinstalacja programu Security Server. Rozdział obejmuje następujące zagadnienia: Zmiana hasła konsoli internetowej na str Praca z Menedżerem dodatków na str Wyświetlanie szczegółów licencji produktu na str Uczestnictwo w infrastrukturze Smart Protection Network na str Zmiana języka interfejsu agenta na str Dezinstalacja programu Trend Micro Security Server na str

298 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Zmiana hasła konsoli internetowej Aby zapobiec zmianie ustawień lub usunięciu agentów z komputerów klienckich przez nieupoważnionych użytkowników, konsola internetowa jest chroniona hasłem. Główny program instalacyjny programu Worry-Free Business Security Advanced wymaga określenia hasła konsoli internetowej, jednak z poziomu konsoli można to hasło zmienić. Wskazówka: Firma Trend Micro zaleca użycie silnych haseł dla konsoli internetowej. Silne hasło ma długość co najmniej ośmiu znaków i zawiera co najmniej jedną wielką literę (A Z), co najmniej jedną małą literę (a z), co najmniej jedną cyfrę (0 9), jak również co najmniej jeden znak specjalny lub przestankowy (!@#$%^&,.:;?). Silne hasła nigdy nie powinny być identyczne jak nazwa logowania użytkownika ani zawierać tej nazwy. Nie należy także używać imienia ani nazwiska użytkownika, daty urodzin ani żadnej innej informacji, którą można łatwo utożsamić zużytkownikiem. Ścieżka nawigacji: Preferencje > Hasło RYSUNEK Ekran Preferencje hasło Aby zmienić hasło konsoli internetowej: 1. Zmień odpowiednio następujące opcje na ekranie Hasło: Stare hasło Nowe hasło Potwierdź hasło: Wpisz ponownie nowe hasło, aby je potwierdzić. 13-2

299 Wykonywanie dodatkowych zadań administracyjnych 2. Kliknij przycisk Zapisz. Uwaga: W przypadku zagubienia hasła konsoli internetowej, należy się skontaktować z pomocą techniczną firmy Trend Micro, aby otrzymać instrukcje dotyczące odzyskiwania dostępu do konsoli internetowej. Jedyną alternatywą jest usunięcie i ponowna instalacja programu Worry-Free Business Security Advanced. Patrz część Dezinstalacja programu Trend Micro Security Server na str Praca z Menedżerem dodatków Ścieżka nawigacji: Preferencje > Dodatki Menedżer dodatków wyświetla programy przeznaczone dla programu Worry-Free Business Security Advanced i agentów w konsoli internetowej zaraz po tym, jak zostaną one udostępnione. Można je instalować izarządzać nimi za pośrednictwem konsoli internetowej, łącznie z instalowaniem dodatków na komputerach z agentami. Menedżera dodatków można pobrać i zainstalować, klikając opcję Menedżer dodatków w menu głównym konsoli internetowej. Po zainstalowaniu Menedżera dodatków można sprawdzić dostępność dodatków. Więcej informacji znajduje się w dokumentacji dodatków. Wyświetlanie szczegółów licencji produktu Na ekranie licencji produktu można odnowić, zaktualizować albo wyświetlić szczegóły dotyczące licencji produktu. Ścieżka nawigacji: Preferencje > Licencja produktu 13-3

300 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Ekran Preferencje Licencja produktu Na ekranie Licencja produktu wyświetlane są szczegółowe informacje odnośnie licencji. W zależności od opcji wybranych w czasie instalacji może to być wersja zpełną licencją lub wersja testowa. W obu przypadkach licencja upoważnia użytkownika do korzystania z umowy serwisowej. Po wygaśnięciu umowy serwisowej komputery klienckie w sieci będą chronione w bardzo ograniczony sposób. Należy użyć ekranu Licencja produktu, aby sprawdzić datę wygaśnięcia licencji i odnowić ją przed upływem tego terminu. Konsekwencje nieważnej licencji Po wygaśnięciu kodu aktywacyjnego pełnej wersji nie będzie możliwe pobieranie aktualizacji silników i plików sygnatur. Jednak w przeciwieństwie do kodu aktywacyjnego wersji testowej, wszystkie istniejące konfiguracje i ustawienia nadal obowiązują po wygaśnięciu kodu aktywacyjnego pełnej wersji. Umożliwia to zachowanie pewnego poziomu zabezpieczeń na wypadek, gdyby użytkownik przez nieuwagę doprowadził do wygaśnięcia licencji. Aby odnowić licencję produktu: 1. Skontaktuj się z przedstawicielem handlowym lub dystrybutorem oprogramowania firmy Trend Micro w celu odnowienia umowy licencyjnej. Informacje o sprzedawcach znajdują się w pliku: Program files\trend micro\security server\pccsrv\ private\contact_info.ini 13-4

