Worry-Free Business Security6

Transkrypt

1 Worry-Free Business Security6 TM for Small and Medium Business Podręcznik administratora

2

3 Firma Trend Micro Incorporated zastrzega sobie prawo do wprowadzania, bez wcześniejszej zapowiedzi, zmian w tym dokumencie oraz w opisanych w nim produktach. Przed zainstalowaniem i korzystaniem z oprogramowania należy zapoznać się z plikami readme, uwagami do wydania oraz najnowszą wersją właściwej dokumentacji użytkownika, które są dostępne w witrynie internetowej firmy Trend Micro pod adresem: Trend Micro, logo Trend Micro t-ball, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan i ScanMail są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Trend Micro Incorporated. Pozostałe nazwy produktów i firm mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi odpowiednich właścicieli. Copyright Trend Micro Incorporated. Wszelkie prawa zastrzeżone. Numer katalogowy dokumentu: WBEM64407/ Data wydania: Marzec 2010 Nazwa produktu i numer wersji: Trend Micro Worry-Free Business Security 6.0 SP 2 Podlega ochronie patentami USA o numerach: i

4 W dokumentacji użytkownika do programu Trend Micro Worry-Free Business Security omówiono podstawowe funkcje tego oprogramowania i zamieszczono instrukcję jego instalacji w środowisku produkcyjnym. Należy go przeczytać przed zainstalowaniem lub rozpoczęciem użytkowania oprogramowania. Szczegółowe informacje na temat korzystania z poszczególnych funkcji oprogramowania znajdują się w pliku pomocy elektronicznej oraz w elektronicznej Bazie wiedzy, dostępnej w witrynie internetowej firmy Trend Micro.

5 Spis treści Spis treści Rozdział 1: Wprowadzenie do programu Trend Micro Worry-Free Business Security Omówienie programu Trend Micro Worry-Free Business Security Co nowego Wersja Wersja 6.0 Service Pack Wersja 6.0 Service Pack Kluczowe funkcje Infrastruktura Trend Micro Smart Protection Network Smart Feedback Web Reputation Reputacja plików Filtrowanie adresów URL Zalety ochrony Składniki Informacje o zagrożeniach Terminologia związana ze składnikami produktu Rozdział 2: Wprowadzenie Dostęp do konsoli internetowej Stan aktywności Wyświetlanie ustawień zabezpieczeń Rozdział 3: Instalowanie agentów Omówienie instalacji agentów Omówienie instalacji/uaktualniania/migracji agentów Wykonywanie nowej instalacji iii

6 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Instalowanie z wewnętrznej strony internetowej Instalacja za pomocą skryptu logowania Instalowanie przy użyciu skryptów Instalacja za pomocą programu Client Packager Instalowanie za pomocą pliku MSI Instalowanie za pomocą instalacji zdalnej Instalacja za pomocą narzędzia Vulnerability Scanner Instalowanie za pomocą powiadomienia Weryfikowanie instalacji, uaktualnienia lub migracji agenta Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner Testowanie instalacji klienta za pomocą skryptu testowego EICAR Usuwanie agentów Usuwanie agenta przy użyciu programu do odinstalowywania agentów Usuwanie agenta za pomocą konsoli internetowej Rozdział 4: Zarządzanie grupami Przegląd grup Wyświetlanie klientów w grupie Dodawanie grup Usuwanie komputerów i grup z konsoli internetowej Dodawanie klientów do grup Przenoszenie klientów Replikowanie ustawień grup Importowanie i eksportowanie ustawień Rozdział 5: Zarządzanie podstawowymi ustawieniami zabezpieczeń Opcje dla grup komputerów i serwerów Typy skanowania iv

7 Spis treści Konfigurowanie skanowania w czasie rzeczywistym Zarządzanie zaporą System wykrywania włamań (IDS) Kontrola stanowa Konfigurowanie zapory Korzystanie z usługi Web Reputation Konfigurowanie usługi Web Reputation Konfigurowanie filtrowania adresów URL Korzystanie z monitorowania zachowania Konfigurowanie monitorowania zachowania TrendSecure Konfigurowanie usługi TrendSecure Zarządzanie skanowaniem poczty POP Konfigurowanie skanowania poczty Uprawnienia klienta Zarządzanie kwarantanną Rozdział 6: Korzystanie z funkcji Ochrona przed epidemią Strategia ochrony przed epidemią Bieżący stan funkcji Ochrona przed epidemią Czyszczenie zagrożeń Potencjalne zagrożenie Uruchamianie funkcji Wyczyść teraz Konfigurowanie funkcji Ochrona przed epidemią Konfigurowanie opcji funkcji Ochrona przed epidemią Wyświetlanie szczegółów dotyczących Automatycznej ochrony przed epidemią Konfigurowanie ustawień oceny narażenia na atak v

8 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Rozdział 7: Zarządzenie skanowaniami Skanowanie informacje Metody skanowania Wybieranie metody skanowania Typy skanowania Konfiguracja opcji skanowania ręcznego i zaplanowanego Edycja listy dozwolonych programów typu spyware/grayware Planowanie skanowania Rozdział 8: Zarządzanie powiadomieniami Powiadomienia Konfigurowanie zdarzeń dla powiadomień Dostosowywanie alarmów powiadomień Użycie tokenów Konfigurowanie ustawień powiadamiania Rozdział 9: Zarządzanie ustawieniami globalnymi Konfigurowanie preferencji globalnych Opcje internetowego serwera proxy Opcje serwera SMTP Opcje komputera/serwera Opcje systemowe Rozdział 10: Zarządzanie aktualizacjami Aktualizacja składników ActiveUpdate Składniki, które można aktualizować Aktualizacja programu Security Server Źródła aktualizacji vi

9 Spis treści Konfigurowanie źródła aktualizacji Korzystanie z agentów aktualizacji Aktualizacje ręczne Ręczne aktualizowanie składników Aktualizacje zaplanowane Planowanie aktualizacji składników Wycofywanie lub synchronizacja składników Pakiety hot fix, poprawki i dodatki Service Pack Rozdział 11: Korzystanie z dzienników i raportów Dzienniki Korzystanie z kwerendy dziennika Raporty Interpretowanie raportów Generowanie raportów Zarządzanie dziennikami i raportami Obsługa raportów Usuwanie dzienników Rozdział 12: Administrowanie programem WFBS Zmiana hasła konsoli internetowej Praca z Menedżerem dodatków Wyświetlanie szczegółów licencji produktu Uczestnictwo w infrastrukturze Smart Protection Network Zmiana języka interfejsu agenta Dezinstalacja programu Trend Micro Security Server Dodatek A: Lista wykluczeń produktów Trend Micro vii

10 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Dodatek B: Informacje o kliencie Typy klientów... B-2 Ikony klientów zwykłych... B-2 Rozpoznawanie lokalizacji... B-7 Klienty mobilne... B-8 Klienty 32- i 64-bitowe... B-10 Dodatek C: usługi firmy Trend Micro Reguły ochrony przed epidemią... C-2 Damage Cleanup Services... C-2 Ocena narażenia na atak... C-3 IntelliScan... C-4 ActiveAction... C-5 IntelliTrap... C-7 Web Reputation... C-8 Dodatek D: Najlepsze sposoby zabezpieczania klientów Najlepsze sposoby...d-2 Dodatek E: Używanie narzędzi administracyjnych i klienckich Typy narzędzi... E-2 Narzędzia administracyjne... E-3 Ustawienia skryptu logowania... E-3 Vulnerability Scanner... E-3 Korzystanie z narzędzia Vulnerability Scanner... E-5 Remote Manager Agent... E-9 Narzędzie czyszczenia dysków... E-9 Narzędzia klienckie...e-11 viii

11 Spis treści Client Packager... E-11 Przywracanie zaszyfrowanych wirusów... E-11 Narzędzie Touch Tool... E-14 Narzędzie Client Mover... E-15 Dodatki... E-17 Instalowanie dodatków SBS i EBS... E-17 Dodatek F: Rozwiązywanie problemów i często zadawane pytania Rozwiązywanie problemów...f-2 Często zadawane pytania (FAQ)...F-8 Gdzie znaleźć kod aktywacyjny i klucz rejestracyjny?...f-8 Rejestracja...F-9 Instalacja, uaktualnianie i zgodność...f-9 Jak mogę odzyskać zgubione lub zapomniane hasło?...f-10 Ochrona oprogramowania Intuit...F-10 Konfigurowanie ustawień...f-10 Czy mam najnowszy plik sygnatur lub dodatek Service Pack?...F-12 Skanowanie inteligentne Smart Scan...F-13 Znane problemy...f-13 Dodatek G: Uzyskiwanie pomocy Dokumentacja produktu...g-2 Baza wiedzy...g-3 Pomoc techniczna...g-4 Kontakt z firmą Trend Micro...G-5 Przesyłanie podejrzanych plików do firmy Trend Micro...G-5 Centrum informacji o wirusach...g-6 TrendLabs...G-7 Dodatek H: Glosariusz Indeks ix

12 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora x

13 Rozdział 1 Wprowadzenie do programu Trend Micro Worry-Free Business Security Ten rozdział zawiera omówienie najważniejszych funkcji i możliwości programu Trend Micro Worry-Free Business Security (WFBS). Rozdział obejmuje następujące zagadnienia: Omówienie programu Trend Micro Worry-Free Business Security na str. 1-2 Co nowego na str. 1-2 Kluczowe funkcje na str. 1-6 Zalety ochrony na str. 1-8 Informacje o zagrożeniach na str Terminologia związana ze składnikami produktu na str

14 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Omówienie programu Trend Micro Worry-Free Business Security Program Trend Micro Worry-Free Business Security (WFBS) zabezpiecza użytkowników i zasoby w małych firmach przed kradzieżą danych, kradzieżą tożsamości i niebezpiecznymi witrynami internetowymi. Wyposażony w funkcję Trend Micro Smart Protection Network program Worry-Free Business Security zapewnia: Bezpieczeństwo: Zatrzymuje wirusy, spyware i zagrożenia internetowe, zanim dotrą one do komputerów lub serwerów. Funkcja filtrowania adresów URL blokuje dostęp do niebezpiecznych witryn internetowych i pomaga zwiększyć produktywność użytkowników. Inteligentne działanie: Szybkie skanowanie i ciągłość aktualizacji chronią przed nowymi zagrożeniami przy minimalnym wpływie na działanie komputerów użytkowników. Prostsze korzystanie: Łatwa instalacja i zerowa administracja. Program WFBS wykrywa zagrożenia bardziej skutecznie, dzięki czemu można skoncentrować się na działalności firmy zamiast na problemach bezpieczeństwa. Co nowego Wersja 6.0 Skanowanie inteligentne: Inteligentne skanowanie przenosi funkcje skanowania w poszukiwaniu złośliwego oprogramowania i oprogramowania typu spyware na serwer skanowania. Dzięki tej funkcji, wielkość plików klienta jest niewielka i zmniejsza się konieczność ciągłego pobierania aktualizacji przez klientów, co z kolei ogranicza negatywne skutki niespotykanego tempa publikowanych obecnie zagrożeń. Poprzez dostarczanie rozwiązań na serwer zamiast aktualizowania poszczególnych klientów, usługa inteligentnego skanowania zapewnia prawie natychmiast ochronę uwzględniającą najnowsze aktualizacje. Patrz Metody skanowania na str. 7-2 i Wybieranie metody skanowania na str. 7-3, aby uzyskać więcej informacji. 1-2

15 Wprowadzenie do programu Trend Micro Worry-Free Business Security Filtrowanie zawartości adresów URL: Rozwiązania firmy Trend Micro umożliwiają blokowanie witryn internetowych zawierających nieodpowiednią zawartość. Filtrowanie adresów URL pomaga zwiększyć wydajność pracowników, zabezpieczyć zasoby sieciowe i chronić poufne informacje. Patrz Konfigurowanie filtrowania adresów URL na str. 5-18, aby uzyskać więcej informacji. Integracja z infrastrukturą Smart Protection Network: Trend Micro Smart Protection Network to zbiór technologii gromadzących różne informacje o zagrożeniach internetowych i zapewniających aktualną ochronę przed najnowszymi zagrożeniami. Funkcje Filtrowanie adresów URL, Web Reputation oraz Skanowanie inteligentne stanowią integralną część infrastruktury Trend Micro Smart Protection Network. Patrz Uczestnictwo w infrastrukturze Smart Protection Network na str. 12-5, aby uzyskać więcej informacji. Łatwiejszy w obsłudze pulpit Stan aktywności: Pulpit Stan aktywności jest teraz jeszcze bardziej czytelny. Patrz Stan aktywności na str. 2-5, aby uzyskać więcej informacji. Zintegrowana instalacja z programem Worry-Free Remote Manager 2.1: Sprzedawcy mogą teraz instalować program Worry-Free Remote Manager Agent, który pozwala zdalnie zarządzać zainstalowanym programem WFBS Security Server. Patrz Installing the Trend Micro Worry-Free Remote Manager Agent na str. 3-35, aby uzyskać więcej informacji. Nowy interfejs graficzny dla narzędzia Kwarantanna przechowywanych zaszyfrowanych wirusów (REVQT): Narzędzie Regenerowanie zaszyfrowanych wirusów zapewnia łatwiejsze zarządzanie kwarantanną. Patrz Przywracanie zaszyfrowanych wirusów na str. E-11, aby uzyskać więcej informacji. Zróżnicowane skanowanie w oparciu o zużycie czasu procesora CPU: Elastyczność zapewniająca wydajne skanowanie przy wysokim obciążeniu procesora. Program WFBS obsługuje teraz różne poziomy obciążenia procesora i może być konfigurowany tak, aby wstrzymywał działanie podczas okresów dużego obciążenia. 1-3

16 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Patrz Konfiguracja opcji skanowania ręcznego i zaplanowanego na str. 7-4, aby uzyskać więcej informacji. Ochrona przed zagrożeniami związanymi z funkcją automatycznego uruchamiania programów na dyskach USB: Uniemożliwia automatyczne uruchamianie plików na dyskach USB w przypadku, gdy dysk jest podłączony do portu USB na komputerze klienckim. Patrz Przywracanie zaszyfrowanych wirusów na str. E-11, aby uzyskać więcej informacji. Wersja 6.0 Service Pack 1 Zwiększone bezpieczeństwo klienta Uniemożliwia modyfikację lub kończenie działania ważnych składników agenta przez złośliwe oprogramowanie. Zdolność do wyłączania zapory na wszystkich klientach Wyłącz zaporę dla wszystkich klientów, korzystając z nowej opcji na ekranie Ustawienia globalne. Obsługa nowych systemów operacyjnych Program WFBS obsługuje obecnie komputery z systemami Windows 7, Windows Server 2008 R2 i Windows Server 2008 Foundation. Inne ulepszenia Program instalacyjny wysyła zapytania do serwerów firmy Trend Micro podczas instalacji i uaktualniania w celu sprawdzenia ważności kodu aktywacyjnego. Usprawniono migrację baz danych serwerów zabezpieczeń podczas uaktualniania z wersji 3.6, dzięki czemu wyeliminowano błąd logowania występujący podczas przeszukiwania plików dzienników na uaktualnionych serwerach. Zaktualizowano mechanizm zapewniający, że plik z sygnaturami inteligentnego skanowania jest pobierany tylko wtedy, gdy dostępna jest wystarczająca ilość miejsca na dysku. Obsługa protokołu HTTPS (uzupełnia obsługę protokołu HTTP) przez usługę Web Reputation i funkcję filtrowania adresów URL. 1-4

17 Wprowadzenie do programu Trend Micro Worry-Free Business Security Wersja 6.0 Service Pack 2 Zmniejszone obciążenie komputera przez mechanizm aktualizacji sygnatur inteligentnego skanowania Częste aktualizacje składnika skanowania inteligentnego na serwerze zabezpieczeń zapewniają stosowanie podczas skanowania klientów najnowszych sygnatur. Aby zmniejszyć negatywny wpływ aktualizacji na wydajność serwera zabezpieczeń, pewne angażujące dużo zasobów procesy zostały przeniesione na serwery firmy Trend Micro w otoczeniu internetowym. Wpływające na wydajność zmiany dotyczące funkcji monitorowania zachowania i zapory Aby uniknąć negatywnego wpływu na wydajność kluczowych aplikacji serwerowych, funkcja monitorowania zachowania jest obecnie domyślnie wyłączona na klientach z grupy serwerów, a zapora jest domyślnie wyłączona na wszystkich klientach. Po zainstalowaniu dodatku Service Pack 2 obie funkcje zostaną automatycznie wyłączone na wszystkich klientach w istniejących grupach serwerów. Aby zmniejszyć wykorzystanie zasobów systemowych, wyłączenie jednej z tych funkcji w dowolnej grupie powoduje usunięcie z pamięci wszystkich związanych z nią sterowników i procesów. Więcej informacji o domyślnych ustawieniach funkcji znajduje się w sekcji Opcje dla grup komputerów i serwerów na str Ścieżki UNC na liście wyjątków funkcji monitorowania zachowania Dzięki możliwości używania ścieżek UNC na liście wyjątków funkcji monitorowania zachowania, można automatycznie blokować lub dopuszczać uruchamianie programów z folderów sieciowych. Więcej informacji o liście wyjątków znajduje się w sekcji Korzystanie z monitorowania zachowania na str Mechanizm czyszczenia po aktualizacjach Po zainstalowaniu dodatku Service Pack 2 narzędzie czyszczenia dysków automatycznie usuwa pozostałe niepotrzebne pliki podczas każdej aktualizacji serwera zabezpieczeń. Usuwając nieużywane składniki oprogramowania, narzędzie może zwolnić do 900 MB miejsca na dysku. Narzędzie można również uruchomić ręcznie w celu oczyszczenia serwera zabezpieczeń. Inne ulepszenia Zmniejszona częstość raportowania stanu zabezpieczeń do programu Worry-Free Remote Manager w celu poprawy wydajności. Wartość progowa liczby stanowisk, której przekroczenie powoduje wyświetlanie ostrzeżeń na ekranie Stan aktywności została zmieniona na 100%. 1-5

18 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Kluczowe funkcje Przykładem funkcji tej wersji produktu jest lepsza integracja z infrastrukturą Trend Micro Smart Protection Network. Infrastruktura Trend Micro Smart Protection Network Trend Micro Smart Protection Network to działająca w otoczeniu internetowym infrastruktura zabezpieczeń zawartości klienta, zaprojektowana w celu ochrony klientów przed zagrożeniami internetowymi. Poniżej przedstawiono najważniejsze elementy infrastruktury Smart Protection Network. Smart Feedback Funkcja Trend Micro Smart Feedback zapewnia stałą komunikację pomiędzy produktami firmy Trend Micro oraz działającymi nieprzerwanie centrami badań nad zagrożeniami i technologiami. Każde nowe zagrożenie zidentyfikowane zgodnie z rutynową procedurą sprawdzania reputacji klienta powoduje automatyczną aktualizację wszystkich baz danych zagrożeń firmy Trend Micro w celu ochrony przed tym zagrożeniem kolejnych klientów. Nieustannie usprawniając procedury identyfikacji zagrożeń za pośrednictwem rozległej globalnej sieci klientów i partnerów biznesowych, firma Trend Micro zapewnia automatyczną ochronę w czasie rzeczywistym przed najnowszymi zagrożeniami i lepsze zabezpieczenia, podobnie jak straż sąsiedzka chroni członków lokalnej społeczności. Z uwagi na fakt, że informacje zebrane o zagrożeniu oparte są na reputacji źródła komunikacji, a nie na zawartości określonej korespondencji, prywatność informacji osobistych i firmowych klienta jest zawsze chroniona. Web Reputation Technologia Web Reputation korzysta z jednej z największych na świecie baz danych reputacji domen, określając wiarygodność konkretnych domen internetowych na podstawie przyznawanej im oceny punktowej, ustalanej w oparciu o takie czynniki, jak wiek witryny, historyczne zmiany lokalizacji oraz ślady podejrzanych działań odkryte za pomocą analizy złośliwego zachowania. Następnie kontynuowane jest skanowanie witryn i blokowanie dostępu użytkowników do zainfekowanych stron. Aby zwiększyć 1-6

19 Wprowadzenie do programu Trend Micro Worry-Free Business Security precyzję i ograniczyć liczbę fałszywych alarmów, technologia Trend Micro Web Reputation ocenia poszczególne strony i łącza w witrynach internetowych, zamiast klasyfikować lub blokować całe witryny, ponieważ często tylko fragmenty legalnych witryn są atakowane przez hakerów, a ich reputacja zmienia się dynamicznie. Reputacja plików Technologia reputacji plików, opracowana przez firmę Trend Micro, umożliwia sprawdzanie reputacji każdego pliku przy użyciu rozległej, internetowej bazy danych przed zezwoleniem użytkownikom na dostęp. Informacje dotyczące złośliwego oprogramowania są przechowywane w otoczeniu internetowym, dlatego są one natychmiast dostępne dla wszystkich użytkowników. Wydajne sieci dostarczania zawartości i lokalne serwery buforujące redukują opóźnienie podczas procesu kontroli do minimum. Architektura typu otoczenie internetowe-klient zapewnia szybszą ochronę, eliminuje obciążenie związane z wdrażaniem plików sygnatur i umożliwia znaczne zmniejszenie ilości zasobów wykorzystywanych przez klienty. Skanowanie inteligentne Program Trend Micro Worry-Free Business Security korzysta z nowej technologii nazywanej skanowaniem inteligentnym (Smart Scan). W przeszłości klienty programu WFBS korzystały ze skanowania tradycyjnego, co związane było z koniecznością pobierania przez każdego klienta składników wymaganych do skanowania. Dzięki technologii skanowania inteligentnego Smart Scan, klient korzysta z pliku sygnatur znajdującego się na serwerze Smart Scan. Zalety skanowania inteligentnego: Redukcja zasobów sprzętowych: tylko zasoby serwera skanowania są używane do skanowania plików. Filtrowanie adresów URL Funkcja filtrowania adresów URL pomaga w kontrolowaniu dostępu do witryn internetowych w celu zwiększenia produktywności pracowników, ograniczenia zużycia przepustowości połączenia internetowego i tworzenia bezpieczniejszego środowiska roboczego. Można wybrać poziom filtrowania adresów URL lub dostosować listę blokowanych witryn internetowych. 1-7

20 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Zalety ochrony W poniższej tabeli przedstawiono, w jaki sposób różne składniki programu WFBS chronią komputery przed zagrożeniami. TABELA 1-1. Zalety ochrony ZAGROŻENIE OCHRONA Wirusy/złośliwe oprogramowanie. Wirusy, trojany, robaki, umyślnie utworzone luki w zabezpieczeniach i oprogramowanie typu rootkit Spyware/grayware. Spyware, dialery, narzędzia hakerskie, programy do łamania haseł, adware, programy-żarty i keyloggery Wirusy, złośliwe oprogramowanie oraz oprogramowanie typu spyware i grayware przesyłane w wiadomościach oraz spam Robaki sieciowe i wirusy Włamania Potencjalnie szkodliwe strony internetowe i witryny phishingowe Złośliwe zachowanie Fałszywe punkty dostępu Obraźliwa lub poufna treść przesyłana za pomocą komunikatorów internetowych Mechanizmy skanowania w poszukiwaniu wirusów i spyware przy użyciu plików sygnatur w programie Client/Server Security Agent Skanowanie poczty POP3 w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Zapora w programie Client/Server Security Agent Funkcje Web Reputation i TrendProtect w programie Client/Server Security Agent Funkcja Monitorowanie zachowania programu Client/Server Security Agent Narzędzie Transaction Protector programu Client/Server Security Agent Funkcja Filtrowanie treści przesyłanych przez komunikatory internetowe przez program Client/Server Security Agent 1-8

21 Wprowadzenie do programu Trend Micro Worry-Free Business Security Składniki Antywirus Silnik skanowania antywirusowego (32-bitowy/64-bitowy) programu Client/Server Security Agent: Silnik skanowania wykorzystuje plik sygnatur wirusów do wykrywania wirusów, złośliwego oprogramowania i innych zagrożeń bezpieczeństwa plików, które są otwierane i/lub zapisywane przez użytkowników. Silnik skanowania razem z plikiem sygnatur wirusów wykonują detekcję na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści do spraw wirusów w firmie Trend Micro umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. Sygnatura wirusów: Plik pomagający programowi Security Agent zidentyfikować sygnatury wirusów unikatowe sekwencje bitów i bajtów, które sygnalizują obecność wirusa. Szablon czyszczenia wirusów: Używany w silniku czyszczenia wirusów; pomaga w identyfikacji plików i procesów trojanów, robaków i programów typu spyware/ grayware oraz umożliwia silnikowi ich eliminację. Silnik czyszczenia wirusów (32-bitowy/64-bitowy): Silnik używany przez usługi czyszczenia do wykrywania i usuwania plików i procesów trojanów, robaków oraz programów typu spyware/grayware. Sygnatura wyjątków IntelliTrap: Sygnatura wyjątków używana przez mechanizm IntelliTrap i silniki skanowania podczas poszukiwania złośliwego kodu w skompresowanych plikach. Sygnatura IntelliTrap: Sygnatura używana przez mechanizm IntelliTrap i silniki skanowania do wyszukiwania złośliwego kodu w skompresowanych plikach. Sygnatura programu Smart Scan Agent: Plik sygnatur używany przez klienta do identyfikacji zagrożeń. Jest on przechowywany na komputerze z agentem. 32-bitowy i 64-bitowy silnik zbierania informacji: Silnik służący do wysyłania informacji do infrastruktury Trend Micro Smart Protection Network. Sygnatura inteligentnego skanowania: Plik sygnatur zawierający dane specyficzne dla plików znajdujących się na komputerach klienckich. 1-9

22 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Oprogramowanie antyspyware Silnik skanowania w poszukiwaniu spyware (32-bitowy): Odrębny silnik skanowania, skanujący w poszukiwaniu spyware/grayware, wykrywający je i usuwający z zainfekowanych komputerów i serwerów pracujących pod kontrolą 32-bitowych (i386) systemów operacyjnych. Silnik skanowania w poszukiwaniu spyware (64-bitowy): Podobny do silnika skanowania w poszukiwaniu spyware/grayware dla systemów 32-bitowych, prowadzący skanowanie pod kątem spyware, wykrywający je i usuwający z 64-bitowych (x64) systemów operacyjnych. Sygnatura spyware: Plik zawierający znane sygnatury spyware używany przez silniki skanowania w poszukiwaniu spyware (zarówno 32-bitowe, jak i 64-bitowe) do wykrywania programów spyware/grayware na komputerach i serwerach podczas skanowania ręcznego i zaplanowanego. Sygnatura aktywnego monitorowania spyware: Moduł podobny do sygnatury spyware, ale używany przez silnik skanowania podczas skanowania w poszukiwaniu spyware. Antyspam Silnik antyspamowy (32-bitowy/64-bitowy): Wykrywa niezamówioną pocztę reklamową (UCE) lub masową (UBE), znaną także pod nazwą spamu. Sygnatura antyspamowa: Zawiera definicje spamu umożliwiające wykrywanie spamu przez silnik antyspamowy w wiadomościach . Ochrona przed epidemią Funkcja Ochrona przed epidemią zapewnia wczesne ostrzeganie o zagrożeniu internetowym lub innej epidemii na skalę światową. Funkcja ta reaguje automatycznie, stosując czynności zapobiegawcze chroniące komputery i sieć. Następnie wykonuje czynności zabezpieczające mające na celu zidentyfikowanie problemu i naprawienie uszkodzeń. Sygnatura narażenia na atak: Plik zawierający bazę danych wszystkich luk w zabezpieczeniach. Zawiera on instrukcje dla silnika skanowania, który wyszukuje znane luki w zabezpieczeniach. 1-10

23 Wprowadzenie do programu Trend Micro Worry-Free Business Security Wirus sieciowy Ogólny silnik zapory (32-bitowy/64-bitowy): Zapora wykorzystuje ten silnik wraz z plikiem sygnatur wirusów sieciowych do ochrony komputerów przed atakami hakerów i wirusów sieciowych. Ogólna sygnatura zapory: Podobnie jak plik sygnatur wirusów, plik ten umożliwia programowi WFBS identyfikowanie sygnatur wirusów sieciowych. Sterownik TDI (32-bitowy/64-bitowy): Moduł przekierowujący ruch sieciowy do modułów skanowania. Sterownik WFP (32-bitowy/64-bitowy): W przypadku komputerów klienckich z systemem Windows Vista zapora używa tego sterownika wraz z plikiem sygnatur wirusów sieciowych do skanowania w poszukiwaniu wirusów sieciowych. Web Reputation Baza danych Trend Micro Security: Usługa Web Reputation ocenia potencjalne zagrożenie bezpieczeństwa ze strony żądanej witryny internetowej przed jej wyświetleniem. W zależności od oceny zwróconej przez bazę danych i skonfigurowanego poziomu zabezpieczeń, program Client/Server Security Agent zablokuje lub zatwierdzi żądanie. Silnik filtrowania adresów URL (32-bitowy/64-bitowy): Silnik wykonujący zapytania do bazy danych Trend Micro Security w celu oceny strony. TrendProtect Baza danych Trend Micro Security: Narzędzie TrendProtect ocenia potencjalne zagrożenie bezpieczeństwa ze strony hiperłączy wyświetlanych na stronie internetowej. W zależności od oceny zwróconej przez bazę danych i poziomu zabezpieczeń skonfigurowanego w dodatku przeglądarki, ten dodatek dokona oceny łącza. Ochrona oprogramowania Lista zabezpieczeń oprogramowania: Chronione pliki programów (EXE i DLL) nie mogą być modyfikowane lub usuwane. Aby odinstalować, zaktualizować lub uaktualnić program, należy tymczasowo wyłączyć zabezpieczenie folderu. 1-11

24 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Monitorowanie zachowania Sterownik funkcji monitorowania zachowania: Te sterowniki wykrywają zachowanie procesów na klientach. Główna usługa monitorowania zachowania: Program CSA używa tej usługi do obsługi sterowników głównego monitora zachowania. Sygnatura stosowania reguł: Lista reguł skonfigurowanych w programie Security Server, które muszą być wymuszane przez agentów. Sygnatura podpisu cyfrowego: Lista firm zaakceptowanych przez firmę Trend Micro, których oprogramowanie może być bezpiecznie używane. Sygnatura konfiguracji funkcji monitorowania zachowania: Ta sygnatura zawiera domyślne reguły monitorowania zachowania. Pliki w tej sygnaturze będą pomijane przez wszystkie reguły. Sygnatura wykrywania funkcji monitorowania zachowania: Sygnatura zawierająca reguły do wykrywania podejrzanego zachowania. Transaction Protector Narzędzie Wi-Fi Advisor: Sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Filtrowanie zawartości Lista zastrzeżonych słów/wyrażeń: Lista zastrzeżonych słów/wyrażeń zawiera słowa i wyrażenia, które nie mogą być przesyłane poprzez aplikacje do obsługi wiadomości błyskawicznych. Stan aktywności i Powiadomienia Funkcja Stan aktywności zapewnia natychmiastowy przegląd stanu zabezpieczeń funkcji Ochrona przed epidemią, Antywirus, Oprogramowanie antyspyware i Wirusy sieciowe.. WFBS. Podobnie program WFBS może wysyłać do administratorów powiadomienia o wystąpieniu znaczących zdarzeń. 1-12

25 Wprowadzenie do programu Trend Micro Worry-Free Business Security Informacje o zagrożeniach Bezpieczeństwo komputerów jest dziedziną podlegającą szybkim zmianom. Administratorzy i specjaliści od bezpieczeństwa informacji wymyślają i przyjmują wiele różnych określeń w celu opisania potencjalnych zagrożeń i niepożądanych zdarzeń dotyczących komputerów i sieci. Poniżej znajduje się omówienie tych określeń i ich znaczenie zastosowane w tym dokumencie. Wirusy/złośliwe oprogramowanie Wirus komputerowy/złośliwe oprogramowanie to program, fragment wykonywalnego kodu który ma unikatową zdolność do replikacji. Wirusy/złośliwe oprogramowanie mogą dołączać się do niemal dowolnego typu pliku wykonywalnego i rozprzestrzeniać się jako pliki przesyłane pomiędzy użytkownikami komputerów. Poza zdolnością do replikacji niektóre wirusy/złośliwe oprogramowanie mają inne cechy wspólne: ich zawartość powoduje szkody. Choć wirusy czasami wyświetlają tylko komunikaty lub obrazy, mogą one również niszczyć pliki, sformatować dysk twardy albo spowodować inne straty. Złośliwe oprogramowanie: Złośliwe oprogramowanie, które zostało zaprojektowane w celu infiltracji lub uszkodzenia systemu komputerowego bez świadomej zgody właściciela. Trojany: Trojan jest złośliwym programem podszywającym się pod nieszkodliwą aplikację. W przeciwieństwie do wirusów/złośliwego oprogramowania, trojany nie powielają się automatycznie, jednakże potrafią być równie szkodliwe. Aplikacja, która ma według autora usuwać wirusy/złośliwe oprogramowanie z komputera, a w istocie wprowadza wirusy/złośliwe oprogramowanie, jest przykładem trojana. Robaki: Robak komputerowy to samodzielny program (lub zbiór programów), który ma zdolność rozpowszechniania własnych funkcjonalnych kopii lub własnych segmentów na inne systemy komputerowe. Rozpowszechnianie zazwyczaj ma miejsce przez połączenia sieciowe lub przez załączniki wiadomości . W przeciwieństwie do wirusów/złośliwego oprogramowania robaki nie muszą dołączać się do programów-nosicieli. Umyślnie utworzone luki w zabezpieczeniach: Umyślnie utworzona luka w zabezpieczeniach to metoda pomijania normalnego uwierzytelniania, zabezpieczenia zdalnego dostępu do komputera i/lub uzyskiwania dostępu do informacji bez zostania wykrytym. 1-13

26 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Oprogramowanie typu rootkit: Rootkit to zestaw programów, stworzonych w celu zakłócenia prawidłowej kontroli użytkowników nad systemem operacyjnym. Zwykle oprogramowanie typu rootkit ukrywa swoją instalację i próbuje zapobiec swojemu wykryciu poprzez podwersję standardowych zabezpieczeń systemu. Wirusy makr: Wirusy makr są związane z konkretnymi aplikacjami. Wirusy te rezydują w plikach aplikacji, takich jak Microsoft Word (.doc) i Microsoft Excel (.xls). W związku z tym można je wykryć w plikach o rozszerzeniach typowych dla aplikacji obsługujących makra, takich jak.doc,.xls czy.ppt. Wirusy makr przemieszczają się pomiędzy plikami danych w aplikacji i jeśli nie zostaną powstrzymane, mogą ostatecznie zarazić setki plików. Programy pełniące rolę agentów (Client/Server Security Agent na komputerach klienckich mogą wykrywać wirusy/złośliwe oprogramowanie podczas skanowania antywirusowego. Zalecaną przez firmę Trend Micro operacją w przypadku wirusów/złośliwego oprogramowania jest czyszczenie. Spyware/grayware Oprogramowanie typu grayware to programy wykonujące nieoczekiwane lub nieautoryzowane operacje. Jest to ogólne określenie obejmujące spyware, adware, dialery, programy-żarty, narzędzia dostępu zdalnego oraz inne niepożądane pliki i programy. Zależnie od typu, takie oprogramowanie może, ale nie musi, zawierać replikujący się lub niereplikujący się złośliwy kod. Spyware: Spyware to oprogramowanie komputerowe, które jest instalowane na komputerze bez zgody lub wiedzy użytkownika i gromadzi oraz przesyła informacje osobiste. Dialery: Dialery są niezbędne w celu łączenia się z Internetem za pomocą linii telefonicznej. Złośliwe dialery są tworzone w celu łączenia poprzez numery o podwyższonych stawkach, zamiast bezpośrednio z usługodawcą internetowym. Dostawcy takich złośliwych dialerów zarabiają dodatkowe pieniądze. Inne sposoby użycia dialerów obejmują przesyłanie informacji osobistych i pobieranie złośliwego oprogramowania. Narzędzia hakerskie: Narzędzie hakerskie to program lub zestaw programów przeznaczonych do pomocy podczas włamań. 1-14

27 Wprowadzenie do programu Trend Micro Worry-Free Business Security Adware: Adware lub oprogramowanie wspierające reklamy to dowolny pakiet oprogramowania, który automatycznie odtwarza, wyświetla lub pobiera materiały reklamowe na komputer po zainstalowaniu oprogramowania lub podczas korzystania z niego. Keyloggery: Keylogger to oprogramowanie komputerowe, które rejestruje wszystkie znaki wpisywane przez użytkownika. Haker może następnie pobrać te informacje i wykorzystać do własnych celów. Boty: Bot (skrót od słowa robot ) to program działający jako agent użytkownika lub innego programu bądź symulujący ludzką aktywność. Uruchomiony bot może się replikować, kompresować i rozpowszechniać swoje kopie. Boty mogą służyć do koordynacji zautomatyzowanego ataku na komputery w sieci. Programy Client/Server Security Agent i mogą wykrywać oprogramowanie grayware. Zalecaną przez firmę Trend Micro operacją w przypadku oprogramowania typu spyware/grayware jest czyszczenie. Wirusy sieciowe Wirus rozpowszechniający się przez sieć nie jest, ściśle rzecz biorąc, wirusem sieciowym. Jedynie kilka wspomnianych w tej sekcji zagrożeń, takich jak robaki, zalicza się do wirusów sieciowych. Wirusy sieciowe używają do replikacji protokołów sieciowych, takich jak TCP, FTP, UDP, HTTP, i protokołów . Zapora umożliwia identyfikację i blokowanie wirusów sieciowych na podstawie pliku sygnatur wirusów. Spam Spam obejmuje niezamówione wiadomości (wiadomości-śmieci), często o charakterze reklamowym, wysyłane masowo na wiele list pocztowych, do pojedynczych osób i grup dyskusyjnych. Istnieją dwa rodzaje spamu - niezamawiana poczta reklamowa (UCE) i niezamawiana poczta masowa (UBE). Włamania Włamanie oznacza próbę uzyskania dostępu do sieci lub komputera metodą siłową lub bez uprawnienia. Określenie to może także oznaczać pominięcie zabezpieczeń sieci lub komputera. 1-15

