McAfee Endpoint Security Podręcznik modułu Wspólne. (McAfee epolicy Orchestrator)

Transkrypt

1 McAfee Endpoint Security Podręcznik modułu Wspólne (McAfee epolicy Orchestrator)

2 COPYRIGHT Copyright 2018 McAfee LLC PRZYPISANIE ZNAKÓW TOWAROWYCH McAfee i logo McAfee, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan są znakami towarowymi firmy McAfee LLC lub jej spółek zależnych w Stanach Zjednoczonych i w innych krajach. Do innych znaków lub marek mogą mieć prawo inne firmy. INFORMACJE LICENCYJNE Umowa licencyjna INFORMACJA DO WSZYSTKICH UŻYTKOWNIKOW: NALEŻY UWAŻNIE PRZECZYTAĆ WŁAŚCIWĄ UMOWĘ DOTYCZĄCĄ ZAKUPIONEJ LICENCJI, W KTÓREJ OKREŚLONE SĄ OGÓLNE WARUNKI UŻYTKOWANIA LICENCJONOWANEGO OPROGRAMOWANIA. W PRZYPADKU WĄTPLIWOŚCI CO DO TYPU ZAKUPIONEJ LICENCJI NALEŻY SPRAWDZIĆ DOKUMENTY SPRZEDAŻY LUB INNE POWIĄZANE DOKUMENTY UDZIELENIA LICENCJI BĄDŹ DOKUMENTY ZLECENIA SPRZEDAŻY DOŁĄCZONE DO OPAKOWANIA OPROGRAMOWANIA LUB OTRZYMANE ODDZIELNIE JAKO CZĘŚĆ ZAKUPU (NP. W POSTACI BROSZURY, PLIKU NA PŁYCIE CD PRODUKTU LUB PLIKU DOSTĘPNEGO W WITRYNIE INTERNTOWEJ, Z KTÓREJ POBRANO PAKIET OPROGRAMOWANIA). W PRZYPADKU BRAKU ZGODY NA WARUNKI PODANE W UMOWIE NIE MOŻNA ZAINSTALOWAĆ OPROGRAMOWANIA. W STOSOWNYCH PRZYPADKACH UŻYTKOWNIK MOŻE ZWRÓCIĆ PRODUKT FIRMIE MCAFEE LUB DO MIEJSCA ZAKUPU W CELU UZYSKANIA PEŁNEGO ZWROTU KOSZTÓW. 2 McAfee Endpoint Security Podręcznik modułu Wspólne

3 Spis treści 1 Konfigurowanie wspólnych funkcji 5 Ochrona usług i plików Konfigurowanie logowania aktywności klienta Kontrolowanie dostępu do interfejsu klienta Skutki ustawienia hasła administratora Konfigurowanie tymczasowego dostępu do interfejsu klienta Przykład sekwencji działań w przypadku użycia hasła tymczasowego Wykluczanie procesów z AAC Zapobiegaj blokowaniu zaufanych programów przez AAC Konfigurowanie ustawień serwera proxy Zaktualizuj pliki zawartości za pomocą McAfee epo Konfigurowanie domyślnego działania aktualizacji Ochrona procesów McAfee przed bibliotekami DLL innych firm Działanie usługi walidacji i ochrony zaufania Jak działa AAC Awarie walidacji Kwestie dotyczące zaufania certyfikatowi innej firmy Przesyłanie certyfikatu innej firmy Zezwolenie na uwierzytelnianie certyfikatów Usuń certyfikaty z magazynu certyfikatów Zarządzanie wspólnymi funkcjami 19 Utrzymywanie aktualnej ochrony Używanie list repozytoriów witryn aktualizacji Wysyłanie próbek zagrożeń do analizy Działanie zadań dublowania Monitorowanie ochrony za pomocą McAfee epo 23 Wspólne pulpity nawigacyjne i monitory Zapytania modułu Wspólne Wspólne typy wyników i właściwości Korzystanie z klienta Endpoint Security 29 Sposób działania Klient Endpoint Security Otwórz program Klient Endpoint Security Uzyskaj informacje na temat ochrony Sprawdzanie zagrożeń Ręczne aktualizowanie zawartości i oprogramowania Logowanie jako administrator Odblokowywanie interfejsu klienta Zarządzanie wspólnymi funkcjami w systemie klienckim 33 Wyłączanie i włączanie funkcji Ochrona usług i plików w systemie klienta Konfigurowanie rejestrowania aktywności klienta w systemie klienta McAfee Endpoint Security Podręcznik modułu Wspólne 3

4 Spis treści Kontrolowanie dostępu do interfejsu klienta w systemie klienta Ograniczanie i zezwalanie na dostęp do funkcji Skonfiguruj ustawienia serwera proxy w systemie klienta Konfigurowanie automatycznych aktualizacji dla klienta Konfigurowanie miejsca uzyskiwania aktualizacji przez klienta Konfigurowanie domyślnego działania aktualizacji za pomocą klienta Konfigurowanie, planowanie i uruchamianie zadań aktualizacji za pomocą klienta Działanie zadań dublowania Konfigurowanie, planowanie i uruchamianie zadań dublowania Zezwalanie na uwierzytelnianie certyfikatem w systemie klienta Monitorowanie ochrony w systemie klienta 41 Kliknij Plik dziennika zdarzeń, aby uzyskać informacje na temat ostatniej aktywności Nazwy i położenie plików dziennika McAfee Endpoint Security Podręcznik modułu Wspólne

5 1 Konfigurowanie 1 wspólnych funkcji Spis treści Ochrona usług i plików Konfigurowanie logowania aktywności klienta Kontrolowanie dostępu do interfejsu klienta Wykluczanie procesów z AAC Konfigurowanie ustawień serwera proxy Zaktualizuj pliki zawartości za pomocą McAfee epo Konfigurowanie domyślnego działania aktualizacji Ochrona procesów McAfee przed bibliotekami DLL innych firm Przesyłanie certyfikatu innej firmy Zezwolenie na uwierzytelnianie certyfikatów Usuń certyfikaty z magazynu certyfikatów Ochrona usług i plików Jednym z pierwszych działań podczas ataku złośliwego oprogramowania jest próba wyłączenia oprogramowania zabezpieczającego system. W celu zapobiegania zatrzymywaniu lub modyfikowaniu usług i plików należy skonfigurować moduł Ochrona rezydentna w ustawieniach Wspólne. Wyłączenie modułu Ochrona rezydentna zwiększa podatność systemu na ataki. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 W opcji Ochrona rezydentna sprawdź, czy Ochrona rezydentna jest włączona. 5 Określ działanie dla każdego z następujących zasobów: Pliki i foldery zapobiega modyfikowaniu przez użytkowników bazy danych, plików binarnych, plików bezpiecznego wyszukiwania i plików konfiguracyjnych oprogramowania firmy McAfee. Rejestr zapobiega modyfikowaniu przez użytkowników gałęzi rejestru i komponentów COM oprogramowania firmy McAfee oraz odinstalowaniu go za pomocą wartości rejestru. Procesy służy do uniemożliwiania zatrzymywania procesów oprogramowania firmy McAfee. 6 Kliknij przycisk Zapisz. McAfee Endpoint Security Podręcznik modułu Wspólne 5

6 1 Konfigurowanie wspólnych funkcji Konfigurowanie logowania aktywności klienta Konfigurowanie logowania aktywności klienta Rejestrowanie można skonfigurować w ustawieniach Wspólne. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 Na stronie skonfiguruj ustawienia Rejestrowanie klienta. 6 Kliknij przycisk Zapisz. Kontrolowanie dostępu do interfejsu klienta Kontrolę dostępu do programu Klient Endpoint Security można wprowadzić poprzez określenie hasła w ustawieniach Wspólne. Tryb interfejsu klienta domyślnie ma ustawienie Pełny dostęp, co pozwala użytkownikom na zmianę konfiguracji zabezpieczeń i w rezultacie może prowadzić do narażenia systemów na ataki złośliwego oprogramowania. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Skonfiguruj ustawienia Tryb interfejsu klienta na stronie. Zalecane działanie: W celu zwiększenia poziomu bezpieczeństwa należy zmienić ustawienie parametru Tryb interfejsu klienta na Standardowy lub Zablokuj interfejs klienta. Obie opcje powodują włączenie wymogu podania hasła Administratora w celu uzyskania dostępu do ustawień programu Klient Endpoint Security. Zmiana hasła Administratora unieważnia hasło czasowe. Po zmianie hasła Administratora należy zapisać zasadę, a następnie wygenerować nowe hasło czasowe. 5 Kliknij przycisk Zapisz. Zadania Konfigurowanie tymczasowego dostępu do interfejsu klienta na stronie 7 Można przyznać tymczasowy dostęp Administratora do interfejsu klienta, poprzez wygenerowanie czasowego hasła. Należy włączyć hasło czasowe dla ograniczonego zestawu systemów, aby rozwiązać problemy. 6 McAfee Endpoint Security Podręcznik modułu Wspólne