301 Wykonywanie dodatkowych zadań administracyjnych 2. Sprzedawca firmy Trend Micro zaktualizuje informacje rejestracyjne za pomocą funkcji rejestracji produktów firmy Trend Micro. 3. Program Security Server sprawdza serwer rejestracji produktu i pobiera nową datę ważności bezpośrednio z tego serwera. Podczas odnawiania licencji nie jest konieczne ręczne wprowadzanie nowego kodu aktywacyjnego. Zmiana licencji Kod aktywacyjny decyduje o typie posiadanej licencji. Użytkownik może posiadać wersję testową lub wersję zpełną licencją, bądź licencję produktu Worry-Free Business Security Advanced albo produktu Worry-Free Business Security. Aby zmienić licencję, można użyć ekranu Licencja produktu celem wprowadzenia nowego kodu aktywacyjnego. Aby zmienić licencję z wersji testowej na wersję zpełną licencją: 1. Kliknij przycisk Wprowadź nowy kod. 2. Wpisz nowy kod aktywacyjny w odpowiednim polu. 3. Kliknij przycisk Aktywuj. Uczestnictwo w infrastrukturze Smart Protection Network Uczestnictwo w infrastrukturze Smart Protection Network firmy Trend Micro pomoże firmie Trend Micro dostarczać proaktywne rozwiązania, które blokują zagrożenia zanim dotrą do komputerów w Twojej firmie. Uczestnicy infrastruktury Smart Protection Network dostarczają informacji istotnych dla naszych technologii korelacji, dzięki którym możliwe jest wyeliminowanie źródeł zagrożeń zanim wyrządzą więcej szkód. Ten mechanizm pozwala na uzyskanie informacji o zagrożeniach opartych na reputacji źródła komunikacji, a nie na zawartości określonej komunikacji, w związku z czym informacje prywatne i firmowe klienta są zawsze chronione. Ścieżka nawigacji: Preferencje > Smart Protection Network 13-5

302 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora RYSUNEK Ekran przystąpienia do infrastruktury Smart Protection Network Więcej informacji na temat infrastruktury Smart Protection Network można uzyskać na stronie: Zmiana języka interfejsu agenta Administratorzy mogą udostępnić pakiety językowe z określonymi ustawieniami regionalnymi dla programu Client/Server Security Agent. Kiedy administratorzy zainstalują wszystkie pakiety językowe, użytkownicy będą mogli wyświetlić interfejs programu Client/Server Security Agent w języku odpowiadającym ustawieniom regionalnym systemu operacyjnego. Uwaga: Język używany w interfejsie agenta będzie odpowiadał ustawieniom regionalnym skonfigurowanym w systemie operacyjnym klienta. Aby udostępnić pakiety językowe: 1. Pobierz odpowiednie pakiety językowe przy użyciu łączy. 2. Skopiuj pakiety językowe do katalogu PCCSRV\Download\LangPack\ na serwerze zabezpieczeń. 3. Uruchom ponownie komputery klienckie, które wymagają nowego pakietu językowego. 13-6