28 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Złośliwe zachowanie Złośliwe zachowanie oznacza nieautoryzowane zmiany dokonane przez oprogramowanie w systemie operacyjnym, wpisach rejestru, innych programach bądź plikach i folderach. Fałszywe punkty dostępu Fałszywe punkty dostępu, znane także w żargonie jako złe bliźniaki, to punkty dostępu Wi-Fi, które wydają się być prawidłowe, ale zostały skonfigurowane przez hakera w celu podsłuchiwania komunikacji bezprzewodowej. Obraźliwa lub poufna treść przesyłana za pomocą komunikatorów internetowych Tekst przesyłany za pomocą aplikacji do obsługi wiadomości błyskawicznych, tzw. komunikatorów internetowych, stanowiący treści obraźliwe lub zastrzeżone przez daną organizację (poufne). Mogą to być na przykład poufne informacje firmowe. Programy nasłuchujące naciskane klawisze w trybie online Wersja online keyloggerów. Patrz Spyware/grayware na str. 1-14, aby uzyskać więcej informacji. Narzędzia do kompresji Narzędzia do kompresji to narzędzia służące do tzw. pakowania programów wykonywalnych. Skompresowanie programu sprawia, że kod zawarty w pliku wykonywalnym jest trudniejszy do wykrycia dla tradycyjnych programów antywirusowych. Skompresowany plik może ukrywać trojana lub robaka. Silnik skanowania programu Trend Micro może wykrywać spakowane pliki, a zalecaną operacją dla nich jest kwarantanna. 1-16

29 Wprowadzenie do programu Trend Micro Worry-Free Business Security Terminologia związana ze składnikami produktu W poniższej tabeli zamieszczono definicje terminów stosowanych w dokumentacji programu: TABELA 1-2. Terminologia związana ze składnikami produktu ELEMENT Security Server Scan Server Agent/CSA/MSA Klient Konsola internetowa OPIS Program Security Server zawiera konsolę internetową scentralizowaną konsolę zarządzania dla produktu. Serwer skanowania Scan Server pomaga skanować klientów skonfigurowanych do skanowania inteligentnego. Domyślnie serwer skanowania jest instalowany na serwerze zabezpieczeń. Client/Server Security Agent. Agenty chronią klientów, na których są zainstalowane. Klienty to komputery stacjonarne i przenośne oraz serwery, na których zainstalowano program Client/Server Security Agent. Konsola internetowa jest scentralizowaną, internetową konsolą zarządzania wszystkimi agentami. Konsola internetowa znajduje się w programie Security Server. 1-17

30 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 1-18

31 Rozdział 2 Wprowadzenie Ten rozdział opisuje przygotowanie i uruchomienie programu WFBS. Rozdział obejmuje następujące zagadnienia: Dostęp do konsoli internetowej początek na str. 2-2 Stan aktywności początek na str. 2-5 Wyświetlanie ustawień zabezpieczeń początek na str

32 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Dostęp do konsoli internetowej W tej sekcji opisano funkcje i metody dostępu do konsoli internetowej. TABELA 2-1. Główne funkcje konsoli internetowej Funkcja menu główne Obszar konfiguracji Pasek boczny menu Pasek narzędzi Ustawienia zabezpieczeń Opis W górnej części konsoli internetowej znajduje się menu główne. To menu jest zawsze dostępne. Pod pozycjami menu głównego znajduje się obszar konfiguracji. Ten obszar można wykorzystać do wyboru opcji, zależnych od wybranej pozycji menu. Po wybraniu klienta lub grupy na ekranie Ustawienia zabezpieczeń i kliknięciu opcji Konfiguruj, zostanie wyświetlony pasek boczny menu. Za pomocą paska bocznego można skonfigurować ustawienia zabezpieczeń oraz skanowania komputerów i serwerów. Po otwarciu ekranu Ustawienia zabezpieczeń widoczny jest pasek narzędzi, który zawiera wiele ikon. Po kliknięciu klienta lub grupy na ekranie Ustawienia zabezpieczeń i kliknięciu ikony umieszczonej na pasku narzędzi, program Security Server wykona skojarzone z ikoną zadanie. Podczas instalowania programu Trend Micro Security Server jest instalowana scentralizowana internetowa konsola zarządzania. Konsola ta korzysta z technologii internetowych, takich jak ActiveX, CGI, HTML i HTTP/HTTPS. 2-2

33 Wprowadzenie Aby otworzyć konsolę internetową: 1. Wybierz jedną z następujących opcji, aby otworzyć konsolę internetową: Kliknij skrót Worry-Free Business Security na pulpicie. W menu Start systemu Windows kliknij kolejno pozycje Trend Micro Worry-Free Business Security > Worry-Free Business Security. Konsolę internetową można także otworzyć z dowolnego komputera w sieci. Należy otworzyć przeglądarkę internetową i w polu adresu wpisać następujący adres: portu}/smb Na przykład: Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. Domyślny port dla połączeń HTTP to 8059, a dla połączeń HTTPS to Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera_zabezpieczeń} na {adres_ip_serwera}. 2-3

34 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 2. W przeglądarce wyświetlony zostanie ekran logowania do programu Trend Micro Worry-Free Business Security. RYSUNEK 2-1. Ekran logowania proramu WFBS 3. W polu tekstowym Hasło wpisz hasło i kliknij przycisk Zaloguj. W przeglądarce wyświetlony zostanie ekran Stan aktywności konsoli internetowej. Ikony konsoli internetowej Poniższa tabela zawiera opis ikon, które są wyświetlane na konsoli internetowej oraz objaśnienia, do czego one służą. TABELA 2-2. Ikony konsoli internetowej Ikona Opis Ikona Pomoc. Służy do otwierania pomocy elektronicznej. Ikona Odśwież. Odświeża widok bieżącego ekranu. / Ikona sekcji zwijania/rozwijania. Powoduje zwinięcie/ rozwinięcie sekcji. Można rozwinąć jednocześnie tylko jedną sekcję. Ikona Informacje. Służy do wyświetlania informacji dotyczących określonego elementu. 2-4

35 Wprowadzenie Stan aktywności Ekran Stan aktywności służy do zarządzania programem WFBS. Częstotliwość odświeżania informacji na ekranie Stan aktywności różni się w zależności od sekcji. Przeważnie częstotliwość odświeżania wynosi od 1 do 10 minut. Aby ręcznie odświeżyć informacje na ekranie, kliknij opcję Odśwież. RYSUNEK 2-2. Ekran Stan aktywności 2-5

36 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Sposób działania ikon Ikony powiadamiają o konieczności przeprowadzenia operacji w celu zabezpieczenia komputerów w sieci. Rozwiń sekcję, aby wyświetlić więcej informacji. Można także kliknąć elementy tabeli w celu wyświetlenia określonych szczegółów. Aby dowiedzieć się więcej o poszczególnych klientach, klikaj łącza z numerami w tabelach. TABELA 2-3. Ikony na ekranie Stan aktywności Ikona Opis Normalny Wymagane jest zainstalowanie poprawki tylko na kilku klientach. Aktywność wirusów, spyware i złośliwego oprogramowania na komputerach oraz w sieci stanowi nieznaczne zagrożenie. Ostrzeżenie Należy podjąć działania w celu ograniczenia stopnia zagrożenia sieci. Zazwyczaj ikona ostrzeżenia oznacza, że istnieje określona liczba komputerów narażonych na atak, które raportują zbyt wiele przypadków wystąpienia wirusów lub innego złośliwego oprogramowania. W przypadku ogłoszenia przez firmę Trend Micro żółtego alarmu, jest wyświetlane ostrzeżenie funkcji Ochrona przed epidemią. Wymagane działanie Ikona ostrzeżenia oznacza, że administrator musi wykonać operację w celu rozwiązania problemu dotyczącego zabezpieczeń. Informacje wyświetlane na ekranie Stan aktywności są generowane przez program Security Server i opierają się na danych zebranych z klientów. 2-6

37 Wprowadzenie Stan zagrożenia Ekran Stan zagrożenia wyświetla informacje na następujące tematy: Antywirus: przypadki wykrycia wirusów. Rozpoczynając od 5. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Jeśli jest wymagane wykonanie operacji: Program Client/Server Security Agent nie ukończył pomyślnie operacji, którą miał wykonać. Kliknij łącze z numerem, aby uzyskać szczegółowe informacje na temat komputerów, na których program Client/Server Security Agent nie mógł wykonać operacji. Skanowanie w czasie rzeczywistym jest wyłączone w programie Client/Server Security Agent. Kliknij pozycję Włącz teraz, aby uruchomić ponownie skanowanie w czasie rzeczywistym. Oprogramowanie antyspyware: W sekcji Oprogramowanie antyspyware wyświetlane są wyniki ostatniego skanowania w poszukiwaniu spyware i wpisy dziennika spyware. Kolumna Liczba przypadków w tabeli Przypadki zagrożenia spyware przedstawia wyniki ostatniego skanowania w poszukiwaniu spyware. Aby dowiedzieć się więcej o poszczególnych klientach, kliknij łącze z numerem w kolumnie Wykryte przypadki w tabeli Przypadki zagrożenia spyware. W tym miejscu można uzyskać informacje o wybranym zagrożeniu spyware, które wpływa na działanie klientów. Filtrowanie adresów URL: witryny internetowe z ograniczeniami określone przez administratora. Rozpoczynając od 300. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Monitorowanie zachowania: naruszenia reguł monitorowania zachowania. Wirusy sieciowe: przypadki wykrycia wirusów sieciowych określonych przez ustawienia zapory. Ochrona przed epidemią: możliwa epidemia wirusów w sieci. 2-7

38 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Antyspam: przypadki wykrycia spamu. Należy kliknąć łącze Wysoki, Średni lub Niski, aby nastąpiło przekierowanie do ekranu konfiguracji wybranego serwera Microsoft Exchange, gdzie na ekranie Antyspam można ustawić wartość progu. Należy kliknąć pozycję Wyłączone, aby nastąpiło przekierowanie do odpowiedniego ekranu. Te informacje są aktualizowane co godzinę. Web Reputation: potencjalnie niebezpieczne witryny internetowe określone przez firmę Trend Micro. Rozpoczynając od 200. zdarzenia, ikona stanu zmienia się, aby wyświetlić ostrzeżenie. Stan systemu Umożliwia wyświetlanie informacji dotyczących zaktualizowanych składników oraz ilości wolnego miejsca na komputerach z zainstalowanymi agentami. Aktualizacje składników: stan aktualizacji składników programu Security Server lub instalacji zaktualizowanych składników na komputerach z agentami. Niezwykłe zdarzenia systemowe: informacje dotyczące ilości miejsca na dyskach klientów pełniących funkcje serwerów (z zainstalowanymi serwerowymi systemami operacyjnymi). Skanowanie inteligentne: komputery klienckie nie mogą nawiązać połączenia z przypisanym serwerem skanowania. Wskazówka: Parametry, które powodują, że w konsoli internetowej wyświetlane są ikony Ostrzeżenie lub Wymagane działanie, można dostosować, przechodząc do ekranu Preferencje > Powiadomienia. Stan licencji Wyświetlanie informacji o stanie licencji. Licencja: informacje o stanie licencji produktu, szczególnie o czasie jej wygaśnięcia. 2-8

39 Wprowadzenie Odstępy między aktualizacjami informacji o stanie aktywności Częstotliwość aktualizacji ekranu Stan aktywności została przedstawiona w poniższej tabeli. TABELA 2-4. Odstępy czasowe między aktualizacjami ekranu Stan aktywności Element Ochrona przed epidemią Aktualizuj przedziały czasowe (minuty) 3 nd. Agent wysyła dzienniki na serwer po... (minuty) Antywirus 1 CSA: natychmiast MSA: 5 Oprogramowanie antyspyware 3 1 Antyspam 3 60 Web Reputation 3 60 Filtrowanie adresów URL Monitorowanie zachowań Wirus sieciowy 3 60 Skanowanie inteligentne 10 nd. Licencja 10 nd. Aktualizacje składników Nietypowe zdarzenia systemowe 3 nd. 10 Gdy uruchomiono usługę nasłuchu TmListen 2-9

40 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Wyświetlanie ustawień zabezpieczeń Ekran Ustawienia zabezpieczeń umożliwia zarządzanie wszystkimi komputerami, na których zainstalowano agentów. Wybranie grupy z drzewa grup zabezpieczeń powoduje wyświetlenie listy komputerów z tej grupy w tabeli po prawej stronie. Ekran Ustawienia zabezpieczeń jest podzielony na dwie (2) główne sekcje: Globalne menu nawigacyjne Te pozycje menu pozostają dostępne niezależnie od opcji wybranych na ekranie Ustawienia zabezpieczeń. Są takie same dla wszystkich pozostałych ekranów. Obszar konfiguracji Obszar konfiguracji zawiera pasek informacji dotyczących programu Security Server, pasek narzędzi konfiguracji, a pod nim drzewo grup zabezpieczeń i tabelę informacji o programie Security Agent. Pasek informacji dotyczących programu Security Server: Wyświetla informacje o serwerze zabezpieczeń, takie jak nazwa domeny, numer portu oraz liczba zarządzanych serwerów i komputerów. Pasek narzędzi: Konfiguruj: Narzędzie konfiguracji jest dostępne tylko wtedy, gdy zaznaczono jeden z elementów drzewa grup zabezpieczeń. Umożliwia ono konfigurowanie zabezpieczeń dla wszystkich agentów w obrębie tej grupy. Wszystkie komputery w grupie muszą korzystać z tej samej konfiguracji. Można skonfigurować następujące ustawienia: Metoda skanowania, Oprogramowanie antywirusowe/anty-spyware, Zapora, Web Reputation, Filtrowanie adresów URL, Monitorowanie zachowań, paski narzędzi TrendSecure oraz Uprawnienia klienta. Ustawienia replikacji: to narzędzie jest dostępne tylko wtedy, gdy zaznaczono jeden z elementów drzewa grup zabezpieczeń i drzewo to zawiera przynajmniej jeden element tego samego typu. Ustawienia importu/eksportu: Zapisywanie ustawień konfiguracji lub importowanie wcześniej zapisanych ustawień. Dodaj grupę: to narzędzie umożliwia dodawanie nowych grup komputerów i serwerów. 2-10

41 Wprowadzenie Dodaj: To narzędzie umożliwia dodawanie komputerów do określonych grup przez instalację na wybranych komputerach programu Client/Server Security Agent. Usuń: to narzędzie służy do usuwania agentów z określonych komputerów. Przenieś: to narzędzie umożliwia przenoszenie wybranych komputerów lub serwerów między programami Security Server. Zeruj liczniki:to narzędzie działa na wszystkich komputerach w grupie. Po kliknięciu tej opcji, w tabeli informacji programu Security Agent zostaną wyzerowane wartości w kolumnach Wykryte wirusy i Wykryte spyware. Drzewo grup zabezpieczeń:wybierz grupę w drzewie grup zabezpieczeń, aby po prawej stronie wyświetlić listę znajdujących się w niej komputerów. Tabela informacji programu Security Agent: Po wybraniu klienta i kliknięciu narzędzia na pasku narzędzi w konsoli internetowej wyświetlany jest nowy obszar konfiguracji. 2-11

42 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 2-12

43 Rozdział 3 Instalowanie agentów W tym rozdziale opisano czynności wymagane w przypadku instalacji i uaktualniania agentów. Zamieszczono również informacje dotyczące usuwania agentów. Rozdział obejmuje następujące zagadnienia: Omówienie instalacji agentów na str. 3-2 Omówienie instalacji/uaktualniania/migracji agentów na str. 3-4 Wykonywanie nowej instalacji na str. 3-4 Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str Testowanie instalacji klienta za pomocą skryptu testowego EICAR na str Usuwanie agentów na str

44 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Omówienie instalacji agentów Program WFBS umożliwia instalację agenta Client/Server Security kilkoma metodami. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: W organizacjach, w których reguły są ściśle przestrzegane firma Trend Micro zaleca instalację zdalną lub za pomocą skryptu logowania. Wewnętrzna strona internetowa: Należy polecić użytkownikom w firmie przejście do wewnętrznej witryny sieci Web i pobranie plików instalacji programu Client/ Server Security Agent (patrz Instalowanie z wewnętrznej strony internetowej na str. 3-4) Ustawienia skryptu logowania: Ustawienia te automatyzują instalację programu Client/Server Security Agent na niezabezpieczonych komputerach podczas ich logowania do domeny (patrz Instalacja za pomocą skryptu logowania na str. 3-6) Program Client Packager: Ta metoda umożliwia wdrożenie lub aktualizację plików programu Client/Server Security Agent na klientach za pomocą poczty (patrz Instalacja za pomocą programu Client Packager na str. 3-9) Instalacja zdalna: Ta metoda umożliwia zainstalowanie agenta na wszystkich klientach z systemem Windows Vista/2000/XP/Server 2003/Server 2008 za pomocą konsoli internetowej (patrz Instalowanie za pomocą instalacji zdalnej na str. 3-13). Vulnerability Scanner (TMVS): Instalowanie programu Client/Server Security Agent na wszystkich klientach z systemem Windows 2000/Server 2003 za pomocą narzędzia Trend Micro Vulnerability Scanner (Instalacja za pomocą narzędzia Vulnerability Scanner na str. 3-15) 3-2

45 Instalowanie agentów TABELA 3-1. Metody instalacji agentów Odpowiednia do instalacji w sieci rozległej WAN Odpowiednia do scentralizowanej administracji i zarządzania Wymaga udziału użytkownika Wymaga zasobów informatycznych Odpowiednia do instalacji masowej Wykorzystanie pasma Wymagane uprawnienia Strona internetowa Skrypty logowania Program Client Packager Instalacja zdalna TMVS Tak Nie Tak Nie Nie Tak Tak Nie Tak Tak Tak Nie Tak Nie Nie Nie Tak Tak Tak Tak Nie Tak Nie Tak Tak Niskie (przy instalacji zaplanowanej) Wysokie (jeśli klienty zostału uruchomione jednocześnie) Niskie (przy instalacji zaplanow anej) Niskie (przy instalacji zaplanow anej) Niskie (przy instalacji zaplano wanej) We wszystkich metodach instalacji wymagane są uprawnienia administratora. Uwaga: Aby skorzystać z dowolnej z powyższych metod instalacji programu Client/Server Security Agent, należy mieć lokalne uprawnienia administratora na klientach docelowych. 3-3

46 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Omówienie instalacji/uaktualniania/migracji agentów W niniejszej sekcji znajdują się informacje na następujące tematy: Wykonywanie nowej instalacji programu Client/Server Security Agent za pomocą wybranej metody instalacji (patrz Omówienie instalacji agentów na str. 3-2) Aktualizacja poprzedniej wersji agenta Client/Server Security Agent do bieżącej wersji programu (patrz Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-18) Migracja z programu antywirusowego innej firmy do bieżącej wersji programu WFBS (patrz Weryfikowanie instalacji, uaktualnienia lub migracji agenta na str. 3-18) Uwaga: Zamknij wszystkie uruchomione programy na klientach przed instalacją programu Client/Server Security Agent. Jeżeli podczas instalacji uruchomione są inne programy, proces ten może potrwać dłużej. Wykonywanie nowej instalacji Podczas pierwszej instalacji programu Client/Server Security Agent na docelowych komputerach postępuj zgodnie z poniższymi procedurami. Instalowanie z wewnętrznej strony internetowej Jeżeli program Trend Micro Security Server zainstalowano na komputerze z systemem Windows 2000, Windows XP, Windows Server 2003 lub Windows Server 2008 z serwerem Internet Information Server (IIS) 5.0, 6.0 lub 7.0 bądź Apache , użytkownicy mogą zainstalować program Client/Server Security Agent z wewnętrznej witryny internetowej utworzonej podczas instalacji głównej. Jest to wygodny sposób instalacji programu Client/Server Security Agent. Wystarczy polecić wszystkim użytkownikom, aby odwiedzili wewnętrzną witrynę sieci Web i pobrali pliki instalacyjne programu Client/Server Security Agent. 3-4

47 Instalowanie agentów Wskazówka: Aby sprawdzić, którzy użytkownicy nie zastosowali się do instrukcji instalacji z poziomu konsoli internetowej, można skorzystać z narzędzia Vulnerability Scanner (więcej informacji zawiera sekcja Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner na str. 3-18). Aby pobrać pliki instalacyjne programu Client/Server Security Agent, na komputerach użytkowników musi być zainstalowany program Microsoft Internet Explorer 6.0 lub nowszy z poziomem zabezpieczeń umożliwiającym uruchamianie formantów ActiveX. Poniższe instrukcje zostały sformułowane z punktu widzenia użytkownika. Należy je przesłać użytkownikom pocztą , aby mogli zainstalować program Client/Server Security Agent z wewnętrznej witryny sieci Web. Aby przeprowadzić instalację z wewnętrznej witryny internetowej: 1. Otwórz okno programu Internet Explorer i wpisz: Micro Security Server}:{port}/SMB/console/html/client Na przykład: Można również skorzystać z adresu URL konsoli zarządzania. Na ekranie hasła widoczne jest łącze Kliknij tutaj służące do instalacji klientów. Jeśli NIE JEST używany protokół SSL, wpisz ciąg http zamiast https. 2. Kliknij opcję Instaluj teraz, aby rozpocząć instalację programu Client/Server Security Agent. Uwaga: W przypadku systemu Windows Vista należy sprawdzić, czy włączono opcję Tryb chroniony. Aby włączyć opcję Tryb chroniony, w programie Internet Explorer kliknij kolejno polecenia Narzędzia > Opcje internetowe > Zabezpieczenia. 3-5

48 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Rozpocznie się instalacja. Po zakończeniu instalacji na ekranie zostanie wyświetlony komunikat Instalacja agenta została zakończona. 3. Zweryfikuj poprawność instalacji, sprawdzając, czy ikona programu Client/Server Security Agent jest widoczna na pasku zadań systemu Windows. Skanowanie tradycyjne: Skanowanie inteligentne: Instalacja za pomocą skryptu logowania Stosując ustawienia skryptu logowania, można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach, który przeprowadzany jest zaraz po zalogowaniu się użytkownika w domenie. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Oznacza system opracyjny niechronionego komputera i agenta Client/Server Security Agent Aktualizuje silnik skanowania, plik sygnatur wirusów, składniki usługi Damage Cleanup Services, pliki czyszczenia i pliki programowe. Uwaga: Aby wymusić zastosowanie metody instalacji z wykorzystaniem skryptu logowania, klienty muszą znajdować się na liście usługi Windows Active Directory serwera, który przeprowadza instalację. Aby dodać program autopcc.exe do skryptu logowania za pomocą Ustawień skryptu logowania: 1. Na komputerze z zainstalowanym programem WFBS, uruchom plik C:\Program Files\Trend Micro\Security Server\PCCSRV\Admin\SetupUsr.exe. Zostanie załadowane narzędzie Ustawienia skryptu logowania. Na konsoli zostanie wyświetlone drzewo ze wszystkimi domenami sieci. 3-6

49 Instalowanie agentów 2. Znajdź komputer z systemem Windows 2000/Server 2003/Server 2008, którego skrypt logowania chcesz zmodyfikować, wybierz go, a następnie kliknij przycisk Wybierz. Ten serwer musi być podstawowym kontrolerem domeny. Należy mieć uprawnienia administratora tego komputera. W programie Ustawienia skryptu logowania zostanie wyświetlony monit o podanie nazwy użytkownika i hasła. 3. Wpisz nazwę użytkownika i hasło. Kliknij przycisk OK, aby kontynuować. Zostanie wyświetlony ekran Wybór użytkownika. Lista Użytkownicy zawiera profile użytkowników, którzy logują się na serwerze. Lista Wybrani użytkownicy zawiera użytkowników, których skrypty logowania zostaną zmienione. Aby zmodyfikować skrypt logowania jednego lub kilku użytkowników, należy ich wybrać z listy Użytkownicy, a następnie kliknąć Dodaj Aby zmienić skrypty logowania wszystkich użytkowników, kliknij przycisk Dodaj wszystkich. Aby wykluczyć użytkownika, którego komputer został wcześniej zmodyfikowany, należy wybrać nazwę z listy Wybrani użytkownicy i kliknąć opcję Usuń Aby anulować zaznaczenie wszystkich opcji, kliknij przycisk Usuń wszystkie. 4. Kliknij przycisk Zastosuj, gdy wszystkie docelowe profile użytkowników znajdują się na liście Wybrani użytkownicy. Zostanie wyświetlony komunikat informujący o pomyślnej modyfikacji skryptów logowania serwera. 5. Kliknij przycisk OK. Narzędzie Ustawienia skryptu logowania powróci do ekranu początkowego. Aby zmodyfikować skrypty logowania na innych serwerach, powtórz kroki od 2 do 4. Aby zamknąć narzędzie Ustawienia skryptu logowania, kliknij przycisk Zakończ. Uwaga: Kiedy niezabezpieczony komputer loguje się na serwerze ze zmodyfikowanymi skryptami logowania, program autopcc.exe automatycznie instaluje na tym serwerze agenta. 3-7

50 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Instalowanie przy użyciu skryptów Jeżeli istnieje gotowy skrypt logowania dla systemu Windows 2000/Server 2003/Server 2008, narzędzie Ustawienia skryptu logowania doda polecenie, które uruchomi program autopcc.exe. W przeciwnym wypadku utworzy plik wsadowy o nazwie ofcscan.bat (zawierający polecenie uruchamiające program autopcc.exe). Na końcu skryptu narzędzie Ustawienia skryptu logowania dopisuje następujące informacje: \\{nazwa_serwera}\ofcscan gdzie: {nazwa_serwera} to nazwa lub adres IP komputera, na którym zainstalowano program Trend Micro Security Server. Wskazówka: Jeśli środowisko nie może rozpoznać nazw serwerów za pomocą systemu DNS, należy zamienić element {nazwa_serwera} na {adres_ip_serwera}. Skrypt logowania systemu Windows 2000 znajduje się na serwerze Windows 2000 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2000 server\{dysk_systemowy}\winnt\sysvol\domain\ scripts\ofcscan.bat Skrypt logowania systemu Windows Server 2003 znajduje się na serwerze Windows Server 2003 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2003 server\{dysk_systemowy}\%windir%\sysvol\ domain\scripts\ofcscan.bat Skrypt logowania systemu Windows Server 2008 znajduje się na serwerze Windows Server 2008 (poprzez udostępniony katalog logowania do sieci) w następującej lokalizacji: \\Windows 2008 server\{dysk_systemowy}\%windir%\sysvol\ domain\scripts\ofcscan.bat 3-8

51 Instalowanie agentów Instalacja za pomocą programu Client Packager Narzędzie Client Packager może kompresować pliki instalacyjne i aktualizacyjne do postaci samorozpakowującej się, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Użytkownicy po otrzymaniu tego pakietu muszą tylko dwukrotnie kliknąć plik, aby uruchomić program instalacyjny. Agenci zainstalowani przy użyciu programu Client Packager przekazują raporty do serwera, na którym program Client Packager utworzył pakiet instalacyjny. To narzędzie jest szczególnie przydatne podczas instalacji agenta lub aktualizacji plików na klientach w oddalonych biurach z sieciami o niskiej przepustowości. Uwagi dotyczące instalacji przy użyciu programu Client Packager Instalacja: Jeżeli agent nie może połączyć się z programem Security Server, klient zachowa ustawienia domyślne. Klient może uzyskać ustawienia grup tylko po nawiązaniu połączenia z programem Security Server. Uaktualnianie: Jeżeli występują problemy z uaktualnianiem agenta przy użyciu programu Client Packager, firma Trend Micro zaleca odinstalowanie poprzedniej wersji agenta, a następnie zainstalowanie nowej wersji. Uwaga: Program Client Packager wymaga przynajmniej 370 MB wolnego miejsca na dysku komputera klienckiego. Aby klient uruchomił pakiet MSI, niezbędny jest program Instalator Windows 3.0. Program Client Packager może utworzyć dwa typy samorozpakowujących się plików: Wykonywalne Uwaga: W przypadku systemu Windows Vista program musi być uruchamiany z uprawnieniami administratora (Uruchom jako administrator). 3-9

52 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Format Microsoft Installer Package (MSI): Ten typ plików odpowiada specyfikacji pakietu Microsoft Windows Installer i można go używać do instalacji dyskretnej i/lub instalacji za pomocą usługi Active Directory. Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Wskazówka: Firma Trend Micro zaleca instalację pakietu MSI za pomocą usługi Active Directory i opcji Computer Configuration zamiast User Configuration. Dzięki temu pakiet MSI zostanie zainstalowany niezależnie od tego, który użytkownik zaloguje się na komputerze. Aby utworzyć pakiet za pomocą interfejsu graficznego programu Client Packager: 1. Na komputerze z programem Trend Micro Security Server otwórz Eksploratora Windows. 2. Przejdź do folderu \PCCSRV\Admin\Utility\ClientPackager. 3. Kliknij dwukrotnie plik ClnPack.exe, aby uruchomić narzędzie. Zostanie otwarta konsola programu Client Packager. Uwaga: Program powinien być uruchamiany wyłącznie na komputerze z programem Trend Micro Security Server. 4. W polu Target operating system wybierz system operacyjny, dla którego chcesz utworzyć pakiet instalacyjny. 5. Wybierz tryb skanowania. Skanowanie tradycyjne: do skanowania klienta wykorzystywany jest lokalny silnik skanowania zlokalizowany na tym komputerze. Skanowanie inteligentne: w skanowaniu klienta pomaga serwer skanowania. Serwer skanowania jest automatycznie instalowany z programem Security Server. Metodę skanowania można wybrać na ekranie Ustawienia zabezpieczeń. Tryby skanowania wykorzystują różne pliki sygnatur. W przypadku skanowania tradycyjnego używany jest tradycyjny plik sygnatur wirusów. 3-10

53 Instalowanie agentów 6. Wybierz typ pakietu, który chcesz utworzyć: Instaluj: Wybierz w przypadku instalacji agenta. Aktualizacja: Wybierz jedynie w przypadku aktualizacji komponentów programu Client/Server Security Agent. 7. W obszarze Options wybierz odpowiednie opcje instalacji: Tryb cichy: Tworzy pakiet, który jest instalowany na kliencie w tle, niezauważalnie dla użytkownika. Okno stanu instalacji nie zostanie wyświetlone. Pakiet MSI: Tworzy pakiet zgodny z formatem Microsoft Windows Installer Package. Uwaga: Pakiet MSI należy instalować wyłącznie za pomocą usługi Active Directory. Aby zainstalować pakiet lokalnie, należy utworzyć plik.exe. Wyłącz skanowanie wstępne (tylko w przypadku nowej instalacji): Wyłącza standardowe skanowanie plików, które program WFBS wykonuje przed rozpoczęciem instalacji. 8. Na stronie Składniki wybierz składniki, które mają zostać uwzględnione w pakiecie instalacyjnym: Program: Wszystkie składniki. Silnik skanowania: Najnowszy silnik skanowania znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura wirusów: Najnowszy plik sygnatur wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura narażenia na atak: Najnowszy plik sygnatur narażenia na atak znajdujący się na komputerze z programem Trend Micro Security Server. Elementy spyware: Najnowsze elementy spyware znajdujące się na komputerze z programem Trend Micro Security Server. Ogólny sterownik zapory: Sterownik zapory. Sygnatura wirusa sieciowego: Najnowszy plik sygnatur wirusów sieciowych. 3-11

54 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora DCE/DCT: Najnowszy silnik i szablon czyszczenia wirusów znajdujący się na komputerze z programem Trend Micro Security Server. Sygnatura IntelliTrap: Najnowszy plik sygnatur IntelliTrap znajdujący się na komputerze z programem Trend Micro Security Server. 9. Upewnij się, że lokalizacja pliku ofcscan.ini jest poprawna, sprawdzając ją obok pola Source file. Aby zmienić ścieżkę, kliknij przycisk w celu odnalezienia pliku ofcscan.ini. Domyślnie plik jest umieszczony w folderze \PCCSRV programu Trend Micro Security Server. 10. W obszarze Output file kliknij przycisk, aby określić nazwę pliku (na przykład ClientSetup.exe) oraz miejsce, w którym ma zostać utworzony pakiet. 11. Kliknij przycisk Create, aby utworzyć pakiet. Po utworzeniu pakietu w programie Client Packager pojawi się komunikat Tworzenie pakietu zakończone powodzeniem. Aby zweryfikować poprawność utworzonego pakietu, sprawdź określony katalog wyjściowy. 12. Prześlij pakiet instalacyjny do użytkowników za pomocą poczty lub skopiuj go na dysk CD lub podobny nośnik, a następnie roześlij go do użytkowników. OSTRZEŻENIE! Pakiet można przesłać tylko do programów Client/Server Security Agent przekazujących raporty do serwera, na którym dany pakiet został utworzony. Nie należy przesyłać pakietów do programów Client/Server Security Agent przekazujących raporty do innych komputerów z programem Trend Micro Security Server. Instalowanie za pomocą pliku MSI Jeśli używana jest usługa Active Directory, program Client/Server Security Agent można zainstalować, tworząc plik programu Instalator Microsoft Windows. Aby utworzyć plik z rozszerzeniem msi, należy użyć narzędzia Client Packager. Funkcje usługi Active Directory umożliwiają automatyczną instalację agenta na wszystkich klientach równocześnie za pomocą pliku MSI; eliminuje to potrzebę instalacji programuclient/ Server Security Agent przez każdego użytkownika oddzielnie. Aby uzyskać więcej informacji na temat formatu MSI, odwiedź witrynę internetową firmy Microsoft. Instrukcje dotyczące tworzenia pliku MSI zawiera sekcja Instalacja za pomocą programu Client Packager na str

55 Instalowanie agentów Instalowanie za pomocą instalacji zdalnej Program Client/Server Security Agent można jednocześnie zainstalować zdalnie na wielu komputerach z zainstalowanym systemem operacyjnym Windows 7, Vista, 2000, XP (tylko w wersji Professional Edition), Server 2003, Server 2008, SBS 2008 lub EBS Uwaga: Aby korzystać z funkcji instalacji zdalnej, należy posiadać uprawnienia administratora na komputerach docelowych. W przypadku systemów Windows 7, Vista, Server 2008, SBS 2008 oraz EBS 2008 konieczne będzie użycie hasła wbudowanego konta administratora domeny ze względu na kontrolę konta użytkownika w systemie Windows. Aby wykonać instalację programu CSA za pomocą funkcji instalacji zdalnej: Uwaga: Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga czynności dodatkowych. Dodatkowe informacje zawiera sekcja Włączanie opcji zdalnej instalacji programu Client Server/Security Agent na klientach z systemem Windows Vista na str W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. W obszarze Typ komputera wybierz pozycję Komputer lub serwer. 3. W obszarze Metoda wybierz opcję Zdalna instalacja. 4. Kliknij przycisk Dalej. Zostanie wyświetlony ekran Instalacja zdalna. 5. Z listy komputerów w oknie Grupy i komputery wybierz klienta i kliknij przycisk Dodaj. Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła dla komputera docelowego. 6. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk Zaloguj. Komputer docelowy pojawi się na liście Wybrane komputery. 7. Powtarzaj te etapy, aż lista w oknie Wybrane komputery będzie zawierać wszystkie komputery z systemem Windows. 8. Aby zainstalować program Client/Server Security Agent na komputerach docelowych, kliknij przycisk Instaluj. Zostanie wyświetlone okno potwierdzenia. 3-13

56 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 9. Kliknij przycisk Tak, aby potwierdzić chęć instalacji agenta na komputerze klienckim. Podczas kopiowania plików programu Client/Server Security Agent na każdy z komputerów docelowych wyświetlany jest ekran postępu. Po zakończeniu instalacji programu WFBS na komputerze docelowym, w polu Wynik listy wybranych komputerów, zostanie wyświetlony stan instalacji, a obok nazwy komputera pojawi się zielony znacznik wyboru. Uwaga: Funkcja instalacji zdalnej nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony program Trend Micro Security Server. Włączanie opcji zdalnej instalacji programu Client Server/Security Agent na klientach z systemem Windows Vista Instalacja programu Client/Server Security Agent w systemie Windows Vista wymaga czynności dodatkowych. Aby umożliwić zdalną instalację na klientach z zainstalowanym systemem Windows Vista: 1. Na kliencie włącz tymczasowo usługę Udostępnianie plików i drukarek. Uwaga: W przypadku, gdy reguły firmy dotyczące ochrony nakazują wyłączenie zapory systemu Windows, przejdź do kroku 2, aby uruchomić usługę Rejestr zdalny. a. Uruchom zaporę systemu Windows w Panelu sterowania. b. Kliknij polecenie Zezwalaj programowi na dostęp przez Zaporę systemu Windows. Jeśli zostanie wyświetlony monit o wpisanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź. Zostanie wyświetlone okno ustawień Zapory systemu Windows. c. Sprawdź, czy zaznaczone jest pole wyboru Udostępnianie plików i drukarek na karcie Wyjątki w obszarze Lista programów lub portów. d. Kliknij przycisk OK. 2. Uruchom tymczasowo usługę Rejestr zdalny. 3-14

57 Instalowanie agentów a. Otwórz konsolę Microsoft Management Console. Wskazówka: W oknie Uruchom wpisz ciąg services.msc, aby uruchomić konsolę Microsoft Management Console. b. Kliknij prawym przyciskiem myszy pozycję Rejestr zdalny i wybierz opcję Uruchom. 3. W razie potrzeby przywróć oryginalne ustawienia po zainstalowaniu programu Client/Server Security Agent na komputerze klienckim z zainstalowanym systemem Windows Vista. Instalacja za pomocą narzędzia Vulnerability Scanner Narzędzie Skaner narażenia na atak (TMVS) służy do wykrywania zainstalowanych rozwiązań antywirusowych, wyszukiwania w sieci niechronionych komputerów oraz instalowania na nich programu Client/Server Security Agent. Aby określić, czy komputer potrzebuje zabezpieczenia, narzędzie Vulnerability Scanner wysyła polecenie ping do portów używanych zwykle przez rozwiązania antywirusowe. W tej sekcji opisano sposób instalowania agenta za pomocą narzędzia Vulnerability Scanner. Instrukcje dotyczące korzystania z narzędzia Vulnerability Scanner do wykrywania rozwiązań antywirusowych znajdują się w sekcji Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner na str Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem, że nie jest na nich uruchomiona usługa Terminal Server. Nie można zainstalować programu Client/Server Security Agent na kliencie z wykorzystaniem narzędzia Vulnerability Scanner, jeśli na tym komputerze zainstalowano już program Trend Micro Security Server. Aby zainstalować program Client/Server Security Agent z wykorzystaniem narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do następującej lokalizacji: {lokalizacja serwera} > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 3-15