7 Konfigurowanie wspólnych funkcji Kontrolowanie dostępu do interfejsu klienta 1 Skutki ustawienia hasła administratora Po ustawieniu trybu interfejsu na Standardowy dostęp lub Zablokuj interfejs klienta należy również ustawić hasło administratora. Administrator może także wygenerować hasło czasowe, którego użytkownicy mogą użyć w celu uzyskania tymczasowego dostępu do Klient Endpoint Security. Ustawienie trybu interfejsu na Standardowy dostęp lub Zablokuj interfejs klienta ma wpływ na następujących użytkowników: Wszyscy użytkownicy Użytkownicy inni niż administratorzy (użytkownicy bez uprawnień administratora) Administratorzy (użytkownicy z uprawnieniami administratora) W trybie Zablokuj interfejs klienta użytkownicy muszą wprowadzić hasło administratora lub tymczasowe, aby uzyskać dostęp do Klient Endpoint Security. Po wpisaniu użytkownik ma dostęp do całego interfejsu, w tym ustawień konfiguracyjnych na stronie Ustawienia. W trybie Dostęp standardowy użytkownicy inni niż administratorzy mogą wykonać następujące czynności: Pobierać informacje na temat zainstalowanych produktów McAfee, w tym wersję i stan. Sprawdzać dostępność aktualizacji (jeżeli funkcja ta jest włączona). Wyświetl Plik dziennika zdarzeń. Uzyskanie pomocy oraz dostęp do często zadawanych pytań (FAQ) i pomocy technicznej. W trybie Standardowy dostęp użytkownicy inni niż administratorzy nie mogą wyświetlać ani zmieniać ustawień konfiguracyjnych na stronie Ustawienia. W trybie Dostęp standardowy administratorzy muszą wprowadzić hasło administratora lub hasło tymczasowe. Po jego wpisaniu administrator ma dostęp do całego interfejsu, w tym ustawień konfiguracyjnych na stronie Ustawienia. Konfigurowanie tymczasowego dostępu do interfejsu klienta Można przyznać tymczasowy dostęp Administratora do interfejsu klienta, poprzez wygenerowanie czasowego hasła. Należy włączyć hasło czasowe dla ograniczonego zestawu systemów, aby rozwiązać problemy. Zanim rozpoczniesz Ustaw Tryb interfejsu klienta na Standardowy lub Zablokuj interfejs klienta. Zalecane działanie: Podczas incydentu bezpieczeństwa należy wyłączyć hasło czasowe. Po incydencie bezpieczeństwa należy zmienić hasło Administratora i zregenerować hasło czasowe. Zmiana hasła Administratora unieważnia hasło czasowe. Po zmianie hasła Administratora należy zapisać zasadę, a następnie wygenerować nowe hasło czasowe. Po włączeniu hasła czasowego po awarii połączenia Klient Endpoint Security nie przyjmie hasła. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. McAfee Endpoint Security Podręcznik modułu Wspólne 7

8 1 Konfigurowanie wspólnych funkcji Kontrolowanie dostępu do interfejsu klienta 5 W sekcji Hasło czasowe administratora wybierz Włącz hasła czasowe w interfejsie klienta i określ datę i godzinę wygaśnięcia. Maksymalny czas wygaśnięcia to 14 dni. Czas wygaśnięcia liczony jest względem serwera McAfee epo. Na przykład, jeśli ustawiono czas wygaśnięcia na 13:00 PST, hasło wygaśnie o 16:00 na systemach klienckich w strefie czasowej EST. 6 Kliknij Wygeneruj nowe hasło. Wygenerowane zostaną dwa hasła, jedno dla programu Endpoint Security 10.5, a drugie dla programu Endpoint Security 10.6 i nowszego. 7 Zapisz automatycznie wygenerowane hasło i podaj je użytkownikom, aby umożliwić tymczasowy dostęp. 8 Kliknij przycisk Zapisz. Przykład sekwencji działań w przypadku użycia hasła tymczasowego W dużych firmach podwykonawcy IT używają punktów końcowych do rozwiązywania problemów, ale nie mają uprawnień Pełny dostęp ze względów bezpieczeństwa. Zamiast tego interfejs pracuje w trybie Standardowy dostęp. W tym przykładzie administrator dostarcza tymczasowe hasło czasowe, aby podwykonawca IT mógł rozwiązać problem z połączeniem. Administrator tymczasowo dostarcza hasło, przydzielając uprawnienia Pełny dostęp, aby podwykonawca mógł wyświetlać i zmieniać ustawienia. Ten konkretny przykład obejmuje problem z połączeniem sieciowym, ale użycie haseł czasowych może być przydatne do rozwiązywania dowolnych problemów konfiguracyjnych. 1 W Systemie A w Tokio została zainstalowana nowa aplikacja, ale nie łączy się ona z siecią Internet. 2 Aby rozwiązać problem, Stefan (podwykonawca IT) kontaktuje się z Marią (administratorem w San Francisco). 3 Z poziomu McAfee epo Maria tworzy hasło czasowe, a następnie wysyła je do Stefana. 8 McAfee Endpoint Security Podręcznik modułu Wspólne

9 Konfigurowanie wspólnych funkcji Wykluczanie procesów z AAC 1 4 Stefan używa hasła czasowego do wyłączenia zapory i ustala, że do prawidłowego funkcjonowania aplikacji wymagane jest otwarcie określonego portu. 5 Maria tworzy specjalną zasadę używającą określonego numeru portu i przydziela ją do Systemu A, aby rozwiązać problem z połączeniem. Hasło czasowe wygasa i ograniczony dostęp lokalny wraca do normy. Wykluczanie procesów z AAC Funkcje ochrony Endpoint Security, takie jak ochrona rezydentna i ochrona dostępu oraz inne reguły ochrony produktu McAfee są wymuszane przez technologię o nazwie Arbitrary Access Control (AAC). Reguły AAC chronią obiekty, takie jak pliki, procesy i dane rejestru, przed dostępem do nich przez złośliwe oprogramowanie i niezaufane programy. Aby rozwiązać problem, można tymczasowo wykluczyć procesy ze wszystkich reguł (AAC), konfigurując globalną zasadę wykluczania. Wykluczeń globalnych należy używać tylko do określonego rozwiązywania problemów i do celów wsparcia. Na przykład aby skonfigurować audyt w systemach Windows, w których określone pliki wykonywalne systemu Windows muszą mieć uprawnienia do odczytu/zapisu do katalogów docelowych, można tymczasowo wykluczyć te pliki wykonywalne z reguł AAC. Zalecane działanie: aby uzyskać informacje na temat rozwiązywania problemów z zablokowanymi aplikacjami innych firm, patrz artykuł KB Uwagi dotyczące określania wykluczeń globalnych Należy określić przynajmniej jeden identyfikator: Skrót MD5 procesu lub Skrót MD5 certyfikatu podpisującego. W przypadku podania kilku identyfikatorów będą stosowane wszystkie z nich. Jeśli zostanie podanych więcej identyfikatorów, ale będą one niezgodne (na przykład nazwa pliku i skrót MD5 będą dotyczyć różnych plików), wykluczenie będzie nieprawidłowe. W wykluczeniach nie jest rozróżniana wielkość liter. Symbole zastępcze nie są dozwolone. Zapobiegaj blokowaniu zaufanych programów przez AAC Jeśli zaufany program jest zablokowany, wyklucz ten proces z AAC, tworząc tymczasowe wykluczenie globalne w ustawieniach wspólnych. Aby uniknąć ryzyka bezpieczeństwa, usuń globalne wykluczenie natychmiast po użyciu. Brak usunięcia globalnego wykluczenia pozostawia systemy podatne na ataki złośliwego oprogramowania. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. McAfee Endpoint Security Podręcznik modułu Wspólne 9

10 1 Konfigurowanie wspólnych funkcji Konfigurowanie ustawień serwera proxy 5 W sekcji Wykluczenia kliknij opcję Dodaj. 6 Wprowadź przynajmniej jeden identyfikator. Można wprowadzić ścieżkę lokalną lub UNC. Można także uwzględnić zmienne środowiskowe. Skrót MD5 procesu 1 Otwórz wiersz polecenia. 2 Wpisz certutil.exe -hashfile "pełna ścieżka procesu" MD5. Na przykład: certutil.exe -hashfile "c:\windows\system32\icacls.exe" MD5 3 Skopiuj skrót MD5 i wklej go w polu Skrót MD5 procesu. Oto przykład skrótu MD5 procesu: 24084debc1369b35e57f8efe0500a83d Może być konieczne usunięcie spacji wstawionych przez program certutil.exe. Skrót MD5 certyfikatu podpisującego 1 Otwórz wiersz polecenia z uprawnieniami administratora. 2 Wpisz "c:\program Files\Common Files\McAfee\SystemCore\vtpinfo.exe" / validatemodule "pełna ścieżka procesu". Na przykład: "c:\program Files\Common Files\McAfee\SystemCore\vtpinfo.exe" / validatemodule "c:\windows\system32\icacls.exe" 3 Skopiuj skrót MD5 certyfikatu podpisującego i wklej go w polu Skrót MD5 certyfikatu podpisującego. Oto przykład skrótu MD5 certyfikatu podpisującego: 708ac5123ae46b4557a24225d3a8dbfc 7 Kliknij OK, a następnie kliknij Zapisz. Konfigurowanie ustawień serwera proxy Określ opcje serwera proxy w ustawieniach modułu Wspólne. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 Skonfiguruj ustawienia Serwer proxy na stronie. Zalecane działanie: Należy wykluczyć adresy McAfee GTI z serwera proxy. Aby uzyskać informacje, patrz KB79640 i KB Kliknij przycisk Zapisz. 10 McAfee Endpoint Security Podręcznik modułu Wspólne