303 Wykonywanie dodatkowych zadań administracyjnych Dezinstalacja programu Trend Micro Security Server OSTRZEŻENIE! Dezinstalacja programu Trend Micro Security Server naraża sieć na atak. Program Worry-Free Business Security Advanced korzysta z programu odinstalowującego, aby bezpiecznie usunąć program Trend Micro Security Server z komputera. Przed usunięciem programu Security Server usuń agenta ze wszystkich komputerów klienckich. Uwaga: Odinstalowanie programu Trend Micro Security Server nie powoduje dezinstalacji agentów. Przed odinstalowaniem programu Trend Micro Security Server administratorzy muszą odinstalować lub przenieść wszystkich agentów. Patrz część Usuwanie agentów na str Aby usunąć program Trend Micro Security Server: 1. Na komputerze, na którym przeprowadzono instalację, kliknij kolejno Start > Panel sterowania > Dodaj lub usuń programy. 2. Kliknij pozycję Trend Micro Security Server, a następnie kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran potwierdzenia. 3. Kliknij przycisk Dalej. Dezinstalator serwera poprosi o podanie hasła administratora. 4. W polu tekstowym wpisz hasło administratora i kliknij przycisk OK. Program odinstalowujący rozpocznie usuwanie plików serwera. Po odinstalowaniu programu Security Server zostanie wyświetlony komunikat potwierdzenia. 5. Kliknij przycisk OK, aby zamknąć program odinstalowujący. 13-7

304 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 13-8

305 Rozdział 14 Używanie narzędzi administracyjnych i klienckich W tym rozdziale omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem Worry-Free Business Security Advanced. Rozdział obejmuje następujące zagadnienia: Typy narzędzi na str Narzędzia administracyjne na str Narzędzia klienckie na str Dodatki na str

306 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Typy narzędzi Program Worry-Free Business Security Advanced zawiera zestaw narzędzi pozwalających łatwo wykonywać różne zadania, takie jak konfiguracja serwera i zarządzanie klientami. Uwaga: Nie można korzystać z opisanych narzędzi z poziomu konsoli internetowej. Aby uzyskać instrukcje na temat uruchamiania narzędzi, należy zapoznać się zponiższymi sekcjami. Narzędzia te dzielą się na trzy kategorie: Narzędzia administracyjne: Ułatwiają konfigurację programu Trend Micro Security Server oraz zarządzanie agentami. Ustawienia skryptu logowania (autopcc.exe): Umożliwia automatyzację instalacji programu Client/Server Security Agent. Narzędzie Vulnerability Scanner (TMVS.exe): Wyszukuje niezabezpieczone komputery w sieci. Narzędzia klienckie: Umożliwiają rozszerzenie możliwości agentów. Program Client Packager (ClnPack.exe): Umożliwia tworzenie samorozpakowujących się plików zawierających program Client/Server Security Agent i właściwe składniki. Przywracanie zaszyfrowanych wirusów (VSEncode.exe): Umożliwia otwarcie zainfekowanych plików przy użyciu Worry-Free Business Security Advanced. Narzędzie Touch Tool (TmTouch.exe): Umożliwia zmianę sygnatury czasowej pakietu hot fix w celu synchronizacji z zegarem systemowym. Narzędzie Client Mover Tool (IpXfer.exe): Przenosi klientów między programami Security Server. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu Worry-Free Business Security Advanced oraz systemu operacyjnego. Dodatki: Dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server 2008 pozwalają administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli 14-2

307 Używanie narzędzi administracyjnych i klienckich programów SBS i EBS. Te same szczegółowe informacje są wyświetlane na ekranie Stan aktywności. Uwaga: Niektóre narzędzia dostępne w poprzednich wersjach programu Worry-Free Business Security Advanced nie są dostępne w tej wersji. Jeżeli są one potrzebne, należy się skontaktować z pomocą techniczną firmy Trend Micro. Patrz Pomoc techniczna firmy Trend Micro na str Narzędzia administracyjne Niniejsza sekcja zawiera informacje o narzędziach administracyjnych programu Worry-Free Business Security Advanced. Ustawienia skryptu logowania Za pomocą Ustawień skryptu logowania można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach zaraz po zalogowaniu się w sieci. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Sprawdza wersję systemu operacyjnego niechronionego komputera klienckiego i instaluje odpowiednią wersję programu Client/Server Security Agent. Aktualizuje pliki programów i sygnatury wirusów. Aby uzyskać instrukcje odnośnie instalowania agentów, patrz Instalacja za pomocą skryptu logowania na str Vulnerability Scanner Narzędzie Vulnerability Scanner wykrywa zainstalowane rozwiązania antywirusowe i wyszukuje w sieci niezabezpieczone komputery. Aby określić, czy dany komputer jest zabezpieczony, narzędzie Vulnerability Scanner sprawdza porty używane zwykle przez programy antywirusowe. 14-3