58 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. RYSUNEK 3-1. Ekran Ustawienia TMVS 3-16

59 Instalowanie agentów 3. W obszarze Trend Micro Security Server Ustawienia (raporty z instalacji i dzienniki) wpisz nazwę lub adres IP i numer portu komputera z programem Trend Micro Security Server. 4. Zaznacz pole wyboru Automatycznie instaluj program Client/Server Security Agent na niezabezpieczonych komputerach. 5. Kliknij przycisk Konto instalacyjne. 6. Podaj nazwę użytkownika i hasło dające uprawnienia administratora do serwera (lub domeny) i kliknij przycisk OK. 7. Kliknij przycisk OK, aby wrócić do głównego ekranu programu TMVS. 8. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci oraz instalację programu Client/Server Security Agent. Instalowanie za pomocą powiadomienia Opcji tej należy użyć, aby wysłać wiadomość zawierającą łącze do programu instalacyjnego produktu. Aby powiadomić o lokalizacji pakietu z poziomu konsoli: 1. W menu głównym konsoli internetowej kliknij kolejno opcje Ustawienia zabezpieczeń > Dodaj. Zostanie wyświetlony ekran Dodaj komputer. 2. Wybierz Komputer lub Serwer w sekcji Typ komputera. 3. Wybierz opcję Instalacja za pomocą powiadomienia w sekcji Metoda. 4. Kliknij przycisk Dalej. Pojawi się ekran Instalacja za pomocą powiadomienia Wprowadź temat wiadomości i odbiorców. 6. Kliknij przycisk Zastosuj. Zostanie otwarte okno domyślnego programu do obsługi poczty elektronicznej z wprowadzonymi odbiorcami, tematem oraz łączem do programu instalacyjnego produktu. 3-17

60 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Weryfikowanie instalacji, uaktualnienia lub migracji agenta Po zakończeniu instalacji lub uaktualnienia należy sprawdzić, czy program Client/Server Security Agent został prawidłowo zainstalowany. Aby zweryfikować instalację: Zlokalizuj skróty programu WFBS w menu Start systemu Windows na kliencie z uruchomionym agentem. Następnie należy sprawdzić, czy program WFBS znajduje się na liście Dodaj/ usuń programy w Panelu sterowania klienta. Następnie zastosuj narzędzie Vulnerability Scanner (patrz sekcja Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner na str. 3-18). Skorzystaj z narzędzia Client Mover. Weryfikowanie instalacji klienta z wykorzystaniem narzędzia Vulnerability Scanner Istnieje możliwość sprawdzenia, czy na wszystkich klientach w sieci zainstalowani są agenci. Narzędzie Vulnerability Scanner można zautomatyzować, tworząc zadania zaplanowane. Aby uzyskać Informacje na temat automatyzacji narzędzia Vulnerability Scanner, patrz WFBS pomoc online. Uwaga: Narzędzia Vulnerability Scanner można używać na komputerach z systemem Windows 2000 lub Server 2003, pod warunkiem że nie jest na nich uruchomiona usługa Terminal Server. 3-18

61 Instalowanie agentów Aby zweryfikować instalację agenta za pomocą narzędzia Vulnerability Scanner: 1. Na dysku, na którym zainstalowano program Trend Micro Security Server, przejdź do katalogu Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. 3. W obszarze Kwerenda dotycząca produktu zaznacz pole wyboru Security Server i określ port używany przez serwer do komunikacji z klientami. 4. W obszarze Ustawienia pobierania opisów wybierz metodę pobierania. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Wyszukiwanie zwykłe, a następnie zaznaczając pole wyboru Wyszukaj dostępne opisy komputerów, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, należy zaznaczyć pole wyboru Wyślij wyniki pocztą do administratora systemu w obszarze Ustawienia ostrzeżeń. Następnie należy kliknąć opcję Konfiguruj, aby określić ustawienia poczty . W polu Do wpisz adres odbiorcy. W polu Od wpisz swój adres . W polu Serwer SMTP wpisz adres serwera SMTP. Przykładowy adres to smtp.przyklad.com. Informacja o serwerze SMTP jest wymagana. W polu Temat wpisz nowy temat wiadomości lub zatwierdź domyślny. 6. Kliknij przycisk OK, aby zapisać ustawienia. 7. Aby na niezabezpieczonych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Wyświetl ostrzeżenie na niezabezpieczonych komputerach. Następnie kliknij opcję Dostosuj, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Komunikat ostrzeżenia. 8. W polu tekstowym wpisz nowy komunikat ostrzeżenia lub zaakceptuj komunikat domyślny, a następnie kliknij przycisk OK. 9. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatycznie zapisuj wyniki do pliku CSV. Narzędzie Vulnerability Scanner domyślnie zapisuje pliki CSV w folderze TMVS. Aby zmienić folder domyślny z plikami CSV, kliknij przycisk Przeglądaj, a następnie wybierz folder docelowy na swoim komputerze lub w sieci i kliknij przycisk OK. 3-19

62 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 10. W obszarze Ustawienia polecenia Ping określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Rozmiar pakietu i Limit czasu. 11. Kliknij przycisk OK. Zostanie wyświetlona konsola narzędzia Vulnerability Scanner. 12. Aby uruchomić skanowanie ręczne narażenia na atak w zakresie adresów IP, wykonaj następujące czynności: a. W polu Zakres IP do sprawdzenia wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. b. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. 13. Aby uruchomić skanowanie ręczne narażenia na atak na komputerach uzyskujących adres IP z serwera DHCP, wykonaj następujące czynności: a. Kliknij kartę Skanowanie DHCP w polu Wyniki. Zostanie wyświetlony przycisk Uruchom DHCP. b. Kliknij przycisk Uruchom DHCP. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie klientów na atak, kiedy będą się logować do sieci. Narzędzie Vulnerability Scanner sprawdzi sieć, a wyniki zostaną wyświetlone w tabeli Wyniki. Można sprawdzić, czy agent jest zainstalowany na wszystkich serwerach oraz komputerach stacjonarnych i przenośnych. Jeżeli narzędzie Vulnerability Scanner znajdzie niechronione serwery bądź komputery stacjonarne lub przenośne, należy zainstalować na nich agenta przy użyciu wybranej metody. 3-20

63 Instalowanie agentów Testowanie instalacji klienta za pomocą skryptu testowego EICAR Europejski Instytut Badań Nad Wirusami Komputerowymi (European Institute for Computer Antivirus Research, EICAR) opracował testowego wirusa, którego można używać do sprawdzenia instalacji i konfiguracji. Plik ten jest plikiem tekstowym, którego sygnatura binarna jest zawarta w pliku sygnatur wirusów dostarczanym przez większość producentów oprogramowania antywirusowego. Nie jest on wirusem i nie zawiera żadnego kodu programowego. Uzyskiwanie pliku testowego instytutu EICAR: Wirusa testowego instytutu EICAR można pobrać z witryny dostępnej pod następującym adresem URL: Można także utworzyć własnego wirusa testowego EICAR, wpisując następujący ciąg w pliku tekstowym, a następnie nadając mu nazwę eicar.com : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $H+H* Uwaga: Przed rozpoczęciem testów należy oczyścić pamięć podręczną serwera i lokalnej przeglądarki internetowej. Usuwanie agentów Agenty można usunąć, stosując jedną z dwóch metod: uruchomić programu do odinstalowywania agentów, skorzystać z konsoli internetowej. OSTRZEŻENIE! Usunięcie agentów powoduje, że klienty stają się podatni na zagrożenia. 3-21

64 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Usuwanie agenta przy użyciu programu do odinstalowywania agentów Jeżeli użytkownikom przyznano uprawnienie do usuwania agenta, można im polecić, aby uruchomili program odinstalowujący agenta z ich komputera. Aby uruchomić program odinstalowujący agenta: 1. W menu Start systemu Windows należy kliknąć opcję Ustawienia > Panel sterowania > Dodaj lub usuń Programy. 2. Wybierz program Trend Micro Client/Server Security Agent i kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran Dezinstalacja programu Client/ Server Security Agent Uninstallation i monit o podanie hasła dezinstalacji, jeśli zostało skonfigurowane. 3. Wpisz hasło dezinstalacji i kliknij opcję OK. Usuwanie agenta za pomocą konsoli internetowej Program Client/Server Security Agent można także usunąć za pomocą konsoli internetowej. Aby zdalnie usunąć agenta za pomocą konsoli internetowej: 1. Zaloguj się do konsoli internetowej. 2. Kliknij kartę Ustawienia zabezpieczeń. 3. W drzewie grup zabezpieczeń wybierz klienta, z którego chcesz usunąć agenta, a następnie kliknij przycisk Usuń. Zostanie wyświetlony ekran Usuń komputer. 4. W obszarze Typ usuwania kliknij opcję Odinstaluj wybranych agentów, a następnie kliknij przycisk Zastosuj. Zostanie wyświetlona prośba o potwierdzenie. 5. Kliknij przycisk OK. Zostanie wyświetlony ekran zawierający informacje o liczbie powiadomień wysłanych do serwera i otrzymanych przez klienta. 6. Kliknij przycisk OK. Aby sprawdzić, czy agent został usunięty, odśwież ekran Ustawienia zabezpieczeń. Klient nie powinien już być widoczny w drzewie grup zabezpieczeń. 3-22

65 Rozdział 4 Zarządzanie grupami W tym rozdziale omówiono pojęcie grup i korzystanie z grup w programie WFBS. Rozdział obejmuje następujące zagadnienia: Przegląd grup początek na str. 4-2 Wyświetlanie klientów w grupie początek na str. 4-3 Dodawanie grup początek na str. 4-4 Usuwanie komputerów i grup z konsoli internetowej początek na str. 4-5 Dodawanie klientów do grup początek na str. 4-6 Przenoszenie klientów początek na str. 4-7 Replikowanie ustawień grup początek na str. 4-8 Importowanie i eksportowanie ustawień początek na str

66 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Przegląd grup W programie WFBS grupy stanowią kolekcję komputerów i serwerów, które mają tą samą konfigurację i na których uruchomione są te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wielu agentów i zarządzać nimi. W celu łatwiejszego zarządzania można grupować klientów według działów, do których należą lub wykonywanych funkcji. Można też grupować klientów o większym ryzyku zarażenia, aby zastosować dla nich bardziej bezpieczną konfigurację za pomocą jednego ustawienia. Program Security Server domyślnie przypisuje klientów (komputery, serwery lub serwery Exchange) do grup na podstawie typu zainstalowanego agenta. 4-2

67 Zarządzanie grupami Wyświetlanie klientów w grupie Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Na ekranie Ustawienia zabezpieczeń można zarządzać wszystkimi klientami, na których zainstalowano programy Client/Server Security Agent, oraz dostosować ustawienia zabezpieczeń dla agentów. RYSUNEK 4-1. Klienty należące do jednej grupy, wyświetlone na ekranie Ustawienia zabezpieczeń W drzewie grup zabezpieczeń klienty są wyświetlane zgodnie z przynależnością do grup. Drzewo grup zabezpieczeń jest rozwijaną listą logicznych grup klientów. Po wybraniu grupy z listy po lewej stronie i kliknięciu opcji Konfiguruj, w konsoli internetowej zostanie wyświetlony nowy obszar konfiguracji. 4-3

68 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Dodawanie grup Ścieżka nawigacji: Ustawienia zabezpieczeń > Dodaj grupę Grupy można tworzyć w celu zarządzania wieloma klientami jednocześnie. Uwaga: Klienty muszą być powiązani z grupą. Klient nie może znajdować się poza grupą. RYSUNEK 4-2. Ekran Dodaj grupę Aby dodać grupę: 1. Zmień odpowiednio następujące ustawienia na ekranie Dodawanie grupy: Typ grupy: Wybierz opcję Komputer lub Serwer. Importuj ustawienia z grupy: Importuje ustawienia zabezpieczeń z wybranej grupy. 2. Kliknij przycisk Zapisz. 4-4

69 Zarządzanie grupami Usuwanie komputerów i grup z konsoli internetowej Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Za pomocą opcji Usuń można wykonać dwie czynności: Usunąć ikonę klienta z konsoli internetowej: W niektórych sytuacjach klient może być nieaktywny (na przykład wówczas, gdy dysk komputera został ponownie sformatowany lub użytkownik wyłączył program Client/Server Security Agent na dłuższy czas). W tych sytuacjach konieczne może być usunięcie ikony komputera z konsoli internetowej. Odinstalować program Client/Server Security Agent z klienta (usuwając w efekcie ikonę klienta z konsoli internetowej). Dopóki na komputerze lub serwerze jest zainstalowany program Client/Server Security Agent, może on być uaktywniany i wyświetlany w konsoli internetowej. Aby usunąć na stałe nieaktywnego klienta, należy najpierw odinstalować program Client/Server Security Agent. Z konsoli internetowej można usunąć zarówno pojedynczy komputer, jak i grupę. OSTRZEŻENIE! Usunięcie agenta z komputera może narazić komputer na ataki wirusów i innego złośliwego oprogramowania. Aby usunąć klienta lub grupę: 1. Kliknij grupę lub komputer, który chcesz usunąć. 2. Na pasku narzędzi kliknij opcję Usuń. Wybierz opcję Usuń wybranych nieaktywnych agentów, aby usunąć ikonę klienta z konsoli internetowej. Wybierz opcję Odinstaluj wybranych agentów, aby usunąć program Client/Server Security Agent z wybranych komputerów i usunąć ikony tych komputerów z konsoli internetowej. 3. Kliknij przycisk Zastosuj. Uwaga: Jeśli w grupie nadal są zarejestrowane klienty, nie będzie można usunąć grupy. Przed usunięciem grupy należy usunąć lub odinstalować agentów. 4-5

70 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Dodawanie klientów do grup Program Worry-Free Business Security udostępnia kilka metod instalowania programu Client/Server Security Agent. Ten rozdział zawiera podsumowanie różnych metod. Wskazówka: W organizacjach, w których reguły IT są ściśle przestrzegane, zalecana jest instalacja zdalna i za pomocą skryptu logowania. Wewnętrzna strona internetowa: Należy polecić użytkownikom w firmie przejście do wewnętrznej witryny sieci Web i pobranie plików instalacji programu Client/Server Security Agent. Ustawienia skryptu logowania: Ustawienia te automatyzują instalację programu Client/Server Security Agent na niezabezpieczonych komputerach podczas ich logowania do domeny. Program Client Packager: Ta metoda umożliwia wdrożenie lub aktualizację plików programu Client/Server Security Agent na klientach za pomocą poczty . Instalowanie za pomocą powiadomienia Wysyłana jest wiadomość z łączem do programu instalacyjnego. Instalacja zdalna: Ta metoda umożliwia zainstalowanie agenta na wszystkich komputerach klienckich z systemem Windows Vista/2000/XP/Server 2003/Server 2008 za pomocą konsoli internetowej. Narzędzie Vulnerability Scanner (TMVS): Instalowanie programu Client/Server Security Agent na wszystkich klientach z systemem Windows 2000/Server 2003 za pomocą narzędzia Trend Micro Vulnerability Scanner. Gdy zostanie dodany komputer lub serwer, program Security Server instaluje na nim agenta i dodaje dla tego klienta ikonę na ekranie Ustawienia zabezpieczeń. Po zainstalowaniu agenta na kliencie rozpoczyna on zgłaszanie informacji dotyczących zabezpieczeń do programu Security Server. Program Security Server domyślnie tworzy grupy na podstawie istniejących domen systemu Windows, a jako nazwy klienta używa nazwy komputera. Można usuwać grupy utworzone w programie Security Server lub przenosić klientów z jednej grupy do innej. 4-6

71 Zarządzanie grupami Aby dodać klienta do grupy: 1. Na ekranie Ustawienia zabezpieczeń kliknij przycisk Dodaj na pasku narzędzi. 2. Zmień odpowiednio następujące ustawienia: Typ komputera: Typ klienta. Komputer lub serwer Metoda Instalacja zdalna: Umożliwia zdalną instalację agenta na kliencie. Patrz Instalowanie za pomocą instalacji zdalnej na str. 3-13, aby uzyskać więcej informacji. Utwórz skrypt logowania do domeny: Umożliwia instalację agenta przy użyciu skryptu logowania do domeny. Agent zostanie zainstalowany po następnym zalogowaniu klienta do sieci. Patrz Instalacja za pomocą skryptu logowania na str. 3-6, aby uzyskać więcej informacji. 3. Kliknij przycisk Dalej. Postępuj zgodnie z instrukcjami na ekranie. Przenoszenie klientów Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę Program WFBS umożliwia przenoszenie klientów między grupami lub serwerami zabezpieczeń. RYSUNEK 4-3. Ekran Przenieś komputer/serwer 4-7

72 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby przenieść klienta z jednej grupy do innej: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Przeciągnij klienta do innej grupy. Klient odziedziczy ustawienia nowej grupy. Aby przenieść klienta z jednego serwera zabezpieczeń do innego: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, a następnie zaznacz klienta. 2. Kliknij opcję Przenieś. 3. Wprowadź nazwę nowego serwera i numer portu. Aby odczytać numer portu na ekranie Ustawienia zabezpieczeń, należy kliknąć jeden z serwerów (patrz Rysunek 4-1. Klienty należące do jednej grupy, wyświetlone na ekranie Ustawienia zabezpieczeń). Numer portu zostanie wyświetlony u góry. 4. Kliknij opcję Przenieś. Replikowanie ustawień grup Za pomocą opcji Replikowanie ustawień można kopiować ustawienia między grupami lub sieciami. Ustawienia zostaną zastosowane do wszystkich klientów, którzy są częścią grupy docelowej. Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę RYSUNEK 4-4. Ekran Ustawienia replikacji Aby replikować ustawienia między grupami: 1. Na ekranie Ustawienia zabezpieczeń zaznacz grupę, której ustawienia mają być replikowane do innych grup. 2. Kliknij opcję Replikuj ustawienia. 4-8

73 Zarządzanie grupami 3. Wybierz grupy docelowe, które mają odziedziczyć ustawienia z grupy źródłowej. 4. Kliknij przycisk Zastosuj. Importowanie i eksportowanie ustawień Ustawienia komputerów i serwerów można zapisać, a następnie zaimportować je celem użycia na nowych komputerach i serwerach. Ustawienia są zapisywane w postaci pliku danych (.dat). Można importować i eksportować następujące ustawienia: W ustawieniach zabezpieczeń: Oprogramowanie antywirusowe/anty-spyware, Zapora, Web Reputation, Filtrowanie adresów URL, Monitorowanie zachowania, Pasek narzędzi usługi Trend Secure, Skanowanie poczty, Uprawnienia klienta, Kwarantanna W ustawieniach skanowania: Skanowanie ręczne, Skanowanie zaplanowane Uwaga: Ustawienia można importować/eksportować z/do komputerów i serwerów. Ustawienia są niezależne od typu grupy. Aby zaimportować ustawienia: 1. Na ekranie Ustawienia zabezpieczeń wybierz komputer lub serwer. 2. Kliknij przycisk Importuj. Zostanie wyświetlony ekran Importowanie ustawień. 3. Kliknij przycisk Przeglądaj, znajdź plik, a następnie kliknij przycisk Importuj. Aby wyeksportować ustawienia: 1. Na ekranie Ustawienia zabezpieczeń wybierz komputer lub serwer. 2. Kliknij przycisk Eksportuj. Zostanie wyświetlony ekran Eksportowanie ustawień. 3. Kliknij przycisk Eksportuj. W oknie dialogowym systemu Windows kliknij przycisk Zapisz i wybierz lokalizację. Aby wyeksportować ustawienia do co najmniej jednej domeny, którymi również zarządza ten serwer, należy użyć funkcji Replikuj ustawienia. 4-9

74 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 4-10

75 Rozdział 5 Zarządzanie podstawowymi ustawieniami zabezpieczeń W tym rozdziale wyjaśniono, jak należy konfigurować ustawienia w celu ochrony sieci. Rozdział obejmuje następujące zagadnienia: Opcje dla grup komputerów i serwerów początek na str. 5-2 Typy skanowania początek na str. 5-3 Konfigurowanie skanowania w czasie rzeczywistym początek na str. 5-5 Zarządzanie zaporą początek na str. 5-8 Korzystanie z usługi Web Reputation początek na str Konfigurowanie filtrowania adresów URL początek na str Korzystanie z monitorowania zachowania początek na str TrendSecure początek na str Zarządzanie skanowaniem poczty POP3 początek na str Uprawnienia klienta początek na str Zarządzanie kwarantanną początek na str

76 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Opcje dla grup komputerów i serwerów W programie WFBS grupa to zbiór klientów korzystających z takiej samej konfiguracji iwykonujących te same zadania. Dzięki grupowaniu klientów można jednocześnie konfigurować wielu klientów i zarządzać nimi. Więcej informacji znajduje się w sekcji Przegląd grup na str Poniższe funkcje są dostępne po wybraniu grupy i kliknięciu opcji Konfiguruj na ekranie Ustawienia zabezpieczeń: TABELA 5-1. Opcje konfiguracji dla grup komputerów i serwerów Opcja Opis Ustawienie domyślne Metoda skanowania Oprogramowanie antywirusowe/ anty-spyware Przełączanie między skanowaniem inteligentnym i tradycyjnym Konfigurowanie opcji skanowania w czasie rzeczywistym, ochrony antywirusowej i przeciwdziałania oprogramowaniu typu spyware. Zapora Konfigurowanie opcji zapory Wyłączone Web Reputation Monitorowanie zachowania Filtrowanie adresów URL Konfigurowanie opcji W biurze i Poza biurem usługi Web Reputation Konfigurowanie opcji monitorowania zachowań Filtrowanie adresów URL blokuje witryny internetowe naruszające skonfigurowane reguły. Skanowanie tradycyjne (w przypadku uaktualnienia) Skanowanie inteligentne (w przypadku nowej instalacji) Włączone (skanowanie w czasie rzeczywistym) W biurze: Włączone, Niski Poza biurem: Włączone, Średni Włączone dla grup komputerów Wyłączone dla grup serwerów Włączone 5-2

77 Zarządzanie podstawowymi ustawieniami zabezpieczeń TABELA 5-1. Opcje konfiguracji dla grup komputerów i serwerów (ciąg dalszy) Opcja Opis Ustawienie domyślne TrendSecure Skanowanie poczty POP3 Uprawnienia klienta Kwarantanna Konfigurowanie opcji W biurze i Poza biurem ochrony narzędzi Transaction Protector i TrendProtect Konfigurowanie opcji skanowania wiadomości POP3 Konfigurowanie dostępu do ustawień z konsoli klienta Należy określić katalog kwarantanny W biurze: Wyłączone Poza biurem: Włączone Wyłączone nd. nd. Uwaga: inne ustawienia klienta, jak na przykład Filtrowanie komunikacji prowadzonej za pomocą komunikatorów internetowych, oraz ich zastosowanie do wszystkich klientów jest możliwe z poziomu karty Komputer/serwer na ekranie Preferencje > Ustawienia globalne. Typy skanowania Skanowanie antywirusowe jest kluczowym elementem strategii programu Worry-Free Business Security. Podczas skanowania współpracujący z plikiem sygnatur wirusów silnik skanowania firmy Trend Micro przeprowadza wykrywanie na pierwszym poziomie, stosując proces nazywany porównywaniem sygnatur. Ponieważ każdy wirus posiada unikatową sygnaturę lub ciąg znaków odróżniających go od innych kodów, specjaliści do spraw wirusów z laboratorium TrendLabs umieszczają nieaktywne fragmenty tego kodu w pliku sygnatur. Silnik porównuje następnie określone części każdego skanowanego pliku z sygnaturą w pliku sygnatur wirusów, szukając dopasowania. W razie wykrycia pliku zawierającego wirus lub inny złośliwy kod, silnik skanowania wykona operację czyszczenia, poddania kwarantannie, usunięcia lub zamiany na tekst/plik. Te operacje można dostosować podczas konfigurowania zadań skanowania. 5-3

78 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Program WFBS oferuje trzy rodzaje skanowania w celu ochrony klientów przed zagrożeniami internetowymi: Skanowanie w czasie rzeczywistym: skanowanie w czasie rzeczywistym zapewnia stałą ochronę. Za każdym razem, gdy plik zostaje odebrany, otwarty, pobrany, skopiowany lub zmodyfikowany, funkcja skanowania w czasie rzeczywistym sprawdza ten plik w poszukiwaniu zagrożeń. Skanowanie ręczne: skanowanie ręczne to skanowanie na żądanie. Skanowanie ręczne eliminuje zagrożenia związane z plikami. Ten rodzaj skanowania usuwa także wcześniejsze infekcje, jeśli istnieją, aby zminimalizować możliwość ponownego zarażenia. W czasie skanowania ręcznego agenci podejmują działania przeciwko zagrożeniom zgodnie z ustawieniami określonymi przez administratora (lub użytkownika). Aby zatrzymać skanowanie, należy kliknąć przycisk Zatrzymaj skanowanie w trakcie skanowania. Uwaga: czas trwania skanowania zależy od zasobów sprzętowych komputera klienckiego i liczby plików do przeskanowania. Skanowanie zaplanowane: skanowanie zaplanowane jest podobne do skanowania ręcznego, ale wszystkie pliki i wiadomości skanowane są wokreślonym czasie iz ustaloną częstotliwością. Skanowanie zaplanowane służy do automatyzowania rutynowych operacji skanowania klientów i poprawy skuteczności zarządzania zagrożeniami. Aby skonfigurować skanowanie zaplanowane, kliknij kolejno opcje Skanuj > Skanowanie zaplanowane. Patrz Planowanie skanowania, aby uzyskać więcej informacji. Uwaga: nie należy mylić powyższych rodzajów skanowania z metodami skanowania. Metody skanowania to skanowanie inteligentne oraz skanowanie tradycyjne (Metody skanowania na str. 7-2). 5-4

79 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie skanowania w czasie rzeczywistym Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Oprogramowanie antywirusowe/anty-spyware RYSUNEK 5-1. Ekran Ustawienia zabezpieczeń > Oprogramowanie antywirusowe/anty-spyware Aby skonfigurować skanowanie w czasie rzeczywistym: 1. Zmień odpowiednio następujące opcje na karcie Cel ekranu Oprogramowanie antywirusowe/anty-spyware: Włącz oprogramowanie antywirusowe/anty-spyware działające w czasie rzeczywistym Pliki do skanowania Wszystkie pliki możliwe do skanowania: wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. 5-5

80 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora IntelliScan: skanuje pliki na podstawie ich rzeczywistego typu. Patrz IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: program WFBS skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Określ, kiedy pliki mają być skanowane: Skanuj pliki tworzone, modyfikowane lub pobierane Skanuj pliki pobierane Skanuj pliki tworzone lub modyfikowane Wykluczenia: umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro Nie skanuj następujących katalogów: wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj następujących plików: wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, a następnie kliknij przycisk Usuń. Nie skanuj plików o następujących rozszerzeniach: wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (w przypadku skanowania antywirusowego): mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz IntelliTrap na str. C-7, aby uzyskać więcej informacji. Skanuj zmapowane dyski i udostępnione foldery sieciowe (w przypadku skanowania antywirusowego) Skanuj dyskietkę podczas zamykania systemu (w przypadku skanowania antywirusowego) 5-6

81 Zarządzanie podstawowymi ustawieniami zabezpieczeń Skanuj pliki skompresowane (w przypadku skanowania antywirusowego): wybierz liczbę warstw do skanowania. Lista dozwolonych programów spyware/grayware (w przypadku skanowania antyspyware): ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 7-7, aby uzyskać więcej informacji. 2. Na karcie Operacja ekranu Oprogramowanie antywirusowe/anty-spyware określ sposób postępowania programu WFBS w przypadku wykrycia zagrożeń: Operacja w przypadku wykrycia wirusa ActiveAction: powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz ActiveAction na str. C-5, aby uzyskać więcej informacji. Wykonaj taką samą operację w przypadku wszystkich wykrytych zagrożeń internetowych: można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: zaszyfrowana kopia zarażonego pliku zostanie zapisana w następującym katalogu klienta: C:\Program Files\Trend Micro\Client Server Security Agent\Backup 5-7

82 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Operacja w przypadku wykrycia spyware/grayware Wyczyść: podczas czyszczenia oprogramowania typu spyware/grayware program WFBS może usuwać powiązane wpisy rejestru, pliki, pliki cookie iskróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Odmów dostępu OSTRZEŻENIE! Odmawianie dostępu aplikacji typu spyware/grayware do komputera nie usuwa takiej aplikacji z zainfekowanych klientów. Ustawienia zaawansowane W przypadku wykrycia wirusa/spyware wyświetl komunikat ostrzeżenia na komputerze lub serwerze 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień wprzypadku wystąpienia zdarzenia. Patrz Konfigurowanie zdarzeń dla powiadomień na str Zarządzanie zaporą Zapora pomaga chronić klientów przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między klientem a siecią. Zapora umożliwia blokowanie lub dopuszczanie określonego rodzaju ruchu sieciowego. Dodatkowo zapora identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak na klientów. Program WFBS umożliwia wybranie jednej z dwóch opcji konfigurowania zapory: tryb prosty lub zaawansowany. W trybie prostym włączane są domyślne ustawienia zapory, zalecane przez firmę Trend Micro. Aby dostosować ustawienia zapory, należy użyć trybu zaawansowanego. Wskazówka: firma Trend Micro zaleca odinstalowanie innych zapór z komputerów klienckich przed zainstalowaniem i włączeniem zapory. 5-8

83 Zarządzanie podstawowymi ustawieniami zabezpieczeń Domyślne ustawienia trybu prostego zapory Zapora zapewnia ustawienia domyślne, które stanowią podstawę opracowania strategii ochrony klientów. Domyślne reguły i wyjątki powinny obejmować sytuacje często występujące podczas pracy na klientach, takie jak potrzeba dostępu do Internetu bądź pobierania lub przesyłania plików przy użyciu protokołu FTP. Uwaga: domyślnie w programie WFBS zapora jest wyłączona we wszystkich nowych grupach i klientach. TABELA 5-2. Domyślne ustawienia zapory Poziom zabezpieczeń Niski Opis Dozwolony ruch przychodzący i wychodzący, zablokowane tylko wirusy sieciowe. Ustawienia System wykrywania włamań (IDS) Komunikat ostrzeżenia (wysyłanie) Stan Wyłączone Wyłączone Nazwa wyjątku Operacja Kierunek Protokół Port DNS Zezwól Przychodzące i wychodzące NetBIOS Zezwól Przychodzące i wychodzące HTTPS Zezwól Przychodzące i wychodzące HTTP Zezwól Przychodzące i wychodzące Telnet Zezwól Przychodzące i wychodzące SMTP Zezwól Przychodzące i wychodzące TCP/UDP 53 TCP/UDP 137, 138, 139, 445 TCP 443 TCP 80 TCP 23 TCP

84 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Nazwa wyjątku Operacja Kierunek Protokół Port FTP Zezwól Przychodzące i wychodzące POP3 Zezwól Przychodzące i wychodzące MSA Zezwól Przychodzące i wychodzące TCP 21 TCP 110 TCP 16372, Lokalizacja W biurze Poza biurem Ustawienia zapory Wył. Wył. Filtrowanie ruchu Zapora monitoruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów: Kierunek (przychodzący lub wychodzący) Protokoły (TCP/UDP/ICMP) Porty docelowe Komputer docelowy Skanowanie w poszukiwaniu wirusów sieciowych Zapora sprawdza każdy pakiet, badając, czy nie jest on zarażony wirusem sieciowym. Kontrola stanowa Zapora przetwarza z pełną analizą pakietów i monitoruje wszystkie połączenia zklientem, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach iregułach, ale także na kontekście, który jest identyfikowany na podstawie analizy połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. 5-10

85 Zarządzanie podstawowymi ustawieniami zabezpieczeń System wykrywania włamań (IDS) Zapora zawiera również system wykrywania intruzów (IDS, ang. Intrusion Detection System). System IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą oznaczać atak na klienta. Zapora umożliwia zapobieganie następującym typom ataków: Ponadwymiarowy fragment: ta luka obejmuje wyjątkowo duże fragmenty w datagramie IP. Niektóre systemy operacyjne nie obsługują prawidłowo dużych fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Atak Ping of Death: Ping of Death (w skrócie POD ) to typ ataku polegający na wysłaniu zniekształconego lub złośliwego polecenia ping do komputera. Polecenie ping ma zwykle wielkość 64 bajtów (lub 84 bajtów po uwzględnieniu nagłówka IP). Wiele systemów komputerowych nie może obsłużyć polecenia ping przekraczającego maksymalną wielkość pakietu IP, która wynosi bajtów. Wysłanie polecenia ping o tej wielkości może spowodować zawieszenie komputera docelowego. Skonfliktowane ARP: ten atak występuje, kiedy źródłowe i docelowe adresy IP są identyczne. Atak typu SYN flood: atak typu SYN flood to forma ataku typu "odmowa usługi", w którym osoba atakująca wysyła kolejne żądania SYN do systemu docelowego. Pokrywający się fragment: ta luka obejmuje dwa fragmenty w obrębie tego samego datagramu IP, których przesunięcie wskazuje na współdzielenie położenia wdatagramie. Może to oznaczać, że fragment A zostaje całkowicie lub częściowo nadpisany przez fragment B. Niektóre systemy operacyjne nie obsługują prawidłowo pokrywających się fragmentów i mogą zgłaszać wyjątki lub zachowywać się wniepożądany sposób. Jest to podstawa do tzw. ataków DoS typu teardrop. Atak typu Teardrop: atak typu teardrop jest związany z wysyłaniem do komputera docelowego fragmentów IP z pokrywającą się zawartością o nadmiernej wielkości. Błąd w kodzie ponownego asemblowania fragmentacji TCP/IP w różnych systemach operacyjnych powoduje, że fragmenty takie są niepoprawnie obsługiwane, co prowadzi do zawieszenia tych systemów. Niewielki fragment: jeśli dowolny fragment poza końcowym ma wielkość mniejszą niż 400 bajtów, oznacza to, że fragment ten został specjalnie utworzony. Małe fragmenty mogą być używane w atakach typu DoS lub w przypadku próby pominięcia zabezpieczeń lub wykrywania. 5-11

86 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Pofragmentowany IGMP: kiedy klient odbiera pofragmentowany pakiet IGMP (Internet Group Management Protocol), wydajność klienta może się obniżyć lub komputer może przestać reagować (zawiesić się), co wymaga ponownego uruchomienia w celu przywrócenia działania. Atak typu LAND: atak typu LAND to atak typu DoS, który obejmuje wysyłanie specjalnie sfałszowanego, toksycznego pakietu do komputera, powodując niepożądane działanie sprzętu. Ten atak jest związany z wysyłaniem sfałszowanego pakietu TCP SYN (inicjacja połączenia) z adresem IP hosta docelowego i otwartym portem zarówno jako źródło, jak i miejsce docelowe. Kontrola stanowa Zapora przetwarza z pełną analizą pakietów i monitoruje wszystkie połączenia zklientem, zapewniając prawidłowość transakcji. Zapora ta potrafi zidentyfikować specyficzne warunki transakcji, przewidzieć następne transakcje i wykryć naruszenia normalnych warunków. Proces filtrowania opiera się zatem nie tylko na profilach iregułach, ale także na kontekście ustanowionym w czasie analizowania połączeń i filtrowania pakietów przepuszczonych wcześniej przez zaporę. 5-12

87 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie zapory Uwaga: zaporę należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem RYSUNEK 5-2. Ekran Zapora - W biurze 5-13

88 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby skonfigurować zaporę: 1. Zmień odpowiednio następujące opcje na ekranie Zapora: Włącz zaporę: wybierz, aby włączyć zaporę dla grupy i lokalizacji. Tryb prosty: włącza zaporę z ustawieniami domyślnymi. Patrz Domyślne ustawienia zapory na str Tryb zaawansowany: włącza zaporę z ustawieniami niestandardowymi. Informacje na temat opcji konfiguracji znajdują się wsekcji Zaawansowane opcje zapory na str Kliknij przycisk Zapisz. Zmiany zostają zastosowane natychmiast. Zaawansowane opcje zapory Zaawansowane opcje zapory umożliwiają skonfigurowanie niestandardowych ustawień zapory dla określonej grupy klientów. Aby skonfigurować zaawansowane opcje zapory: 1. Na ekranie Zapora wybierz pozycję Tryb zaawansowany. 2. Zmień odpowiednio następujące opcje: Poziom zabezpieczeń: poziom zabezpieczeń określa reguły ruchu, które mają być stosowane na portach spoza listy wyjątków. Wysoki: blokuje cały ruch przychodzący i wychodzący. Średni: blokuje cały ruch przychodzący, ruch wychodzący jest dozwolony. Niski: zezwala na cały ruch przychodzący i wychodzący. Ustawienia Włącz system wykrywania intruzów: system wykrywania intruzów identyfikuje w sieciowych pakietach sygnatury, które mogą wskazywać na atak. Patrz System wykrywania włamań (IDS) na str. 5-11, aby uzyskać więcej informacji. Włącz komunikaty ostrzeżeń: gdy program WFBS wykryje naruszenie, klient zostanie powiadomiony. Wyjątki: porty na liście wyjątków nie będą blokowane. Patrz Praca z wyjątkami zapory na str. 5-15, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. 5-14

89 Zarządzanie podstawowymi ustawieniami zabezpieczeń Wyłączanie zapory Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Zapora > W biurze/poza biurem Aby wyłączyć zaporę: 1. Aby wyłączyć zaporę dla grupy i typu połączenia, usuń zaznaczenie pola wyboru Włącz zaporę. 2. Kliknij przycisk Zapisz. Uwaga: Aby wyłączyć zaporę na wszystkich klientach, przejdź do karty Preferencje > Ustawienia globalne > Komputer/serwer i w obszarze Ustawienia zapory wybierz opcję Wyłącz zaporę i odinstaluj sterowniki. Praca z wyjątkami zapory Wyjątki obejmują określone ustawienia, które zezwalają na różny typ ruchu lub blokują go na podstawie kierunku, protokołu, portu i komputerów. Na przykład podczas epidemii można zablokować cały ruch kliencki, łącznie z ruchem przez port HTTP (port 80). Jeżeli jednak zablokowani klienci mają mieć dostęp do Internetu, można dodać serwer proxy sieci Internet do listy wyjątków. Dodawanie wyjątków Aby dodać wyjątek: 1. Na ekranie Zapora tryb zaawansowany kliknij przycisk Dodaj w sekcji Wyjątki. 2. Zmień odpowiednio opcje: Nazwa: wpisz unikatową nazwę wyjątku. Akcja: blokowanie lub zezwolenie na ruch dla wybranego protokołu, portów i klientów. Kierunek: opcja Przychodzące oznacza ruch z Internetu do sieci. Opcja Wychodzące oznacza ruch z sieci do Internetu. Protokół: protokół ruchu sieciowego dla tego wyjątku. Porty 5-15