11 Konfigurowanie wspólnych funkcji Zaktualizuj pliki zawartości za pomocą McAfee epo 1 Zaktualizuj pliki zawartości za pomocą McAfee epo Aby utrzymać aktualną ochronę, pobieraj aktualizacje z witryny źródłowej McAfee, gdy tylko będą dostępne. Aby upewnić się, że systemy klientów będą zawsze miały najnowsze pliki zawartości, postępuj zgodnie z tym procesem: 1 Skonfiguruj McAfee epo na pobieranie najnowszych plików zawartości z lokalizacji aktualizacji McAfee użyj zadania serwera Zaktualizuj repozytorium główne. 2 Zreplikuj zawartość repozytorium, aby dublować witryny w swojej sieci użyj zadania klienta McAfee Agent Dubluj repozytoria. Dystrybuowane repozytorium używa lokalizacji określonej w zasadzie Repozytorium. Aby uzyskać informacje na temat używania dystrybuowanych repozytoriów do utrzymywania aktualnego oprogramowania zabezpieczającego, patrz Pomoc programu McAfee epo. 3 Zaplanuj automatyczne pobieranie najnowszych plików zawartości i aparatu skanowania na systemy klientów użyj zadań klienta McAfee Agent Aktualizacja klienta. W sekcji Typy pakietów wybierz Pakiet zawartości AMCore i Zawartość modułu Zapobieganie wykorzystaniu luk w zabezpieczeniach. 4 Wdróż pliki Extra.DAT, gdy będzie to konieczne. Konfigurowanie domyślnego działania aktualizacji Działanie aktualizacji rozpoczętych w programie Klient Endpoint Security można określić w ustawieniach modułu Wspólne. Ustawienia te służą do: wyświetlania i ukrywania przycisku Aktualizuj w kliencie, włączania i wyłączania harmonogramu zadania Domyślna aktualizacja klienta, określania elementów aktualizowanych, gdy użytkownik kliknie przycisk lub gdy uruchomione zostaje zadanie Domyślna aktualizacja klienta. Domyślnie zadanie domyślnej aktualizacji klienta uruchamiane jest codziennie o 1:00 w nocy i powtarzane co cztery godziny do 23:59. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 Konfiguruj ustawienia opcji Domyślna aktualizacja klienta na stronie. 6 Kliknij przycisk Zapisz. McAfee Endpoint Security Podręcznik modułu Wspólne 11

12 1 Konfigurowanie wspólnych funkcji Ochrona procesów McAfee przed bibliotekami DLL innych firm Ochrona procesów McAfee przed bibliotekami DLL innych firm Aplikacje uruchomione w środowisku systemu Microsoft Windows mogą wstrzykiwać kod w procesy innych firm. Oprogramowanie McAfee uznaje biblioteki DLL innych firm wstrzykiwane w procesy McAfee jako niezaufane, ponieważ kod może być naruszony lub użyty w sposób złośliwy. Aktywność biblioteki DLL innej firmy jest widoczna jak pochodząca z procesu McAfee, do którego została wstrzyknięta. Jeśli taka aktywność jest złośliwa, wygląda to tak, jakby to oprogramowanie McAfee wykonywało te złośliwe czynności. McAfee używa tych technologii do ochrony przed wstrzyknięciami bibliotek DLL: Usługa walidacji i ochrony zaufania (VTP) Sprawdza biblioteki DLL i uruchomione procesy, które wchodzą w interakcję z kodem McAfee w celu weryfikacji, czy te obiekty są zaufane. Reguły Arbitrary Access Control (AAC) Określa, czy blokować, czy zezwalać na dostęp do obiektów. Działanie usługi walidacji i ochrony zaufania Usługa VTP (MFEVTPS.exe) sprawdza biblioteki DLL i uruchomione procesy, które wchodzą w interakcje z kodem McAfee w celu weryfikacji, czy obiekty są zaufane. Obiektem jest sieć, plik, rejestr lub proces. Pojęcie Zaufany oznacza, że proces innej firmy może uzyskać dostęp do obiektów McAfee. Na przykład zaufany proces innej firmy może zostać wstrzyknięty do procesów McAfee lub może odczytać klucze rejestru McAfee. Prawidłowe działanie usługi VTP zależy od następujących elementów: Usługa kryptograficzna Microsoft (CryptSvc) Biblioteki API związane z zaufaniem Stan magazynu certyfikatów lub plików katalogu Usługa VTP działa w następujący sposób: 1 Kontrola walidacji jest uruchamiana, gdy kod McAfee musi zweryfikować, czy działający proces jest zaufany, obiekt docelowy jest zaufany, bądź oba przypadki są prawdziwe. 2 Gdy procesy McAfee są inicjowane, usługa VTP sprawdza, czy McAfee ładuje zaufany kod. AAC gwarantuje, że McAfee załaduje tylko zaufane biblioteki DLL. Tylko kod firm McAfee i Microsoft jest domyślnie zaufany. Buforowanie Usługa VTP zapisuje w pamięci podręcznej wyniki kontroli walidacji w celu poprawy wydajności przyszłych kontroli walidacji. Usługa VTP zawsze sprawdza najpierw pamięć podręczną podczas wykonywania kontroli walidacji. Jeśli kontrola walidacji zwróci wynik informujący o tym, że obiekt nie jest zaufany, obiekt zostanie umieszczony w pamięci podręcznej jako niezaufany. Jeśli obiekt zostanie nieprawidłowo zapisany w pamięci podręcznej jako niezaufany, jedynie zresetowanie pamięci podręcznej może go skorygować. Pamięć podręczna jest resetowana, gdy system zostanie uruchomiony w Trybie awaryjnym lub po uruchomieniu następującego polecenia: VTPInfo.exe /ResetVTPCache. Można również zresetować pamięć podręczną z pliku DAT. 12 McAfee Endpoint Security Podręcznik modułu Wspólne

13 Konfigurowanie wspólnych funkcji Ochrona procesów McAfee przed bibliotekami DLL innych firm 1 Awarie zaufania Awaria zaufania to kontrola walidacji usługi VTP, której wynik jest niezaufany, gdy oczekiwanym wynikiem jest zaufany. Awarie zaufania występują, ponieważ AAC odmawia dostępu do niezaufanego kodu. W ramach samoobrony proces nie może uzyskać dostępu do procesów McAfee. Poniżej przedstawiono niektóre z przykładów awarii zaufania: Proces McAfee został wstrzyknięty przez niezaufaną inną firmę, więc proces nie przechodzi kontroli walidacji. Plik podpisanego katalogu Microsoft ma nieprawidłowe informacje na temat podpisu, więc nie można go zweryfikować i nie jest ładowany przez proces McAfee. Prawidłowy plik biblioteki DLL został nieprawidłowo zapisany w pamięci podręcznej jako niezaufany i kolejne próby załadowania go są zabronione. Wszystkie z tych przykładów mogą doprowadzić do niepowodzenia procesów McAfee. Jak działa AAC AAC działa z poziomu jądra systemu Windows i może zablokować dostęp do sieci, pliku, rejestru i procesu. Reguł AAC należy użyć do określenia, co ma być blokowane, a co zezwalane. Reguły AAC mogą określać niebezpieczne zachowania, które muszą być zablokowane lub zabronione. Reguły AAC mogą być: Włączone lub wyłączone Ustawione na Tylko raportuj Zmodyfikowane w celu dodania innych procesów do ochrony lub do ochrony przed nimi Wykluczone, aby już nie blokowały określonych procesów naruszających regułę Niektóre reguły nie są uwidocznione w interfejsie, ponieważ są kluczowe z punktu widzenia prawidłowego działania produktu. AAC widzi próbę uruchomienia czynności i postępuje zgodnie z tym procesem. McAfee Endpoint Security Podręcznik modułu Wspólne 13

14 1 Konfigurowanie wspólnych funkcji Ochrona procesów McAfee przed bibliotekami DLL innych firm Jeśli kontrola walidacji nie powiedzie się lub doprowadzi do niezaufanego wyniku, wewnętrzna ochrona McAfee może zablokować proces McAfee przed dostępem do obiektów. Awarie walidacji Cały kod napisany przez firmę McAfee i firmę Microsoft jest sprawdzany i walidowany. Jeśli te kontrole doprowadzą do awarii walidacji, istnieje możliwość, że funkcja AAC mogła zablokować procesy McAfee. Awaria walidacji może obejmować niektóre awarie zaufania i inne typy nieoczekiwanych awarii. Scenariusze awarii walidacji Gdy proces McAfee ładuje bibliotekę DLL innej firmy, zawiera ona funkcje innej firmy i może wykonywać kod innej firmy. Kod innej firmy znajduje się w procesie McAfee i może spowodować, że proces McAfee wykona nieoczekiwane operacje i doprowadzi do awarii walidacji. 14 McAfee Endpoint Security Podręcznik modułu Wspólne