308 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Narzędzie Vulnerability Scanner może wykonywać następujące funkcje: Monitorowanie sieci pod kątem żądań DHCP wysyłanych przez komputery w trakcie pierwszego logowania do sieci narzędzie Vulnerability Scanner może określić ich stan Wysyłanie polecenia ping do komputerów w sieci w celu sprawdzenia ich stanu oraz wyszukania nazw, wersji platform i opisów Określanie rozwiązań antywirusowych zainstalowanych w sieci. Wykrywane są produkty Trend Micro (w tym OfficeScan, ServerProtect dla Windows NT i Linux, ScanMail dla Microsoft Exchange, InterScan Messaging Security Suite, oraz PortalProtect) i programy antywirusowe innych firm (w tym Norton AntiVirus Corporate Edition v7.5 i v7.6, oraz McAfee VirusScan epolicy Orchestrator). Wyświetlanie nazwy serwera i wersji pliku sygnatur, silnika skanowania i programu produktów OfficeScan oraz ServerProtect dla systemu Windows NT Wysyłanie wyników skanowania za pośrednictwem poczty Uruchamianie w trybie cichym (tryb wiersza polecenia) Zdalne instalowanie programu Client/Server Security Agent na komputerach z systemami Windows Vista/2000/XP (tylko Professional)/Server 2003 (R2) Narzędzie Vulnerability Scanner można też zautomatyzować, tworząc zadania zaplanowane. Aby uzyskać informacje na temat automatyzacji narzędzia Vulnerability Scanner, patrz pomoc elektroniczna TMVS. Aby uruchomić narzędzie Vulnerability Scanner na komputerze innym niż serwer, skopiuj na niego folder TMVS ze ścieżki \PCCSRV\Admin\Utility na serwerze. Uwaga: Nie można zainstalować programu Client/Server Security Agent z narzędziem Vulnerability Scanner, jeśli na tym samym komputerze znajduje się składnik serwera programu Worry-Free Business Security Advanced. Narzędzie Vulnerability Scanner nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony składnik serwera programu Worry-Free Business Security Advanced. 14-4

309 Używanie narzędzi administracyjnych i klienckich Aby skonfigurować narzędzie Vulnerability Scanner: 1. Na dysku, na którym zainstalowano składnik serwera programu Worry-Free Business Security Advanced, otwórz następujące katalogi: Trend Micro Security Server > PCCSRV >Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Settings. Zostanie wyświetlony ekran Settings. 3. W polu Product Query wybierz produkty do sprawdzenia w sieci. Aby wybrać wszystkie produkty, wybierz opcję Check for all Trend Micro products. Jeżeli w sieci zainstalowano produkt InterScan firmy Trend Micro i program Norton AntiVirus Corporate Edition, kliknij przycisk Settings obok nazwy produktu, aby zweryfikować numer portu do sprawdzenia przez narzędzie Vulnerability Scanner. 4. W obszarze Description Retrieval Settings wybierz metodę wyszukiwania, której chcesz używać. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Normal Retrieval, a następnie zaznaczając pole wyboru Retrieve computer descriptions when available, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, w opcji Alert Settings zaznacz pole wyboru results to the system Administrator, a następnie kliknij przycisk Configure, aby określić ustawienia poczty To From SMTP Server: Adres serwera SMTP użytkownika. Na przykład adres smtp.firma.com. Informacja o serwerze SMTP jest wymagana. Subject 6. Aby na niechronionych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij przycisk Customize, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Alert Message. Można wpisać nowy komunikat ostrzeżenia lub zaakceptować domyślny. Kliknij przycisk OK. 14-5