90 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Wszystkie porty (domyślne) Zakres Określone porty: poszczególne wpisy należy oddzielać przecinkami. Komputer Wszystkie adresy IP (domyślne) Zakres IP Pojedynczy adres IP: adres IP określonego klienta. 3. Kliknij przycisk Zapisz. Wyświetlony zostanie ekran Konfiguracja zapory. Na liście wyjątków znajduje się nowy wyjątek. Edytowanie wyjątków Aby edytować wyjątek: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek, który chcesz edytować. 2. Kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. Patrz Dodawanie wyjątków na str. 5-15, aby uzyskać więcej informacji. 4. Kliknij przycisk Zapisz. Usuwanie wyjątków Aby usunąć wyjątek: 1. Na ekranie Zapora tryb zaawansowany w sekcji Wyjątki kliknij wyjątek do usunięcia. 2. Kliknij przycisk Usuń. Korzystanie z usługi Web Reputation Usługa Web Reputation uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. 5-16

91 Zarządzanie podstawowymi ustawieniami zabezpieczeń Jeśli usługa Web Reputation blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawiera sekcja Web Reputation i dozwolone adresy na str Konfigurowanie usługi Web Reputation Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Web Reputation > W biurze/poza biurem Usługa Web Reputation ocenia potencjalne zagrożenia wszystkich żądanych adresów URL, przeglądając bazę danych Trend Micro Security dla każdego żądania HTTP. Uwaga: ustawienia usługi Web Reputation należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str RYSUNEK 5-3. Ekran Ustawienia zabezpieczeń > Web Reputation 5-17

92 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby edytować ustawienia usługi Web Reputation: 1. Zmień odpowiednio następujące ustawienia na ekranie Web Reputation: Włącz usługę Web Reputation Poziom zabezpieczeń Wysoki: blokowane są strony, które zostały uznane za strony prowadzące do nadużyć lub źródła zagrożenia sieciowego, są podejrzewane o sprzyjanie nadużyciom lub powodowanie zagrożenia sieciowego albo kojarzone ze spamem lub ewentualnym zagrożeniem sieciowym i nie zostały uwzględnione w klasyfikacji. Średni: blokowane są strony, które zostały uznane za strony prowadzące do nadużyć lub źródła zagrożenia sieciowego, są podejrzewane o sprzyjanie nadużyciom lub powodowanie zagrożenia sieciowego. Niski: blokowane są strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. 2. Aby zmodyfikować listę dozwolonych witryn internetowych, kliknij opcję Dozwolone globalnie adresy URL izmień ustawienia na ekranie Ustawienia globalne. 3. Kliknij przycisk Zapisz. Konfigurowanie filtrowania adresów URL Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Filtrowanie adresów URL Filtrowanie adresów URL służy do blokowania niechcianej zawartości internetowej. Można wybrać określone typy witryn internetowych, które będą blokowane w różnych porach dnia. W tym celu należy wybrać opcję Niestandardowy. Można także określić godziny pracy oraz godziny wolne, aby blokować witryny internetowe o różnych porach dnia. 5-18

93 Zarządzanie podstawowymi ustawieniami zabezpieczeń RYSUNEK 5-4. Ekran Ustawienia zabezpieczeń > Filtrowanie adresów URL Aby skonfigurować filtrowanie adresów URL: 1. Na ekranie Filtrowanie adresów URL zmień odpowiednio następujące ustawienia: Włącz filtrowanie adresów URL Poziom filtrowania Wysoki: blokowane są znane lub potencjalne zagrożenia bezpieczeństwa, nieodpowiednia lub obraźliwa zawartość, treści, które mogą wpływać na produktywność czy przepustowość oraz strony niesklasyfikowane. Średni: blokowane są znane zagrożenia bezpieczeństwa oraz nieodpowiednia zawartość. Niski: blokowane są znane zagrożenia bezpieczeństwa. Niestandardowa: można wybrać własne kategorie oraz określić, czy mają one być blokowane w godzinach pracy czy w godzinach wolnych. 2. Określ godziny pracy. 3. Aby zmodyfikować listę dozwolonych witryn internetowych, kliknij opcję Dozwolone globalnie adresy URL izmień ustawienia na ekranie Ustawienia globalne. 4. Kliknij przycisk Zapisz. 5-19

94 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Korzystanie z monitorowania zachowania Agenci stale monitorują klientów pod kątem nietypowych modyfikacji systemu operacyjnego lub zainstalowanego oprogramowania. Administratorzy (lub użytkownicy) mogą tworzyć listy wyjątków umożliwiające działanie niektórych programów z naruszeniem monitorowanej zmiany, bądź całkowicie zablokować określone programy. Ponadto zawsze jest możliwe uruchomienie programów z prawidłowymi podpisami cyfrowymi. Poniższa tabela zawiera opis i ustawienia domyślne dla monitorowanych zmian. TABELA 5-3. Monitorowane możliwe zmiany Monitorowana zmiana Zduplikowany system plików Modyfikacja pliku hosts Podejrzane zachowanie Opis Wiele złośliwych programów tworzy kopie siebie lub innych złośliwych programów przy użyciu nazw plików systemowych Windows. Zwykle ma to na celu nadpisanie lub zastąpienie plików systemowych, zapobieżenie wykryciu lub zniechęcenie użytkowników do usuwania złośliwych plików. Plik hosts porównuje nazwy domen z adresami IP. Wiele złośliwych programów modyfikuje plik hosts, przez co przeglądarka internetowa zostaje przekierowana do zainfekowanych, nieistniejących lub fałszywych witryn internetowych. Podejrzane zachowanie to określone działanie lub seria działań, które nie są zwykle wykonywane przez legalne programy. Należy zachować ostrożność w przypadku programów, które cechuje podejrzane zachowanie. Wartość domyślna Pytaj w razie konieczności Zawsze blokuj Pytaj w razie konieczności 5-20

95 Zarządzanie podstawowymi ustawieniami zabezpieczeń TABELA 5-3. Monitorowane możliwe zmiany (ciąg dalszy) Monitorowana zmiana Modyfikacja systemu plików Nowy dodatek do przeglądarki Internet Explorer Modyfikacja ustawień przeglądarki Internet Explorer Modyfikacja reguł zabezpieczeń Modyfikacja reguł zapory Wstrzykiwanie biblioteki programu Opis Niektóre pliki systemowe Windows określają zachowanie systemu, włącznie z programami startowymi i ustawieniami wygaszacza ekranu. Wiele złośliwych programów modyfikuje pliki systemowe w celu automatycznego uruchamiania podczas startu komputera i kontrolowania działania systemu. Programy spyware/grayware często instalują niechciane dodatki do przeglądarki Internet Explorer, włącznie z paskami narzędzi i obiektami pomocniczymi przeglądarki. Wiele wirusów i złośliwych programów zmienia ustawienia przeglądarki Internet Explorer, takie jak strona domowa, zaufane witryny internetowe, ustawienia serwera proxy i rozszerzenia menu. Modyfikacje reguł zabezpieczeń systemu Windows mogą umożliwić uruchamianie niechcianych aplikacji oraz zmianę przez nie ustawień systemu. Reguły zapory systemu Windows określają aplikacje mające dostęp do sieci, porty otwarte do komunikacji oraz adresy IP, które mogą komunikować się z komputerem. Wiele złośliwych programów modyfikuje reguły, aby zapewnić sobie dostęp do sieci i Internetu. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Wartość domyślna Zawsze blokuj Pytaj w razie konieczności Zawsze blokuj Zawsze blokuj Pytaj w razie konieczności Pytaj w razie konieczności 5-21

96 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA 5-3. Monitorowane możliwe zmiany (ciąg dalszy) Monitorowana zmiana Modyfikacja powłoki Nowa usługa Modyfikacja procesów systemowych Nowy program startowy Opis Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows, aby utworzyć powiązania z określonymi typami plików. W ten sposób złośliwe programy mogą być uruchamiane automatycznie, jeśli użytkownik otworzy powiązane pliki w Eksploratorze Windows. Zmiany w ustawieniach powłoki systemu Windows umożliwiają złośliwym programom także śledzenie używanych programów i uruchamianie się wraz z autentycznymi aplikacjami. Usługi systemu Windows to procesy mające specjalne funkcje, które zwykle działają wtle, zpełnym dostępem administracyjnym. Złośliwe programy czasami instalują się jako usługi w celu pozostania w ukryciu. Wiele złośliwych programów wykonuje różne działania na wbudowanych procesach systemu Windows. Te działania mogą obejmować przerywanie lub modyfikowanie aktywnych procesów. Wiele złośliwych programów konfiguruje system Windows w taki sposób, aby wszystkie aplikacje automatycznie ładowały bibliotekę programu (DLL). Umożliwia to wykonanie złośliwych procedur w bibliotece DLL przy każdym uruchomieniu aplikacji. Wartość domyślna Pytaj w razie konieczności Pytaj w razie konieczności Pytaj w razie konieczności Pytaj w razie konieczności Inną opcją funkcji Monitorowanie zachowania jest ochrona plików EXE i DLL przed usunięciem lub modyfikacją. Użytkownicy z tym uprawnieniem mogą zabezpieczać określone foldery. Ponadto użytkownicy mogą wybrać wspólną ochronę wszystkich programów Intuit QuickBooks. 5-22

97 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie monitorowania zachowania Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Monitorowanie zachowania Funkcja Monitorowanie zachowania chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, wpisach rejestru, innych programach oraz plikach i folderach. RYSUNEK 5-5. Ekran Monitorowanie zachowania 5-23

98 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby edytować ustawienia funkcji Monitorowanie zachowania: 1. Zmień odpowiednio następujące ustawienia na ekranie Monitorowanie zachowania: Włącz monitorowanie zachowania Uwaga: przejdź do opcji Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta i w sekcji Monitorowanie zachowania wybierz polecenie Edytuj listę wyjątków. Włącz ochronę programu Intuit QuickBooks : ochrona plików i folderów oprogramowania Intuit QuickBooks przed nieautoryzowanymi zmianami przez inne programy. Włączenie tej funkcji nie wpłynie na zmiany dokonywane z poziomu programów Intuit QuickBooks, ale uniemożliwi dokonanie zmian w plikach poprzez inne nieautoryzowane aplikacje. Obsługiwane są następujące produkty: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Zapobiegaj automatycznemu uruchamianiu aplikacji po podłączeniu urządzenia do portu USB: opcja zapobiega uruchamianiu na komputerach klienckich programów z urządzeń USB. Monitorowanie możliwych zmian: wybierz opcję Zawsze zezwalaj, Pytaj w razie konieczności lub Zawsze blokuj dla każdej monitorowanej zmiany. Informacje na temat różnych zmian znajdują się w tabeli Tabela 5-3 na str Wyjątki: wyjątki obejmują Listę dozwolonych programów i Listę zablokowanych programów: programy z Listy dozwolonych programów mogą być uruchamiane, nawet jeśli naruszają monitorowaną zmianę, natomiast programów z listy Listy zablokowanych programów nie można nigdy uruchamiać. 5-24

99 Zarządzanie podstawowymi ustawieniami zabezpieczeń Pełna ścieżka programu: Wpisz pełną ścieżkę programu w formacie Windows lub UNC. Poszczególne wpisy należy oddzielać średnikami (;). Kliknij przycisk Dodaj do listy dozwolonych programów lub Dodaj do listy zablokowanych programów. W razie potrzeby użyj zmiennych środowiskowych do określenia ścieżek. Lista obsługiwanych zmiennych znajduje się wtabeli Tabela 5-4 na str Lista dozwolonych programów: programy (maksymalnie 100) z tej listy mogą być uruchamiane. Kliknij odpowiednią ikonę, aby usunąć pozycję. Lista zablokowanych programów: programy (maksymalnie 100) z tej listy nigdy nie mogą być uruchomione. Kliknij odpowiednią ikonę, aby usunąć pozycję. 2. Kliknij przycisk Zapisz. Zmienne środowiskowe Program WFBS umożliwia użycie zmiennych środowiskowych w celu określenia konkretnych folderów na kliencie. Za pomocą tych zmiennych można utworzyć wyjątki dla określonych folderów. Poniższa tabela przedstawia dostępne zmienne: TABELA 5-4. Obsługiwane zmienne Zmienna środowiskowa $windir$ $rootdir$ $tempdir$ $programdir$ Wskazuje na... Folder Windows Folder główny Folder tymczasowy systemu Windows Folder Program Files 5-25

100 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TrendSecure Usługa TrendSecure obejmuje zestaw narzędzi działających w oparciu oprzeglądarkę internetową (TrendProtect i Transaction Protector), które pozwalają użytkownikom bezpiecznie przeglądać witryny internetowe. Funkcja TrendProtect ostrzega użytkowników o złośliwych i phishingowych witrynach. Narzędzie Transaction Protector ustala poziom bezpieczeństwa połączenia bezprzewodowego, sprawdzając autentyczność punktu dostępu. Usługa TrendSecure dodaje do przeglądarki pasek narzędzi, który zmienia kolor w zależności od bezpieczeństwa połączenia bezprzewodowego. Można także kliknąć przycisk na pasku narzędzi w celu uzyskania dostępu do następujących funkcji: Narzędzie Wi-Fi Advisor: sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Oceny stron: określa bezpieczeństwo bieżącej strony. Uwaga: ustawienia usługi TrendSecure należy skonfigurować dla lokalizacji W biurze i Poza biurem. Jeśli rozpoznawanie lokalizacji jest wyłączone, dla połączeń Poza biurem będą używane ustawienia W biurze. Patrz Rozpoznawanie lokalizacji na str

101 Zarządzanie podstawowymi ustawieniami zabezpieczeń Konfigurowanie usługi TrendSecure Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Paski narzędzi TrendSecure > W biurze/poza biurem Istnieje możliwość skonfigurowania dostępności narzędzi TrendSecure dla użytkowników w zależności od ich lokalizacji. RYSUNEK 5-6. Ekran Paski narzędzi TrendSecure W biurze Aby edytować dostępności narzędzi TrendSecure: 1. Zmień odpowiednio następujące ustawienia na ekranie Paski narzędzi TrendSecure W biurze/poza biurem: Włącz narzędzie Wi-Fi Advisor: sprawdza bezpieczeństwo sieci bezprzewodowych pod względem poprawności identyfikatorów SSID, metod uwierzytelniania oraz wymagań szyfrowania. Włącz ocenę stron: określa bezpieczeństwo bieżącej strony. 5-27

102 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 2. Kliknij przycisk Zapisz. Uwaga: paski narzędzi TrendSecure można udostępnić dla agentów tylko z poziomu konsoli internetowej. Użytkownicy muszą instalować iodinstalowywać narzędzia z poziomu konsoli agenta. Zarządzanie skanowaniem poczty POP3 Skanowanie poczty POP3 oraz użycie dodatku Trend Micro Anti-Spam chroni klientów przez spamem i zagrożeniami przesyłanymi w wiadomościach POP3. Uwaga: domyślnie skanowanie poczty POP3 obsługuje tylko nowe wiadomości wysyłane za pośrednictwem portu 110 w folderze wiadomości przychodzących i folderze wiadomości-śmieci. Nie obsługuje bezpiecznego skanowania poczty POP3 (SSL-POP3), z którego domyślnie korzysta program Exchange Server Wymagania skanowania poczty POP3 Skanowanie poczty POP3 obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 z dodatkiem Service Pack 2 (tylko w systemie Windows XP) Windows Mail (tylko w systemie Microsoft Vista) Mozilla Thunderbird w wersji 1.5 i 2.0 Uwaga: skanowanie poczty POP3 nie wykrywa zagrożeń ispamu wwiadomościach IMAP. Wymagania dotyczące paska narzędzi Anti-Spam Pasek narzędzi Trend Micro Anti-Spam obsługuje następujących klientów poczty: Microsoft Outlook 2000, 2002 (XP), 2003 i 2007 Outlook Express 6.0 za dodatkiem Service Pack 2 (tylko w systemie operacyjnym Windows XP) Poczta systemu operacyjnego Windows (tylko w systemie Windows Vista) 5-28

103 Zarządzanie podstawowymi ustawieniami zabezpieczeń Pasek narzędzi Anti-Spam obsługuje następujące systemy operacyjne: Windows XP SP2 (wersja 32-bitowa) Windows Vista 32- i 64-bitowy Konfigurowanie skanowania poczty Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Skanowanie poczty Aby dokonać edycji dostępności funkcji skanowania poczty: 1. Zmień odpowiednio następujące ustawienia na ekranie Skanowanie poczty: Włącz skanowanie POP3 w czasie rzeczywistym Włącz pasek narzędzi antyspamowych Trend Micro 2. Kliknij przycisk Zapisz. Uprawnienia klienta Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Uprawnienia klienta Uprawnienia klienta należy przyznać, aby umożliwić użytkownikom modyfikowanie ustawień agenta zainstalowanego na komputerze. Wskazówka: aby zachować określone reguły zabezpieczeń wcałej organizacji, firma Trend Micro zaleca nadanie użytkownikom ograniczonych uprawnień. Dzięki temu użytkownicy nie będą mogli modyfikować ustawień skanowania ani wyłączać programu Client/Server Security Agent. 5-29

104 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Konfigurowanie uprawnień klienta RYSUNEK 5-7. Ekran Uprawnienia klienta Aby przyznać uprawnienia klientom: 1. Zmień odpowiednio następujące ustawienia na ekranie Uprawnienia klienta: Oprogramowanie antywirusowe/anty-spyware Ustawienia skanowania ręcznego Ustawienia skanowania zaplanowanego Ustawienia skanowania w czasie rzeczywistym 5-30

105 Zarządzanie podstawowymi ustawieniami zabezpieczeń Zatrzymaj skanowanie zaplanowane Włącz tryb mobilny Zapora Wyświetlaj kartę Zapora Zezwalaj klientom na włączanie/wyłączanie zapory Uwaga: jeśli użytkownikom zezwolono na włączanie i wyłączanie zapory, nie można zmieniać tych ustawień w konsoli internetowej. Jeśli użytkownikom nie przyznano tego uprawnienia, ustawienia można zmienić za pomocą konsoli internetowej. Informacje wyświetlane w obszarze ustawień zapory lokalnej agenta zawsze przedstawiają ustawienia skonfigurowane z poziomu agenta, a nie konsoli internetowej. Web Reputation Edytuj listę dozwolonych adresów URL Monitorowanie zachowania Wyświetl kartę Monitorowanie zachowania i pozwól użytkownikom na dostosowywanie list: pozwól użytkownikom na włączanie iwyłączanie monitorowania zachowania oraz konfigurowanie listy wyjątków i listy zabezpieczeń oprogramowania. Skanowanie poczty Umożliwia użytkownikom konfigurację skanowania poczty POP3 w czasie rzeczywistym Ustawienia proxy Zezwalaj użytkownikom na konfigurację ustawień serwera proxy Aktualizuj uprawnienia Wykonaj polecenie Aktualizuj teraz Włącz/wyłącz zaplanowaną aktualizację 5-31

106 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Ustawienia aktualizacji Pobieraj pliki z serwera Trend Micro ActiveUpdate: kiedy użytkownicy zainicjują aktualizację, agent pobierze aktualizacje ze źródła określonego na ekranie Źródło aktualizacji. W przypadku niepowodzenia aktualizacji agent próbuje przeprowadzić aktualizację zprogramu Security Server. Wybranie opcji Pobieraj pliki z serwera Trend Micro ActiveUpdate umożliwi agentowi próbę pobrania aktualizacji z serwera Trend Micro ActiveUpdate w przypadku niepowodzenia aktualizacji z programu Security Server. Wskazówka: aby zapewnić aktualizację agentów na przenośnych komputerach klienckich poza biurem, należy włączyć opcję Pobieraj pliki z serwera Trend Micro ActiveUpdate. Włącz zaplanowaną aktualizację Wyłącz aktualizację programu i instalację pakietu hot fix Bezpieczeństwo klienta Wysoki Odmawia dostępu zapisywania do kluczy rejestru klienta i folderu rejestracyjnego klienta Uniemożliwia zatrzymanie procesów i usług klienta Normalne: Umożliwia dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru agenta. Uwaga: w przypadku wybrania opcji Wysoki ustawienia uprawnień dostępu do folderów, plików i pozycji rejestru agenta będą dziedziczone z folderu Program Files (w przypadku klientów z systemem Windows Vista/2000/XP/Server 2003). Jeśli więc ustawienia uprawnień (ustawienia zabezpieczeń systemu Windows) pliku systemu Windows lub folderu Program Files zostaną ustawione na pełny dostęp w trybie odczytu/zapisu, wybranie opcji Wysoki nadal umożliwi klientom dostęp w trybie odczytu/zapisu do folderów, plików i pozycji rejestru programu Client/Server Security Agent. 2. Kliknij przycisk Zapisz. 5-32

107 Zarządzanie podstawowymi ustawieniami zabezpieczeń Zarządzanie kwarantanną W katalogu kwarantanny przechowywane są zarażone pliki. Katalog kwarantanny może znajdować się na kliencie lub innym serwerze. Jeżeli określono nieprawidłowy katalog kwarantanny, agent użyje domyślnego katalogu kwarantanny na kliencie: C:\Program Files\Trend Micro\Client Server Security Agent\ SUSPECT Domyślny folder na serwerze to: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: jeżeli program CSA nie może z jakiegoś powodu wysłać pliku do programu Security Server (np. ze względu na problem z siecią), plik pozostaje w folderze z podejrzanymi plikami klienta. Agent ponowi próbę wysłania pliku po ponownym nawiązaniu połączenia z programem Security Server. Konfigurowanie katalogu kwarantanny Ścieżka nawigacji: Ustawienia zabezpieczeń > Wybierz grupę > Konfiguruj > Kwarantanna RYSUNEK 5-8. Ekran Katalog kwarantanny 5-33

108 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby skonfigurować katalog kwarantanny: 1. Zmień odpowiednio następujące ustawienia na ekranie Katalog kwarantanny: Katalog kwarantanny: wpisz adres URL lub ścieżkę UNC wskazujące miejsce przechowywania zarażonych plików. Przykład: lub \\TymczSerwer\Kwarantanna. 2. Kliknij przycisk Zapisz. 5-34

109 Rozdział 6 Korzystanie z funkcji Ochrona przed epidemią W tym rozdziale opisano strategię ochrony przed epidemią, a także sposób konfigurowania funkcji Ochrona przed epidemią i wykorzystania jej do ochrony sieci iklientów. Rozdział obejmuje następujące zagadnienia: Strategia ochrony przed epidemią na str. 6-2 Bieżący stan funkcji Ochrona przed epidemią na str. 6-4 Potencjalne zagrożenie na str. 6-9 Konfigurowanie funkcji Ochrona przed epidemią na str Konfigurowanie ustawień oceny narażenia na atak na str

110 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Strategia ochrony przed epidemią Funkcja ochrony przed epidemią jest kluczowym składnikiem rozwiązania WFBS i służy zabezpieczeniu firmy przed światową epidemią zagrożeń. Strategia ochrony przed epidemią opiera się na założeniu, że epidemie internetowe mają podobny przebieg. Przeciwdziałanie epidemii dzieli się na trzy etapy zapobieganie zagrożeniom, ochronę przed zagrożeniami i czyszczenie zagrożeń. Firma Trend Micro zwalcza każdy etap epidemii za pomocą strategii obrony o nazwie Ochrona przed epidemią. TABELA 6-1. Odpowiedź funkcji Ochrona przed epidemią na etapy epidemii Etap epidemii W pierwszym etapie rozwoju epidemii specjaliści w firmie TrendLabs obserwują zagrożenie, które aktywnie rozprzestrzenia się w Internecie. W tym momencie nie ma znanego rozwiązania dla tego zagrożenia. W następnym etapie epidemii, komputery, które uległy zagrożeniu, przekazują je innym komputerom. Zagrożenie zaczyna się szybko rozprzestrzeniać przez sieci lokalne, powodując zakłócenia wdziałalności firm i uszkadzając komputery. Etap funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Funkcja Ochrona przed epidemią powstrzymuje zagrożenie zaatakowania komputerów i sieci poprzez podejmowanie operacji zgodnych zregułami ochrony przed epidemią pobranymi z serwerów aktualizacji firmy Trend Micro. Te operacje polegają na wysyłaniu raportów, blokowaniu portów i dostępu do folderów i plików. Ochrona przed zagrożeniami Funkcja Ochrona przed epidemią chroni zagrożone komputery, powiadamiając je o konieczności pobrania najnowszych składników i poprawek. 6-2

111 Korzystanie z funkcji Ochrona przed epidemią Etap epidemii W końcowym etapie epidemii zagrożenie zanika, notuje się coraz mniej przypadków. Etap funkcji Ochrona przed epidemią Czyszczenie zagrożeń Funkcja Ochrona przed epidemią naprawia uszkodzenia, uruchamiając usługi Damage Cleanup. Inne operacje skanowania dostarczają informacje, które administratorzy mogą wykorzystać w celu przygotowania się do przyszłych zagrożeń. Operacje funkcji Ochrona przed epidemią Strategia ochrony przed epidemią pozwala zarządzać epidemiami na każdym etapie ich przebiegu. W oparciu o reguły zapobiegania epidemii funkcja automatycznej odpowiedzi na zagrożenie zazwyczaj podejmuje kroki zapobiegawcze, takie jak: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy oraz złośliwe oprogramowanie plików w folderach udostępnionych. Blokowanie portów w celu powstrzymania wirusów/złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do rozprzestrzeniania infekcji w sieci i na klientach. Uwaga: funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. Blokowanie możliwości zapisu plików i folderów w celu uniemożliwienia modyfikacji plików przez wirusy/złośliwe oprogramowanie. Ocena klientów sieciowych pod kątem luk w zabezpieczeniach, które czynią je podatne na zagrożenia ze strony epidemii. Wdrażanie najnowszych wersji składników, takich jak plik sygnatur wirusów i silnik czyszczenia wirusów. Wykonywanie czyszczenia na wszystkich klientach, które uległy epidemii. Jeśli ta opcja jest włączona, skanuje klienty oraz sieci i podejmuje operacje przeciwko wykrytym zagrożeniom. 6-3

112 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Bieżący stan funkcji Ochrona przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan Konsola internetowa śledzi stan zagrożenia epidemiami wirusów/złośliwego oprogramowania na całym świecie i wyświetla na ten temat informacje na ekranie Bieżący stan. Stan w przybliżeniu odpowiada etapom rozwoju epidemii. Podczas zagrożenia epidemią funkcja Ochrona przed epidemią stosuje strategię ochrony przed epidemią w celu zabezpieczenia komputerów i sieci. Na każdym etapie odświeża informacje na stronie Bieżący stan. Trzy etapy funkcji Ochrona przed epidemią: 1. Zapobieganie zagrożeniom 2. Ochrona przed zagrożeniami 3. Czyszczenie zagrożeń RYSUNEK 6-1. Ekran Ochrona przed epidemią Brak zagrożenia 6-4

113 Korzystanie z funkcji Ochrona przed epidemią Zapobieganie zagrożeniom Na etapie zapobiegania zagrożeniom, na ekranie bieżącego stanu wyświetlane są informacje o ostatnich zagrożeniach, klientach, które mają włączone ostrzeżenia oraz komputerach narażonych na bieżące zagrożenie. RYSUNEK 6-2. Ekran Ochrona przed epidemią Etap zapobiegania zagrożeniom 6-5

114 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Informacje o zagrożeniu W sekcji Informacje o zagrożeniu są wyświetlane informacje o aktualnie występujących w Internecie wirusach/złośliwym oprogramowaniu, które stwarzają potencjalne zagrożenie dla sieci i klientów. Opierając się na informacjach o zagrożeniu, reguły ochrony przed epidemią podejmują odpowiednie kroki, aby zabezpieczyć sieć iklienty, podczas gdy w laboratoriach firmy Trend Micro trwa opracowywanie rozwiązania problemu. (Patrz Reguły ochrony przed epidemią na str. C-2). Więcej informacji o zagrożeniu można uzyskać w witrynie internetowej firmy Trend Micro, klikając kolejno łącza Pomoc>Informacje o zagrożeniach. W niniejszej sekcji znajdują się informacje związane z następującymi tematami: Poziom ryzyka: poziom ryzyka, które niesie ze sobą zagrożenie, określony na podstawie liczby przypadków wirusów/złośliwego oprogramowania i poziomu zagrożenia. Szczegóły automatycznej odpowiedzi: należy kliknąć, aby wyświetlić określone działania podejmowane w ramach reguł ochrony przed epidemią wcelu zabezpieczenia klientów przed bieżącym zagrożeniem. Aby wyłączyć funkcję Automatyczna odpowiedź po stronie serwera i agentów, należy kliknąć pozycję Wyłącz. Uwaga: po wyłączeniu funkcji Ochrona przed epidemią firma Trend Micro zaleca uruchomienie funkcji Wyczyść teraz, aby ułatwić klientom usunięcie trojanów oraz jakichkolwiek aktywnych procesów związanych z trojanami i innymi typami złośliwego kodu (patrz Damage Cleanup Services na str. C-2). Stan ostrzeżenia komputerów w trybie online W sekcji Stan ostrzeżenia komputerów w trybie online wyświetlana jest liczba klientów, na których funkcja automatycznego ostrzegania jest włączona lub wyłączona. Kliknij będący łączem numer w kolumnach Włączone i Wyłączone, aby uzyskać szczegółowe informacje o określonych klientach. Komputery narażone na atak W sekcji Komputery narażone na atak wyświetlana jest lista klientów podatnych na zagrożenia wyświetlone w sekcji Informacje o zagrożeniach. 6-6

115 Korzystanie z funkcji Ochrona przed epidemią Ochrona przed zagrożeniami Na etapie ochrony przed zagrożeniami na ekranie Bieżący stan wyświetlane są informacje o stanie pobierania rozwiązania w odniesieniu do składników aktualizacji firmy Trend Micro oraz o stanie instalowania rozwiązania w odniesieniu do wszystkich agentów. RYSUNEK 6-3. Ekran Ochrona przed epidemią Etap ochrony Stan pobierania rozwiązania W tej sekcji wyświetlana jest lista składników, które należy zaktualizować w odpowiedzi na listę zagrożeń wyświetloną w sekcji Informacje o zagrożeniu. Stan instalacji rozwiązania Wyświetlana jest także liczba agentów, na których są zainstalowane aktualne oraz nieaktualne składniki. Dostępne są także łącza służące do wyświetlenia klientów z aktualnymi lub nieaktualnymi składnikami. 6-7

116 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Czyszczenie zagrożeń Na etapie czyszczenia zagrożeń na ekranie Bieżący stan wyświetlany jest stan skanowania, które odbywa się po wdrożeniu zaktualizowanych składników. Na tym etapie wyświetlany jest także stan klientów po skanowaniu oraz lista zawierająca informacje na temat tego, czy zaktualizowane składniki pomyślnie wyczyściły lub usunęły pozostałości po zagrożeniach. RYSUNEK 6-4. Ekran Ochrona przed epidemią Etap czyszczenia Uwaga: aby skanowanie odbywało się automatycznie po wdrożeniu nowych składników, musi ono zostać włączone na ekranie Ochrona przed epidemią > Ustawienia. 6-8

117 Korzystanie z funkcji Ochrona przed epidemią Stan skanowania komputerów dla Kliknij łącza, aby wyświetlić listę klientów, które otrzymały powiadomienie dotyczące skanowania w celu wykrycia zagrożeń lub oczekują na powiadomienie. Komputery klienckie, które nie zostały włączone lub zostały odłączone od sieci, nie mogą otrzymywać powiadomień. Stan czyszczenia komputerów dla W tym panelu wyświetlane są wyniki skanowania czyszczącego. Należy kliknąć przycisk Eksportuj, aby wyeksportować te informacje. Potencjalne zagrożenie Ścieżka nawigacji: Ochrona przed epidemią > Potencjalne zagrożenie Ekran Potencjalne zagrożenie przedstawia informacje dotyczące zagrożeń bezpieczeństwa klientów i sieci. Program Security Server zbiera informacje ozagrożeniach za pomocą funkcji oceny narażenia na atak i usługi Damage Cleanup. RYSUNEK 6-5. Ekran Potencjalne zagrożenie 6-9

118 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora W przeciwieństwie do ekranu Bieżące zagrożenie, na którym wyświetlane są informacje tylko o bieżącym zagrożeniu, ekran Potencjalne zagrożenie przedstawia informacje dotyczące wszystkich zagrożeń bezpieczeństwa klientów i sieci, które nie zostały jeszcze usunięte. Komputery narażone na atak Komputer narażony na atak ma luki w zabezpieczeniach systemu operacyjnego lub aplikacji. Wiele zagrożeń wykorzystuje te luki, aby powodować szkody lub zdobyć nieuprawnioną kontrolę. A zatem luki w zabezpieczeniach stanowią ryzyko nie tylko dla komputera, na którym występują, ale również dla innych komputerów w sieci. Sekcja Komputery narażone na atak zawiera listę wszystkich klientów w sieci, którzy zawierają luki w zabezpieczeniach odkryte od ostatniej oceny narażenia na atak. W prawym górnym rogu ekranu można sprawdzić czas ostatniej aktualizacji. Ekran Potencjalne zagrożenie przedstawia listę klientów według poziomu ryzyka, jaki stanowią one w sieci. Poziom ryzyka jest obliczany przez firmę Trend Micro i oznacza liczbę względną oraz poziom zagrożenia związanego z lukami w zabezpieczeniach wprzypadku każdego klienta. Po kliknięciu opcji Skanuj teraz w poszukiwaniu miejsc narażonych na atak program WFBS uruchomi funkcję Ocena narażenia na atak. Funkcja Ocena narażenia na atak sprawdza wszystkie komputery klienckie w sieci pod kątem narażenia na atak iwyświetla wyniki na ekranie Potencjalne zagrożenie. Funkcja Ocena narażenia na atak może dostarczyć następujących informacji na temat klientów w sieci: Zidentyfikowanie luk w zabezpieczeniach, zgodnie ze standardową konwencją nazewnictwa. Dodatkowe informacje o luce w zabezpieczeniach i sposobie jej usuwania można uzyskać po kliknięciu jej nazwy. Wyświetlanie luk w zabezpieczeniach według klienta i adresu IP. Wyniki zawierają poziom zagrożenia, jaki dana luka w zabezpieczeniach stwarza dla klienta i całej sieci. Zgłaszanie luk w zabezpieczeniach. Zgłaszanie luk w zabezpieczeniach według poszczególnych klientów i opisywanie zagrożeń bezpieczeństwa, jakie te klienty stwarzają dla całej sieci. 6-10

119 Korzystanie z funkcji Ochrona przed epidemią Uruchamianie funkcji Wyczyść teraz Można ręcznie inicjować czyszczenie, korzystając z funkcji Wyczyść teraz. Aby uruchomić funkcję Wyczyść teraz: 1. Kliknij kolejno Ochrona przed epidemią > Potencjalne zagrożenie. 2. Kliknij łącze Wyczyść teraz. Domyślnie program Security Server powiadamia wszystkie agenty o konieczności uruchomienia funkcji Wyczyść teraz. Konfigurowanie funkcji Ochrona przed epidemią Na ekranie Ustawienia można skonfigurować funkcje Ochrona przed epidemią i Ocena narażenia na atak. Ustawienia funkcji Ochrona przed epidemią Program WFBS uruchamia funkcję Ochrona przed epidemią w odpowiedzi na instrukcje, które otrzymuje w formie reguł ochrony przed epidemią. Reguły ochrony przed epidemią firmy Trend Micro są opracowywane i udostępnianie przez firmę Trend Micro, aby zapewnić optymalną ochronę klientom i sieci w warunkach epidemii. Firma Trend Micro udostępnia reguły ochrony przed epidemią, kiedy zauważy częste ipoważne incydenty związane z wirusami/złośliwym oprogramowaniem, które aktywnie rozprzestrzeniają się w Internecie. Domyślnie program Security Server pobiera reguły ochrony przed epidemią zserwera Trend Micro ActiveUpdate co 30 minut albo przy każdym uruchomieniu programu Security Server. Podczas działania funkcji Ochrona przed epidemią, program Security Server stosuje reguły ochrony przed epidemią i podejmuje działania dla ochrony swoich klientów i sieci. W takim przypadku działanie normalnych funkcji sieci będzie zakłócane przez czynności takie jak zablokowane porty czy niedostępność katalogów. Za pomocą opcji Ustawienia ochrony przed epidemią można dostosować funkcję Ochrona przed epidemią dla klientów i sieci, unikając w ten sposób nieoczekiwanych konsekwencji wynikających z zastosowania reguł podczas działania funkcji Ochrona przed epidemią. 6-11

120 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Czerwone alarmy Wiele jednostek biznesowych doniosło o szybkim rozprzestrzenianiu się wirusa/złośliwego oprogramowania. W tej sytuacji firma Trend Micro uruchamia rozwiązanie 45-minutowego czerwonego alarmu, którego elementami jest wydanie rozwiązań zapobiegawczych i sygnatur skanowania oraz wysyłanie odpowiednich powiadomień. Firma Trend Micro może również rozsyłać narzędzia naprawiania oraz informacje dotyczące luk w zabezpieczeniach oraz zagrożeń. Żółte alarmy Raporty o zarażeniu od kilku jednostek biznesowych oraz telefony pomocy potwierdzające pojedyncze przypadki. Oficjalna publikacja bazy sygnatur (OPR) jest automatycznie umieszczana na serwerach wdrożeniowych i udostępniana do pobrania. Zalecane ustawienia funkcji Ochrona przed epidemią Poniższe ustawienia umożliwiają uzyskanie optymalnej ochrony: TABELA 6-2. Zalecane ustawienia funkcji Ochrona przed epidemią Ustawienie Włącz funkcję Automatyczna ochrona przed epidemią w przypadku ogłoszenia czerwonego alarmu przez firmę Trend Micro Wyłącz czerwone alarmy po Wyłącz czerwone alarmy po zainstalowaniu wymaganych składników Automatyczne skanowanie komputera/serwera Włącz funkcję Automatycznej ochrony przed epidemią w przypadku ogłoszenia żółtego alarmu przez firmę Trend Micro Wyłącz żółte alarmy po Zalecana wartość Włączone 2 dni Włączone Włączone Wyłączone ND 6-12