15 Konfigurowanie wspólnych funkcji Ochrona procesów McAfee przed bibliotekami DLL innych firm 1 Awarie walidacji mogą powodować szereg objawów, w tym te scenariusze. Proces innej firmy ma blokowany dostęp do plików i procesów chronionych przez McAfee. Proces innej firmy, który ładuje bibliotekę DLL firmy McAfee ma blokowany dostęp do innych procesów, plików lub folderów McAfee. Na przykład program Microsoft Outlook jest blokowany, gdy próbuje uzyskać dostęp do innych procesów McAfee. Proces McAfee nie uruchamia się prawidłowo. Na przykład użytkownik nie może uruchomić programu Klient Endpoint Security, mimo iż dzienniki instalacji wskazują, że uruchomienie się powiodło. Proces McAfee jest uruchomiony, ale jego funkcjonalność jest częściowa. Na przykład produkt McAfee jest ładowany prawidłowo, ale wskazuje, że inne usługi nie działają prawidłowo, mimo iż usługa McAfee jest uruchomiona. Proces McAfee ma blokowany dostęp do innych plików i folderów należących do innego produktu McAfee. Awaria walidacji kodu McAfee lub Microsoft wskazuje, że wystąpił jeden z tych scenariuszy. W przypadku wystąpienia jednego z tych problemów należy skontaktować się ze wsparciem technicznym w celu uzyskania pomocy z rozwiązywaniem problemów i w celu omówienia rozwiązań. Zarządzanie certyfikatami innych firm Proces o nazwie MFECanary.exe uruchamiany jest jako proces podrzędny procesu MFEEsp.exe i przechwytuje szczegóły dotyczące certyfikatu cyfrowego dla dowolnej biblioteki DLL, która próbuje dokonać wstrzyknięcia do procesu MFECanary.exe. Informacja jest wysyłana do McAfee epo ze zdarzenia agenta, które jest przetwarzane przez serwer McAfee epo. Następnie jest wysyłana do zasady Wspólne programu Endpoint Security. Z poziomu zasady można określić, czy systemy klientów ufają, czy nie ufają certyfikatowi innej firmy. Aby mu zaufać, należy dodać cyfrowy podpis do magazynu certyfikatów. Pomoc techniczna może pomóc w zidentyfikowaniu certyfikatu innej firmy, uzyskaniu pliku certyfikatu (.cer) i zaufaniu cyfrowemu certyfikatowi innej firmy z podpisanymi bibliotekami DLL innej firmy, które są wstrzykiwane do procesów McAfee. Aby uzyskać informacje na temat otwierania zgłoszenia serwisowego lub eskalowania, patrz KB Aby uzyskać informacje kontaktowe do pomocy technicznej, przejdź do witryny contact-us.aspx#ht=tab-techsupport i wybierz kraj z listy rozwijanej. Kwestie dotyczące zaufania certyfikatowi innej firmy Zaufanie certyfikatowi innej firmy może doprowadzić do zwiększenia ryzyka dotyczącego bezpieczeństwa. Związane z bezpieczeństwem skutki zaufania certyfikatowi innej firmy obejmują: Kod podpisany przez certyfikat innej firmy może w sposób zaufany wchodzić w interakcje z procesami McAfee, plikami, rejestrem i innymi obiektami chronionymi przez McAfee. Aktywność plików generowana przez procesy podpisane certyfikatem innej firmy może nie być skanowania. Wszelkie produkty lub wersje kodu pochodzące od tego samego dostawcy i korzystające z tego samego certyfikatu cyfrowego automatycznie dziedziczą ten sam stan zaufania lub braku zaufania. Wszelkie produkty lub wersje kodu pochodzące od tego samego dostawcy, ale korzystające z innego certyfikatu cyfrowego muszą zostać ustawione jako zaufane. Zalecane działanie: jeśli platforma programu Endpoint Security przestaje działać, przyczyną może być wstrzyknięcie przez stronę trzecią do kodu McAfee. Aby uzyskać informacje o rozwiązywaniu problemów związanych z tym błędem, patrz artykuł KB McAfee Endpoint Security Podręcznik modułu Wspólne 15

16 1 Konfigurowanie wspólnych funkcji Przesyłanie certyfikatu innej firmy Przesyłanie certyfikatu innej firmy Gdy przesyłane certyfikaty są zaufane, biblioteka DLL certyfikatu może być wstrzyknięta w proces McAfee. W przeciwnym razie biblioteka DLL certyfikatu nie może być wstrzyknięta w proces McAfee. Certyfikat musi mieć jeden z następujących formatów: pliki.cer (certyfikat X.509 kodowany Base-64) Tekstowa zawartość certyfikatu X.509 kodowana Base-64 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 W sekcji Certyfikaty kliknij Prześlij certyfikat klienta. 6 Wybierz plik certyfikatu (.cer) lub dostarcz tekst certyfikatu w formacie X.509 kodowanym Base Kliknij przycisk Zapisz. Zezwolenie na uwierzytelnianie certyfikatów Certyfikaty umożliwiają dostawcy uruchamianie kodu wewnątrz procesów firmy McAfee. Po wykryciu procesu zdarzenie przesyłane jest do platformy McAfee epo, a tabela certyfikatów jest wypełniania wartościami dostawcy, podmiotu i skrótu powiązanego klucza publicznego. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 W sekcji Certyfikaty wybierz opcję Zezwól. To ustawienie może powodować problemy ze zgodnością i obniżenie poziomu ochrony. 6 Kliknij przycisk Zapisz. W tabeli pojawią się informacje dotyczące certyfikatu. 16 McAfee Endpoint Security Podręcznik modułu Wspólne

17 Konfigurowanie wspólnych funkcji Usuń certyfikaty z magazynu certyfikatów 1 Usuń certyfikaty z magazynu certyfikatów Usuń zaufany certyfikat z magazynu certyfikatów, gdy nie jest już używany przez inne zasady. Po usunięciu certyfikatu ze zduplikowanej zasady wciąż będzie on używany przez inne zasady. Aby go usunąć z magazynu certyfikatów, należy go usunąć ze wszystkich zasad, w których jest używany. 1 Wybierz pozycję Menu Zasady Katalog zasad, a następnie z listy Produkt wybierz pozycję Wspólne programu Endpoint Security. 2 Z listy Kategoria wybierz pozycję Opcje. 3 Kliknij nazwę edytowalnych zasad. 4 Kliknij przycisk Wyświetl zaawansowane. 5 W sekcji Certyfikaty wybierz certyfikat do usunięcia i kliknij przycisk Usuń. 6 Kliknij przycisk Zapisz. McAfee Endpoint Security Podręcznik modułu Wspólne 17

18 1 Konfigurowanie wspólnych funkcji Usuń certyfikaty z magazynu certyfikatów 18 McAfee Endpoint Security Podręcznik modułu Wspólne

19 2 Zarządzanie 2 wspólnymi funkcjami Spis treści Utrzymywanie aktualnej ochrony Używanie list repozytoriów witryn aktualizacji Wysyłanie próbek zagrożeń do analizy Działanie zadań dublowania Utrzymywanie aktualnej ochrony Zaktualizowane pliki zabezpieczeń można pobrać ręcznie lub automatycznie. Na przykład można wykonać ręczną aktualizację, aby zastosować poprawkę awaryjną na nowe zagrożenie lub w celu uwzględnienia najnowszej zawartości po zakończeniu nowej instalacji. Automatyczne aktualizacje Metody automatycznej aktualizacji obejmują: domyślnej aktualizacji klienta aktualizuje wyłącznie zawartość. Domyślnie zadanie domyślnej aktualizacji klienta uruchamiane jest codziennie o 1:00 w nocy i powtarzane co cztery godziny do 23:59. Aktualizacja produktu McAfee Agent Z poziomu programu McAfee epo zaplanuj interwał wykonywania aktualizacji, na przykład co sobotę o 1 w nocy. Ręczne aktualizacje Metody ręcznej aktualizacji obejmują: Przycisk Aktualizuj Z poziomu Klient Endpoint Security niezwłocznie pobierz najnowszą zawartość i oprogramowanie, bądź oba elementy, stosownie do ustawień. Można skonfigurować widoczność i zachowanie przycisku Aktualizuj w ustawieniach Wspólne. Opcja Zaktualizuj zabezpieczenia Za pomocą ikony McAfee w zasobniku systemowym zaktualizuj zawartość i oprogramowanie. Wiersz polecenia W systemie klienta uruchom polecenie, aby zaktualizować zawartość AMCore. McAfee Endpoint Security Podręcznik modułu Wspólne 19