310 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 7. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatically save the results to a CSV file. Pliki danych CSV są domyślnie zapisywane w folderze TMVS. Jeżeli chcesz zmienić domyślny folder CSV, kliknij przycisk Browse. Zostanie wyświetlony ekran Browse for folder. Przeglądaj w poszukiwaniu folderu docelowego w swoim komputerze lub sieci, a następnie kliknij przycisk OK. 8. Można ustawić narzędzie Vulnerability Scanner tak, aby wysyłało polecenia ping do komputerów w sieci w celu uzyskania informacji o ich stanach. W obszarze Ping Settingsokreśl sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Packet size i Timeout. 9. Aby zdalnie zainstalować agenta i wysłać dziennik na serwer, wpisz nazwę serwera i numer portu. Aby zdalnie zainstalować agenta w sposób automatyczny, zaznacz pole wyboru Auto-install Client/Server Security Client on unprotected computers. 10. Kliknij Install Account, aby skonfigurować konto. Zostanie wyświetlony ekran Account Information. 11. Wpisz nazwę użytkownika oraz hasło i kliknij przycisk OK. 12. Kliknij przycisk OK, aby zapisać ustawienia. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. Aby uruchomić ręczne skanowanie w zakresie podatności na uszkodzenie pewnego zakresu adresów IP: 1. W obszarze IP Range to Check wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. Uwaga: Narzędzie Vulnerability Scanner obsługuje tylko adresy IP klasy B. 2. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. Wyniki wyświetlane są w tabeli Results. 14-6

311 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Vulnerability Scanner na komputerach uzyskujących adres IP z serwera DHCP: 1. Kliknij kartę DHCP Scan w polu Results. Zostanie wyświetlony przycisk DHCP Start. 2. Kliknij przycisk DHCP Start. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów na atak, kiedy będą się logować do sieci. Aby utworzyć zadania zaplanowane: 1. W obszarze Scheduled Tasks kliknij pozycję Add/Edit. Zostanie wyświetlony ekran Scheduled Task. 2. W polu Task Name wpisz nazwę tworzonego zadania. 3. W obszarze IP Address Range wpisz zakres adresów IP do sprawdzenia pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. 4. W obszarze Task Schedule określ częstotliwość wykonywania tworzonego zadania. Można ustawić wykonywanie zadania Daily, Weekly lub Monthly. Po zaznaczeniu opcji Weekly należy wybrać dzień z listy. Po zaznaczeniu opcji Monthly należy wybrać datę z listy. 5. W menu Start time wpisz godzinę wykonania zadania lub wybierz ją z listy. Należy użyć 24-godzinnego formatu czasu. 6. W obszarze Settings wybierz opcję Use current settings, aby użyć istniejących ustawień lub opcję Modify settings. Po wybraniu opcji Modify settings należy kliknąć Settings, aby zmienić konfigurację. Aby uzyskać informacje na temat konfigurowania ustawień, należy zapoznać się zprocedurą opisaną w krokach od Step 3 do Step 12 w sekcji Aby skonfigurować narzędzie Vulnerability Scanner: na str Kliknij przycisk OK, aby zapisać ustawienia. Utworzone zadanie zostanie wyświetlone w obszarze Scheduled Tasks. 14-7

312 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Inne ustawienia Aby skonfigurować poniższe ustawienia, należy zmodyfikować plik TMVS.ini: EchoNum: Ustawianie liczby komputerów klienckich, do których narzędzie Vulnerability Scanner będzie jednocześnie wysyłać polecenie ping. ThreadNumManual: Ustawianie liczby komputerów klienckich, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego. ThreadNumSchedule: Ustawianie liczby komputerów klienckich, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego w trakcie wykonywania zadań zaplanowanych. Aby zmienić te ustawienia: 1. Otwórz folder TMVS i znajdź plik TMVS.ini. 2. Otwórz plik TMVS.ini w programie Notatnik lub innym edytorze. 3. Aby ustawić liczbę komputerów, do których narzędzie Vulnerability Scanner wysyła jednocześnie polecenie ping, zmień wartość pozycji EchoNum. Podaj wartość między 1 a 64. Przykładowo można wpisać wartość EchoNum=60, aby narzędzie Vulnerability Scanner wysyłało polecenie ping jednocześnie do 60 komputerów. 4. Aby ustawić liczbę komputerów sprawdzanych jednocześnie przez narzędzie Vulnerability Scanner pod kątem oprogramowania antywirusowego, zmień wartość pozycji ThreadNumManual. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumManual=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego. 5. Aby ustawić liczbę komputerów, które będą jednocześnie sprawdzane przez narzędzie Vulnerability Scanner pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania zadań zaplanowanych, zmień wartość ThreadNumSchedule. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumSchedule=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania przez narzędzie Vulnerability Scanner zadań zaplanowanych. 14-8