121 Korzystanie z funkcji Ochrona przed epidemią TABELA 6-2. Zalecane ustawienia funkcji Ochrona przed epidemią (ciąg dalszy) Ustawienie Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika Wyłącz żółte alarmy po instalacji wymaganej sygnatury/silnika. Automatyczne skanowanie komputera/serwera Wyjątki Ustawienia zaplanowanego pobierania reguł Zalecana wartość ND ND Włączone Podczas działania automatycznej odpowiedzi ochrony przed epidemią poniższe usługi nie zostaną zablokowane: DNS NetBios HTTPS (bezpieczny serwer sieci Web) HTTP (serwer sieci Web) Telnet SMTP (Simple Mail Transport Protocol) FTP (File Transfer Protocol) Poczta internetowa (POP3) Częstotliwość: Co 30 minut Źródło: Serwer Trend Micro ActiveUpdate Konfigurowanie opcji funkcji Ochrona przed epidemią Uwaga: firma Trend Micro zaprojektowała ustawienia domyślne funkcji Ochrona przed epidemią tak, aby zapewnić optymalną ochronę klientów i sieci. Przed dostosowaniem ustawień funkcji Ochrona przed epidemią należy uważnie sprawdzić te ustawienia i modyfikować je tylko wówczas, gdy znane są konsekwencje zmian. 6-13

122 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią RYSUNEK 6-6. Karta Ochrona przed epidemią na ekranie Ustawienia Ochrony przed epidemią Aby skonfigurować ustawienia funkcji Ochrona przed epidemią: 1. Zmień odpowiednio następujące opcje: Włącz funkcję Ochrona przed epidemią w przypadku czerwonego alarmu ogłoszonego przez firmę Trend Micro: reguły ochrony przed epidemią są stosowane do momentu kliknięcia opcji Ochrona przed epidemią > Aktualny status > Wyłącz, albo gdy zostanie spełniony jeden z warunków ustawień wyłączenia. Gdy program Security Server pobiera nową regułę zapobiegania epidemii, wcześniejsza reguła jest zatrzymywana. Wyłącz czerwone alarmy po x dniach: czas trwania alarmu ochrony przed epidemią. 6-14

123 Korzystanie z funkcji Ochrona przed epidemią Dokonaj automatycznego skanowania w poszukiwaniu wirusów po zainstalowaniu wymaganych składników dla: Komputery/serwery Ustawienia żółtego alarmu: skonfiguruj opcje dla żółtych alarmów. Patrz Żółte alarmy na str. 6-12, aby uzyskać więcej informacji. Wyjątki: porty, które nie będą blokowane podczas działania automatycznej odpowiedzi ochrony przed epidemią. Patrz Korzystanie z wyjątków funkcji Ochrona przed epidemią na str. 6-15, aby pracować zwyjątkami. Uwaga: dodając nowy wyjątek, należy upewnić się, że pole wyboru Włącz ten wyjątek jest zaznaczone. Ustawienia zaplanowanego pobierania reguł: ustawienia okresowego pobierania zaktualizowanych składników. Częstotliwość Źródło: żródło aktualizacji. Serwer Trend Micro ActiveUpdate (domyślnie) Lokalizacja kopii bieżącego pliku w sieci Intranet Inne źródło aktualizacji: dowolne inne źródło aktualizacji w Internecie. 2. Kliknij przycisk Zapisz. Korzystanie z wyjątków funkcji Ochrona przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ochrona przed epidemią Za pomocą funkcji Wyjątek można dodać, edytować lub usuwać porty z listy portów wykluczonych z blokowania. 6-15

124 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora RYSUNEK 6-7. Sekcja Wyjątki na ekranie Ustawienia ochrony przed epidemią Aby dodać wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Kliknij przycisk Dodaj. 3. Na ekranie Ochrona przed epidemią > Ustawienia > Dodawanie wyjątku zmień odpowiednio następujące opcje: Włącz ten wyjątek Opis: krótki opis, który pomoże zidentyfikować wyjątek. Protokół: wybierz protokół, do którego musi zostać zastosowany wyjątek. Porty: wpisz zakres portów lub poszczególne porty dla wyjątku. Poszczególne wpisy należy oddzielać średnikami (;). 4. Kliknij przycisk Dodaj. Aby edytować wyjątek: 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Edytuj. 3. Zmień odpowiednio opcje. 4. Kliknij przycisk Zapisz. 6-16

125 Korzystanie z funkcji Ochrona przed epidemią Aby usunąć wyjątek: Wskazówka: zamiast usuwać wyjątek, można go wyłączyć. 1. Kliknij ikonę ze znakiem plus (+) dla sekcji Wyjątki. 2. Wybierz wyjątek i kliknij przycisk Usuń. 3. Kliknij przycisk OK, aby potwierdzić. Wyświetlanie szczegółów dotyczących Automatycznej ochrony przed epidemią Ścieżka nawigacji: Ochrona przed epidemią > Bieżący stan > panel Zapobieganie zagrożeniom Podczas epidemii, program Security Server uruchamia funkcję Ochrona przed epidemią. Funkcja Automatyczna ochrona przed epidemią zabezpiecza komputery i sieć przed uszkodzeniami, powodowanymi przez rozwijającą się epidemię w jej krytycznym okresie, gdy laboratoria TrendLabs opracowują dopiero odpowiednie rozwiązanie. 6-17

126 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Podczas epidemii funkcja Automatyczna ochrona przed epidemią podejmuje następujące działania: blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy plików w folderach udostępnionych; blokowanie portów w celu powstrzymania wirusów przed wykorzystaniem zagrożonych portów do zarażania plików w sieci i na klientach; Uwaga: funkcja Ochrona przed epidemią nigdy nie blokuje portów, z których korzysta program Security Server do komunikacji z klientami. blokowanie możliwości zapisu plików i folderów, aby zapobiec modyfikacji plików przez wirusy; włączenie funkcji Blokowanie załączników w celu blokowania podejrzanych plików załączników; włączenie filtrowania zawartości i stworzenie reguły Dopasuj do wszystkich lub Dopasuj do dowolnego elementu w celu filtrowania niebezpiecznej zawartości. Konfigurowanie ustawień oceny narażenia na atak Ścieżka nawigacji: Ochrona przed epidemią > Ustawienia > karta Ocena narażenia na atak Ustawienia oceny narażenia na atak określają częstotliwość i elementy docelowe skanowania ochrony przed narażeniem na atak. 6-18

127 Korzystanie z funkcji Ochrona przed epidemią RYSUNEK 6-8. Karta Ocena narażenia na atak na ekranie Ustawienia ochrony przed epidemią Aby skonfigurować częstotliwość oceny narażenia na atak: 1. Zmień odpowiednio następujące opcje na karcie Ocena narażenia na atak ekranu Ochrona przed epidemią > Ustawienia: Włącz zaplanowaną ochronę przed narażeniem na atak Częstotliwość: wybierz opcję Codziennie, Co tydzień lub Co miesiąc. W przypadku wybrania opcji Co tydzień lub Co miesiąc, wybierz dzień tygodnia lub dzień miesiąca. Czas rozpoczęcia Cel Wszystkie grupy: umożliwia skanowanie wszystkich klientów wyświetlanych w drzewie zarządzania grupami na ekranie Ustawienia zabezpieczeń. Określone grupy: umożliwia ograniczenie skanowania oceny narażenia na atak do określonych grup. 2. Kliknij przycisk Zapisz. 6-19

128 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 6-20

129 Rozdział 7 Zarządzenie skanowaniami W tym rozdziale opisano sposób korzystania z funkcji skanowania inteligentnego, tradycyjnego, ręcznego i zaplanowanego w celu ochrony sieci i klientów przed wirusami/złośliwym oprogramowaniem i innymi zagrożeniami. Rozdział obejmuje następujące zagadnienia: Skanowanie informacje na str. 7-2 Metody skanowania na str. 7-2 Typy skanowania na str. 7-3 Konfiguracja opcji skanowania ręcznego i zaplanowanego na str. 7-4 Planowanie skanowania na str

130 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Skanowanie informacje Program WFBS oferuje trzy rodzaje skanowania w celu ochrony klientów przed zagrożeniami internetowymi: skanowanie ręczne, skanowanie zaplanowane i skanowanie w czasie rzeczywistym. Każdy typ skanowania służy do innych zadań, ale wszystkie konfiguruje się w podobny sposób. W tym rozdziale opisano skanowanie ręczne i zaplanowane. Metody skanowania Skanowanie klientów jest wykonywane na dwa następujące sposoby: Skanowanie tradycyjne: klient korzysta z własnego silnika skanowania i lokalnego pliku sygnatur w celu identyfikacji zagrożeń. Skanowanie inteligentne: klient korzysta z własnego silnika skanowania, ale zamiast używać do identyfikacji zagrożeń jedynie lokalnego pliku sygnatur, opiera się przede wszystkim na pliku sygnatur znajdującym się na serwerze skanowania. Uwaga: W tej wersji programu WFBS serwer zabezpieczeń (Security Server) pełni funkcję serwera skanowania (Scan Server). Serwer skanowania jest po prostu usługą uruchomioną na serwerze zabezpieczeń. Usługa serwera skanowania jest instalowana automatycznie w trakcie instalacji programu Security Server. Nie ma potrzeby jej oddzielnego instalowania. Jeżeli klienty zostały skonfigurowane do skanowania inteligentnego, jednak nie można nawiązać połączenia z usługą Smart Scan, podejmowane są próby nawiązania połączenia z globalnym serwerem skanowania inteligentnego (Trend Micro Global Smart Scan Server). 7-2

131 Zarządzenie skanowaniami Wybieranie metody skanowania Jeśli skanowanie klienta spowalnia działanie komputerów klienckich, należy spróbować włączyć funkcję skanowania inteligentnego. Domyślnie skanowanie inteligentne jest włączone. Funkcję skanowania inteligentnego można wyłączyć dla wszystkich klientów na ekranie Preferencje > Ustawienia globalne w obszarze Ogólne ustawienia skanowania. Aby wybrać metodę skanowania: 1. Kliknij opcję Ustawienia zabezpieczeń i kliknij opcję serwera lub komputera. 2. Kliknij przycisk Konfiguruj. 3. W górnej części ekranu kliknij przycisk Skanowanie inteligentne lub Skanowanie tradycyjne. Uwaga: Jeżeli klienty zostały skonfigurowane do skanowania inteligentnego, jednak nie mogą nawiązać połączenia z serwerem skanowania, będą próbować nawiązać połączenie z globalnym serwerem skanowania inteligentnego (Trend Micro Global Smart Scan Server). Typy skanowania Program WFBS oferuje następujące typy skanowania: Skanowanie w czasie rzeczywistym: skanowanie bieżące, wykonywane zawsze wówczas, gdy użytkownicy komputera klienckiego pobierają, zapisują, kopiują, modyfikują lub otwierają plik. Skanowanie ręczne: skanowanie na żądanie, inicjowane przez administratora lub użytkowników komputera klienckiego. Skanowanie zaplanowane: skanowanie wykonywane regularnie, zgodnie z harmonogramem. Aby uzyskać więcej informacji, patrz Typy skanowania na str

132 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Konfiguracja opcji skanowania ręcznego i zaplanowanego Konfigurowanie opcji skanowania obejmuje określenie ustawień Cel (pliki do skanowania) i Operacja (operacje wykonywane w przypadku wykrycia zagrożeń). Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę 7-4

133 Zarządzenie skanowaniami Aby skonfigurować opcje skanowania: 1. Zmień odpowiednio następujące ustawienia na ekranie opcji skanowania grupy: Pliki do skanowania Wszystkie pliki możliwe do skanowania: Wykluczane są tylko pliki zaszyfrowane lub chronione hasłem. IntelliScan: Skanuje pliki na podstawie ich rzeczywistego typu. Patrz IntelliScan na str. C-4, aby uzyskać więcej informacji. Skanuj pliki o następujących rozszerzeniach: Program WFBS skanuje pliki o wybranych rozszerzeniach. Poszczególne wpisy należy oddzielać przecinkami (,). Skanuj zmapowane dyski i udostępnione foldery sieciowe Skanuj pliki skompresowane: Skonfiguruj liczbę warstw do skanowania. Wyłączenia: Umożliwia wykluczenie ze skanowania określonych plików, folderów lub plików z określonymi rozszerzeniami. Włącz listę wyłączeń Nie skanuj katalogów, w których zainstalowane są produkty firmy Trend Micro. Wyłączenia folderów: Wpisz nazwę folderu, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć folder, zaznacz go, a następnie kliknij przycisk Usuń. Wyłączenia plików: Wpisz nazwę pliku, który będzie wykluczony ze skanowania. Kliknij przycisk Dodaj. Aby usunąć plik, zaznacz go, a następnie kliknij przycisk Usuń. Wyłączenia rozszerzeń: Wpisz nazwę rozszerzenia, które będzie wykluczone ze skanowania. Kliknij przycisk Dodaj. Aby usunąć rozszerzenie, zaznacz je, a następnie kliknij przycisk Usuń. Ustawienia zaawansowane Włącz mechanizm IntelliTrap (w przypadku skanowania antywirusowego): Mechanizm IntelliTrap wykrywa złośliwy kod, na przykład boty w plikach skompresowanych. Patrz IntelliTrap na str. C-7, aby uzyskać więcej informacji. 7-5

134 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Skanuj obszar rozruchowy (w przypadku skanowania antywirusowego): Sektor rozruchowy zawiera dane używane przez klientów do ładowania i inicjowania systemu operacyjnego komputera. Wirus sektora rozruchowego zaraża sektor rozruchowy partycji lub dysku. Lista dozwolonych programów spyware/grayware (dla skanowania anty-spyware): Ta lista zawiera szczegółowe informacje o dozwolonych aplikacjach typu spyware/grayware. Kliknij łącze, aby zaktualizować listę. Patrz Edycja listy dozwolonych programów typu spyware/grayware na str. 7-7, aby uzyskać więcej informacji. 2. Na karcie Operacja określ sposób postępowania programu WFBS w celu wykrycia zagrożeń: Wykorzystanie procesora: Czas między skanowaniem kolejnych plików przez serwer zabezpieczeń wpływa na wykorzystanie procesora. Wybierz niższy poziom wykorzystania CPU, aby zwiększyć okres oczekiwania między skanowaniem plików. Zwalnia to procesor, który może wykonywać inne zadania. Operacja w przypadku wykrycia wirusa ActiveAction: Powoduje wykonanie operacji, które zostały wstępnie skonfigurowane przez firmę Trend Micro dla zagrożeń. Patrz ActiveAction na str. C-5, aby uzyskać więcej informacji. Te same operacje dla wszystkich zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Niestandardowa operacja w przypadku następujących wykrytych zagrożeń: Można wybrać opcje Pomiń, Usuń, Zmień nazwę, Kwarantanna lub Wyczyść dla każdego typu zagrożenia. Po wybraniu opcji Wyczyść należy ustawić operację dla zagrożenia, którego nie można wyczyścić. Przed czyszczeniem utwórz kopię zapasową wykrytego pliku: Program WFBS wykonuje kopię zapasową zagrożenia przed czyszczeniem. Kopia pliku zostanie zaszyfrowana i zapisana w następującym katalogu klienta: C:\Program Files\Trend Micro\Client Server Security Agent\Backup 7-6

135 Zarządzenie skanowaniami Informacje na temat odszyfrowywania plików znajdują się w sekcji Przywracanie zaszyfrowanych wirusów na str. E-11 Operacja w przypadku wykrycia spyware/grayware Wyczyść: Podczas czyszczenia oprogramowania typu spyware/grayware program WFBS może usuwać powiązane wpisy rejestru, pliki, pliki cookie i skróty. Możliwe jest także zatrzymywanie procesów związanych z oprogramowaniem typu spyware/grayware. Pomiń: Infekcja jest rejestrowana tylko w celu poddania dalszej ocenie. Patrz Dzienniki na str. 11-2, aby uzyskać więcej informacji. 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Edycja listy dozwolonych programów typu spyware/grayware Lista dozwolonych spyware/grayware określa, które aplikacje typu spyware lub grayware mogą być wykorzystywane przez użytkownika. Lista ta może być aktualizowana tylko przez administratorów. Więcej informacji dotyczących różnego rodzaju oprogramowania typu spyware zawiera sekcjaspyware/grayware na str Uwaga: W przypadku określonej grupy ta sama lista jest używana do skanowania w czasie rzeczywistym, skanowania zaplanowanego i ręcznego. 7-7

136 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Ścieżka nawigacji: Skanowanie > Skanowanie ręczne lub Skanowanie zaplanowane > Kliknij grupę > Ustawienia zaawansowane > Zmodyfikuj listę dozwolonych spyware/grayware RYSUNEK 7-1. Ekran Lista dozwolonych spyware/grayware Aby zaktualizować listę dozwolonych programów typu spyware/grayware: 1. W sekcji Ustawienia zaawansowane kliknij opcję Zmodyfikuj listę dozwolonych spyware/grayware. 2. Zmień odpowiednio następujące ustawienia na ekranie Lista dozwolonych spyware/grayware: Lewy panel: Rozpoznane aplikacje typu spyware lub grayware. Używając łączy Wyszukaj lub Szybkie wyszukiwanie, znajdź aplikację spyware/grayware, która ma być dozwolona. Uwaga: Aplikacje są sortowane według typu, a następnie według nazwy (TypSpyware_NazwaAplikacji). 7-8

137 Zarządzenie skanowaniami Prawy panel: Dozwolone aplikacje typu spyware lub grayware. Dodaj>: Wybierz w lewym panelu nazwę aplikacji, a następnie kliknij przycisk Dodaj>. Aby zaznaczyć kilka aplikacji jednocześnie, klikaj nazwy aplikacji, przytrzymując naciśnięty klawisz CTRL. 3. Kliknij przycisk Zapisz. Planowanie skanowania Ścieżka nawigacji: Skanowanie > Skanowanie zaplanowane > karta Harmonogram Istnieje możliwość zaplanowania okresowego skanowania klientów i serwerów Microsoft Exchange w poszukiwaniu zagrożeń. Wskazówka: Firma Trend Micro zaleca, aby nie planować przeprowadzania w tym samym czasie skanowania i aktualizacji. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. Podobnie rozpoczęcie skanowania ręcznego w czasie skanowania zaplanowanego również spowoduje przerwanie skanowania zaplanowanego. Skanowanie zaplanowane zostanie przerwane, ale uruchomi się ponownie zgodnie z harmonogramem. Uwaga: Aby wyłączyć skanowanie zaplanowane, należy usunąć zaznaczenie wszystkich opcji w przypadku danej grupy lub serwera Microsoft Exchange i kliknąć przycisk Zapisz. 7-9

138 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora RYSUNEK 7-2. Ekran Skanowanie zaplanowane Aby zaplanować skanowanie: 1. Przed zaplanowaniem skanowania skonfiguruj ustawienia skanowania. Więcej informacji zawierają sekcje Konfiguracja opcji skanowania ręcznego i zaplanowanego na str Zmień odpowiednio następujące opcje na ekranie Harmonogram w przypadku każdej grupy lub serwera Microsoft Exchange: Codziennie: Skanowanie zaplanowane będzie wykonywane codziennie o określonej godzinie. Co tydzień w: Skanowanie zaplanowane będzie wykonywane raz w tygodniu, określonego dnia i ookreślonej godzinie. Co miesiąc, w dniu: Skanowanie zaplanowane będzie wykonywane raz w miesiącu, określonego dnia i o określonej godzinie. Jeżeli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program WFBS nie będzie skanować klientów lub grup serwerów Microsoft Exchange w tym miesiącu. Godzina rozpoczęcia: Godzina rozpoczęcia skanowania zaplanowanego. 7-10

139 Zarządzenie skanowaniami 3. Kliknij przycisk Zapisz. Ponadto skonfiguruj odbiorców powiadomień w przypadku wystąpienia zdarzenia. Patrz Konfigurowanie zdarzeń dla powiadomień na str Wskazówka: Firma Trend Micro zaleca, aby skanowanie zaplanowane było przeprowadzane regularnie w celu zapewnienia optymalnej ochrony. 7-11

140 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 7-12

141 Rozdział 8 Zarządzanie powiadomieniami W tym rozdziale opisano sposób używania różnych opcji powiadomień. Rozdział obejmuje następujące zagadnienia: Powiadomienia na str. 8-2 Konfigurowanie zdarzeń dla powiadomień na str. 8-3 Dostosowywanie alarmów powiadomień na str. 8-5 Konfigurowanie ustawień powiadamiania na str

142 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Powiadomienia Aby skrócić czas konieczny do monitorowania programu WFBS przez administratorów oraz zapewnić ich wczesne powiadamianie o wystąpieniu sytuacji związanych z epidemią, należy skonfigurować program Security Server pod kątem wysyłania powiadomień w przypadku wystąpienia wszelkich nienaturalnych zdarzeń w sieci. Program WFBS można ustawić pod kątem wysyłania powiadomień za pomocą wiadomości , protokołu SNMP lub dzienników zdarzeń systemu Windows. Warunki powiadomień są uwzględniane na ekranie Stan aktywności. Wystąpienie warunków powoduje zmianę ikony stanu z Normalny na Ostrzeżenie lub Wymagane działanie. Domyślnie wszystkie zdarzenia wyświetlone na ekranie Powiadomienia są wybrane, a ich wystąpienie powoduje wysłanie powiadomienia programu Security Server do administratora systemu. Zdarzenia zagrożeń Ochrona przed epidemią: Firma TrendLabs ogłosiła alarm lub wykryto wysoce krytyczne luki w zabezpieczeniach. Ochrona antywirusowa: Liczba wirusów/złośliwego oprogramowania wykrytych na klientach przekracza określoną wartość; działania podjęte przeciwko wirusom okazały się nieskuteczne; na klientach wyłączono skanowanie w czasie rzeczywistym. Oprogramowanie anty-spyware: Na klientach wykryto oprogramowanie typu spyware/grayware, w tym wymagające ponownego uruchomienia zainfekowanego klienta w celu całkowitego usunięcia zagrożenia oprogramowaniem typu spyware/ grayware. Możliwe jest również skonfigurowanie progu powiadamiania o oprogramowaniu typu spyware/grayware, czyli liczby przypadków wykrycia tego oprogramowania w danym okresie (domyślnie jest to jedna godzina). Web Reputation: Liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. Filtrowanie adresów URL: Liczba naruszeń adresów URL w pewnym okresie przekracza określoną wartość. 8-2

143 Zarządzanie powiadomieniami Monitorowanie zachowania: Liczba naruszeń reguł przekracza w pewnym okresie określoną wartość. Wirus sieciowy: Liczba wykrytych wirusów sieciowych przekracza określoną wartość. Zdarzenia systemowe Skanowanie inteligentne: Klienci ze skonfigurowanym skanowaniem inteligentnym nie mogą nawiązać połączenia z serwerem Smart Scan lub jest on niedostępny. Aktualizacja składnika: Czas od ostatniej aktualizacji składników przekracza określoną liczbę dni lub zaktualizowane składniki nie zostały dostatecznie szybko wdrożone na agentach. Niezwykłe zdarzenia systemowe: Pozostała ilość miejsca na dysku jednego z klientów z systemem operacyjnym Windows Server jest mniejsza niż określona wartość, przez co osiągnęła niebezpiecznie niski poziom. Zdarzenia licencji Licencja: Wygasa Licencja produktu lub już wygasła, wykorzystanie liczby stanowisk przekracza 80% lub wynosi 100% liczby stanowisk. Konfigurowanie zdarzeń dla powiadomień Ścieżka nawigacji: Preferencje > Powiadomienie > Karta Zdarzenia Konfigurowanie powiadomień odbywa się w dwóch krokach - Najpierw należy wybrać zdarzenia, dla których wymagane są powiadomienia, a następnie skonfigurować metody ich dostarczania. Program WFBS oferuje trzy metody dostarczania powiadomień - powiadomienia przesyłane pocztą , powiadomienia SNMP lub dziennik zdarzeń systemu Windows. 8-3

144 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora RYSUNEK 8-1. Ekran Powiadomienia zdarzenia Aby skonfigurować zdarzenia wymagające powiadamiania: 1. Zmień odpowiednio następujące opcje na karcie Zdarzenia na ekranie Powiadomienia: Zdarzenia zagrożeń: Zaznacz pole wyboru Typ, aby odbierać powiadomienia dotyczące wszystkich zdarzeń. Można także zaznaczyć pola wyboru dla poszczególnych zdarzeń. Kliknij, aby rozwinąć poszczególne zdarzenia i skonfigurować próg i/lub okres dla danego zdarzenia. 2. Kliknij przycisk Zapisz. 8-4

145 Zarządzanie powiadomieniami Dostosowywanie alarmów powiadomień Ścieżka nawigacji: Preferencje > Powiadomienia > Kliknij powiadomienie Można dostosować wiersz tematu i treść wiadomości z powiadomieniem o zdarzeniach. Odbiorcy z listy definicji poczty wewnętrznej będą otrzymywać powiadomienia, jeżeli w obszarze Ustawienia powiadamiania oprogramowania antywirusowego, filtrowania zawartości i blokowania załączników zaznaczono pole wyboru Nie powiadamiaj odbiorców zewnętrznych. Nie należy mylić listy definicji poczty wewnętrznej z listą dozwolonych nadawców. Aby uniknąć oznaczania jako spam wiadomości przychodzących z domen zewnętrznych, należy dodać zewnętrzne adresy do list dozwolonych nadawców oprogramowania antyspamowego. Użycie tokenów Należy użyć następujących tokenów celem przedstawienia groźnych zdarzeń na komputerach/serwerach i serwerach Exchange. Tokeny odwołują się do ustawień zgodnych z ekranem Prefernecje > Powiadomień. <$CSM_SERVERNAME> Nazwa serwera Security lub Exchange, które wykryły zagrożenie. %CV Liczba zdarzeń %CU Jednostka czasu (minuty, godziny) %CT Liczba %CU %CP Procent wiadomości oznaczonych jako spam Przykładowe powiadomienie: Liczba wykrytych przez program Trend Micro Security Server wystąpień wirusów na komputerach w %CT %CU: %CV. Nadmierna liczba wystąpień wirusów lub zbyt częste ich występowanie może wskazywać na trwającą epidemię. Aby uzyskać dalsze instrukcje, zapoznaj się z ekranem Stan aktywności programu Security Server. 8-5

146 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby dostosować zawartość powiadomienia: 1. Wprowadź nowy wiersz tematu w polu Temat. 2. Wprowadź nową wiadomość w polu Wiadomość. 3. Kliknij przycisk Zapisz. Konfigurowanie ustawień powiadamiania Ścieżka nawigacji: Preferencje > Powiadomienia > Zakładka Ustawienia RYSUNEK 8-2 Ekran Powiadomienia Aby skonfigurować metodę dostarczania powiadomień: 1. Zmień odpowiednio następujące opcje na karcie Ustawienia na ekranie Powiadomienia: Powiadomienie Ustaw adresy nadawcy i odbiorców powiadomień. Skonfiguruj zawartość wiadomości na karcie Zdarzenia. Od Do: Poszczególne adresy oddzielaj średnikiem (;). 8-6

147 Zarządzanie powiadomieniami Odbiorca powiadomienia SNMP. SNMP to protokół używany przez hosty sieciowe do wymiany informacji służących do zarządzania sieciami. Aby wyświetlić dane z pułapki SNMP, należy użyć przeglądarki baz informacji zarządzania. Włącz powiadomienia SNMP Adres IP: Adres IP pułapki SNMP. Społeczność: Łańcuch społeczności SNMP. Rejestrowanie. Powiadomienia za pośrednictwem dziennika zdarzeń systemu Windows Zapisz do dziennika zdarzeń systemu Windows Uwaga: Możliwe jest użycie dowolnej lub wszystkich powyższych metod powiadamiania. 2. Kliknij przycisk Zapisz. 8-7

148 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 8-8

149 Rozdział 9 Zarządzanie ustawieniami globalnymi W tym rozdziale omówiono sposób korzystania z ustawień globalnych. Rozdział obejmuje następujące zagadnienia: Opcje internetowego serwera proxy na str. 9-2 Opcje serwera SMTP na str. 9-4 Opcje komputera/serwera na str. 9-5 Opcje systemowe na str

150 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Konfigurowanie preferencji globalnych Z poziomu konsoli internetowej można skonfigurować ustawienia globalne programu Security Server oraz komputerów i serwerów chronionych przez programy Client/ Server Security Agent. Opcje internetowego serwera proxy Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta Proxy Jeśli w sieci do łączenia się z Internetem używany jest serwer proxy, należy określić ustawienia serwera proxy dla następujących usług: Aktualizacje składników i powiadomienia o licencji Web Reputation, Monitorowanie zachowań, Smart Feedback, skanowanie inteligentne i filtrowanie adresów URL. Można użyć tych samych ustawień serwera proxy aktualizacji lub wprowadzić nowe dane uwierzytelniające. Uwaga: Agent zawsze korzysta z tego samego serwera proxy i portu, co program Internet Explorer, łącząc się z Internetem w celu skorzystania z usługi Web Reputation, monitorowania zachowania oraz infrastruktury Smart Protection Network. Dane uwierzytelniające, określone dla usługi aktualizacji należy zduplikować tylko w przypadku, gdy program Internet Explorer zainstalowany na klientach używa tego samego serwera proxy i portu. 9-2

151 Zarządzanie ustawieniami globalnymi RYSUNEK 9-1. Ustawienia globalne ekran ustawień serwera proxy Aby skonfigurować ustawienia serwera proxy: 1. Zmień odpowiednio następujące opcje na karcie Proxy ekranu Ustawienia globalne: Ustawienia dla aktualizacji i powiadomień o licencji Używaj serwera proxy podczas aktualizacji produktu oraz powiadamiania o licencji produktu Adres Używaj protokołu SOCKS 4/5 serwera proxy Port Uwierzytelnianie serwera proxy Nazwa użytkownika Hasło 9-3

152 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Ustawienia dla usług Web Reputation, monitorowania zachowania i inteligentnego skanowania Należy zastosować poświadczenia określone dla serwera proxy aktualizacji Nazwa użytkownika Hasło 2. Kliknij przycisk Zapisz. Opcje serwera SMTP Ustawienia serwera SMTP dotyczą wszystkich powiadomień i raportów generowanych przez program WFBS. Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta SMTP RYSUNEK 9-2. Karta SMTP na ekranie Ustawienia globalne Aby wprowadzić w ustawieniach dane serwera SMTP: 1. Zmień odpowiednio następujące opcje na karcie SMTP ekranu Ustawienia globalne: Serwer SMTP: Adres IP lub nazwa serwera SMTP. Port 2. Kliknij przycisk Zapisz. 9-4

153 Zarządzanie ustawieniami globalnymi Opcje komputera/serwera Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta Komputer/ serwer Opcje Komputer/Serwer dotyczą ustawień globalnych programu WFBS. Ustawienia dla poszczególnych grup zastępują te ustawienia. Jeśli nie skonfigurowano określonej opcji dla grupy, używane są opcje komputera/serwera. Na przykład w przypadku braku dozwolonych adresów URL dla określonej grupy zostaną zastosowane do niej wszystkie adresy URL dozwolone na tym ekranie. RYSUNEK 9-3. Karta Komputer/serwer na ekranie Ustawienia globalne 9-5

154 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby skonfigurować opcje komputera/serwera: 1. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Rozpoznawanie lokalizacji na str. 9-6 Ogólne ustawienia skanowania na str. 9-7 Ustawienia skanowania wirusów na str. 9-7 Ustawienia skanowania spyware/grayware na str. 9-8 Wyłączanie zapory na str. 9-8 Web Reputation i dozwolone adresy na str. 9-8 Monitorowanie zachowań na str. 9-9 Filtrowanie zawartości IM na str. 9-9 Ustawienia ostrzeżeń na str Ustawienia nadzoru na str Dezinstalacja agenta na str Program Agenta na str Kliknij przycisk Zapisz. Rozpoznawanie lokalizacji Funkcja rozpoznawania lokalizacji steruje ustawieniami połączeń W biurze i Poza biurem. Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz rozpoznawanie lokalizacji: Te ustawienia wpłyną na ustawienia połączeń W biurze/poza biurem usług Zapora, Web Reputation, TrendSecure i Skanowanie inteligentne. Informacje o bramie: Jeśli włączone jest rozpoznawanie lokalizacji, klienty i połączenia na tej liście będą korzystać z ustawień typu Połączenie wewnętrzne podczas zdalnego łączenia się z siecią (przy użyciu sieci VPN). Adres IP bramy Adres MAC: Dodanie adresu MAC zwiększa bezpieczeństwo poprzez umożliwienie podłączenia tylko skonfigurowanego urządzenia. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. 9-6

155 Zarządzanie ustawieniami globalnymi Ogólne ustawienia skanowania Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Wyłącz usługę skanowania inteligentnego: Przełącza wszystkich klientów na tryb Skanowanie tradycyjne. Skanowanie inteligentne będzie niedostępne do chwili ponownego włączenia. Wyklucz folder bazy danych serwera Security Server: Agenty zainstalowane na serwerze zabezpieczeń nie będą skanowały własnej bazy danych tylko podczas skanowania w czasie rzeczywistym. Uwaga: Domyślnie program WFBS nie skanuje własnej bazy danych. Firma Trend Micro zaleca zachowanie tego ustawienia, aby zapobiec ewentualnemu uszkodzeniu bazy danych podczas skanowania. Wyklucz foldery serwera Microsoft Exchange, jeśli program zainstalowano na serwerze Microsoft Exchange: Agenty zainstalowane na serwerze Microsoft Exchange nie będą skanować folderów Microsoft Exchange. Wyklucz foldery kontrolerów domen firmy Microsoft: Agenty zainstalowane na serwerze kontrolera domeny nie będą skanować folderów kontrolera domeny. Te foldery zawierają informacje o użytkownikach, nazwy użytkowników, hasła i inne ważne informacje. Wyklucz sekcje funkcji Shadow Copy: Usługi Shadow Copy lub Volume Snapshot Service tworzą ręcznie bądź automatycznie kopie zapasowe lub obrazy pliku albo folderu na określonym woluminie. Ustawienia skanowania wirusów Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Konfiguruj ustawienia skanowania dużych, skompresowanych plików: Określ maksymalną wielkość wyodrębnionego pliku i liczbę plików w skompresowanym pliku do przeskanowania przez agenta. Wyczyść skompresowane pliki: Agenty wykonają próbę wyczyszczenia zarażonych plików w skompresowanym pliku. 9-7

156 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Skanuj do { } warstw OLE: Agenty będą skanować określoną liczbę warstw OLE (Object Linking and Embedding). Warstwy OLE umożliwiają tworzenie obiektów w jednej aplikacji, a następnie łączenie lub osadzanie ich w innej aplikacji. Przykładem może być plik.xls osadzony w pliku.doc. W klientach dodaj skrót skanowania ręcznego do menu skrótów Windows: Dodaje łącze Skanuj za pomocą programu Client/Server Security Agent do menu kontekstowego. Dzięki temu użytkownicy mogą kliknąć prawym przyciskiem myszy plik lub folder (na pulpicie lub w Eksploratorze Windows) i ręcznie przeskanować ten plik lub folder. Ustawienia skanowania spyware/grayware Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Skanuj pliki cookie: Agenty będą skanować i usuwać śledzące pliki cookie, które zostały pobrane do klientów podczas odwiedzania witryn internetowych. Wykryte śledzące pliki cookie zwiększają licznik programów spyware/grayware na ekranie Stan aktywności. Uwzględnij pliki cookie w dzienniku spyware: Dodaje każdy wykryty plik cookie zidentyfikowany jako spyware do dziennika spyware. Wyłączanie zapory Wybierz pole Wyłącz zaporę i odinstaluj sterowniki celem odinstalowania klienta zapory, programu WFBS i usunięcia sterowników powiązanych z zaporą. Wykonaj powyższe w przypadku ochrony klientów poprzez inną zaporę. Uwaga: Jeśli zapora zostanie wyłączona, to powiązane ustawienia będą dostępne dopiero w przypadku ponownego jej włączenia. Web Reputation i dozwolone adresy Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz dzienniki korzystania dla programu CSA: Agenty będą wysyłać szczegółowe informacje o odwiedzanych adresach URL do programu Security Server. 9-8

157 Zarządzanie ustawieniami globalnymi Adresy URL, które mają być dozwolone: Poszczególne adresy URL oddzielaj średnikiem (;). Kliknij przycisk Dodaj. Uwaga: Dodanie adresu URL obejmuje wszystkie jego subdomeny. Lista dozwolonych adresów URL: Adresy URL na tej liście nie będą blokowane. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. Monitorowanie zachowań Funkcja Monitorowanie zachowania chroni klientów przed nieuprawnionymi zmianami w systemie operacyjnym, pozycji rejestru, innych programach oraz plikach i folderach. Nie blokuj wyskakujących okienek dla zmian o niskim ryzyku lub monitorowanych operacji: Agenty ostrzegają użytkowników o zmianach o niskim ryzyku lub monitorowanych operacjach. Filtrowanie zawartości IM Administratorzy mogą ograniczyć użycie określonych słów lub fraz w aplikacjach do obsługi wiadomości błyskawicznych, zwanych też komunikatorami internetowymi. Wiadomości błyskawiczne stanowią formę komunikacji w czasie rzeczywistym, prowadzoną między dwoma lub większą liczbą osób w formie tekstowej. Tekst jest przesyłany między klientami połączonymi poprzez sieć. Agenty mogą ograniczać używanie pewnych słów w następujących komunikatorach: America Online Instant Messenger (AIM) 6 (kompilacje wydane po marcu 2008 roku nie są obsługiwane) ICQ 6 (kompilacje wydane po marcu 2008 nie są obsługiwane) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger

158 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zastrzeżone słowa: W tym polu wpisz zastrzeżone słowa lub wyrażenia. Można zastrzec maksymalnie 31 słów lub wyrażeń. Poszczególne słowa lub wyrażenia nie mogą zawierać więcej niż 35 znaków (17 w przypadku chińskich znaków). Wprowadź pozycję lub kilka pozycji oddzielonych średnikami (;), a następnie kliknij polecenie Dodaj>>. Lista zastrzeżonych słów/wyrażeń: Słowa lub wyrażenia z tej listy nie mogą być używane w wiadomościach błyskawicznych. Aby usunąć wpis, kliknij odpowiednią ikonę kosza na śmieci. Ustawienia ostrzeżeń Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Pokaż ikonę ostrzegawczą na pasku zadań Windows, jeżeli plik sygnatur wirusów nie został zaktualizowany po { } dniach: Ikona ostrzegawcza jest wyświetlana na klientach, których plik sygnatur nie został zaktualizowany po upływie określonej liczby dni. Ustawienia nadzoru Usługa nadzoru zapewnia stałą ochronę klientów przez program Client/Server Security Agent. Po włączeniu usługa nadzoru sprawdza dostępność agentów co x minut. Jeżeli agent jest niedostępny, usługa nadzoru spróbuje uruchomić go ponownie. Wskazówka: Firma Trend Micro zaleca włączenie usługi nadzoru, aby zapewnić ochronę klientów przez program Client/Server Security Agent. Jeśli program Client/Server Security Agent nieoczekiwanie zakończy pracę, co może zdarzyć się w przypadku ataku hakera na klienta, usługa nadzoru ponownie uruchamia program Client/Server Security Agent. 9-10

159 Zarządzanie ustawieniami globalnymi Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Włącz usługę nadzoru agenta Sprawdź stan klienta co {} minut: Określa, jak często usługa nadzoru powinna sprawdzać stan klienta. Jeśli klienta nie można uruchomić, ponawiaj próbę {} razy: Określa, ile razy usługa nadzoru ma próbować ponownie uruchomić program Client/Server Security Agent. Dezinstalacja agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól użytkownikowi komputera klienckiego na odinstalowanie programu Client/Server Security Agent bez podawania hasła: Zezwala użytkownikom na odinstalowanie programu Client/Server Security Agent. Wymagaj hasła od użytkownika komputera klienckiego przed odinstalowaniem programu Client/Server Security Agent: Zezwala użytkownikom na odinstalowanie programu Client/Server Security Agent po podaniu hasła. Program Agenta Zmień odpowiednio następujące opcje na karcie Komputer/serwer ekranu Ustawienia globalne: Zezwól klientom na wychodzenie z programu agenta na swoich komputerach bez podawania hasła: Zezwala użytkownikom na zamykanie programu Client/Server Security Agent. Wymagaj od użytkowników komputerów klienckich podania hasła w celu zakończenia programu agenta: Zezwala użytkownikom na zamykanie programu Client/Server Security Agent po podaniu określonego hasła. 9-11

160 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Opcje systemowe Ścieżka nawigacji: Preferencje > Ustawienia globalne > karta System Sekcja System ekranu Ustawienia globalne zawiera opcje służące do automatycznego usuwania nieaktywnych agentów, sprawdzania połączeń agentów oraz obsługi folderu kwarantanny. RYSUNEK 9-4. Karta System na ekranie Ustawienia globalne Aby skonfigurować opcje systemowe: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Usuwanie nieaktywnych programów Client/Server Security Agent na str Weryfikacja łączności klient-serwer na str Obsługa folderu kwarantanny na str Kliknij przycisk Zapisz. 9-12

161 Zarządzanie ustawieniami globalnymi Usuwanie nieaktywnych programów Client/Server Security Agent W przypadku usuwania programu Client/Server Security Agent z komputera za pomocą jego własnego programu odinstalowującego, program automatycznie powiadamia program Security Server. Gdy program Security Server otrzyma to powiadomienie, usunie ikonę klienta z drzewa grup zabezpieczeń, wskazując w ten sposób, że dany klient już nie istnieje. Jeżeli jednak program Client/Server Security Agent będzie usuwany innymi metodami, na przykład za pomocą formatowania dysku twardego komputera lub w wyniku ręcznego usunięcia plików klienta, do programu Security Server nie dotrą informacje o usunięciu, a program Client/Server Security Agent będzie wyświetlany jako nieaktywny. Także wtedy, gdy użytkownik zamknie lub wyłączy agenta na dłuższy czas, program Security Server będzie wyświetlać program Client/Server Security Agent jako nieaktywny. Aby w drzewie grup zabezpieczeń wyświetlani byli wyłącznie aktywni klienci, program Security Server można skonfigurować tak, aby automatycznie usuwał nieaktywne programy Client/Server Security Agent z drzewa grup zabezpieczeń. Aby usunąć nieaktywne agenty: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz automatyczne usuwanie nieaktywnego programu Client/Server Security Agent: Umożliwia automatyczne usuwanie klientów, które nie nawiązały kontaktu z program Security Server przez określoną liczbę dni. Automatycznie usuń program Client/Server Security Agent, jeśli jest nieaktywny przez {} dni: Liczba dni, przez które klient może być nieaktywny zanim zostanie usunięty z konsoli internetowej. 2. Kliknij przycisk Zapisz. 9-13

162 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Weryfikacja łączności klient-serwer W programie WFBS stan połączenia klienta jest przedstawiany w drzewie grup zabezpieczeń w postaci ikony. Jednak niektóre warunki mogą uniemożliwiać wyświetlanie właściwego stanu połączenia klienta w drzewie grup zabezpieczeń. Na przykład, przypadkowe wyjęcie kabla sieciowego może uniemożliwić powiadomienie programu Trend Micro Security Server, że klient jest w trybie offline. W drzewie grup zabezpieczeń stan tego klienta będzie wciąż wyświetlany jako online. Połączenie klient-serwer można sprawdzić ręcznie lub według harmonogramu za pomocą konsoli internetowej. Uwaga: Funkcja Sprawdź połączenie nie pozwala na wybór określonych grup lub klientów. Sprawdza ona połączenie ze wszystkimi klientami zarejestrowanymi w programie Security Server. Aby zweryfikować łączność klient-serwer: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Włącz sprawdzanie zaplanowane: Włącza zaplanowane sprawdzanie komunikacji agenta i programu Security Server. Co godzinę Codziennie Co tydzień, w Godzina rozpoczęcia: Godzina rozpoczęcia sprawdzania. Sprawdź teraz: Natychmiast rozpoczyna sprawdzanie łączności między agentami a programem Security Server. 2. Kliknij przycisk Zapisz. 9-14

163 Zarządzanie ustawieniami globalnymi Obsługa folderu kwarantanny W przypadku, gdy agent wykryje zagrożenie internetowe w pliku, a operacją skanowania przypisaną do tego typu zagrożenia jest kwarantanna, agent zaszyfruje zarażony plik, umieści go w folderze kwarantanny klienta i wyśle do folderu kwarantanny programu Trend Micro Security Server. Program WFBS szyfruje zarażony plik, aby zapobiec zarażeniu innych plików. Domyślnie folder kwarantanny programu Client/Server Security Agent znajduje się w następującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\ SUSPECT Domyślnie folder kwarantanny programu Trend Micro Security Server znajduje się w następującej lokalizacji: C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus Uwaga: Jeżeli agent nie może z jakiegoś powodu wysłać zaszyfrowanego pliku do programu Trend Micro Security Server (np. ze względu na problem z połączeniem sieciowym), zaszyfrowany plik pozostaje w folderze kwarantanny klienta. Agent ponowi próbę wysłania pliku po połączeniu się z programem Trend Micro Security Server. Więcej informacji na temat konfiguracji ustawień skanowania i zmiany położenia folderu kwarantanny zawiera sekcja Ustawienia skanowania wirusów na str Aby obsługiwać foldery kwarantanny: 1. Zmień odpowiednio następujące opcje na karcie System ekranu Ustawienia globalne: Pojemność folderu kwarantanny: Rozmiar folderu kwarantanny w megabajtach. Maksymalny rozmiar pojedynczego pliku: Maksymalny rozmiar (w megabajtach) pojedynczego pliku zapisanego w folderze kwarantanny. Usuń wszystkie pliki poddane kwarantannie: Usuwa wszystkie pliki w folderze kwarantanny. Jeśli folder jest pełny i załadowany zostanie nowy plik, nie zostanie on zapisany. 2. Kliknij przycisk Zapisz. 9-15

164 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 9-16

165 Rozdział 10 Zarządzanie aktualizacjami W tym rozdziale opisano sposób używania i konfigurowania aktualizacji ręcznych i zaplanowanych. Rozdział obejmuje następujące zagadnienia: Aktualizacja składników na str Składniki, które można aktualizować na str Aktualizacja programu Security Server na str Źródła aktualizacji na str Aktualizacje ręczne na str Aktualizacje zaplanowane na str Wycofywanie lub synchronizacja składników na str

166 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aktualizacja składników Program WFBS ułatwia aktualizowanie do najnowszych składników, ponieważ agenty automatycznie otrzymują zaktualizowane składniki z programu Security Server. Program WFBS pobiera składniki z serwera Trend Micro ActiveUpdate: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po uruchomieniu głównej usługi programu WFBS, serwer ActiveUpdate jest sprawdzany pod kątem dostępnych aktualizacji. Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Domyślnie program Client/Server Security Agent przeprowadza zaplanowaną aktualizację co osiem godzin. Wskazówka: aby upewnić się, że programy Client/Server Security Agent będą na bieżąco aktualizowane, nawet jeśli nie są połączone z programem Security Server, należy skonfigurować programy Client/Server Security Agent do pobierania aktualizacji z alternatywnych źródeł (Konfigurowanie źródła aktualizacji na str. 10-9). Ta możliwość jest przydatna dla użytkowników, którzy często znajdują się poza biurem i są odłączeni od sieci lokalnej. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. ActiveUpdate Funkcja ActiveUpdate jest dostępna w wielu produktach Trend Micro. Połączona zwitryną aktualizacji firmy Trend Micro funkcja ActiveUpdate pobiera przez sieć Internet najnowsze pliki sygnatur wirusów, silniki skanowania i pliki programu. Funkcja ActiveUpdate nie zakłóca działania usług sieciowych, ani nie wymaga ponownego uruchamiania klientów. 10-2

167 Zarządzanie aktualizacjami Przyrostowe aktualizacje pliku sygnatur Funkcja ActiveUpdate obsługuje przyrostowe aktualizacje plików sygnatur. Funkcja ActiveUpdate pobiera tylko nową część pliku i dodaje ją do istniejącego pliku sygnatur, zamiast za każdym razem pobierać cały plik sygnatur. Ta wydajna metoda aktualizacji znacząco zmniejsza przepustowość sieci wymaganą do aktualizacji oprogramowania antywirusowego. Kliknij serwer ActiveUpdate firmy Trend Micro na ekranie Aktualizacje > Źródło aktualizacji, jeżeli chcesz, aby program Security Server używał serwera ActiveUpdate jako źródła ręcznych i zaplanowanych aktualizacji składników. Gdy wymagana jest aktualizacja składnika, program Security Server sprawdza bezpośrednio serwer ActiveUpdate. Jeśli nowy składnik jest dostępny do pobrania, program Security Server pobiera ten składnik z serwera ActiveUpdate. Składniki, które można aktualizować Aby mieć pewność, że klienty są zabezpieczone przed najnowszymi zagrożeniami, należy okresowo aktualizować składniki programu WFBS. Skonfiguruj program Security Server, aby pobrać składniki programu WFBS z serwera ActiveUpdate. Serwer ActiveUpdate udostępnia zaktualizowane składniki, takie jak pliki sygnatur wirusów, silniki skanowania i pliki programu. Po pobraniu wszystkich dostępnych aktualizacji serwer automatycznie wdraża je na agentach. Program WFBS oferuje dwie metody aktualizacji składników: Ręczna aktualizacja składników, patrz Ręczne aktualizowanie składników na str Aktualizacja składników według harmonogramu, patrz Planowanie aktualizacji składników na str

168 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Jeśli do łączenia z Internetem używany jest serwer proxy, przed pobraniem aktualizacji należy sprawdzić, czy ustawienia proxy zostały właściwie skonfigurowane. Aby uzyskać więcej informacji, patrz Opcje internetowego serwera proxy na str TABELA Składniki, które można aktualizować SKŁADNIK Antywirus Antyspyware Web Reputation PODSKŁADNIK Baza sygnatur wirusów Silnik skanowania antywirusowego, 32-bitowy Silnik skanowania antywirusowego, 64-bitowy Szablon czyszczenia wirusów Silnik czyszczenia wirusów, 32-bitowy Silnik czyszczenia wirusów, 64-bitowy Sygnatura wyjątków IntelliTrap Sygnatura IntelliTrap Silnik zbierania informacji, 32-bitowy Silnik zbierania informacji, 64-bitowy Sygnatura skanowania inteligentnego Sygnatura programu Smart Scan Agent Silnik skanowania w poszukiwaniu spyware, 32-bitowy Silnik skanowania w poszukiwaniu spyware, 64-bitowy Sygnatury spyware Sygnatura aktywnego monitorowania spyware Silnik filtrowania adresów URL, 32-bitowy Silnik filtrowania adresów URL, 64-bitowy 10-4

169 Zarządzanie aktualizacjami TABELA Składniki, które można aktualizować (ciąg dalszy) SKŁADNIK Monitorowanie zachowań Ochrona przed epidemią Wirus sieciowy PODSKŁADNIK Sterownik funkcji monitorowania zachowania Główna usługa monitorowania zachowania Sygnatura stosowania reguł Sygnatura podpisu cyfrowego Sygnatura konfiguracji funkcji monitorowania zachowania Sygnatura wykrywania funkcji monitorowania zachowania Sygnatura narażenia na atak Ogólna sygnatura zapory Ogólny silnik zapory, 32-bitowy Ogólny silnik zapory, 64-bitowy Sterownik TDI (Transport Driver Interface), 32-bitowy Sterownik TDI (Transport Driver Interface), 64-bitowy Sterownik WFP, 32-bitowy Sterownik WFP, 64-bitowy Więcej informacji na temat poszczególnych składników zawiera sekcja Składniki na str Domyślny czas aktualizacji Domyślnie, program WFBS sprawdza dostępność aktualizacji i w razie potrzeby pobiera składniki z serwera Trend Micro ActiveUpdate w następujących przypadkach: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i agentów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Przy każdym uruchomieniu usługi głównej programu WFBS program Security Server aktualizuje reguły ochrony przed epidemią. 10-5

170 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Domyślnie zaplanowane aktualizacje programu Security Server są przeprowadzane co godzinę. Aby zapewnić bieżące aktualizowanie agentów, program Client/Server Security Agent co 8 godzin wykonuje zaplanowaną aktualizację. Zalecane przez firmę Trend Micro ustawienia aktualizacji składników zapewniają rozsądną ochronę małych i średnich przedsiębiorstw. Jeśli to konieczne, można przeprowadzić aktualizacje ręczne lub zmodyfikować aktualizacje zaplanowane. Zazwyczaj firma Trend Micro aktualizuje silnik skanowania lub program jedynie przy publikowaniu nowej wersji programu WFBS. Firma Trend Micro często publikuje jednak nowe pliki sygnatur. Aktualizacja programu Security Server Program WFBS automatycznie wykonuje następujące aktualizacje: Gdy produkt jest instalowany po raz pierwszy, aktualizacje wszystkich składników programu Security Server i klientów są natychmiast pobierane z serwera Trend Micro ActiveUpdate. Po każdym uruchomieniu programu WFBS, program Security Server aktualizuje składniki i reguły ochrony przed epidemią. Domyślnie aktualizacje zaplanowane uruchamiane są co godzinę. Aby zapewnić aktualność klientów, agenty uruchamiają aktualizacje zaplanowane co 8 godzin. Aby skonfigurować program Trend Micro Security Server w celu wykonywania aktualizacji: 1. Wybierz źródło aktualizacji. Patrz Źródła aktualizacji na str Skonfiguruj program Trend Micro Security Server pod kątem ręcznych lub zaplanowanych aktualizacji. Patrz Aktualizacje ręczne na str i Aktualizacje zaplanowane na str Skonfiguruj opcje aktualizacji dla klientów na ekranie Uprawnienia klienta. 10-6

171 Zarządzanie aktualizacjami Źródła aktualizacji Wybierając lokalizacje źródłowe aktualizacji agenta, należy wziąć pod uwagę przepustowość sekcji sieci między klientami a źródłami aktualizacji. Poniższa tabela zawiera opis różnych opcji aktualizacji składników i zalecane sytuacje, w jakich należy ich użyć: TABELA Opcje źródła aktualizacji OPCJA AKTUALIZACJI OPIS ZALECENIE Serwer ActiveUpdate > Program Trend Micro Security Server > Klienty Serwer ActiveUpdate > Program Trend Micro Security Server > Agenty aktualizacji > Klienty Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) i wdraża je bezpośrednio na klientach. Program Trend Micro Security Server otrzymuje zaktualizowane składniki z serwera ActiveUpdate (lub z innego źródła aktualizacji) i przekazuje je bezpośrednio do agentów aktualizacji, które z kolei instalują składniki na klientach. Tej metody używa się, jeśli między programem Trend Micro Security Server a klientami wsieci nie ma takiej sekcji, która wykazywałaby niską przepustowość. Tej metody używa się w celu zrównoważenia obciążenia ruchem wsieci, jeśli między programem Trend Micro Security Server aklientami wsieci istnieją segmenty o niskiej przepustowości. 10-7

172 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA Opcje źródła aktualizacji (ciąg dalszy) OPCJA AKTUALIZACJI OPIS ZALECENIE Serwer ActiveUpdate > Agenty aktualizacji > Klienty Agenty aktualizacji otrzymują zaktualizowane składniki bezpośrednio z serwera ActiveUpdate (lub z innego agenta aktualizacji) i instalują je na klientach. Tej metody używa się tylko w przypadku wystąpienia problemów z aktualizowaniem agentów aktualizacji poprzez program Trend Micro Security Server lub innych agentów aktualizacji. Wwiększości przypadków agenty aktualizacji szybciej otrzymują aktualizacje z programu Trend Micro Security Server lub od innych agentów aktualizacji niż zzewnętrznego źródła aktualizacji. 10-8

173 Zarządzanie aktualizacjami Konfigurowanie źródła aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło RYSUNEK Ekran Źródło aktualizacji Aby skonfigurować źródło aktualizacji dla programu Security Server: 1. Zmień odpowiednio następujące opcje na ekranie Źródło: Serwer Trend Micro ActiveUpdate: serwer Trend Micro ActiveUpdate jest ustawiony domyślnie przez firmę Trend Micro jako źródło pobierania aktualizacji. Firma Trend Micro przesyła nowe składniki na serwer ActiveUpdate zaraz po ich udostępnieniu. Serwer ActiveUpdate należy wybrać jako źródło, gdy potrzebne są częste i regularne aktualizacje. Uwaga: jeżeli do otrzymywania aktualizacji zostanie zdefiniowane źródło inne niż serwer ActiveUpdate firmy Trend Micro, do źródła tego muszą mieć dostęp wszystkie serwery otrzymujące aktualizacje. 10-9

174 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Lokalizacja kopii bieżącego pliku w sieci Intranet: należy pobrać składniki ze źródła w sieci Intranet, które otrzymuje uaktualnione składniki. Należy wpisać ścieżkę UNC innego serwera w sieci i utworzyć na tym serwerze docelowym folder, który będzie dostępny dla wszystkich serwerów otrzymujących aktualizacje (np.: \Web\ActiveUpdate). Alternatywne źródło aktualizacji: należy pobrać składniki z Internetu lub innego źródła. Należy udostępnić docelowy katalog wirtualny HTTP (udział w sieci Web) wszystkim serwerom otrzymującym aktualizacje. 2. Kliknij przycisk Zapisz. Korzystanie z agentów aktualizacji Ścieżka nawigacji: Aktualizacje > Źródło > karta Security Agent Określając sekcje sieci między klientami a programem Trend Micro Security Server jako te, które mają niską przepustowość lub intensywny ruch, można tak skonfigurować agenty, aby działały jako źródła aktualizacji (agenty aktualizacji) dla innych agentów. Ułatwia to rozłożenie ciężaru wdrażania składników na wszystkich agentach. Na przykład, jeśli sieć jest podzielona na segmenty według lokalizacji, a łącza sieciowe między segmentami są poddawane dużemu obciążeniu ruchem, firma Trend Micro zaleca, aby przynajmniej jeden agent w każdym z segmentów działał jako agent aktualizacji. Aby umożliwić agentom działanie w roli agentów aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Przypisz agenta aktualizacji. 2. Z listy Wybierz programy Security Agent wybierz co najmniej jednego agenta, który ma działać jako agent aktualizacji. 3. Kliknij przycisk Zapisz

175 Zarządzanie aktualizacjami Aby usunąć agenta aktualizacji, zaznacz pole wyboru odpowiadające nazwie komputera, a następnie kliknij przycisk Usuń. Uwaga: o ile nie zostanie to określone inaczej w sekcji Alternatywne źródła aktualizacji, wszystkie agenty aktualizacji będą otrzymywać aktualizacje z programu Trend Micro Security Server. Aby umożliwić agentom uzyskiwanie aktualizacji z alternatywnego źródła aktualizacji: 1. Zmień odpowiednio następujące opcje na karcie Security Agent ekranu Źródło: Włącz alternatywne źródła aktualizacji Zawsze aktualizuj z serwera bezpieczeństwa dla agentów aktualizacji: jest to opcjonalny krok, który zapewnia, że agenty uzyskują aktualizacje tylko z programu Security Server. Uwaga: po wybraniu tej opcji agenty aktualizacji będą pobierać aktualizacje z programu Trend Micro Security Server, nawet jeśli ich adres IP mieści się wzakresach określonych na ekranie Dodaj alternatywne źródło aktualizacji. Aby ta opcja działała, musi być wybrana opcja Włącz alternatywne źródła aktualizacji. 2. Kliknij przycisk Zapisz. Aby dodać alternatywne źródła aktualizacji: 1. Na karcie Security Agent ekranu Źródło kliknij przycisk Dodaj w obszarze Alternatywne źródła aktualizacji. 2. Zmień odpowiednio następujące opcje: IP od oraz IP do: klienty z adresami IP mieszczącymi się w tym zakresie będą otrzymywać aktualizacje z podanego źródła aktualizacji. Uwaga: aby określić pojedynczy program Client/Server Security Agent, wprowadź jego Client/Server Security Agent adres IP zarówno w polu IP od jak i w polu IP do

176 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Źródło aktualizacji Agent aktualizacji: jeśli lista rozwijana jest niedostępna, nie skonfigurowano żadnych agentów aktualizacji. Określone: ścieżka do agenta aktualizacji lub serwera ActiveUpdate. 3. Kliknij przycisk Zapisz. Aby usunąć alternatywne źródło aktualizacji, zaznacz pole wyboru odpowiadające zakresowi IP, a następnie kliknij przycisk Usuń. Uwaga: programy Client/Server Security Agent które nie zostały określone, będą automatycznie otrzymywać aktualizacje od programu Security Server firmy Trend Micro. Aktualizacje ręczne Ścieżka nawigacji: Aktualizacje > Ręczna W programie Security Server używane są składniki umożliwiające skanowanie, identyfikację zagrożeń i wykonywanie zadań usuwania uszkodzeń w celu ochrony i czyszczenia komputerów klienckich i serwerów. Ważna jest częsta aktualizacja tych składników. Po kliknięciu opcji Aktualizuj teraz, program Security Server przystąpi do wyszukiwania zaktualizowanych składników. Jeśli są dostępne, zostaną pobrane i rozpocznie się ich wdrażanie na klientach. Na ekranie Aktualizacja ręczna znajdują się następujące elementy: Składniki: zaznaczenie wszystkich elementów na ekranie lub usunięcie ich zaznaczenia. Bieżąca wersja: wyświetlenie bieżącej wersji składnika. Nie musi to być najnowsza wersja. Ostatnia aktualizacja: wyświetlenie czasu pobrania składnika przez program Security Server

177 Zarządzanie aktualizacjami Ręczne aktualizowanie składników Ścieżka nawigacji: Aktualizacje > Aktualizacja ręczna RYSUNEK Ekran Aktualizacja ręczna Aby ręcznie zaktualizować składniki: 1. Zmień odpowiednio następujące opcje na ekranie Aktualizacja ręczna: Składniki: aby wybrać wszystkie składniki, zaznacz pole wyboru Składniki. Aby wybrać poszczególne składniki, kliknij w celu wyświetlenia składników do aktualizacji, a następnie zaznacz odpowiednie pola wyboru. Informacje na temat poszczególnych składników zawiera sekcja Składniki, które można aktualizować na str Kliknij przycisk Skanuj teraz lub Zapisz. Aby uzyskać więcej informacji o planowaniu aktualizacji, patrz Planowanie aktualizacji składników na str Uwaga: po pobraniu wszystkich zaktualizowanych składników serwer automatycznie wdroży je na agentach

178 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aktualizacje zaplanowane Ścieżka nawigacji: Aktualizacje > Zaplanowane W programie Security Server używane są składniki umożliwiające skanowanie, identyfikację zagrożeń i wykonywanie zadań usuwania uszkodzeń w celu ochrony i czyszczenia komputerów klienckich i serwerów. Ważna jest częsta aktualizacja tych składników. Po kliknięciu opcji Aktualizuj teraz program Security Server wyszukuje zaktualizowane składniki. Jeśli są dostępne, program Security Server pobierze je i rozpocznie ich wdrażanie na klientach. Planowanie aktualizacji składników Ścieżka nawigacji: Aktualizacje > Skanowanie zaplanowane > karta Harmonogram Istnieje możliwość zaplanowania aktualizacji w celu automatycznego odbierania najnowszych składników do zwalczania zagrożeń. Wskazówka: nie należy planować skanowania i przeprowadzania aktualizacji w tym samym czasie. Może to spowodować nieoczekiwane zakończenie skanowania zaplanowanego. RYSUNEK Ekran Aktualizacja zaplanowana 10-14

179 Zarządzanie aktualizacjami Aby zaplanować aktualizację: 1. Na karcie Składniki wybierz składniki do zaktualizowania. Aby wybrać wszystkie składniki, zaznacz pole wyboru obok pozycji Składniki. 2. Na karcie Harmonogram wybierz, jak często składniki mają być aktualizowane. 3. Kliknij przycisk Zapisz. Wskazówka: firma Trend Micro szybko reaguje na epidemie wirusów oraz złośliwego oprogramowania, uaktualniając pliki sygnatur wirusów (aktualizacje mogą być wydawane kilka razy w tygodniu). Silnik skanowania oraz inne składniki są również uaktualniane regularnie. Firma Trend Micro zaleca aktualizowanie składników codziennie a podczas epidemii jeszcze częściej aby agent korzystał z jak najbardziej aktualnych składników. Wycofywanie lub synchronizacja składników Ścieżka nawigacji: Aktualizacje > Wycofanie Wycofywanie składników oznacza powrót do poprzedniej wersji pliku sygnatur wirusów lub silnika skanowania. Jeżeli używany plik sygnatur lub silnik skanowania nie działa prawidłowo, należy przywrócić poprzednią wersję tych składników. Synchronizacja oznacza instalację zaktualizowanych składników na wszystkich agentach. Agenty korzystają znastępujących silników skanowania: Baza sygnatur wirusów Sygnatura programu Smart Scan Agent Silnik skanowania antywirusowego, 32-bitowy Silnik skanowania antywirusowego, 64-bitowy Powyższe typy silników skanowania należy wycofywać niezależnie. Procedura wycofywania obu typów silnika skanowania jest jednakowa. Program Trend Micro Security Server pozostawia wyłącznie bieżącą i poprzednią wersję silnika skanowania oraz ostatnie pięć plików sygnatur

180 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora RYSUNEK Ekran Wycofanie Aby przywrócić do poprzednich wersji lub zsynchronizować pliki sygnatur lub silniki skanowania: Zmień odpowiednio następujące opcje na ekranie Wycofanie: Wycofywanie: przywraca składniki programu Security Server i agentów do poprzedniej wersji. Synchronizacja: wdraża zaktualizowane składniki na agentach. Pakiety hot fix, poprawki i dodatki Service Pack Po oficjalnym wydaniu produktu firma Trend Micro często tworzy pakiety hot fix, poprawki oraz dodatki service pack, aby rozwiązać wykryte problemy, zwiększyć wydajność produktu lub dodać nowe funkcje. Poniżej znajduje się podsumowanie dotyczące uaktualnień, które mogą być wydawane przez firmę Trend Micro: Pakiet hot fix: sugerowane rozwiązanie określonego problemu zgłaszanego przez pojedynczego klienta. Pakiety hot fix są specyficzne dla danego problemu, dlatego nie są wydawane dla wszystkich klientów. Pakiety hot fix dla systemu Windows zawierają programy instalacyjne. W pozostałych systemach należy zazwyczaj zatrzymać demony programów, skopiować plik (zastępując jego odpowiednik w instalacji) i ponownie uruchomić demony. Poprawka zabezpieczeń: pakiet hot fix koncentrujący się na problemach zabezpieczeń, nadający się do wdrożenia na wszystkich klientach. Poprawki zabezpieczeń dla systemu Windows zawierają programy instalacyjne

181 Zarządzanie aktualizacjami Poprawka: zestaw pakietów hot fix i poprawek zabezpieczeń rozwiązujących różne problemy dotyczące programów. Firma Trend Micro regularnie udostępnia poprawki. Poprawki dla systemu Windows zawierają programy instalacyjne. Dodatek Service Pack: pełny zestaw pakietów hot fix, poprawek i ulepszeń funkcji, na tyle istotny, aby mógł być uważany za uaktualnienie produktu. Dodatki Service Pack, przeznaczone zarówno dla systemu Windows, jak i pozostałych systemów operacyjnych, zawierają program instalacyjny oraz skrypt instalacyjny. Sprzedawcy lub dostawcy mogą zawiadamiać klientów o dostępności tych elementów. Informacje na temat nowych pakietów hot fix, poprawek i dodatków Service Pack można znaleźć w witrynie internetowej firmy Trend Micro: Wszystkie publikacje zawierają plik Readme z informacjami na temat instalacji, wdrożenia oraz konfiguracji produktu. Przed rozpoczęciem instalacji pakietów hot fix, poprawek lub dodatków Service Pack należy dokładnie zapoznać się ztreścią pliku Readme

182 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 10-18

183 Rozdział 11 Korzystanie z dzienników i raportów W tym rozdziale opisano sposób korzystania z dzienników i raportów programu do monitorowania systemu i analizy zabezpieczeń. Rozdział obejmuje następujące zagadnienia: Dzienniki na str Raporty na str Zarządzanie dziennikami i raportami na str

184 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Dzienniki W programie WFBS prowadzone są wszechstronne dzienniki, w których odnotowywane są informacje o wirusach/złośliwym oprogramowaniu i oprogramowaniu typu spyware/grayware, wypadkach, zdarzeniach i aktualizacjach. Dzienników tych można użyć do oceny reguł ochrony organizacji, jak również do identyfikacji klientów, które są bardziej narażone na zarażenie. Ponadto dzienniki pozwalają sprawdzić, czy aktualizacje zostały prawidłowo wdrożone. Uwaga: do przeglądania plików dziennika w formacie CSV służą arkusze kalkulacyjne, takie jak Microsoft Excel. Program WFBS prowadzi dzienniki w następujących kategoriach: Dzienniki zdarzeń konsoli zarządzania Dzienniki komputerów/serwerów TABELA Typ i zawartość dziennika TYP (ZDARZENIE LUB ELEMENT, KTÓRY WYGENEROWAŁ WPIS W DZIENNIKU) ZAWARTOŚĆ (TYP DZIENNIKA, Z KTÓREGO POBIERANA JEST ZAWARTOŚĆ) Zdarzenia konsoli zarządzania Skanowanie ręczne Aktualizuj Zdarzenia ochrony przed epidemią Zdarzenia konsoli 11-2

185 Korzystanie z dzienników i raportów TABELA Typ i zawartość dziennika (ciąg dalszy) TYP (ZDARZENIE LUB ELEMENT, KTÓRY WYGENEROWAŁ WPIS W DZIENNIKU) ZAWARTOŚĆ (TYP DZIENNIKA, Z KTÓREGO POBIERANA JEST ZAWARTOŚĆ) Komputer/serwer Dzienniki wirusów Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Czyszczenie Dzienniki spyware/grayware Skanowanie ręczne Skanowanie w czasie rzeczywistym Skanowanie zaplanowane Dzienniki Web Reputation Dzienniki filtrowania adresów URL Dzienniki monitorowania zachowań Dzienniki aktualizacji Dzienniki wirusów sieciowych Dzienniki ochrony przed epidemiami Dzienniki zdarzeń 11-3

186 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Korzystanie z kwerendy dziennika Ścieżka nawigacji: Raporty > Kwerenda dziennika W celu uzyskania informacji z bazy danych dziennika można wykonywać kwerendy dziennika. Do konfigurowania i uruchamiania kwerend można użyć ekranu Kwerenda dziennika. Wyniki można następnie wyeksportować do pliku w formacie CSV lub wydrukować. RYSUNEK Domyślny ekran Kwerenda dziennika Aby wyświetlić dzienniki: 1. Zmień odpowiednio następujące opcje na ekranie Kwerenda dziennika: Przedział czasu Wstępnie skonfigurowany zakres Określony zakres: ogranicza kwerendę do określonych dat. Typ: informacje rejestrowane w poszczególnych typach dziennika przedstawia Tabela 11-1 na str Zdarzenia konsoli zarządzania Komputer/serwer 11-4

187 Korzystanie z dzienników i raportów Zawartość: dostępne opcje są zależne od typu dziennika. 2. Kliknij opcję Wyświetl dzienniki. Aby zapisać dziennik jako plik w formacie CSV, kliknij opcję Eksport. Pliki CSV można przeglądać za pomocą arkusza kalkulacyjnego. RYSUNEK Przykładowy ekran Kwerenda dziennika Raporty W poniższej sekcji opisano sposób konfiguracji raportów jednorazowych i zaplanowanych. Raporty jednorazowe Generowanie jednorazowych raportów pozwala przeglądać informacje z dziennika wuporządkowanym i przejrzystym formacie graficznym. Raporty zaplanowane Zawartości raportów zaplanowanych i jednorazowych są do siebie podobne, jednakże są one generowane w ustalonym czasie i z określoną częstotliwością. W celu generowania raportów zaplanowanych należy wybrać zawartość raportu i zapisać ją jako szablon. W ustalonym czasie i z określoną częstotliwością, program WFBS korzysta z szablonu, aby wygenerować raport. 11-5

188 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Interpretowanie raportów Raporty programu WFBS zawierają następujące informacje. Wyświetlone informacje mogą być różne, w zależności od wybranych opcji. TABELA Zawartość raportu ELEMENT RAPORTU Antywirus OPIS Podsumowanie aktywności wirusów na komputerach/serwerach Raporty o wirusach zawierają szczegółowe informacje dotyczące liczby i typów złośliwego oprogramowania/wirusów wykrytych przez silnik skanowania oraz operacji wykonanych w celu ich usunięcia. Raport zawiera także spis najczęściej występujących wirusów/złośliwego oprogramowania. Kliknij nazwy wirusów/złośliwego oprogramowania, aby otworzyć nową stronę przeglądarki internetowej iprzejść do encyklopedii wirusów/złośliwego oprogramowania firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa/złośliwego oprogramowania. Historia ochrony przed epidemiami 5 komputerów/serwerów z największą liczbą wykrytych wirusów Wyświetla 5 komputerów lub serwerów najczęściej raportujących wykrycie wirusa/złośliwego oprogramowania. Śledzenie najczęstszych przypadków wirusów/złośliwego oprogramowania na jednym komputerze klienckim może wykazać, że dany klient stanowi duże zagrożenie dla bezpieczeństwa, co może wymagać podjęcia dodatkowych działań. Historia ochrony przed epidemiami Wyświetla ostatnie epidemie, poziom zagrożenia ze strony epidemii, identyfikuje wirusa/złośliwe oprogramowanie powodujące epidemię oraz sposób jego dostarczenia (w wiadomości lub pliku). 11-6

189 Korzystanie z dzienników i raportów TABELA Zawartość raportu (ciąg dalszy) ELEMENT RAPORTU Antyspyware OPIS Podsumowanie aktywności spyware/grayware na komputerach/serwerach W raportach dotyczących spyware/grayware przedstawione są szczegółowe informacje o wykrytym na klientach oprogramowaniu spyware/grayware, zawierające liczbę wykrytych przypadków i działania podjęte przeciw nim przez program WFBS. Raport zawiera diagram kołowy, pokazujący udział procentowy wszystkich operacji skanowania podjętych przeciw programom spyware. Web Reputation Kategoria adresu URL 5 komputerów/serwerów z największą ilością wykrytego spyware/grayware W raporcie wymieniono też pięć najgroźniejszych wykrytych przypadków spyware/grayware i pięć komputerów/serwerów z największą liczbą wykrytych przypadków spyware/grayware. Aby dowiedzieć się więcej o zagrożeniach ze strony spyware/grayware, kliknij nazwy spyware/grayware. Zostanie otwarta nowa strona przeglądarki internetowej, na której wyświetlone będą informacje o spyware/grayware pochodzące z witryny internetowej firmy Trend Micro. 10 komputerów najczęściej naruszających reguły usług Web Reputation Zawiera listę 10 klientów najczęściej naruszających reguły usługi Web Reputation. 5 najczęściej naruszanych reguł kategorii URL Najczęściej używane kategorie witryn internetowych, związane z naruszeniami reguł. 10 komputerów najczęściej naruszających reguły kategorii URL 10 komputerów najczęściej naruszających reguły filtrowania adresów URL. 11-7

190 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA Zawartość raportu (ciąg dalszy) ELEMENT RAPORTU Monitorowanie zachowań OPIS 5 programów najczęściej naruszających reguły monitorowania zachowania Zawiera listę 5 programów najczęściej naruszających reguły monitorowania zachowań. Wirus sieciowy 10 komputerów najczęściej naruszających reguły monitorowania zachowania Zawiera listę 10 klientów najczęściej naruszających reguły monitorowania zachowań. 10 najczęściej wykrywanych wirusów sieciowych Zawiera listę 10 wirusów sieciowych najczęściej wykrywanych przez ogólny sterownik zapory. Kliknij nazwy wirusów, aby otworzyć nową stronę przeglądarki internetowej i przejść do encyklopedii wirusów firmy Trend Micro w celu uzyskania dodatkowych informacji na temat danego wirusa. 10 najczęściej atakowanych komputerów Lista komputerów w sieci najczęściej zgłaszających przypadki wirusów. 11-8