20 2 Zarządzanie wspólnymi funkcjami Używanie list repozytoriów witryn aktualizacji Używanie list repozytoriów witryn aktualizacji Lista repozytoriów zawiera informacje dotyczące repozytoriów (witryn aktualizacji) wykorzystywane przez program McAfee Agent do aktualizowania produktów McAfee, w tym plików aparatu i plików DAT. Lista repozytoriów zawiera: informacje o repozytoriach i ich lokalizacji, preferencje dotyczące kolejności repozytoriów, ustawienia serwera proxy, jeśli są wymagane, zaszyfrowane poświadczenia wymagane do uzyskania dostępu do każdego z repozytoriów. klienta McAfee Agent Aktualizacja klienta łączy się z pierwszą włączoną lokalizacją aktualizacji na liście repozytoriów. Jeżeli repozytorium nie jest dostępne, zadanie łączy się z następną lokalizacją na liście aż do nawiązania połączenia lub dojścia do końca listy. Jeśli w sieci jest używany serwer proxy, można określić, jakie wartości ustawień serwera proxy mają być używane, oraz podać adres serwera proxy i zdecydować, czy ma być stosowane uwierzytelnianie. Informacje dotyczące serwera proxy są przechowywane na liście repozytoriów. Skonfigurowane ustawienia serwera proxy mają zastosowanie do wszystkich repozytoriów na liście. Lokalizacja listy repozytoriów zależy od używanego systemu operacyjnego: System operacyjny Lokalizacja listy repozytoriów System Microsoft Windows 10 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 8.1 System Microsoft Windows 7 Wcześniejsze wersje C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Wysyłanie próbek zagrożeń do analizy W przypadku odnalezienia potencjalnego zagrożenia, które nie jest wykrywane przez skaner lub daje wynik fałszywie pozytywny, należy wysłać próbkę zagrożenia do zespołu McAfee Labs. Zespół McAfee Labs przeanalizuje próbkę i rozważy jej uwzględnienie lub wykluczenie w następnej aktualizacji pliku zawartości. Przejdź do witryny Wyślij próbkę wirusa lub złośliwego oprogramowania, aby uzyskać informacje na temat wysyłania próbki do zespołu McAfee Labs. Działanie zadań dublowania dublowania replikuje pliki aktualizacji z pierwszego dostępnego repozytorium zdefiniowanego na liście repozytoriów i przekazuje je do witryny dublowanej w sieci. to jest najczęściej używane do dublowania zawartości witryny pobierania firmy McAfee na lokalnym serwerze. 20 McAfee Endpoint Security Podręcznik modułu Wspólne

21 Zarządzanie wspólnymi funkcjami Działanie zadań dublowania 2 Po zreplikowaniu witryny McAfee zawierającej pliki aktualizacji komputery podłączone do sieci mogą pobrać te pliki z dublowanej witryny. Pozwala to na aktualizowanie komputerów w sieci bez względu na to, czy mają dostęp do Internetu. Korzystanie ze zreplikowanej witryny jest wydajniejsze, ponieważ komputery łączą się z serwerem, który znajduje się bliżej niż witryna internetowa firmy McAfee, co pozwala skrócić czas dostępu i pobierania. Oprogramowanie bazuje na katalogu w celu zaktualizowania samego siebie. Dlatego też w przypadku dublowania witryny ważne jest, aby replikacja objęła całą strukturę katalogów. McAfee Endpoint Security Podręcznik modułu Wspólne 21

22 2 Zarządzanie wspólnymi funkcjami Działanie zadań dublowania 22 McAfee Endpoint Security Podręcznik modułu Wspólne

23 3 Monitorowanie ochrony za pomocą McAfee epo Spis treści Wspólne pulpity nawigacyjne i monitory Zapytania modułu Wspólne Wspólne typy wyników i właściwości Wspólne pulpity nawigacyjne i monitory Moduł Endpoint Security Wspólne oferuje kilka pulpitów nawigacyjnych zawierających monitory z innych modułów. Tabela 3-1 Wspólne pulpity nawigacyjne Pulpit nawigacyjny Endpoint Security: Stan zgodności Monitor Wyświetla... Zainstalowany przez moduł... Endpoint Security: Zgodność z zasadami według nazwy zasady Endpoint Security Wspólne: Stan zgodności ochrony rezydentnej Endpoint Security: Zgodność z zasadami według nazwy komputera Endpoint Security Zapobieganie zagrożeniom: Stan zgodności ochrony dostępu Endpoint Security Zapobieganie zagrożeniom: Stan zgodności zawartości AMCore Endpoint Security Zapobieganie zagrożeniom: Stan zgodności zapobiegania wykorzystaniu luk w zabezpieczeniach Czy technologia jest włączona (stan ochrony). Zasady, które są aktualne, w tym liczba systemów. Liczba systemów z włączoną lub wyłączoną ochroną rezydentną. Systemy, w których zasady są aktualne, w tym liczba zasad. Liczba systemów z włączoną lub wyłączoną ochroną dostępu. Liczba systemów z włączonym lub wyłączonym menedżerem zawartości AV. Liczba systemów z włączonym lub wyłączonym zapobieganiem wykorzystaniu luk w zabezpieczeniach. Wspólne Wspólne Wspólne Wspólne Zapobieganie zagrożeniom Zapobieganie zagrożeniom Zapobieganie zagrożeniom McAfee Endpoint Security Podręcznik modułu Wspólne 23

24 3 Monitorowanie ochrony za pomocą McAfee epo Wspólne pulpity nawigacyjne i monitory Tabela 3-1 Wspólne pulpity nawigacyjne (ciąg dalszy) Pulpit nawigacyjny Endpoint Security: Stan wykrywania Endpoint Security: Stan środowiska Monitor Wyświetla... Zainstalowany przez moduł... Endpoint Security Zapobieganie zagrożeniom: Stan zgodności skanowania na bieżąco Zapora programu Endpoint Security: Stan zgodności Kontrola zagrożeń sieciowych Endpoint Security: Stan zgodności Endpoint Security: Zagrożenia wykryte w ciągu ostatnich 24 godzin Endpoint Security: Zagrożenia wykryte w ciągu ostatnich 7 dni Endpoint Security: Podsumowanie zagrożeń wykrytych w ciągu ostatnich 24 godzin Endpoint Security: Podsumowanie zagrożeń wykrytych w ciągu ostatnich 7 dni Endpoint Security: Obecnie włączona technologia Liczba systemów z włączoną lub wyłączoną ochroną skanowania na bieżąco. Liczba systemów z włączoną lub wyłączoną ochroną Zapora. Liczba systemów z włączoną lub wyłączoną ochroną Kontrola zagrożeń sieciowych. Zagrożenia wykryte dla minionych 24 godzin i 7 dni. Liczba zdarzeń zagrożenia w ciągu ostatnich 24 godzin, w tym czas wykrycia. Liczba zdarzeń zagrożenia w ciągu ostatnich 7 dni, w tym czas wykrycia. Nazwy zagrożeń wykrytych w ciągu ostatnich 24 godzin, w tym liczba zdarzeń związanych z zagrożeniem. Nazwy zagrożeń wykrytych w ciągu ostatnich 7 dni, w tym liczba zdarzeń związanych z zagrożeniem. Stan ochrony wdrożonych modułów Endpoint Security. Liczba systemów z włączonym modułem lub funkcją, w tym liczba systemów i wartość procentowa. Dla każdej technologii ten monitor pokazuje: Nazwa systemu Czas ostatniej komunikacji Zapobieganie zagrożeniom Zapora Kontrola zagrożeń sieciowych Wspólne Wspólne Wspólne Wspólne Wspólne Wspólne Wspólne Endpoint Security: Stan instalacji Endpoint Security: Raport stanu instalacji Platforma Endpoint Security: Zainstalowane poprawki HotFix Zapobieganie zagrożeniom Endpoint Security: Zainstalowane poprawki HotFix Czy moduł jest zainstalowany. Liczba systemów z wdrożonym programem Endpoint Security, według modułu, w tym szczegóły dotyczące wersji. Liczba systemów z zainstalowanymi poprawkami HotFix, według modułu, w tym numery wersji. Liczba systemów z zainstalowanymi poprawkami HotFix modułu Zapobieganie zagrożeniom, według modułu, w tym numery wersji. Wspólne Wspólne Wspólne Zapobieganie zagrożeniom 24 McAfee Endpoint Security Podręcznik modułu Wspólne

25 Monitorowanie ochrony za pomocą McAfee epo Wspólne pulpity nawigacyjne i monitory 3 Tabela 3-1 Wspólne pulpity nawigacyjne (ciąg dalszy) Pulpit nawigacyjny Endpoint Security: Zachowanie dotyczące zagrożeń Monitor Wyświetla... Zainstalowany przez moduł... Zapora programu Endpoint Security: Zainstalowane poprawki HotFix Kontrola zagrożeń sieciowych Endpoint Security: Zainstalowane poprawki HotFix Endpoint Security: Największe zagrożenia wykryte w ciągu ostatnich 48 godzin Liczba systemów z zainstalowanymi poprawkami HotFix modułu Zapora, według modułu, w tym numery wersji. Liczba systemów z zainstalowanymi poprawkami HotFix modułu Kontrola zagrożeń sieciowych, według modułu, w tym numery wersji. Zagrożenie i rozprzestrzenianie się infekcji w środowisku. 5 największych zagrożeń wirusowych według liczby zdarzeń wykrytych w ciągu ostatnich 48 godzin, w tym całkowita liczba zdarzeń i całkowita liczba zainfekowanych użytkowników i systemów. Dla każdego incydentu związanego z zagrożeniem ten monitor pokazuje: Czas wygenerowania zdarzenia Okres przed wykryciem Opis zdarzenia Typ zagrożenia Nazwa użytkownika będącego celem zagrożenia Nazwa systemu Nazwa technologii Wykonana akcja Zapora Kontrola zagrożeń sieciowych Wspólne Wspólne Endpoint Security: Okres przed wykryciem w punktach końcowych w ciągu ostatnich 2 tygodni Jak długo dane zagrożenie było w systemie przed wykryciem, w tym: Liczba zdarzeń Liczba zainfekowanych użytkowników Liczba zainfekowanych systemów Dla każdego czasu ten monitor pokazuje: Data i godzina Okres przed wykryciem Nazwa zagrożenia, istotność i wpływ Nazwa zainfekowanego systemu, nazwa użytkownika, nazwa technologii i nazwa produktu Wspólne Endpoint Security: 10 najczęściej atakujących systemów w ciągu ostatnich 7 dni 10 systemów najczęściej infekujących inne systemy (nazwa systemu, adres IP i adres MAC) oraz liczba zdarzeń zagrożeń na system. Wspólne McAfee Endpoint Security Podręcznik modułu Wspólne 25