313 Używanie narzędzi administracyjnych i klienckich 6. Zapisz plik TMVS.ini. Narzędzia klienckie Niniejsza sekcja zawiera informacje o narzędziach klienckich programu Worry-Free Business Security Advanced. Program Client Packager Client Packager to narzędzie służące do kompresowania plików instalacyjnych i aktualizacyjnych do postaci samorozpakowującej, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Ma on również funkcję poczty elektronicznej umożliwiającą otwarcie książki adresowej programu Microsoft Outlook i przesłanie samorozpakowującego się pakietu z konsoli programu Client Packager. Aby uruchomić narzędzie Client Packager, dwukrotnie kliknij plik. Klienci programu Worry-Free Business Security Advanced zainstalowani za pomocą narzędzia Client Packager przesyłają do serwera informacje o lokalizacji pakietu ustawień. Przywracanie zaszyfrowanych wirusów Programy Client/Server Security Agent i Messaging Security Agent szyfrują zainfekowane pliki oraz załączniki, aby zapobiec otwieraniu ich przez użytkowników i rozprzestrzenianiu wirusów oraz złośliwego oprogramowania na inne pliki komputera klienckiego. Program Client/Server Security Agent szyfruje plik za każdym razem, gdy tworzy jego kopię zapasową, poddaje go kwarantannie lub zmienia jego nazwę. Poddany kwarantannie plik jest przechowywany w folderze \Suspect na komputerze klienckim, a następnie wysyłany do katalogu kwarantanny. Plik kopii zapasowej jest przechowywany w folderze \Backup na komputerze klienckim, który znajduje się zazwyczaj w następującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\Backup\. Za każdym razem, gdy program Messaging Security Agent tworzy kopie zapasowe zainfekowanych plików lub załączników, poddaje je kwarantannie lub archiwizuje, pliki są szyfrowane i przechowywane w folderze przechowywania programu MSA, 14-9

314 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora zazwyczaj w następującej lokalizacji: C:\Program Files\Trend Micro\Messaging Security Agent\storage\. W niektórych przypadkach może jednak zaistnieć konieczność otwarcia pliku, mimo że jest on zarażony. Przykładowo zarażony został ważny dokument; musisz odzyskać zawarte w nim informacje i w tym celu dokonasz odszyfrowania zainfekowanego pliku. Do odszyfrowania zarażonych wirusów można użyć funkcji Przywracanie zaszyfrowanych plików. Uwaga: Aby zapobiec ponownemu wykryciu wirusa przez program Client/Server Security Agent podczas korzystania z opcji Przywracanie zaszyfrowanych wirusów oraz złośliwego oprogramowania, należy wyłączyć folder docelowy odszyfrowywania ze skanowania w czasie rzeczywistym. OSTRZEŻENIE! Odszyfrowanie zarażonego pliku może spowodować przeniesienie wirusa lub złośliwego oprogramowania na inne pliki. Narzędzie Przywracanie zaszyfrowanych wirusów wymaga następujących plików: Plik główny: VSEncode.exe Wymagane pliki DLL: VSAPI32.dll Aby odszyfrować pliki w folderze kwarantanny: 1. Skopiuj folder VSEncrypt z programu Security Server do komputera klienckiego: \PCCSRV\Admin\Utility\VSEncrypt. OSTRZEŻENIE! Nie należy kopiować folderu VSEncrypt do folderu programu Worry-Free Business Security Advanced. Wystąpi konflikt między plikiem VSAPI32.dll funkcji Przywracanie zaszyfrowanych wirusów a oryginalnym plikiem VSAPI32.dll. 2. Otwórz wiersz polecenia i przejdź do lokalizacji, w której znajduje się skopiowany folder VSEncrypt. 3. Uruchom funkcję Przywracanie zaszyfrowanego wirusa z następującymi parametrami: 14-10