191 Korzystanie z dzienników i raportów Generowanie raportów Ścieżka nawigacji: Raporty > Raporty jednorazowe lub Raporty zaplanowane Raport jednorazowy przedstawia podsumowanie wybranej zawartości tylko jeden raz. Raporty zaplanowane przedstawiają podsumowanie wybranej zawartości w sposób regularny. RYSUNEK Ekran raportów 11-9

192 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby utworzyć lub zaplanować raport: 1. Na ekranie Raporty jednorazowe lub Raporty zaplanowane kliknij przycisk Dodaj. 2. Zmień odpowiednio następujące opcje: Nazwa raportu/nazwa szablonu raportu: krótki tytuł, który pomoże zidentyfikować raport/szablon. Harmonogram: dotyczy tylko raportów zaplanowanych. Codziennie: raport zaplanowany będzie wykonywany codziennie ookreślonej godzinie. Co tydzień w: raport zaplanowany będzie wykonywany raz w tygodniu, określonego dnia i o określonej godzinie. Co miesiąc, w dniu: raport zaplanowany będzie wykonywany raz wmiesiącu, określonego dnia i o określonej godzinie. Jeśli zostanie wybrana wartość 31, a miesiąc ma tylko 30 dni, program WFBS nie wygeneruje raportu w tym miesiącu. Wygeneruj raport o: godzina, o której program WFBS ma wygenerować raport. Przedział czasu: ogranicza raport do określonych dat. Zawartość: aby wybrać wszystkie zagrożenia, zaznacz pole wyboru Zaznacz wszystko. Aby wybrać poszczególne zagrożenia, zaznacz odpowiednie pole wyboru. Kliknij, aby rozwinąć wybór. Wyślij raport do: program WFBS wysyła wygenerowany raport do określonych odbiorców. Poszczególne wpisy należy oddzielać średnikami (;). Jako załącznik PDF Jako łącze do raportu 3. Kliknij przycisk Generuj/Dodaj. Wyświetl raport na ekranie Raporty jednorazowe lub Raporty zaplanowane poprzez kliknięcie nazwy raportu. Jeżeli włączona jest opcja Wyślij raport do, program WFBS będzie wysyłać do odbiorców załącznik PDF lub łącze. Aby usunąć raport, na ekranie Raporty jednorazowe lub Raporty zaplanowane zaznacz pole wyboru odpowiadające raportowi i kliknij przycisk Usuń

193 Korzystanie z dzienników i raportów Aby dokonać edycji szablonu raportu zaplanowanego, na ekranie Raporty zaplanowane kliknij nazwę szablonu i zmień odpowiednio opcje. RYSUNEK Przykładowy raport, prezentujący podsumowanie aktywności spyware/grayware Zarządzanie dziennikami i raportami Liczba raportów rośnie szybko, jeśli nie są one okresowo usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program WFBS umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane

194 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Obsługa raportów Ścieżka nawigacji: Raporty > Obsługa > Karta Raporty RYSUNEK Ekran Obsługa raportów Liczba raportów rośnie szybko, jeżeli nie są one usuwane. Usuwanie raportów może być czasochłonnym i uciążliwym zadaniem. Program Worry-Free Business Security umożliwia automatyzację tego zadania. Raporty bazują na dziennikach. Gdy usuwane są informacje dziennika, raporty nie mogą być generowane. Na tym ekranie można: Obsługa raportów Aby ustalić maksymalną liczbę przechowywanych raportów: 1. Na karcie Raporty ekranu Obsługa skonfiguruj maksymalną liczbę raportów do zachowania dla następujących typów raportów: Raporty jednorazowe Zaplanowane raporty zapisywane w każdym szablonie Szablony raportów 2. Kliknij przycisk Zapisz. Automatycznie usuwaj wpisy dziennika Aby automatycznie usuwać dzienniki: 1. Na karcie Automatyczne usuwanie dzienników ekranu Obsługa wybierz Typ dziennika iokreśl liczbę dni przechowywania. 2. Kliknij przycisk Zapisz

195 Korzystanie z dzienników i raportów Ręczne usuwanie dzienników Aby ręcznie usunąć dzienniki: 1. Na karcie Ręczne usuwanie dzienników ekranu Obsługa określ liczbę dni przechowywania dla wybranego typu dziennika i kliknij przycisk Usuń. 2. Kliknij przycisk Zapisz. Wskazówka: aby usunąć wszystkie dzienniki, podaj 0 jako liczbę dni i kliknij przycisk Usuń. Usuwanie dzienników Na ekranie Raporty > Obsługa można skonfigurować czas przechowywania plików dzienników i zaplanować ich regularną obsługę. Ścieżka nawigacji: Raporty > Obsługa > Karta Automatyczne usuwanie dzienników RYSUNEK Ekran Automatyczne usuwanie dzienników 11-13

196 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby program Security Server usuwał dzienniki, które przekraczają ustawiony limit czasu: 1. Kliknij kolejno opcje Raporty > Obsługa. 2. Kliknij opcję Automatyczne usuwanie dzienników. 3. Wybierz dzienniki do usunięcia. 4. W polu Usuń dzienniki starsze niż określ liczbę dni przechowywania dzienników przez program Security Server. 5. Kliknij przycisk Zapisz. Program Security Server usunie wszystkie dzienniki starsze niż liczba dni określona w kroku 4. Aby ręcznie usunąć dziennik: 1. Kliknij opcję Ręczne usuwanie dzienników. 2. Znajdź wiersz zawierający typ dziennika do usunięcia. W polu obok słowa dni wpisz liczbę określającą limit czasu. 3. Kliknij przycisk Usuń. Usunięte zostaną wszystkie dzienniki starsze niż liczba dni określona w kroku

197 Rozdział 12 Administrowanie programem WFBS W tym rozdziale omówiono sposób korzystania z dodatkowych zadań administracyjnych, takich jak wyświetlanie licencji produktu, praca z Menedżerem dodatków czy dezinstalacja programu Security Server. Rozdział obejmuje następujące zagadnienia: Zmiana hasła konsoli internetowej na str Praca z Menedżerem dodatków na str Wyświetlanie szczegółów licencji produktu na str Uczestnictwo w infrastrukturze Smart Protection Network na str Zmiana języka interfejsu agenta na str Dezinstalacja programu Trend Micro Security Server na str

198 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Zmiana hasła konsoli internetowej Aby zapobiec zmianie ustawień lub usunięciu agentów z komputerów klienckich przez nieupoważnionych użytkowników, konsola internetowa jest chroniona hasłem. Główny program instalacyjny programu WFBS wymaga określenia hasła konsoli internetowej, jednak z poziomu konsoli można to hasło zmienić. Wskazówka: firma Trend Micro zaleca użycie silnych haseł dla konsoli internetowej. Silne hasło ma długość co najmniej ośmiu znaków i zawiera co najmniej jedną wielką literę (A Z), co najmniej jedną małą literę (a z), co najmniej jedną cyfrę (0 9), jak również co najmniej jeden znak specjalny lub przestankowy (!@#$%^&,.:;?). Silne hasła nigdy nie powinny być identyczne z nazwą logowania użytkownika, ani zawierać tej nazwy. Nie należy także używać imienia ani nazwiska użytkownika, daty urodzin ani żadnej innej informacji, którą można łatwo utożsamić zużytkownikiem. Ścieżka nawigacji: Preferencje > Hasło RYSUNEK Ekran Preferencje Hasło Aby zmienić hasło konsoli internetowej: 1. Zmień odpowiednio następujące opcje na ekranie Hasło: Stare hasło Nowe hasło Potwierdź hasło: wprowadź ponownie nowe hasło, aby je potwierdzić. 12-2

199 Administrowanie programem WFBS 2. Kliknij przycisk Zapisz. Uwaga: w przypadku zagubienia hasła konsoli internetowej, należy się skontaktować z pomocą techniczną firmy Trend Micro, aby otrzymać instrukcje dotyczące odzyskiwania dostępu do konsoli internetowej. Jedyną alternatywą jest usunięcie i ponowna instalacja programu WFBS. Patrz Dezinstalacja programu Trend Micro Security Server na str Praca z Menedżerem dodatków Ścieżka nawigacji: Preferencje > Dodatki Menedżer dodatków wyświetla programy przeznaczone dla programu WFBS i agentów w konsoli internetowej, gdy tylko staną się one dostępne. Można je instalować izarządzać nimi za pośrednictwem konsoli internetowej, łącznie z instalowaniem wtyczek klienckich na komputerach z agentami. Menedżera dodatków można pobrać izainstalować, klikając opcję Menedżer dodatków wmenu głównym konsoli internetowej. Po zainstalowaniu Menedżera dodatków można sprawdzić dostępność dodatków. Więcej informacji znajduje się w dokumentacji dodatków. 12-3

200 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Wyświetlanie szczegółów licencji produktu Ścieżka nawigacji: Preferencje > Licencja produktu Na ekranie licencji produktu można odnowić, zaktualizować albo wyświetlić szczegóły dotyczące licencji produktu. RYSUNEK Ekran Preferencje Licencja produktu Na ekranie Licencja produktu są wyświetlane szczegółowe informacje dotyczące licencji. Wzależności od opcji wybranych w czasie instalacji, może to być wersja z pełną licencją lub wersja testowa. W obu przypadkach, licencja upoważnia użytkownika do korzystania z umowy serwisowej. Po wygaśnięciu umowy serwisowej, działające w sieci klienty będą chronione w bardzo ograniczonym zakresie. Należy użyć ekranu Licencja produktu, aby sprawdzić datę wygaśnięcia licencji i odnowić ją przed upływem tego terminu. Konsekwencje wygaśnięcia licencji Po wygaśnięciu kodu aktywacyjnego pełnej wersji nie można wykonywać ważnych zadań, takich jak pobieranie zaktualizowanych składników lub korzystanie z usługi Web Reputation itp. Jednak w przeciwieństwie do kodu aktywacyjnego wersji próbnej wszystkie istniejące konfiguracje i ustawienia nadal obowiązują po wygaśnięciu kodu aktywacyjnego pełnej wersji. Umożliwia to zachowanie pewnego poziomu zabezpieczeń na wypadek, gdyby użytkownik przez nieuwagę doprowadził do wygaśnięcia licencji. 12-4

201 Administrowanie programem WFBS Aby odnowić licencję produktu: 1. Skontaktuj się z przedstawicielem handlowym lub dystrybutorem oprogramowania firmy Trend Micro w celu odnowienia umowy licencyjnej. Informacje o sprzedawcach znajdują się wpliku: Program files\trend micro\security server\pccsrv\ private\contact_info.ini 2. Sprzedawca firmy Trend Micro zaktualizuje informacje rejestracyjne za pomocą funkcji rejestracji produktów firmy Trend Micro. 3. Program Security Server sprawdza serwer rejestracji produktu i pobiera nową datę ważności bezpośrednio z tego serwera. Podczas odnawiania licencji nie jest konieczne ręczne wprowadzanie nowego kodu aktywacyjnego. Zmiana licencji Kod aktywacyjny decyduje o typie posiadanej licencji. Użytkownik może posiadać wersję próbną lub wersję zpełną licencją, bądź licencję produktu Worry-Free Business Security Advanced albo produktu Worry-Free Business Security. Aby zmienić licencję, można użyć ekranu Licencja produktu celem wprowadzenia nowego kodu aktywacyjnego. Aby zmienić licencję z wersji próbnej na wersję pełną: 1. Kliknij przycisk Wprowadź nowy kod. 2. Wpisz nowy kod aktywacyjny w odpowiednim polu. 3. Kliknij przycisk Aktywuj. Uczestnictwo w infrastrukturze Smart Protection Network Ścieżka nawigacji: Preferencje > Smart Protection Network Program Trend Micro Smart Feedback gromadzi i analizuje informacje o zagrożeniach pomagając zachować wysoki stopień bezpieczeństwa. Udział w programie Trend Micro Smart Feedback oznacza, że firma Trend Micro będzie gromadzić informacje na temat komputera użytkownika w celu łatwiejszej identyfikacji zagrożeń. Informacje o komputerze gromadzone przez firmę Trend Micro: Sumy kontrolne plików 12-5

202 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Adresy odwiedzonych witryn sieci Web Informacje o plikach, w tym rozmiary i ścieżki dostępu Nazwy plików wykonywalnych Wskazówka: w celu zapewnienia ochrony komputerów nie jest wymagany udział wprogramie Smart Feedback. Udział w programie jest dobrowolny i można z niego zrezygnować w dowolnej chwili. Firma Trend Micro zaleca udział wprogramie Smart Feedback, który zapewnia lepszą ochronę wszystkich klientów firmy Trend Micro. Więcej informacji na temat infrastruktury Smart Protection Network można uzyskać w witrynie internetowej: Aby przystąpić do programu Trend Micro Smart Feedback: 1. Kliknij opcję Włącz funkcję Trend Micro Smart Feedback. 2. Aby wysyłać informacje dotyczące potencjalnych zagrożeń bezpieczeństwa wplikach znajdujących się na klientach, zaznacz pole wyboru Zbieranie informacji na temat plików. 3. Aby pomóc firmie Trend Micro w poznaniu organizacji, wybierz typ branży. 4. Kliknij przycisk Zapisz. Zmiana języka interfejsu agenta Administratorzy mogą udostępnić pakiety językowe z określonymi ustawieniami regionalnymi dla programu Client/Server Security Agent. Kiedy administratorzy zainstalują wszystkie pakiety językowe, użytkownicy będą mogli wyświetlić interfejs programu Client/Server Security Agent w języku odpowiadającym ustawieniom regionalnym systemu operacyjnego. Uwaga: język używany w interfejsie agenta będzie odpowiadał ustawieniom regionalnym skonfigurowanym w systemie operacyjnym klienta. 12-6

203 Administrowanie programem WFBS Aby udostępnić pakiety językowe: 1. Pobierz odpowiednie pakiety językowe przy użyciu łączy. 2. Skopiuj pakiety językowe do katalogu PCCSRV\Download\LangPack\ na serwerze zabezpieczeń. 3. Uruchom ponownie klientów, którzy wymagają nowego pakietu językowego. Dezinstalacja programu Trend Micro Security Server OSTRZEŻENIE! Odinstalowanie programu Trend Micro Security Server spowoduje również odinstalowanie serwera skanowania. Program WFBS korzysta z programu odinstalowującego, aby bezpiecznie usunąć program Trend Micro Security Server z komputera. Przed usunięciem programu Security Server usuń agenta ze wszystkich klientów. Uwaga: odinstalowanie programu Trend Micro Security Server nie powoduje dezinstalacji agentów. Przed odinstalowaniem programu Trend Micro Security Server administratorzy muszą odinstalować lub przenieść wszystkie agenty. Patrz Usuwanie agentów na str Aby usunąć program Trend Micro Security Server: 1. Na komputerze, na którym przeprowadzono instalację, kliknij kolejno Start > Panel sterowania > Dodaj lub usuń programy. 2. Kliknij pozycję Trend Micro Security Server, a następnie kliknij opcję Zmień/usuń. Zostanie wyświetlony ekran potwierdzenia. 3. Kliknij przycisk Dalej. Dezinstalator serwera poprosi o podanie hasła administratora. 4. W polu tekstowym wpisz hasło administratora i kliknij przycisk OK. Program odinstalowujący rozpocznie usuwanie plików serwera. Po odinstalowaniu programu Security Server zostanie wyświetlony komunikat potwierdzenia. 5. Kliknij przycisk OK, aby zamknąć program odinstalowujący. 12-7

204 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 12-8

205 Dodatek A Lista wykluczeń produktów Trend Micro Lista wykluczeń produktów obejmuje wszystkie produkty Trend Micro, które są domyślnie wykluczone ze skanowania. TABELA A-1. Lista wykluczeń produktów firmy Trend Micro NAZWA PRODUKTU InterScan emanager 3.5x ScanMail emanager (ScanMail for Microsoft Exchange emanager) 3.11, 5.1, 5.11, 5.12 ScanMail for Lotus Notes (SMLN) emanager NT LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\InterScan emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange emanager\currentversion ProgramDirectory= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Lotus Notes\ CurrentVersion AppDir= DataDir= IniDir= A-1

206 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU InterScan Web Security Suite (IWSS) InterScan WebProtect InterScan FTP VirusWall InterScan Web VirusWall InterScan VirusWall Dodatek InterScan NSAPI InterScan VirusWall LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\Software\ TrendMicro\Interscan Web Security Suite Program Directory= C:\Program Files\ Trend Mircro\IWSS HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\InterScan WebProtect\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan FTP VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan Web VirusWall\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan VirusWall\ CurrentVersion ProgramDirectory={Installation Drive}:\ INTERS~1 HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan NSAPI Plug-In\ CurrentVersion ProgramDirectory= HKEY_LOCAL_MACHINE SOFTWARE\ TrendMicro\ InterScan VirusWall \ CurrentVersion ProgramDirectory= A-2

207 Lista wykluczeń produktów Trend Micro TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU IM Security (IMS) ScanMail for Microsoft Exchange (SMEX) LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\IM Security\CurrentVersion HomeDir= VSQuarantineDir= VSBackupDir= FBArchiveDir= FTCFArchiveDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion TempDir= DebugDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\ScanOption\ Advance QuarantineFolder= A-3

208 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU ScanMail for Microsoft Exchange (SMEX) ciąg dalszy LOKALIZACJA ŚCIEŻKI INSTALACJI HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\RealTimeScan\IMCScan\ ScanOption\Advance QuarantineFolder= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\ManualScan\ScanOption BackupDir= MoveToQuarantineDir= HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\QuarantineManager QMDir= A-4

209 Lista wykluczeń produktów Trend Micro TABELA A-1. Lista wykluczeń produktów firmy Trend Micro (ciąg dalszy) NAZWA PRODUKTU ScanMail for Microsoft Exchange (SMEX) ciąg dalszy LOKALIZACJA ŚCIEŻKI INSTALACJI Pobierz ścieżkę pliku exclusion.txt z wartości HKEY_LOCAL_MACHINE\SOFTWARE\ TrendMicro\ScanMail for Microsoft Exchange\CurrentVersion\HomeDir Przejdź do ścieżki (na przykład C:\Program Files\Trend Micro\Messaging Security Agent\) Otwórz plik exclusion.txt C:\Program Files\Trend Micro\Messaging Security Agent\Temp\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\quarantine\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\backup\ C:\Program Files\Trend Micro\Messaging Security Agent\storage\archive\ C:\Program Files\Trend Micro\Messaging Security Agent\SharedResPool A-5

210 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora A-6

211 Dodatek B Informacje o kliencie W tym dodatku omówiono różne typy klientów oraz ikony klientów widoczne na pasku zadań. W tym dodatku uwzględniono następujące zagadnienia: Typy klientów na str. B-2 Ikony klientów zwykłych na str. B-2 Rozpoznawanie lokalizacji na str. B-7 Klienty mobilne na str. B-8 Klienty 32- i 64-bitowe na str. B-10 B-1

212 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Typy klientów W programie WFBS są wyróżniane następujące typy klientów: klienty zwykłe i mobilne, klienty 32-bitowe i 64-bitowe. Klienty zwykłe to komputery stacjonarne z zainstalowanym programem Client/Server Security Agent, utrzymujące stałe połączenie sieciowe z programem Trend Micro Security Server. Stan klienta zwykłego pokazują ikony widoczne na pasku zadań klienta. Ikony klientów zwykłych Stan skanowania tradycyjnego klientów: normalny Następujące ikony sygnalizują prawidłowy stan klientów, skonfigurowanych do skanowania tradycyjnego. TABELA B-1. Ikony dla klientów w normalnych warunkach (skanowanie tradycyjne) Ikona Opis Klient zwykły skonfigurowany do skanowania tradycyjnego Uruchomiono skanowanie tradycyjne Co pewien czas plik sygnatur klienta może ulec dezaktualizacji. W przypadku tej ikony:, należy rozumieć, że komputer połączył się z programem Security Server, ale z jakiegoś powodu nie pobrał jeszcze najnowszych plików sygnatur. Należy bezzwłocznie aktualizować zabezpieczenia poprzez kliknięcie ikony na pasku zadań prawym przyciskiem myszy i wybranie Aktualizuj teraz. B-2

213 Informacje o kliencie Stan skanowania tradycyjnego klientów: klienty odłączone od serwera zabezpieczeń, ale chronione przez skanowanie w czasie rzeczywistym Klienty mogą być sporadycznie odłączane od serwera zabezpieczeń. Jeżeli włączono skanowanie w czasie rzeczywistym i usługa skanowania działa prawidłowo, klienty wciąż będą chronione, jednak ich pliki sygnatur mogą już być, lub wkrótce się staną, nieaktualne. Klienty z poniższymi ikonami są wciąż chronione przez usługę skanowania w czasie rzeczywistym. Jeżeli widoczne są następujące ikony, należy sprawdzić, czy program Security Server jest uruchomiony, a klienty są podłączone do sieci. TABELA B-2. Ikony dla klientów odłączonych od serwera zabezpieczeń (skanowanie tradycyjne) Ikona Opis Klient odłączony od serwera zabezpieczeń, jednak skanowanie w czasie rzeczywistym jest uruchomione, a plik sygnatur wirusów był aktualny, gdy nastąpiło rozłączenie. Klient odłączony od serwera zabezpieczeń, jednak skanowanie w czasie rzeczywistym jest uruchomione. Plik sygnatur wirusów nie był jednak aktualny, gdy nastąpiło rozłączenie. Stan skanowania tradycyjnego klientów: skanowanie w czasie rzeczywistym nie działa Firma Trend Micro zaleca włączenie skanowania w czasie rzeczywistym. Można wyłączyć tę usługę, jednak nie jest to zalecane. Poniższe ikony są widoczne na klientach, gdy skanowanie w czasie rzeczywistym jest wyłączone. TABELA B-3. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie tradycyjne) Ikona Opis Wyłączono skanowanie w czasie rzeczywistym B-3

214 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora TABELA B-3. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie tradycyjne) Ikona Opis Wyłączono skanowanie w czasie rzeczywistym, a plik sygnatur jest nieaktualny Skanowanie w czasie rzeczywistym jest wyłączone, aklient jest odłączony od serwera zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, klient jest odłączony od serwera zabezpieczeń, a plik sygnatur jest nieaktualny Klienty, na których są wyświetlane poniższe czerwone ikony, są bardzo narażone na atak, ponieważ usługa skanowania w czasie rzeczywistym została na nich wyłączona lub działa nieprawidłowo. TABELA B-4. Ikony dla klientów, gdy skanowanie w czasie rzeczywistym nie działa prawidłowo (skanowanie tradycyjne) Ikona Opis Usługa skanowania w czasie rzeczywistym działa nieprawidłowo Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, a plik sygnatur jest nieaktualny Usługa skanowania w czasie rzeczywistym nie działa prawidłowo, a klient jest odłączony od serwera Usługa skanowania w czasie rzeczywistym nie działa prawidłowo, klient jest odłączony od serwera, a plik sygnatur jest nieaktualny B-4

215 Informacje o kliencie Stan klienta przy skanowaniu inteligentnym: normalny Jeżeli są widoczne następujące ikony, klienty skonfigurowane dla skanowania inteligentnego działają prawidłowo. TABELA B-5. Ikony dla klientów w normalnych warunkach (skanowanie inteligentne) Ikona Opis Klient zwykły skonfigurowany do skanowania inteligentnego Skanowanie inteligentne jest włączone. Stan klienta przy skanowaniu inteligentnym: Rozłączono z serwerem inteligentnego skanowania lub Security W przypadku technologii skanowania inteligentnego ochrona, klientów opiera się na serwerze skanowania inteligentnego (Smart Scan). Jeżeli komputery klienckie są skonfigurowane do skanowania inteligentnego, ale są odłączone od serwera Smart Scan, będą miały zapewniony tylko minimalny poziom zabezpieczeń. W przypadku pojawienia się następującej ikony, należy sprawdzić, czy działa usługa inteligentnego skanowania TMiCRCScanService i czy klient jest połączony z programem Security Server. TABELA B-6. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie inteligentne) Ikona Opis Klient odłączony od serwera skanowania, ale połączony z serwerem zabezpieczeń Klient odłączony od serwera skanowania i serwera zabezpieczeń B-5

216 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Stan klienta przy skanowaniu inteligentnym: skanowanie w czasie rzeczywistym nie działa Firma Trend Micro zaleca włączenie skanowania w czasie rzeczywistym. Można wyłączyć tę usługę, jednak nie jest to zalecane. Poniższe ikony są widoczne na klientach, gdy skanowanie w czasie rzeczywistym jest wyłączone. TABELA B-7. Ikony dla klientów po wyłączeniu skanowania w czasie rzeczywistym (skanowanie inteligentne) Ikona Opis Skanowanie w czasie rzeczywistym jest wyłączone, ale klient jest połączony z serwerem skanowania i serwerem zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, klient jest połączony z serwerem skanowania, nie jest jednak połączony z serwerem zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, klient nie jest połączony z serwerem skanowania, jest jednak połączony z serwerem zabezpieczeń Skanowanie w czasie rzeczywistym jest wyłączone, a klient nie jest połączony z serwerem skanowania ani z serwerem zabezpieczeń Klienty, na których są wyświetlane poniższe czerwone ikony, są bardzo narażone na atak, ponieważ usługa skanowania w czasie rzeczywistym została na nich wyłączona lub działa nieprawidłowo. TABELA B-8. Ikony dla klientów, na których skanowanie w czasie rzeczywistym nie działa prawidłowo (skanowanie inteligentne) Ikona Opis Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, jednak klient jest połączony z serwerem skanowania i serwerem zabezpieczeń B-6

217 Informacje o kliencie TABELA B-8. Ikony dla klientów, na których skanowanie w czasie rzeczywistym nie działa prawidłowo (skanowanie inteligentne) Ikona Opis Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, klient jest połączony z serwerem skanowania, nie jest jednak połączony z serwerem zabezpieczeń Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, klient nie jest połączony z serwerem skanowania, jest jednak połączony z serwerem zabezpieczeń Usługa skanowania w czasie rzeczywistym działa nieprawidłowo, a klient nie jest połączony z serwerem skanowania ani z serwerem zabezpieczeń Rozpoznawanie lokalizacji Rozpoznawanie lokalizacji pozwala administratorom kontrolować ustawienia zabezpieczeń wzależności od sposobu połączenia klienta z siecią. Program WFBS automatycznie określa lokalizację klienta w oparciu o informacje zebrane na poziomie bramy serwera w programie Worry-Free Business Security izarządza dostępem użytkowników do witryn internetowych. Ograniczenia różnią się wzależności od lokalizacji użytkownika: Klienty zwykłe to komputery stacjonarne utrzymujące stałe połączenie sieciowe z serwerem zabezpieczeń. Klienty mobilne to komputery, które nie zawsze utrzymują stałe połączenie z siecią. B-7

218 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Klienty mobilne Administratorzy mogą przypisywać do klientów uprawnienia trybu mobilnego, umożliwiając użytkownikom włączanie na nich trybu mobilnego. Klienty będące w trybie mobilnym, zwane klientami mobilnymi, mają nadal zapewnioną ochronę, nie otrzymują one jednak powiadomień imogą pobierać aktualizacje tylko w następujący sposób: gdy użytkownik dokonuje aktualizacji w trybie Aktualizuj teraz lub w trybie zaplanowanej aktualizacji; gdy agent nawiązuje połączenie z programem Trend Micro Security Server. W przypadku wykonywania na komputerze operacji, których nie powinny przerywać polecenia serwera, należy nadać programowi CSA zainstalowanemu na tym komputerze uprawnienia do korzystania z trybu mobilnego. Aby uzyskać więcej informacji dotyczących sposobu zmiany uprawnień klientów, patrz Uprawnienia klienta na str Stan klienta mobilnego przedstawia ikona na pasku zadań. Listę ikon widocznych na klientach mobilnych zawierają następujące tabele: TABELA B-9. Ikony widoczne na kliencie mobilnym (skanowanie tradycyjne) IKONA OPIS Klient mobilny (niebieska ikona) Wyłączono skanowanie w czasie rzeczywistym Plik sygnatur jest nieaktualny Wyłączono skanowanie w czasie rzeczywistym, a plik sygnatur jest nieaktualny Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Nie włączono usługi skanowania w czasie rzeczywistym, a plik sygnatur jest nieaktualny (czerwona ikona) Połączono z serwerem Smart Scan, jednak skanowanie w czasie rzeczywistym nie działa B-8

219 Informacje o kliencie TABELA B-9. Ikony widoczne na kliencie mobilnym (skanowanie tradycyjne) IKONA OPIS Połączono z serwerem Smart Scan, jednak skanowanie w czasie rzeczywistym jest wyłączone Nie połączono z serwerem Smart Scan Nie połączono z serwerem Smart Scan, a skanowanie w czasie rzeczywistym nie działa Nie połączono z serwerem Smart Scan, a skanowanie w czasie rzeczywistym jest wyłączone TABELA B-10. Ikony widoczne na kliencie mobilnym (skanowanie inteligentne) IKONA OPIS POŁĄCZENIE ZSERWEREM SKANOWANIA Klient mobilny Klient mobilny Skanowanie w czasie rzeczywistym wyłączone Skanowanie w czasie rzeczywistym wyłączone Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Nie uruchomiono usługi skanowania w czasie rzeczywistym (czerwona ikona) Połączony Odłączony Połączony Odłączony Połączony Odłączony B-9

220 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Klienty 32- i 64-bitowe Agent działa na komputerach z procesorami o architekturze x86 i x64. Dla tych systemów operacyjnych i architektur są dostępne wszystkie funkcje, z wyjątkiem Ochrony przed rootkitami. Uwaga: agent nie działa na komputerach z procesorem o architekturze Itanium 2 (IA-64). B-10

221 Dodatek C usługi firmy Trend Micro W tym dodatku omówiono usługi oferowane przez firmę Trend Micro. W tym dodatku uwzględniono następujące zagadnienia: Reguły ochrony przed epidemią na str. C-2 Damage Cleanup Services na str. C-2 Ocena narażenia na atak na str. C-3 IntelliScan na str. C-4 ActiveAction na str. C-5 IntelliTrap na str. C-7 Web Reputation na str. C-8 C-1

222 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Reguły ochrony przed epidemią Reguły ochrony przed epidemią firmy Trend Micro to zestaw domyślnych ustawień konfiguracyjnych, zalecanych przez firmę Trend Micro, które są stosowane w odpowiedzi na wystąpienie epidemii w sieci. Reguły ochrony przed epidemią są pobierane z firmy Trend Micro do programu Trend Micro Security Server. Gdy program Trend Micro Security Server wykryje epidemię, określa jej stopień i natychmiast implementuje odpowiednie środki bezpieczeństwa, zgodnie z określonymi regułami ochrony przed epidemią. Na podstawie reguł ochrony przed epidemią funkcja automatycznej odpowiedzi na zagrożenie podejmuje następujące kroki zapobiegawcze, aby zabezpieczyć sieć firmową na wypadek epidemii: Blokowanie folderów udostępnionych, aby zapobiec zarażaniu przez wirusy oraz złośliwe oprogramowanie plików w folderach udostępnionych Blokowanie portów w celu powstrzymania wirusów oraz złośliwego oprogramowania przed wykorzystaniem zagrożonych portów do zarażania plików w sieci i na klientach Blokowanie możliwości zapisu plików i folderów, aby zapobiec modyfikacji plików przez wirusy oraz złośliwe oprogramowanie Wyświetlanie na klientach komunikatu ostrzeżenia o wykrytej epidemii Damage Cleanup Services Program WFBS korzysta z usług Damage Cleanup Services (DCS) do ochrony komputerów z zainstalowanym systemem Windows przed trojanami i wirusami oraz złośliwym oprogramowaniem. Rozwiązanie Damage Cleanup Services W celu usunięcia zagrożeń będących wynikiem obecności wirusów i złośliwego oprogramowania oraz oprogramowania typu spyware/grayware, usługi usuwania uszkodzeń (DCS) wykonują następujące operacje: wykrywanie i usuwanie zagrożeń, przerywanie procesów tworzonych przez zagrożenia, C-2

223 usługi firmy Trend Micro naprawa plików systemowych zmodyfikowanych przez zagrożenia, usuwanie plików i aplikacji pozostawionych przez zagrożenia. Do wykonywania tych zadań usługa DCS wykorzystuje następujące składniki: Silnik czyszczenia wirusów: silnik używany przez usługi Damage Cleanup Services do skanowania i usuwania zagrożeń oraz ich procesów. Szablon czyszczenia wirusów: używany w silniku czyszczenia wirusów pomaga w identyfikacji zagrożeń i towarzyszących im procesów oraz umożliwia ich eliminację. W programie WFBS, usługa DCS jest uruchamiana na kliencie w następujących sytuacjach: Użytkownicy wykonują ręczne czyszczenie z poziomu konsoli agenta. Administratorzy uruchamiają funkcję Wyczyść teraz na klientach z poziomu konsoli internetowej. Użytkownicy uruchamiają skanowanie ręczne lub zaplanowane. Po zainstalowaniu pakietu hot fix lub poprawki (sprawdź dodatkowe informacje). Po ponownym uruchomieniu usługi WFBS (musi być wybrana usługa nadzoru klienta programu WFBS, aby w przypadku nieoczekiwanego zamknięcia agenta automatycznie uruchomić go ponownie. Tę usługę można włączyć na ekranie Globalne ustawienia klienta. Dodatkowe informacje zawiera sekcja Ustawienia nadzoru na str ) Ponieważ usługa DCS działa automatycznie, nie trzeba jej konfigurować. Użytkownicy nawet nie są świadomi jej działania, gdyż działa ona w tle (gdy działa agent). Jednakże program WFBS może czasami powiadomić użytkownika o konieczności ponownego uruchomienia klienta w celu zakończenia procesu usuwania zagrożeń. Ocena narażenia na atak Ocena narażenia na atak pozwala administratorom systemów ocenić zagrożenia bezpieczeństwa ich sieci. Informacje wygenerowane za pomocą funkcji Ocena narażenia na atak umożliwiają im uzyskanie prostych wskazówek na temat usuwania znanych luk w zabezpieczeniach i ochrony sieci. C-3

224 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Funkcja Ocena narażenia na atak umożliwia: Konfigurację zadań skanowania wybranych lub wszystkich komputerów podłączonych do sieci. Skanowanie może wyszukiwać pojedyncze zagrożenia, albo całą listę znanych zagrożeń. Ręczne uruchamianie zadań oceny narażenia na atak lub ustawianie uruchamiania tych zadań zgodnie z harmonogramem. Blokowanie żądań dla komputerów, które stwarzają zbyt wielkie zagrożenie dla bezpieczeństwa sieci. Tworzenie raportów, wskazujących luki w zabezpieczeniach według poszczególnych komputerów i opisanie zagrożeń bezpieczeństwa, jakie te komputery stwarzają dla całej sieci. Raporty wskazują zagrożenia zgodnie ze standardowymi konwencjami nazewnictwa, dzięki czemu administratorzy mogą usunąć luki w zabezpieczeniach i ochronić sieć. Wyświetlanie historii ocen narażenia na atak i porównywanie raportów w celu lepszego zrozumienia tych zagrożeń i zmiennych czynników zagrożenia bezpieczeństwa sieci. IntelliScan IntelliScan jest nową metodą identyfikacji plików do skanowania. Rzeczywisty typ plików wykonywalnych (np..exe) jest określany na podstawie ich zawartości. Rzeczywisty typ plików niewykonywalnych (na przykład.txt) jest określany na podstawie nagłówka pliku. Korzystanie z funkcji IntelliScan zapewnia następujące korzyści: Optymalizacja wydajności: funkcja IntelliScan nie wpływa negatywnie na działanie aplikacji klienta, ponieważ wykorzystuje minimalne zasoby systemowe. Krótszy okres skanowania: funkcja IntelliScan wykorzystuje identyfikację rzeczywistego typu plików i skanuje wyłącznie te pliki, które są podatne na zarażenie. Czas skanowania jest więc znacznie krótszy niż podczas skanowania wszystkich plików. C-4

225 usługi firmy Trend Micro ActiveAction Różne typy wirusów oraz złośliwego oprogramowania wymagają różnych operacji skanowania. Dostosowanie operacji skanowania do różnych typów wirusów oraz złośliwego oprogramowania wymaga wiedzy na temat wirusów oraz złośliwego oprogramowania i może być czasochłonnym zadaniem. W celu stawienia czoła tym problemom firma Trend Micro używa usługi ActiveAction. Usługa ActiveAction to zestaw wstępnie skonfigurowanych operacji skanowania w poszukiwaniu wirusów i złośliwego oprogramowania oraz innych typów zagrożeń. Zalecaną operacją w przypadku wirusów oraz złośliwego oprogramowania jest czyszczenie. Zarażone pliki można również poddać kwarantannie. Dla trojanów i programów-żartów zalecaną operacją jest Kwarantanna. Jeśli użytkownik nie jest zaznajomiony z operacjami skanowania lub nie ma pewności, czy operacja skanowania jest odpowiednia dla danego typu wirusa oraz złośliwego oprogramowania, firma Trend Micro zaleca użycie funkcji ActiveAction. Korzystanie z funkcji ActiveAction zapewnia następujące korzyści: Oszczędność czasu i prostota obsługi: w usłudze ActiveAction zastosowano operacje skanowania zalecane przez firmę Trend Micro. Nie trzeba poświęcać czasu na skonfigurowanie operacji skanowania. Operacje skanowania, które można aktualizować: autorzy wirusów oraz złośliwego oprogramowania bezustannie zmieniają sposoby atakowania komputerów. Aby mieć pewność, że klienty są chronione przed najnowszymi zagrożeniami i metodami ataku wirusów oraz złośliwego oprogramowania, pliki sygnatur wirusów oraz złośliwego oprogramowania zawierają nowe aktualizacje ustawień usługi ActiveAction. C-5

226 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Ustawienia domyślne usługi ActiveAction Domyślne ustawienia usługi ActiveAction dla następujących zagrożeń: TABELA C-1. Ustawienia domyślne usługi ActiveAction ZAGROŻENIE Możliwe wirusy/złośliwe oprogramowanie OPERACJA Nie podejmuj działania OPERACJE W PRZYPADKU ZAGROŻEŃ, KTÓRYCH NIE MOŻNA WYCZYŚCIĆ Nie dotyczy Program-żart Kwarantanna Nie dotyczy Inne zagrożenia Wyczyść Kwarantanna Narzędzie do kompresji Kwarantanna Nie dotyczy Wirus testowy Pomiń Nie dotyczy Wirus Wyczyść Kwarantanna Robaki/trojany Kwarantanna Nie dotyczy Uwaga: Przyszłe pliki sygnatur będą mogły aktualizować operacje domyślne. C-6