26 3 Monitorowanie ochrony za pomocą McAfee epo Zapytania modułu Wspólne Tabela 3-1 Wspólne pulpity nawigacyjne (ciąg dalszy) Pulpit nawigacyjny Endpoint Security: Źródła zdarzeń zagrożeń Monitor Wyświetla... Zainstalowany przez moduł... Endpoint Security: Podstawowe wektory ataku w ciągu ostatnich 7 dni Jak zagrożenia dostają się do środowiska. Podstawowe wektory ataku, takie jak sieć lub wiadomość błyskawiczna, i obejmuje: Liczba zdarzeń Wartość procentowa dla wektora Łączna liczba zainfekowanych użytkowników Dla każdego wektora ten monitor pokazuje: Data i godzina Opis zdarzenia i kategoria Typ i nazwa zagrożenia Nazwa zainfekowanego użytkownika Wspólne Wspólne Endpoint Security: Najczęściej infekowaniu użytkownicy w ciągu ostatnich 7 dni Zapobieganie zagrożeniom Endpoint Security: Aplikacje z największą liczbą programów wykorzystujących luki w zabezpieczeniach w ciągu ostatnich 7 dni Kontrola zagrożeń sieciowych Endpoint Security: Kategorie zawartości sieci Web, które spowodowały najwięcej infekcji w ciągu ostatnich 7 dni 10 najczęściej infekowanych użytkowników, w tym liczba i procent zdarzeń związanych z zagrożeniami na użytkownika. Aplikacje z największą liczbą programów wykorzystujących luki w zabezpieczeniach polegających na przepełnieniu bufora, w tym liczba wykrytych. 10 kategorii stron internetowych, które powodują najwięcej infekcji w środowisku. Wspólne Zapobieganie zagrożeniom Kontrola zagrożeń sieciowych Zapytania modułu Wspólne Moduł Wspólne programu Endpoint Security oferuje kilka zdefiniowanych wstępnie zapytań. Wstępnie zdefiniowane zapytania Endpoint Security: Obecnie włączona technologia Endpoint Security: Okres przed wykryciem w punktach końcowych w ciągu ostatnich 2 tygodni Endpoint Security: Raport stanu instalacji Platforma Endpoint Security: Zainstalowane poprawki HotFix Endpoint Security: Zgodność z zasadami według nazwy komputera Endpoint Security: Zgodność z zasadami według nazwy zasady 26 McAfee Endpoint Security Podręcznik modułu Wspólne

27 Monitorowanie ochrony za pomocą McAfee epo Wspólne typy wyników i właściwości 3 Endpoint Security: Podstawowe wektory ataku w ciągu ostatnich 7 dni Endpoint Security: Stan zgodności ochrony rezydentnej Endpoint Security: Podsumowanie zagrożeń wykrytych w ciągu ostatnich 7 dni Endpoint Security: Zagrożenia wykryte w ciągu ostatnich 24 godzin Endpoint Security: Zagrożenia wykryte w ciągu ostatnich 7 dni Endpoint Security: 10 najczęściej atakujących systemów w ciągu ostatnich 7 dni Endpoint Security: Najczęściej infekowaniu użytkownicy w ciągu ostatnich 7 dni Endpoint Security: Największe zagrożenia wykryte w ciągu ostatnich 48 godzin Więcej informacji o zapytaniach i raportach można znaleźć w dokumentacji McAfee epo. Wspólne typy wyników i właściwości Moduł Wspólne dostarcza wstępnie zdefiniowane Typy wyników, których można użyć podczas tworzenia niestandardowych zapytań. Ponadto dla każdego Typu wyniku moduł Wspólne dostarcza właściwości, których można użyć do zawężenia zakresu danych zwracanych przez zapytanie i wyświetlanych. Aby tworzyć niestandardowe zapytania należy wybrać właściwości z typu wyniku Zdarzenia zagrożeń Endpoint Security. Grupa funkcji Zdarzenia Typ wyniku Zdarzenia zagrożeń Endpoint Security McAfee Endpoint Security Podręcznik modułu Wspólne 27

28 3 Monitorowanie ochrony za pomocą McAfee epo Wspólne typy wyników i właściwości 28 McAfee Endpoint Security Podręcznik modułu Wspólne

29 4 Korzystanie 4 z klienta Endpoint Security Spis treści Sposób działania Klient Endpoint Security Otwórz program Klient Endpoint Security Uzyskaj informacje na temat ochrony Sprawdzanie zagrożeń Ręczne aktualizowanie zawartości i oprogramowania. Logowanie jako administrator Odblokowywanie interfejsu klienta Sposób działania Klient Endpoint Security Klient Endpoint Security umożliwia sprawdzenie stanu ochrony i zapewnia dostęp do funkcji zabezpieczeń zainstalowanego oprogramowania, takich jak skanowanie, pliki poddane kwarantannie i pliki Extra.DAT. Klient Endpoint Security oferuje: Dostęp do funkcji, takich jak wyświetlanie łączy pomocy technicznej, logowanie jako administrator i instalowanie pobranego pliku Extra.DAT. Szybki dostęp do często wykonywanych zadań, takich jak skanowanie systemu i aktualizacja oprogramowania. Informacje na temat ochrony, takie jak stan, pliki dziennika zdarzeń, zadania i pliki poddane kwarantannie. Na stronie Zagrożenia: podsumowanie wyświetlane są informacje o zagrożeniach wykrytych w systemie w ciągu ostatnich 30 dni. Otwórz program Klient Endpoint Security Otwórz program Klient Endpoint Security, aby wyświetlić stan funkcji ochrony zainstalowanych na komputerze. Jeżeli tryb interfejsu jest ustawiony na Zablokuj interfejs klienta, należy wprowadzić hasło administratora, aby móc otworzyć program Klient Endpoint Security. 1 Użyj jednej z poniższych metod, aby wyświetlić okno programu Klient Endpoint Security: Kliknij ikonę w zasobniku systemowym prawym przyciskiem myszy i wybierz opcję McAfee Endpoint Security. Wybierz Start Wszystkie programy McAfee McAfee Endpoint Security. McAfee Endpoint Security Podręcznik modułu Wspólne 29

30 4 Korzystanie z klienta Endpoint Security Uzyskaj informacje na temat ochrony W systemie operacyjnym Windows 8 lub 10 uruchom aplikację McAfee Endpoint Security. 1 Naciśnij klawisz Windows. 2 W polu wyszukiwania wpisz tekst McAfee Endpoint Security, a następnie kliknij dwukrotnie lub dotknij aplikację McAfee Endpoint Security. 2 Po wyświetleniu monitu na stronie Zaloguj się jako administrator wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Zostanie otwarty program Klient Endpoint Security w trybie interfejsu skonfigurowanym przez administratora. Patrz także Odblokowywanie interfejsu klienta na stronie 32 Uzyskaj informacje na temat ochrony Można uzyskać konkretne informacje o ochronie zapewnianej przez oprogramowanie, w tym o typie zarządzania, modułach ochrony, funkcjach, stanach, numerach wersji i licencjonowaniu. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Informacje. 3 Kliknij nazwę modułu lub funkcji po lewej stronie, aby przejść do informacji na temat danej pozycji. 4 Kliknij przycisk Zamknij w przeglądarce, aby zamknąć stronę Informacje. Sprawdzanie zagrożeń Strona Stan w Klient Endpoint Security oferuje podsumowanie w czasie rzeczywistym wszystkich zagrożeń wykrytych w systemie w ciągu ostatnich 30 dni. Po wykryciu nowych zagrożeń strona Stan zostanie dynamicznie zaktualizowana danymi w obszarze Zagrożenia: podsumowanie w panelu dolnym. Stan Klient Endpoint Security musi być zielony, aby możliwe było wyświetlenie sekcji Zagrożenia: podsumowanie. Zagrożenia: podsumowanie zawiera następujące informacje: Data ostatniego wyeliminowania zagrożenia Dwa najważniejsze wektory zagrożenia wg kategorii Liczba zagrożeń na wektor zagrożenia Jeżeli Klient Endpoint Security nie może połączyć się z Menedżerem zdarzeń, wyświetlony zostanie komunikat o błędzie komunikacji. Aby wyświetlić Zagrożenia: podsumowanie, uruchom ponownie system. 30 McAfee Endpoint Security Podręcznik modułu Wspólne