315 Używanie narzędzi administracyjnych i klienckich brak parametru: szyfrowanie plików w folderze kwarantanny -d: odszyfrowywanie plików w folderze kwarantanny -debug: tworzenie dziennika diagnostycznego w folderze głównym klienta /o: zastąpienie zaszyfrowanego lub odszyfrowanego pliku, jeżeli już istnieje /f: {nazwa pliku}. zaszyfrowanie lub odszyfrowanie pojedynczego pliku /nr: nieprzywracanie oryginalnej nazwy pliku Można na przykład wpisać ciąg VSEncode [-d] [-debug], aby odszyfrować pliki w folderze Kwarantanna i utworzyć dziennik diagnostyczny. W przypadku szyfrowania lub odszyfrowywania pliku program OfficeScan tworzy zaszyfrowany lub odszyfrowany plik w tym samym katalogu. Uwaga: Zaszyfrowanie lub odszyfrowanie zablokowanych plików może być niemożliwe. Funkcja Przywracanie zaszyfrowanego wirusa udostępnia następujące dzienniki: VSEncrypt.log. Zawiera szczegóły dotyczące szyfrowania i odszyfrowywania. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:). VSEncDbg.log. Zawiera szczegóły diagnostyczne. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:), jeżeli program VSEncode.exe został uruchomiony z parametrem -debug. Aby zaszyfrowywać lub odszyfrowywać pliki w innej lokalizacji: 1. Utwórz plik tekstowy i wpisz pełną ścieżkę plików, które chcesz zaszyfrować lub odszyfrować. Na przykład aby zaszyfrować lub odszyfrować pliki znajdujące się w C:\Moje dokumenty\raporty, w pliku tekstowym wpisz C:\Moje dokumenty\raporty\*.*. Następnie zapisz plik tekstowy z rozszerzeniem INI lub TXT, na przykład jako DoZaszyfrowania.ini na dysku C:. 2. W wierszu polecenia uruchom narzędzie Przywracanie zaszyfrowanych wirusów, wpisując ciąg VSEncode.exe -d -i{lokalizacja pliku INI lub TXT}, gdzie {lokalizacja pliku INI lub TXT} jest ścieżką i nazwą utworzonego pliku INI lub TXT (na przykład C:\DoZaszyfrowania.ini)

316 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora Przywracanie wiadomości w formacie Transport Neutral Encapsulation Format Format enkapsulacji TNEF jest używany w programach Microsoft Exchange/Outlook. Zazwyczaj jest on dodawany jako załącznik wiadomości o nazwie Winmail.dat, który jest automatycznie ukrywany w programie Outlook Express. Patrz: Jeśli program MSA archiwizuje ten typ wiadomości i rozszerzenie pliku jest zmieniane na.eml, to w programie Outlook Express jest wyświetlana tylko treść wiadomości. Program Touch Tool Narzędzie Touch Tool umożliwia synchronizację sygnatury czasowej jednego pliku z sygnaturą innego pliku lub czasem systemowym komputera. Jeżeli nie powiodła się próba instalacji pakietu hot fix (aktualizacji lub poprawki firmy Trend Micro) na serwerze zabezpieczeń firmy Trend Micro, do zmiany sygnatury czasowej poprawki należy użyć narzędzia Touch Tool. Spowoduje to, że program Worry-Free Business Security Advanced zinterpretuje plik pakietu hot fix jako nowy, dzięki czemu serwer spróbuje ponownie automatycznie zainstalować ten pakiet. Aby uruchomić narzędzie Touch Tool: 1. Na serwerze zabezpieczeń firmy Trend Micro przejdź do następującego katalogu: \PCCSRV\Admin\Utility\Touch 2. Skopiuj plik TmTouch.exe do folderu, gdzie znajduje się plik, który ma zostać zmieniony. Aby zsynchronizować sygnaturę czasową pliku z sygnaturą innego pliku, umieść oba pliki w tym samym miejscu co narzędzie Touch Tool. 3. Otwórz wiersz polecenia i przejdź do lokalizacji narzędzia Touch Tool. 4. Wpisz poniższy tekst: TmTouch.exe <nazwa_pliku_docelowego> <nazwa_pliku_źródłowego> 14-12