227 usługi firmy Trend Micro IntelliTrap Mechanizm IntelliTrap jest heurystyczną technologią firmy Trend Micro, służącą do wykrywania zagrożeń wykorzystujących kompresję w czasie rzeczywistym oraz inne charakterystyczne cechy oprogramowania typu malware, na przykład samorozpakowujące się archiwa. Obejmuje to wirusy, programowanie typu malware, robaki, trojany, samorozpakowujące się archiwa oraz boty. Autorzy wirusów oraz złośliwego oprogramowania często podejmują próby ominięcia zabezpieczeń antywirusowych, stosując różne schematy kompresji. Mechanizm IntelliTrap to działający w czasie rzeczywistym, oparty na.regułach i rozpoznawaniu sygnatur, silnik skanowania, który wykrywa i usuwa znane wirusy oraz oprogramowanie typu malware w plikach o nawet 6 warstwach kompresji zastosowanej za pomocą jednego z 16 popularnych algorytmów. Mechanizm IntelliTrap używa następujących elementów podczas sprawdzania w poszukiwaniu botów i innego złośliwego oprogramowania: Silnik skanowania w poszukiwaniu wirusów firmy Trend Micro oraz plik sygnatur Sygnatura mechanizmu IntelliTrap i sygnatura wyjątków Rzeczywiste typy plików: Po włączeniu skanowania rzeczywistego typu pliku, silnik skanowania, zamiast nazwy, sprawdza nagłówek pliku, aby zidentyfikować jego rzeczywisty typ. Na przykład, jeśli silnik skanowania zostanie ustawiony tak, aby skanował wszystkie pliki wykonywalne i napotka plik o nazwie rodzina.gif, nie założy z góry, że jest to plik graficzny. Zamiast tego silnik skanowania otwiera nagłówek pliku i sprawdza zarejestrowany wewnętrznie typ danych, aby określić, czy plik rzeczywiście jest plikiem graficznym, czy też, na przykład, plikiem wykonywalnym, którego nazwę zmieniono w celu uniknięcia wykrycia. Skanowanie rzeczywistego typu pliku działa w połączeniu z funkcją IntelliScan, aby skanować tylko typy plików, o których wiadomo, że mogą stanowić zagrożenie. Te technologie pozwalają ograniczyć liczbę plików, które musi sprawdzić silnik skanowania (nawet o dwie trzecie), ale takie ograniczenie może potencjalnie zwiększyć zagrożenie. Na przykład, pliki.gif stanowią znaczną część ruchu w sieci Web, ale jest mało prawdopodobne, aby zawierały wirusy lub złośliwe oprogramowanie, uruchamiały kod wykonywalny albo przenosiły jakiekolwiek znane lub teoretyczne zagrożenia. W związku z tym, czy to oznacza, że są bezpieczne? Nie całkiem. Złośliwy haker może nadać szkodliwemu plikowi bezpieczną nazwę, aby przemycić go przez silnik skanowania do sieci. Taki plik mógłby wywołać szkody, gdyby zmieniono jego nazwę i go uruchomiono. C-7

228 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Web Reputation Usługa Web Reputation uniemożliwia dostęp do adresów URL, które stanowią potencjalne zagrożenie bezpieczeństwa, sprawdzając żądane adresy URL w bazie danych Trend Micro Web Security. W zależności od lokalizacji (W biurze/poza biurem) klienta, należy skonfigurować inny poziom zabezpieczeń. Jeśli usługa Web Reputation blokuje adres URL, który wydaje się bezpieczny, można dodać ten adres do listy dozwolonych adresów URL. Informacje na temat dodawania adresów URL do listy dozwolonych adresów URL zawarto w sekcji Konfigurowanie ustawień globalnych. Ocena punktowa reputacji Ocena punktowa reputacji adresu URL określa, czy stanowi on zagrożenie internetowe, czy nie. Firma Trend Micro wyznacza ocenę przy użyciu własnych mierników. Firma Trend Micro uznaje, że adres URL stanowi zagrożenie internetowe, najprawdopodobniej stanowi zagrożenie internetowe lub prawdopodobnie stanowi zagrożenie internetowe, zależnie od tego, w którym z zakresów, określonych dla tych kategorii, przypada punktowa ocena danego adresu. Firma Trend Micro uznaje, że dostęp do adresu URL jest bezpieczny, jeśli jego ocena przekracza zdefiniowany próg. Poniżej przedstawiono trzy poziomy zabezpieczeń, które określają, czy program CSA będzie zezwalać na dostęp do adresu URL lub go blokować. Wysoki: blokowane są strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Powiązane ze spamem lub mogące stanowić zagrożenie. Strony niesklasyfikowane. Średni: blokowane są strony, które zaklasyfikowano jako: Potwierdzone strony (lub źródła) stanowiące zagrożenie. Strony lub źródła stanowiące zagrożenie. Niski: blokowane są strony, które zostały zweryfikowane jako strony prowadzące do nadużyć lub jako źródła zagrożeń sieciowych. C-8

229 Dodatek D Najlepsze sposoby zabezpieczania klientów W tym dodatku omówiono najlepsze sposoby poprawienia zabezpieczeń klientów w sieci. D-1

230 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Najlepsze sposoby Jest wiele sposobów zabezpieczenia komputerów i sieci przed zagrożeniami internetowymi. Firma Trend Micro zaleca: używanie domyślnych ustawień programu WFBS, zalecanych przez firmę Trend Micro. aktualizowanie systemów operacyjnych oraz wszystkich programów za pomocą najnowszych poprawek; stosowanie haseł trudnych do złamania i zalecanie użytkownikom końcowym, aby robili to samo. Odpowiednie hasło powinno mieć długość przynajmniej 8 znaków i powinno zawierać wielkie i małe litery alfabetu, cyfry, a także znaki inne niż alfanumeryczne. Nie powinno ono zawierać danych prywatnych. Hasła należy zmieniać co dni. Należy wyłączać wszystkie niepotrzebne programy i usługi, aby zmniejszyć liczbę potencjalnych luk w zabezpieczeniach. Należy poinformować użytkowników końcowych o konieczności: czytania Umowy Licencyjnej Użytkownika Oprogramowania (EULA) idokumentacji dołączonej do pobieranych i instalowanych aplikacji; klikania przycisku Nie we wszystkich monitach o autoryzację pobierania i instalowania oprogramowania (chyba że użytkownicy końcowi ufają twórcy pobieranego oprogramowania i wyświetlanej witrynie internetowej, z której je pobierają); odrzucania niezapowiedzianej, komercyjnej poczty (spamu), szczególnie jeśli w treści wiadomości znajduje się prośba o kliknięcie przycisku lub łącza; konfigurowania ustawień zabezpieczeń przeglądarki internetowej pod kątem wysokiego poziomu ochrony. Firma Trend Micro zaleca ustawienie w przeglądarkach internetowych opcji wyświetlania monitów przed instalowaniem formantów ActiveX. Aby podwyższyć poziom zabezpieczeń programu Internet Explorer (IE), należy przejść do menu Narzędzia > polecenie Opcje internetowe > kartę Zabezpieczenia iprzesunąć suwak do poziomu Wysoki. Jeśli ustawienie to będzie powodować problemy dotyczące odwiedzanych przez użytkownika witryn internetowych, należy kliknąć przycisk Witryny... idodać te witryny do listy zaufanych witryn. D-2

231 Najlepsze sposoby zabezpieczania klientów Jeśli używany jest program Microsoft Outlook, należy tak skonfigurować ustawienia zabezpieczeń, aby program Outlook nie pobierał automatycznie elementów HTML, takich jak obrazy wysyłane w spamie. Wprowadzenie zakazu korzystania z usług i oprogramowania do wymiany plików typu P2P. Zagrożenia internetowe mogą być zamaskowane jako inne typy plików pobieranych przez użytkowników, na przykład jako pliki muzyczne MP3. Okresowe sprawdzanie oprogramowania zainstalowanego na komputerach w sieci. W wypadku znalezienia aplikacji lub pliku niewykrywanego przez program WFBS jako zagrożenie internetowe, aplikację lub plik należy przesłać do firmy Trend Micro: Przesłane pliki i aplikacje zostaną poddane analizie w laboratoriach TrendLabs. Więcej informacji na temat najlepszych sposobów zabezpieczania komputerów znaleźć można na witrynie internetowej firmy Trend Micro w zamieszczonym Podręczniku bezpiecznego korzystania z komputera oraz innych informacjach dotyczących bezpieczeństwa. D-3

232 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora D-4

233 Dodatek E Używanie narzędzi administracyjnych i klienckich W tym dodatku omówiono sposób korzystania z narzędzi administracyjnych i klienckich, które są dostarczane z programem WFBS. W tym dodatku uwzględniono następujące zagadnienia: Typy narzędzi na str. E-2 Narzędzia administracyjne na str. E-3 Narzędzia klienckie na str. E-11 Dodatki na str. E-17 E-1

234 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Typy narzędzi Program WFBS zawiera zestaw narzędzi, pozwalających łatwo wykonywać różne zadania, takie jak konfiguracja serwera i zarządzanie klientami. Uwaga: nie można korzystać z opisanych narzędzi z poziomu konsoli internetowej. Aby uzyskać instrukcje na temat uruchamiania narzędzi, należy zapoznać się z poniższymi sekcjami. Narzędzia te dzielą się na trzy kategorie: Narzędzia administracyjne: Pomoc w konfigurowaniu i zarządzaniu dla aplikacji WFBS Ustawienia skryptu logowania (autopcc.exe): umożliwia automatyzację instalacji programu Client/Server Security Agent. Narzędzie Vulnerability Scanner (TMVS.exe): wyszukuje niezabezpieczone komputery w sieci. Program Remote Manager Agent: Możliwość zarządzania aplikacją WFBS przez sprzedawców Narzędzie czyszczenia dysków (TMDiskCleaner.exe): wykrywa i usuwa nieużywane pliki kopii zapasowych, dzienników i sygnatur, aby zmniejszyć wykorzystanie miejsca na dysku. Narzędzia klienckie: umożliwiają rozszerzenie możliwości agentów. Program Client Packager (ClnPack.exe): umożliwia tworzenie samorozpakowujących się plików zawierających program Client/Server Security Agent i właściwe składniki. Przywracanie zaszyfrowanych wirusów (VSEncode.exe): umożliwia otwarcie zainfekowanych plików przy użyciu programu WFBS. Narzędzie Touch Tool (TmTouch.exe): umożliwia zmianę sygnatury czasowej pakietu hot fix w celu synchronizacji z zegarem systemowym. Narzędzie Client Mover Tool (IpXfer.exe): przenosi klientów między programami Security Server. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu WFBS oraz systemu operacyjnego. E-2

235 Używanie narzędzi administracyjnych i klienckich Dodatki: dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server 2008 pozwalają administratorom wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS. Te same szczegółowe informacje są wyświetlane na ekranie Stan aktywności. Uwaga: niektóre narzędzia dostępne w poprzednich wersjach programu WFBS nie są dostępne w tej wersji. Jeżeli są one potrzebne, należy się skontaktować zpomocą techniczną firmy Trend Micro. Patrz Pomoc techniczna na str. G-4 Narzędzia administracyjne Niniejsza sekcja zawiera informacje o narzędziach administracyjnych programu WFBS. Ustawienia skryptu logowania Za pomocą Ustawień skryptu logowania można zautomatyzować proces instalacji programu Client/Server Security Agent na niezabezpieczonych komputerach zaraz po zalogowaniu się w sieci. Ustawienia skryptu logowania powodują dodanie programu autopcc.exe do skryptu logowania serwera. Program autopcc.exe spełnia następujące funkcje: Sprawdza wersję systemu operacyjnego niechronionego klienta i instaluje odpowiednią wersję programu Client/Server Security Agent. Aktualizuje pliki programów i sygnatury wirusów. Aby uzyskać instrukcje odnośnie instalowania agentów, patrz Instalacja za pomocą skryptu logowania na str Vulnerability Scanner Narzędzie Vulnerability Scanner wykrywa zainstalowane rozwiązania antywirusowe i wyszukuje w sieci niezabezpieczone komputery. Aby określić, czy dany komputer jest zabezpieczony, narzędzie Vulnerability Scanner sprawdza porty używane zwykle przez programy antywirusowe. E-3

236 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Narzędzie Vulnerability Scanner może wykonywać następujące funkcje: Monitorowanie sieci pod kątem żądań DHCP wysyłanych przez komputery w trakcie pierwszego logowania do sieci narzędzie Vulnerability Scanner może określić ich stan. Wysyłanie polecenia ping do komputerów w sieci w celu sprawdzenia ich stanu oraz wyszukania nazw, wersji platform i opisów. Określanie rozwiązań antywirusowych zainstalowanych w sieci. Wykrywane są produkty Trend Micro (w tym OfficeScan, ServerProtect dla Windows NT i Linux, ScanMail dla Microsoft Exchange, InterScan Messaging Security Suite oraz PortalProtect) i programy antywirusowe innych firm (w tym Norton AntiVirus Corporate Edition w wersji 7.5 i 7.6, oraz McAfee VirusScan epolicy Orchestrator). Wyświetlanie nazwy serwera i wersji pliku sygnatur, silnika skanowania i programu produktów OfficeScan oraz ServerProtect dla systemu Windows NT. Wysyłanie wyników skanowania za pośrednictwem poczty . Uruchamianie w trybie cichym (tryb wiersza polecenia). Zdalne instalowanie programu Client/Server Security Agent na komputerach z systemami Windows 2000/Server 2003 (R2). Narzędzie Vulnerability Scanner można też zautomatyzować, tworząc zadania zaplanowane. Aby uzyskać informacje na temat automatyzacji narzędzia Vulnerability Scanner, patrz pomoc elektroniczna TMVS. Aby uruchomić narzędzie Vulnerability Scanner na komputerze innym niż serwer, skopiuj na niego folder TMVS ze ścieżki \PCCSRV\Admin\Utility na serwerze. Uwaga: nie można zainstalować programu Client/Server Security Agent z narzędziem Vulnerability Scanner, jeśli na tym samym komputerze znajduje się składnik serwera programu WFBS. Narzędzie Vulnerability Scanner nie zainstaluje programu Client/Server Security Agent na komputerze, na którym jest już uruchomiony składnik serwera programu WFBS. E-4

237 Używanie narzędzi administracyjnych i klienckich Korzystanie z narzędzia Vulnerability Scanner Aby skonfigurować narzędzie Vulnerability Scanner: 1. Na dysku, na którym zainstalowano składnik serwera programu WFBS, otwórz następujące katalogi: Trend Micro Security Server > PCCSRV >Admin > Utility > TMVS. Kliknij dwukrotnie plik TMVS.exe. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. 2. Kliknij Ustawienia. Zostanie wyświetlony ekran Ustawienia. 3. W polu Kwerenda dotycząca produktu wybierz produkty do sprawdzenia w sieci. Aby wybrać wszystkie produkty, wybierz opcję Check for all Trend Micro products. Jeżeli w sieci zainstalowano produkt InterScan firmy Trend Micro i program Norton AntiVirus Corporate Edition, kliknij przycisk Settings obok nazwy produktu, aby zweryfikować numer portu do sprawdzenia przez narzędzie Vulnerability Scanner. 4. W obszarze Description Retrieval Settings wybierz metodę wyszukiwania, której chcesz używać. Wyszukiwanie zwykłe jest bardziej dokładne, ale zajmuje więcej czasu. Klikając opcję Wyszukiwanie zwykłe, a następnie zaznaczając pole wyboru Wyszukaj dostępne opisy komputerów, można określić dla narzędzia Vulnerability Scanner wyszukiwanie opisów komputerów, jeżeli są dostępne. 5. Aby automatycznie wysłać wyniki do siebie lub innego administratora, w opcji Ustawienia ostrzeżeń zaznacz pole wyboru Wyślij wyniki pocztą do administratora systemu, a następnie kliknij przycisk Konfiguruj, aby określić ustawienia poczty Do Od Serwer SMTP: adres serwera SMTP użytkownika. Na przykład adres smtp.firma.com. Informacja o serwerze SMTP jest wymagana. Temat 6. Aby na niechronionych komputerach zostało wyświetlone ostrzeżenie, zaznacz pole wyboru Display alert on unprotected computers. Następnie kliknij przycisk Dostosuj, aby ustawić komunikat ostrzeżenia. Zostanie wyświetlony ekran Komunikat ostrzeżenia. Można wpisać nowy komunikat ostrzeżenia lub zaakceptować domyślny. Kliknij przycisk OK. E-5

238 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora 7. Aby zapisać wyniki do pliku CSV, zaznacz pole wyboru Automatycznie zapisuj wyniki do pliku CSV. Pliki danych CSV są domyślnie zapisywane w folderze TMVS. Jeżeli chcesz zmienić domyślny folder CSV, kliknij przycisk Browse. Zostanie wyświetlony ekran Browse for folder. Przeglądaj w poszukiwaniu folderu docelowego w swoim komputerze lub sieci, a następnie kliknij przycisk OK. 8. Można ustawić narzędzie Vulnerability Scanner tak, aby wysyłało polecenia ping do komputerów w sieci w celu uzyskania informacji o ich stanach. W obszarze Ustawienia polecenia Ping określ sposób wysyłania pakietów do komputerów oraz oczekiwania na odpowiedź przez narzędzie Vulnerability Scanner. Zaakceptuj ustawienia domyślne lub wpisz nowe wartości w polach Rozmiar pakietu i Limit czasu. 9. Aby zdalnie zainstalować agenta i wysłać dziennik na serwer, wpisz nazwę serwera i numer portu. Aby zdalnie zainstalować agenta w sposób automatyczny, zaznacz pole wyboru Automatycznie instaluj program Client/Server Security Client na niezabezpieczonym komputerze. 10. Kliknij Konto instalacyjne, aby skonfigurować konto. Zostanie wyświetlony ekran Informacje o koncie. 11. Wpisz nazwę użytkownika oraz hasło i kliknij przycisk OK. 12. Kliknij przycisk OK, aby zapisać ustawienia. Zostanie wyświetlona konsola narzędzia Trend Micro Vulnerability Scanner. Aby uruchomić ręczne skanowanie w zakresie podatności na uszkodzenie pewnego zakresu adresów IP: 1. W obszarze Zakres IP do sprawdzenia wpisz zakres adresów IP, które mają zostać sprawdzone pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. Uwaga: narzędzie Vulnerability Scanner obsługuje tylko adresy IP klasy B. 2. Kliknij przycisk Start, aby rozpocząć sprawdzanie komputerów w sieci. Wyniki wyświetlane są wtabeli Results. E-6

239 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Vulnerability Scanner na komputerach uzyskujących adres IP z serwera DHCP: 1. Kliknij kartę Skanowanie DHCP wpolu Wyniki. Zostanie wyświetlony przycisk Uruchom DHCP. 2. Kliknij przycisk Uruchom DHCP. Narzędzie Vulnerability Scanner rozpocznie nasłuchiwanie żądań DHCP i sprawdzi narażenie komputerów na atak, kiedy będą się logować do sieci. Aby utworzyć zadania zaplanowane: 1. W obszarze Zadania zaplanowane kliknij pozycję Dodaj/edytuj. Zostanie wyświetlony ekran Zadania zaplanowane. 2. W polu Nazwa zadania wpisz nazwę tworzonego zadania. 3. W obszarze Zakres adresów IP wpisz zakres adresów IP do sprawdzenia pod kątem zainstalowanych rozwiązań antywirusowych i niechronionych komputerów. 4. W obszarze Harmonogram zadania określ częstotliwość wykonywania tworzonego zadania. Można ustawić wykonywanie zadania Codziennie, Co tydzień lub Co miesiąc. Po zaznaczeniu opcji Co tydzień należy wybrać dzień z listy. Po zaznaczeniu opcji Co miesiąc należy wybrać datę z listy. 5. W menu Start time wpisz godzinę wykonania zadania lub wybierz ją z listy. Należy użyć 24-godzinnego formatu czasu. 6. W obszarze Ustawienia wybierz opcję Użyj bieżących ustawień, aby użyć istniejących ustawień lub opcję Zmień ustawienia. Po wybraniu opcji Zmień ustawienia należy kliknąć Ustawienia, aby zmienić konfigurację. Aby uzyskać informacje na temat konfigurowania ustawień, należy zapoznać się z procedurą opisaną w krokach od Krok 3 do Krok 12 w sekcji Aby skonfigurować narzędzie Vulnerability Scanner: na str. E-5 7. Kliknij przycisk OK, aby zapisać ustawienia. Utworzone zadanie zostanie wyświetlone w obszarze Zadania zaplanowane. Inne ustawienia Aby skonfigurować poniższe ustawienia, należy zmodyfikować plik TMVS.ini: EchoNum: ustawianie liczby klientów, do których narzędzie Vulnerability Scanner będzie jednocześnie wysyłać polecenie ping. E-7

240 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora ThreadNumManual: ustawianie liczby klientów, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego. ThreadNumSchedule: ustawianie liczby klientów, które narzędzie Vulnerability Scanner będzie jednocześnie sprawdzać po kątem oprogramowania antywirusowego w trakcie wykonywania zadań zaplanowanych. Aby zmienić te ustawienia: 1. Otwórz folder TMVS i znajdź plik TMVS.ini. 2. Otwórz plik TMVS.ini w programie Notatnik lub innym edytorze. 3. Aby ustawić liczbę komputerów, do których narzędzie Vulnerability Scanner wysyła jednocześnie polecenie ping, zmień wartość pozycji EchoNum. Podaj wartość między 1 a 64. Przykładowo można wpisać wartość EchoNum=60, aby narzędzie Vulnerability Scanner wysyłało polecenie ping jednocześnie do 60 komputerów. 4. Aby ustawić liczbę komputerów sprawdzanych jednocześnie przez narzędzie Vulnerability Scanner pod kątem oprogramowania antywirusowego, zmień wartość pozycji ThreadNumManual. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumManual=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego. 5. Aby ustawić liczbę komputerów, które będą jednocześnie sprawdzane przez narzędzie Vulnerability Scanner pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania zadań zaplanowanych, zmień wartość ThreadNumSchedule. Określ wartość między 8 a 64. Na przykład wpisz wartość ThreadNumSchedule=60, aby jednocześnie sprawdzić 60 komputerów pod kątem zainstalowanego oprogramowania antywirusowego podczas wykonywania przez narzędzie Vulnerability Scanner zadań zaplanowanych. 6. Zapisz plik TMVS.ini. E-8

241 Używanie narzędzi administracyjnych i klienckich Remote Manager Agent Korzystając z programu Trend Micro Worry-Free Remote Manager Agent, sprzedawcy mogą zarządzać programem WFBS za pomocą programu Trend Micro Worry-Free Remote Manager (WFRM). Szczegółowe informacje zawiera Podręcznik instalacji programu WFBS i dokumentacja programu WFRM. Narzędzie czyszczenia dysków W celu zwiększenia ilości wolnego miejsca na dysku narzędzie czyszczenia dysków (TMDiskCleaner.exe) wykrywa i usuwa nieużywane pliki kopii zapasowych, dzienników i sygnatur z następujących katalogów: <CSA>\AU_Data\AU_Temp\* <CSA>\Reserve <SS>\PCCSRV\TEMP\* (z wyjątkiem plików ukrytych) <SS>\PCCSRV\Web\Service\AU_Data\AU_Temp\* <SS>\PCCSRV\wss\*.log <SS>\PCCSRV\wss\AU_Data\AU_Temp\* <SS>\PCCSRV\Backup\* <SS>\PCCSRV\Virus\* (pliki poddane kwarantannie od ponad dwóch tygodni z wyjątkiem pliku NOTVIRUS) <SS>\PCCSRV\ssaptpn.xxx (z wyjątkiem jedynie najnowszego pliku sygnatur) <SS>\PCCSRV\lpt$vpn.xxx (z wyjątkiem jedynie trzech najnowszych plików sygnatur) <SS>\PCCSRV\icrc$oth.xxx (z wyjątkiem jedynie trzech najnowszych plików sygnatur) <SS>\DBBackup\* (z wyjątkiem jedynie dwóch najnowszych podfolderów) <MSA>\AU_Data\AU_Temp\* <MSA>\Debug\* <MSA>\engine\vsapi\latest\pattern\* Tego narzędzia można używać, korzystając z interfejsu graficznego lub wiersza polecenia. E-9

242 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Aby wyczyścić nieużywane pliki, korzystając z interfejsu graficznego: 1. Na serwerze WFBS przejdź do następującego katalogu: <SS>\PCCSRV\Admin\Utility\ 2. Kliknij dwukrotnie plik TMDiskCleaner.exe. Zostanie otwarte okno narzędzia czyszczenia dysku Trend Micro Worry-Free Business Security Disk Cleaner. RYSUNEK E-1. Narzędzie czyszczenia dysku OSTRZEŻENIE! Plików usuniętych przy użyciu interfejsu graficznego nie można przywrócić. 3. Kliknij opcję Usuń pliki, aby wyszukać i usunąć nieużywane pliki kopii zapasowych, dzienników i sygnatur. Aby wyczyścić nieużywane pliki, korzystając z interfejsu wiersza polecenia: 1. Na serwerze zabezpieczeń otwórz okno wiersza polecenia. (Start --> Uruchom --> wpisz cmd --> kliknij przycisk OK) 2. W wierszu polecenia wpisz następujące polecenie: TMDiskCleaner.exe [/hide] [/log] [/allowundo] /hide: Powoduje uruchomienie narzędzia w tle. /log: Włącza rejestrowanie operacji w pliku dziennika DiskClean.log znajdującym się w bieżącym folderze. Uwaga: Opcja /log jest dostępna tylko w połączeniu z opcją /hide. E-10

243 Używanie narzędzi administracyjnych i klienckich /allowundo: Pliki są przenoszone do Kosza systemu Windows, a nie usuwane nieodwracalnie. Wskazówka: Jeśli zachodzi potrzeba częstego uruchamiania narzędzia czyszczenia dysków, można skonfigurować nowe zadanie, korzystając z funkcji Harmonogram zadań systemu Windows. Więcej informacji znajduje się w dokumentacji systemu Windows. Narzędzia klienckie Niniejsza sekcja zawiera informacje o narzędziach klienckich programu WFBS. Client Packager Client Packager to narzędzie służące do kompresowania plików instalacyjnych i aktualizacyjnych do postaci samorozpakowującej, aby ułatwić dostarczanie ich pocztą elektroniczną, na płytach CD-ROM lub podobnych nośnikach. Ma on również funkcję poczty elektronicznej umożliwiającą otwarcie książki adresowej programu Microsoft Outlook i przesłanie samorozpakowującego się pakietu z konsoli programu Client Packager. Aby uruchomić program Client Packager, należy dwukrotnie kliknąć plik. Klienty programu WFBS zainstalowane za pomocą narzędzia Client Packager przesyłają do serwera informacje o lokalizacji pakietu ustawień. Przywracanie zaszyfrowanych wirusów Programy Client/Server Security Agent i Messaging Security Agent szyfrują zainfekowane pliki oraz załączniki, aby zapobiec otwieraniu ich przez użytkowników i rozprzestrzenianiu wirusów oraz złośliwego oprogramowania na inne pliki klienta. Program Client/Server Security Agent szyfruje plik za każdym razem, gdy tworzy jego kopię zapasową, poddaje go kwarantannie lub zmienia jego nazwę. Poddany kwarantannie plik jest przechowywany w folderze \Suspect na komputerze klienckim, anastępnie wysyłany do katalogu kwarantanny. Plik kopii zapasowej jest przechowywany w folderze \Backup na komputerze klienckim, który znajduje się zazwyczaj E-11

244 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora wnastępującej lokalizacji: C:\Program Files\Trend Micro\Client Server Security Agent\Backup\. Za każdym razem, gdy program Messaging Security Agent tworzy kopie zapasowe zainfekowanych plików lub załączników, poddaje je kwarantannie lub archiwizuje, pliki są szyfrowane i przechowywane w folderze przechowywania programu MSA, zazwyczaj w następującej lokalizacji: C:\Program Files\Trend Micro\Messaging Security Agent\storage\. W niektórych przypadkach może jednak zaistnieć konieczność otwarcia pliku, mimo że jest on zarażony. Przykładowo zarażony został ważny dokument; musisz odzyskać zawarte w nim informacje i w tym celu dokonasz odszyfrowania zainfekowanego pliku. Do odszyfrowania zarażonych wirusów można użyć funkcji Przywracanie zaszyfrowanych plików. Uwaga: aby zapobiec ponownemu wykryciu wirusa przez program Client/Server Security Agent podczas korzystania z opcji Przywracanie zaszyfrowanych wirusów oraz złośliwego oprogramowania, należy wyłączyć folder docelowy odszyfrowywania ze skanowania w czasie rzeczywistym. OSTRZEŻENIE! Odszyfrowanie zarażonego pliku może spowodować przeniesienie wirusa lub złośliwego oprogramowania na inne pliki. Narzędzie Przywracanie zaszyfrowanych wirusów wymaga następujących plików: Plik główny: VSEncode.exe Wymagane pliki DLL: VSAPI32.dll Korzystanie z interfejsu graficznego Aby przywrócić pliki w folderze z podejrzanymi plikami z wiersza polecenia: 1. Przejdź do folderu, w którym jest zapisane narzędzie (na przykład: c:\vsencrypt) iwprowadź ciąg VSEncode.exe /u. 2. Wybierz plik do przywrócenia. 3. Kliknij przycisk Przywróć. E-12

245 Używanie narzędzi administracyjnych i klienckich Korzystanie z interfejsu wiersza polecenia Aby przywrócić pliki w folderze z podejrzanymi plikami z wiersza polecenia: 1. Skopiuj folder VSEncrypt z serwera zabezpieczeń na klienta: \PCCSRV\Admin\Utility\VSEncrypt. OSTRZEŻENIE! Nie należy kopiować folderu VSEncrypt do folderu programu WFBS. Wystąpi konflikt między plikiem VSAPI32.dll funkcji Przywracanie zaszyfrowanych wirusów a oryginalnym plikiem VSAPI32.dll. 2. Otwórz wiersz polecenia i przejdź do lokalizacji, w której znajduje się skopiowany folder VSEncrypt. 3. Uruchom funkcję Przywracanie zaszyfrowanego wirusa z następującymi parametrami: brak parametru: szyfrowanie plików w folderze kwarantanny -d: odszyfrowywanie plików w folderze kwarantanny -debug: utworzenie dziennika diagnostycznego w folderze głównym klienta /o: zastąpienie zaszyfrowanego lub odszyfrowanego pliku, jeżeli już istnieje /f: {nazwa pliku}. zaszyfrowanie lub odszyfrowanie pojedynczego pliku /nr: nieprzywracanie oryginalnej nazwy pliku Można na przykład wpisać ciąg VSEncode [-d] [-debug], aby odszyfrować pliki w folderze Kwarantanna i utworzyć dziennik diagnostyczny. W przypadku szyfrowania lub odszyfrowywania pliku program OfficeScan tworzy zaszyfrowany lub odszyfrowany plik w tym samym katalogu. Uwaga: zaszyfrowanie lub odszyfrowanie zablokowanych plików może być niemożliwe. Funkcja Przywracanie zaszyfrowanego wirusa udostępnia następujące dzienniki: VSEncrypt.log. Zawiera szczegóły dotyczące szyfrowania i odszyfrowywania. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:). E-13

246 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora VSEncDbg.log. Zawiera szczegóły diagnostyczne. Ten plik jest tworzony automatycznie w folderze temp dla użytkownika zalogowanego na danym komputerze (zwykle na dysku C:), jeżeli program VSEncode.exe został uruchomiony z parametrem -debug. Aby zaszyfrowywać lub odszyfrowywać pliki w innej lokalizacji: 1. Utwórz plik tekstowy i wpisz pełną ścieżkę plików, które chcesz zaszyfrować lub odszyfrować. Na przykład aby zaszyfrować lub odszyfrować pliki znajdujące się wc:\moje dokumenty\raporty, w pliku tekstowym wpisz C:\Moje dokumenty\raporty\*.*. Następnie zapisz plik tekstowy z rozszerzeniem INI lub TXT, na przykład jako DoZaszyfrowania.ini na dysku C:. 2. W wierszu polecenia uruchom narzędzie Przywracanie zaszyfrowanych wirusów, wpisując ciąg VSEncode.exe -d -i{lokalizacja pliku INI lub TXT}, gdzie {lokalizacja pliku INI lub TXT} jest ścieżką inazwą utworzonego pliku INI lub TXT (na przykład C:\DoZaszyfrowania.ini). Przywracanie wiadomości w formacie Transport Neutral Encapsulation Format Format enkapsulacji TNEF jest używany w programach Microsoft Exchange/Outlook. Zazwyczaj jest on dodawany jako załącznik wiadomości o nazwie Winmail.dat, który jest automatycznie ukrywany w programie Outlook Express. Patrz: Jeśli program MSA archiwizuje ten typ wiadomości i rozszerzenie pliku jest zmieniane na.eml, to w programie Outlook Express jest wyświetlana tylko treść wiadomości. Narzędzie Touch Tool Narzędzie Touch Tool umożliwia synchronizację sygnatury czasowej jednego pliku zsygnaturą innego pliku lub czasem systemowym komputera. Jeżeli nie powiodła się próba instalacji pakietu hot fix (aktualizacji lub poprawki firmy Trend Micro) na serwerze zabezpieczeń firmy Trend Micro, do zmiany sygnatury czasowej poprawki należy użyć narzędzia Touch Tool. Spowoduje to, że program WFBS zinterpretuje plik pakietu hot fix jako nowy, dzięki czemu serwer spróbuje ponownie automatycznie zainstalować ten pakiet. E-14

247 Używanie narzędzi administracyjnych i klienckich Aby uruchomić narzędzie Touch Tool: 1. Na serwerze zabezpieczeń firmy Trend Micro przejdź do następującego katalogu: \PCCSRV\Admin\Utility\Touch 2. Skopiuj plik TmTouch.exe do folderu zawierającego plik, który ma zostać zmieniony. Aby zsynchronizować sygnaturę czasową pliku z sygnaturą innego pliku, umieść oba pliki w tym samym miejscu co narzędzie Touch Tool. 3. Otwórz wiersz polecenia i przejdź do lokalizacji narzędzia Touch Tool. 4. Wpisz poniższy tekst: TmTouch.exe <nazwa_pliku_docelowego> <nazwa_pliku_źródłowego> gdzie: <nazwa_pliku_docelowego> = nazwa pliku (na przykład pliku poprawki hot fix), którego sygnatura czasowa ma zostać zmieniona. <nazwa_pliku_źródłowego> = nazwa pliku, którego sygnatura czasowa ma być powielona. Jeżeli nazwa pliku źródłowego nie zostanie określona, narzędzie ustawi sygnaturę czasową pliku docelowego zgodnie z czasem systemowym komputera. Uwaga: w polu nazwy pliku docelowego możesz użyć znaku *, ale nie możesz tego zrobić w polu nazwy pliku źródłowego. 5. Aby sprawdzić zmianę sygnatury czasowej, w wierszu polecenia wpisz polecenie dir lub w oknie Eksploratora Windows kliknij prawym przyciskiem myszy nazwę pliku i wybierz z menu polecenie Właściwości. Narzędzie Client Mover Jeśli w sieci pracuje więcej niż jeden serwer WFBS, można za pomocą narzędzia Client Mover przenosić klienty z jednego serwera WFBS na inny. Jest to szczególnie przydatne po dodaniu nowego serwera WFBS do sieci, gdy zachodzi potrzeba przeniesienia istniejących klientów na nowy serwer. Na serwerze źródłowym i docelowym musi być zainstalowana ta sama wersja programu WFBS oraz systemu operacyjnego. E-15

248 Trend Micro Worry-Free Business Security 6.0 Podręcznik administratora Narzędzie Client Mover wymaga pliku IpXfer.exe. Aby uruchomić narzędzie Client Mover: 1. Na serwerze WFBS przejdź do następującego katalogu: \PCCSRV\Admin\Utility\IpXfer. 2. Skopiuj plik IpXfer.exe na komputer kliencki, z którego ma zostać dokonany transfer. 3. Otwórz na tym komputerze wiersz polecenia, a następnie przejdź do folderu zawierającego skopiowany plik. 4. Uruchom narzędzie Client Mover, używając następującej składni: IpXfer.exe -s <nazwa_serwera> -p <server_listening_port> -m 1 -c <port_nasłuchiwania_klienta> gdzie: <nazwa_serwera> = nazwa docelowego serwera WFBS (serwera, na który zostanie przeniesiony klient). <port_nasłuchiwania_serwera> = (zaufany) port nasłuchiwania serwera docelowego WFBS. Aby wyświetlić informację o porcie nasłuchiwania w konsoli internetowej, kliknij opcję Ustawienia zabezpieczeń. Numer portu jest widoczny obok nazwy serwera zabezpieczeń. 1 = Po opcji -m trzeba wprowadzić wartość 1 <port_nasłuchiwania_klienta> = numer portu klienta. Aby sprawdzić, czy komputer kliencki zgłasza się teraz do innego serwera: 1. Na komputerze klienckim kliknij prawym przyciskiem myszy ikonę programu Client/Server Security Agent na pasku zadań. 2. Wybierz opcję Client/Server Security Agent Konsola. 3. W sekcji Informacje o produkcie na karcie Pomoc kliknij opcję więcej informacji. 4. Upewnij się, że program CSA zgłasza się do właściwego serwera zabezpieczeń. E-16

249 Używanie narzędzi administracyjnych i klienckich Dodatki Program WFBS oferuje dodatki do programów Windows Small Business Server (SBS) 2008 oraz Windows Essential Business (EBS) Server Pozwalają one administratorowi wyświetlać bieżące informacje o zabezpieczeniach i systemie z poziomu konsoli programów SBS i EBS. RYSUNEK E-2. Konsola programu SBS, na której wyświetlane są informacje obieżącym stanie Instalowanie dodatków SBS i EBS Dodatki SBS lub EBS są instalowane automatycznie podczas instalacji programu Security Server na komputerze z zainstalowanymi programami SBS 2008 lub EBS Aby możliwe było korzystanie z tych dodatków na innym komputerze, konieczna jest ich ręczna instalacja. E-17