31 Korzystanie z klienta Endpoint Security Ręczne aktualizowanie zawartości i oprogramowania. 4 Ręczne aktualizowanie zawartości i oprogramowania. Można ręcznie sprawdzić i pobrać zaktualizowane pliki zabezpieczeń z Klient Endpoint Security. Ręczne aktualizacje są nazywane aktualizacjami na żądanie. 1 Otwórz program Klient Endpoint Security. 2 Kliknij Aktualizuj. Jeżeli przycisk nie jest widoczny w Klient Endpoint Security, można włączyć go w ustawieniach. Klient Endpoint Security sprawdza dostępność aktualizacji. Strona Aktualizuj wyświetla informacje na temat ostatniej aktualizacji lub datę i godzinę ostatniej aktualizacji, jeśli nie nastąpiła dzisiaj. Aby anulować aktualizację, kliknij przycisk Anuluj. Jeśli aktualizacja powiedzie się, na stronie zostanie wyświetlony komunikat Aktualizacja zakończona i ostatnia aktualizacja jako Dzisiaj. Jeśli aktualizacja była niepomyślna, w obszarze Komunikaty wyświetlane są błędy. Aby uzyskać więcej informacji, wyświetl dzienniki PackageManager_Activity.log lub PackageManager_Debug.log. 3 Kliknij przycisk Zamknij, aby zamknąć stronę Aktualizuj. Patrz także Konfigurowanie domyślnego działania aktualizacji za pomocą klienta na stronie 37 Otwórz program Klient Endpoint Security na stronie 29 Logowanie jako administrator Zaloguj się w programie Klient Endpoint Security jako administrator, aby uzyskać możliwość włączania i wyłączania funkcji oraz konfigurowania ustawień. Zanim rozpoczniesz Tryb interfejsu Klient Endpoint Security jest ustawiony na Standardowy dostęp. 1 Otwórz program Klient Endpoint Security. 2 Z menu Akcja wybierz opcję Zaloguj się jako administrator. 3 W polu Hasło wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Można teraz uzyskać dostęp do wszystkich funkcji Klient Endpoint Security. Aby się wylogować, należy wybrać pozycję Akcja Wyloguj się jako administrator. Klient powróci do trybu interfejsu Standardowy dostęp. McAfee Endpoint Security Podręcznik modułu Wspólne 31

32 4 Korzystanie z klienta Endpoint Security Odblokowywanie interfejsu klienta Odblokowywanie interfejsu klienta Jeżeli interfejs programu Klient Endpoint Security jest zablokowany, należy go odblokować za pomocą hasła administratora, aby uzyskać dostęp do wszystkich ustawień. Zanim rozpoczniesz Tryb interfejsu Klient Endpoint Security jest ustawiony na Zablokuj interfejs klienta. 1 Otwórz program Klient Endpoint Security. 2 Na stronie Zaloguj się jako administrator w polu Hasło wprowadź hasło administratora, a następnie kliknij przycisk Zaloguj. Zostanie otwarty program Klient Endpoint Security i będzie można korzystać ze wszystkich jego funkcji. 3 Aby wylogować się i zamknąć klienta, w menu Akcja wybierz polecenie Wyloguj się jako administrator. 32 McAfee Endpoint Security Podręcznik modułu Wspólne

33 5 Zarządzanie 5 wspólnymi funkcjami w systemie klienckim Spis treści Wyłączanie i włączanie funkcji Ochrona usług i plików w systemie klienta Konfigurowanie rejestrowania aktywności klienta w systemie klienta Kontrolowanie dostępu do interfejsu klienta w systemie klienta Skonfiguruj ustawienia serwera proxy w systemie klienta Konfigurowanie automatycznych aktualizacji dla klienta Zezwalanie na uwierzytelnianie certyfikatem w systemie klienta Wyłączanie i włączanie funkcji Jako administrator możesz włączać i wyłączać funkcje programu Endpoint Security z poziomu programu Klient Endpoint Security. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Strona Stan wyświetla stan modułu funkcji jako włączony, co może nie odzwierciedlać faktycznego stanu funkcji. Stan każdej funkcji można sprawdzić na stronie Ustawienia. Na przykład, jeżeli ustawienia funkcji Włącz funkcję ScriptScan nie są stosowane, stan może być wyświetlany jako (Stan: wyłączone). 1 Otwórz program Klient Endpoint Security. 2 Kliknij nazwę modułu na głównej stronie Stan. Lub w menu Akcja wybierz pozycję Ustawienia, a następnie na stronie Ustawienia kliknij nazwę modułu. 3 Zaznacz lub usuń zaznaczenie opcji Włącz moduł lub funkcję. Patrz także Logowanie jako administrator na stronie 31 McAfee Endpoint Security Podręcznik modułu Wspólne 33

34 5 Zarządzanie wspólnymi funkcjami w systemie klienckim Ochrona usług i plików w systemie klienta Ochrona usług i plików w systemie klienta Jednym z pierwszych działań podczas ataku złośliwego oprogramowania jest próba wyłączenia oprogramowania zabezpieczającego system. W celu zapobiegania zatrzymywaniu lub modyfikowaniu usług i plików należy skonfigurować moduł Ochrona rezydentna w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Wyłączenie modułu Ochrona rezydentna zwiększa podatność systemu na ataki. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W opcji Ochrona rezydentna sprawdź, czy Ochrona rezydentna jest włączona. 5 Określ działanie dla każdego z następujących zasobów: Pliki i foldery zapobiega modyfikowaniu przez użytkowników bazy danych, plików binarnych, plików bezpiecznego wyszukiwania i plików konfiguracyjnych oprogramowania firmy McAfee. Rejestr zapobiega modyfikowaniu przez użytkowników gałęzi rejestru i komponentów COM oprogramowania firmy McAfee oraz odinstalowaniu go za pomocą wartości rejestru. Procesy służy do uniemożliwiania zatrzymywania procesów oprogramowania firmy McAfee. 6 Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie 31 Konfigurowanie rejestrowania aktywności klienta w systemie klienta Rejestrowanie można skonfigurować w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Na stronie skonfiguruj ustawienia Rejestrowanie klienta. 5 Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie McAfee Endpoint Security Podręcznik modułu Wspólne

35 Zarządzanie wspólnymi funkcjami w systemie klienckim Kontrolowanie dostępu do interfejsu klienta w systemie klienta 5 Kontrolowanie dostępu do interfejsu klienta w systemie klienta Kontrolę dostępu do programu Klient Endpoint Security można wprowadzić poprzez określenie hasła w ustawieniach Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Tryb interfejsu klienta domyślnie ma ustawienie Pełny dostęp, co pozwala użytkownikom na zmianę konfiguracji zabezpieczeń i w rezultacie może prowadzić do narażenia systemów na ataki złośliwego oprogramowania. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Skonfiguruj ustawienia Tryb interfejsu klienta na stronie. Zalecane działanie: W celu zwiększenia poziomu bezpieczeństwa należy zmienić ustawienie parametru Tryb interfejsu klienta na Standardowy lub Zablokuj interfejs klienta. Obie opcje powodują włączenie wymogu podania hasła Administratora w celu uzyskania dostępu do ustawień programu Klient Endpoint Security. 4 Kliknij przycisk Zastosuj. Zadania Ograniczanie i zezwalanie na dostęp do funkcji na stronie 35 Ustawienia opcji Tryb interfejsu klienta przypisane do komputera umożliwiają określanie funkcji, do których użytkownik ma dostęp. Patrz także Logowanie jako administrator na stronie 31 Ograniczanie i zezwalanie na dostęp do funkcji Ustawienia opcji Tryb interfejsu klienta przypisane do komputera umożliwiają określanie funkcji, do których użytkownik ma dostęp. Zmień opcję Tryb interfejsu klienta w ustawieniach modułu Wspólne. W systemach zarządzanych zmiany zasad z poziomu platformy McAfee epo mogą spowodować zastąpienie zmian wprowadzonych na stronie Ustawienia. Są to opcje Trybu interfejsu klienta. McAfee Endpoint Security Podręcznik modułu Wspólne 35

36 5 Zarządzanie wspólnymi funkcjami w systemie klienckim Skonfiguruj ustawienia serwera proxy w systemie klienta Pełny dostęp Służy do włączania dostępu do wszystkich funkcji programu, w tym: Włączania i wyłączania poszczególnych modułów i funkcji. Uzyskiwania dostępu do strony Ustawienia w celu wyświetlania lub modyfikowania wszystkich ustawień Klient Endpoint Security. (Domyślne ustawienie) Standardowy dostęp Zablokuj interfejs klienta Służy do wyświetlania stanu ochrony i włączania dostępu do większości funkcji. Służy do aktualizacji plików z zawartością i składników oprogramowania zainstalowanego na komputerze (jeżeli opcja ta została włączona przez administratora). Uzyskiwanie dostępu do pliku dziennika zdarzeń. W trybie interfejsu Standardowy dostęp można zalogować się jako administrator, aby uzyskać dostęp do wszystkich funkcji, łącznie z wszystkimi ustawieniami. Służy do zabezpieczania hasłem dostępu do klienta. Po odblokowaniu interfejsu klienta można uzyskać dostęp do wszystkich funkcji. Jeżeli nie można uzyskać dostępu do Klient Endpoint Security lub określonych zadań i funkcji potrzebnych do wykonania zadania, należy skontaktować się z administratorem. Skonfiguruj ustawienia serwera proxy w systemie klienta Określ opcje serwera proxy w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Skonfiguruj ustawienia Serwer proxy na stronie. Zalecane działanie: Należy wykluczyć adresy McAfee GTI z serwera proxy. Aby uzyskać informacje, patrz KB79640 i KB Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie 31 Konfigurowanie automatycznych aktualizacji dla klienta Spis treści Konfigurowanie miejsca uzyskiwania aktualizacji przez klienta Konfigurowanie domyślnego działania aktualizacji za pomocą klienta Konfigurowanie, planowanie i uruchamianie zadań aktualizacji za pomocą klienta 36 McAfee Endpoint Security Podręcznik modułu Wspólne