317 Używanie narzędzi administracyjnych i klienckich gdzie: <nazwa_pliku_docelowego> = nazwa pliku (na przykład hot fix), którego oznaczenie czasu ma zostać zmienione <nazwa_pliku_źródłowego> = nazwa pliku, którego oznaczenie czasowe ma być powielone Jeżeli nazwa pliku źródłowego nie zostanie określona, narzędzie ustawi sygnaturę czasową pliku docelowego zgodnie z czasem systemowym komputera. Uwaga: W polu nazwy pliku docelowego możesz użyć znaku *, ale nie możesz tego zrobić w polu nazwy pliku źródłowego. 5. Aby sprawdzić zmianę sygnatury, w wierszu polecenia wpisz dir lub w oknie Eksplorator Windows kliknij prawym przyciskiem myszy nazwę pliku i wybierz z menu polecenie Właściwości. Narzędzie Client Mover Jeśli w sieci pracuje więcej niż jeden serwer Worry-Free Business Security Advanced, można za pomocą narzędzia Client Mover przenosić klientów z jednego serwera Worry-Free Business Security Advanced na inny. Jest to szczególnie przydatne po dodaniu nowego serwera Worry-Free Business Security Advanced do sieci, gdy zachodzi potrzeba przeniesienia istniejących klientów na nowy serwer. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu Worry-Free Business Security Advanced oraz systemu operacyjnego. Narzędzie Client Mover wymaga pliku IpXfer.exe. Aby uruchomić narzędzie Client Mover: 1. Na serwerze Worry-Free Business Security Advanced przejdź do następującego katalogu: \PCCSRV\Admin\Utility\IpXfer. 2. Skopiuj plik IpXfer.exe na komputer kliencki, który ma zostać przeniesiony. 3. Otwórz na tym komputerze wiersz polecenia, a następnie przejdź do folderu zawierającego skopiowany plik

318 Trend Micro Worry-Free Business Security Advanced 5.1 Podręcznik administratora 4. Uruchom narzędzie Client Mover, używając następującej składni: gdzie: IpXfer.exe -s <nazwa_serwera> -p <server_listening_port> -m 1 -c <port_nasłuchiwania_klienta> <nazwa_serwera> = nazwa docelowego serwera Worry-Free Business Security Advanced (serwera, na który zostanie przeniesiony klient). <port_nasłuchiwania_serwera> = (zaufany) port nasłuchiwania serwera docelowego Worry-Free Business Security Advanced. Aby wyświetlić informację o porcie nasłuchiwania w konsoli internetowej, kliknij opcję Ustawienia zabezpieczeń. Numer portu jest widoczny obok nazwy serwera zabezpieczeń. 1 = Po opcji -m trzeba wprowadzić liczbę 1 <port_nasłuchiwania_klienta> = numer portu klienta Aby sprawdzić, czy komputer kliencki zgłasza się teraz do innego serwera: 1. W obszarze klienta kliknij prawym przyciskiem myszy ikonę Client/Server Security Agent na pasku zadań. 2. Wybierz opcję Client/Server Security Agent Konsola. 3. W sekcji Informacje o produkcie na karcie Pomoc kliknij opcję więcej informacji. 4. Upewnij się, że program CSA zgłasza się do właściwego serwera zabezpieczeń. Dodatki Program Worry-Free Business Security Advanced jest wyposażony w dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server Pozwalają one administratorowi wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS

319 Używanie narzędzi administracyjnych i klienckich RYSUNEK Konsola programu SBS, na której wyświetlane są informacje obieżącym stanie Instalowanie dodatków SBS i EBS Dodatki SBS lub EBS są instalowane automatycznie podczas instalacji programu Security Server na komputerze z zainstalowanymi programami SBS 2008 lub EBS Aby możliwe było korzystanie z tych dodatków na innym komputerze, konieczna jest ich ręczna instalacja. Aby ręcznie zainstalować dodatki dla programów SBS lub EBS 2008: 1. Należy przejść do konsoli internetowej, korzystając z komputera z zainstalowanym programem SBS lub EBS Kliknąć kolejno opcje Preferencje > Narzędzia, a następnie kliknąć kartę Dodatki. 3. Kliknąć odpowiednie łącze Pobierz, aby pobrać dodatek SBS lub EBS Otworzyć pobrany plik na komputerze lokalnym i przeprowadzić instalację