37 Zarządzanie wspólnymi funkcjami w systemie klienckim Konfigurowanie automatycznych aktualizacji dla klienta 5 Działanie zadań dublowania Konfigurowanie, planowanie i uruchamianie zadań dublowania Konfigurowanie miejsca uzyskiwania aktualizacji przez klienta Witryny, z których program Klient Endpoint Security pobiera zaktualizowane pliki zabezpieczeń, można konfigurować w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij polecenie Opcje. 5 Konfiguracja ustawień opcjiwitryny źródłowe aktualizacji na stronie. Domyślną witrynę źródłową kopii zapasowej, McAfeeHttp, i serwer zarządzania można włączać i wyłączać, ale nie można ich usuwać ani w inny sposób modyfikować. Witrynę źródłową można dodawać, zmieniać, importować lub eksportować. Kolejność witryn decyduje o kolejności, w której program Endpoint Security wyszukuje lokalizację aktualizacji. 6 Kliknij przycisk Zastosuj. Patrz także Używanie list repozytoriów witryn aktualizacji na stronie 20 Logowanie jako administrator na stronie 31 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji za pomocą klienta na stronie 38 Konfigurowanie domyślnego działania aktualizacji za pomocą klienta Działanie aktualizacji rozpoczętych w programie Klient Endpoint Security można określić w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Ustawienia te służą do: wyświetlania i ukrywania przycisku Aktualizuj w kliencie, określania elementów aktualizowanych, gdy użytkownik kliknie przycisk lub gdy uruchomione zostaje zadanie Domyślna aktualizacja klienta. Domyślnie zadanie domyślnej aktualizacji klienta uruchamiane jest codziennie o 1:00 w nocy i powtarzane co cztery godziny do 23:59. McAfee Endpoint Security Podręcznik modułu Wspólne 37

38 5 Zarządzanie wspólnymi funkcjami w systemie klienckim Konfigurowanie automatycznych aktualizacji dla klienta 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 Konfiguruj ustawienia opcji Domyślna aktualizacja klienta na stronie. 5 Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie 31 Konfigurowanie miejsca uzyskiwania aktualizacji przez klienta na stronie 37 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji za pomocą klienta na stronie 38 Konfigurowanie, planowanie i uruchamianie zadań aktualizacji za pomocą klienta Można skonfigurować niestandardowe zadania aktualizacji lub zmienić harmonogram zadania domyślnej aktualizacji klienta za pomocą programu Klient Endpoint Security w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. Użyj tych ustawień, aby za pomocą klienta skonfigurować czas działania zadania Domyślna aktualizacja klienta. Możesz również skonfigurować domyślne działanie aktualizacji klienta uruchomionych w programie Klient Endpoint Security. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij opcję Zadania. 5 Konfiguracja ustawień zadania aktualizacji na stronie. aktualizacji można dodawać, dostosowywać i uruchamiać. Można również utworzyć kopię zadania aktualizacji i zmienić harmonogram. 6 Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie 31 Konfigurowanie miejsca uzyskiwania aktualizacji przez klienta na stronie 37 Konfigurowanie domyślnego działania aktualizacji za pomocą klienta na stronie 37 Działanie zadań dublowania dublowania replikuje pliki aktualizacji z pierwszego dostępnego repozytorium zdefiniowanego na liście repozytoriów i przekazuje je do witryny dublowanej w sieci. to jest najczęściej używane do dublowania zawartości witryny pobierania firmy McAfee na lokalnym serwerze. 38 McAfee Endpoint Security Podręcznik modułu Wspólne

39 Zarządzanie wspólnymi funkcjami w systemie klienckim Zezwalanie na uwierzytelnianie certyfikatem w systemie klienta 5 Po zreplikowaniu witryny McAfee zawierającej pliki aktualizacji komputery podłączone do sieci mogą pobrać te pliki z dublowanej witryny. Pozwala to na aktualizowanie komputerów w sieci bez względu na to, czy mają dostęp do Internetu. Korzystanie ze zreplikowanej witryny jest wydajniejsze, ponieważ komputery łączą się z serwerem, który znajduje się bliżej niż witryna internetowa firmy McAfee, co pozwala skrócić czas dostępu i pobierania. Oprogramowanie bazuje na katalogu w celu zaktualizowania samego siebie. Dlatego też w przypadku dublowania witryny ważne jest, aby replikacja objęła całą strukturę katalogów. Konfigurowanie, planowanie i uruchamianie zadań dublowania Zadania dublowania można modyfikować lub planować za pomocą Klient Endpoint Security w ustawieniach modułu Wspólne. Zanim rozpoczniesz Tryb interfejsu programu Klient Endpoint Security należy ustawić na Pełny dostęp lub zalogować się jako administrator. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W module Wspólne kliknij opcję Zadania. 5 Skonfiguruj ustawienia zadania dublowania na stronie. dublowania można dodawać, zmieniać, kopiować, planować i uruchamiać. 6 Kliknij przycisk Zastosuj. Patrz także Logowanie jako administrator na stronie 31 Zezwalanie na uwierzytelnianie certyfikatem w systemie klienta Certyfikaty umożliwiają dostawcy uruchamianie kodu wewnątrz procesów firmy McAfee. 1 Otwórz program Klient Endpoint Security. 2 W menu Akcja wybierz pozycję Ustawienia. 3 Kliknij przycisk Wyświetl zaawansowane. 4 W sekcji Certyfikaty wybierz opcję Zezwól. To ustawienie może powodować problemy ze zgodnością i obniżenie poziomu ochrony. 5 Kliknij przycisk Zastosuj. W tabeli pojawią się informacje dotyczące certyfikatu. McAfee Endpoint Security Podręcznik modułu Wspólne 39

40 5 Zarządzanie wspólnymi funkcjami w systemie klienckim Zezwalanie na uwierzytelnianie certyfikatem w systemie klienta 40 McAfee Endpoint Security Podręcznik modułu Wspólne

41 6 Monitorowanie 6 ochrony w systemie klienta Spis treści Kliknij Plik dziennika zdarzeń, aby uzyskać informacje na temat ostatniej aktywności Nazwy i położenie plików dziennika Kliknij Plik dziennika zdarzeń, aby uzyskać informacje na temat ostatniej aktywności Plik dziennika zdarzeń w programie Klient Endpoint Security wyświetla zapis zdarzeń mających miejsce w systemie chronionym przez oprogramowanie McAfee. 1 Otwórz program Klient Endpoint Security. 2 Po lewej stronie kliknij przycisk Plik dziennika zdarzeń. Na stronie wyświetlane są wszystkie zdarzenia zarejestrowane przez program Endpoint Security w systemie w ciągu ostatnich 30 dni. Jeżeli Klient Endpoint Security nie może połączyć się z Menedżerem zdarzeń, wyświetlony zostanie komunikat o błędzie komunikacji. W takim przypadku należy ponownie uruchomić system, aby wyświetlić Plik dziennika zdarzeń. 3 Zaznacz zdarzenie w górnym okienku, aby wyświetlić jego szczegóły w dolnym okienku. Aby zmienić wielkość okienek, należy kliknąć widżet między oknami i przeciągnąć go. 4 Na stronie Plik dziennika zdarzeń posortuj, wyszukaj, odfiltruj lub załaduj ponownie zdarzenia. 5 Przejrzyj Plik dziennika zdarzeń. Domyślnie Plik dziennika zdarzeń wyświetla 20 zdarzeń na stronę. Aby wyświetlić więcej zdarzeń na stronie, z listy rozwijanej wybierz opcję Liczba zdarzeń na stronie. Nazwy i położenie plików dziennika W dziennikach aktywności, błędów i debugowania rejestrowane są zdarzenia występujące na komputerach z włączonymi produktami McAfee. Wszystkie pliki dziennika aktywności i debugowania są zapisywane tutaj: %ProgramData%\McAfee\Endpoint Security\Logs McAfee Endpoint Security Podręcznik modułu Wspólne 41

42 6 Monitorowanie ochrony w systemie klienta Nazwy i położenie plików dziennika Każdy moduł, funkcja lub technologia mają własny plik dziennika aktywności lub debugowania. Wszystkie moduły umieszczają rejestrowanie błędów w pojedynczym pliku EndpointSecurityPlatform_Errors.log. Tabela 6-1 Pliki dziennika Funkcja lub technologia Platforma Ochrona rezydentna Aktualizacje Błędy Klient Endpoint Security Nazwa pliku EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log Zawiera dzienniki błędów dla wszystkich modułów. MFEConsole_Debug.log Domyślnie pliki dziennika instalacji przechowywane są tutaj: TEMP\McAfeeLogs, który jest folderem TEMP użytkownika systemu Windows. 42 McAfee Endpoint Security Podręcznik modułu Wspólne

43 0-18