close

Enter

Log in using OpenID

Agente OfficeScan

embedDownload
Guida per l'amministratore
Per medie e grandi aziende
Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa
documentazione e al prodotto in essa descritti senza alcun obbligo di notifica. Prima
dell'installazione e dell'utilizzo del prodotto, leggere con attenzione i file Readme, le note
sulla versione corrente e l'ultima edizione della relativa documentazione, che sono
disponibili nel sito Web di Trend Micro all'indirizzo:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Trend Micro, il logo Trend Micro della pallina con il disegno di una T, OfficeScan,
Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall e
TrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri
nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi
proprietari.
Copyright © 2014. Trend Micro Incorporated. Tutti i diritti riservati.
Codice documento: OSEM115885_130313
Data di pubblicazione: aprile 2014
Protetto da brevetto U.S.: 5,951,698
Questa documentazione introduce le funzion principali del prodotto e fornisce istruzioni
sull'installazione in un ambiente di produzione. Prima di installare o utilizzare il
prodotto, leggere attentamente questa documentazione.
Informazioni dettagliate sull'uso di funzioni specifiche del prodotto sono disponibili nel
centro di assistenza online di Trend Micro e/o nella Knowledge Base di Trend Micro.
Trend Micro si impegna continuamente a migliorare la propria documentazione. Per
domande, commenti o suggerimenti riguardanti questo o qualsiasi documento Trend
Micro, scrivere all'indirizzo [email protected]
È possibile esprimere un giudizio sulla documentazione al seguente indirizzo:
http://www.trendmicro.com/download/documentation/rating.asp
Sommario
Prefazione
Prefazione ........................................................................................................... xi
Documentazione di OfficeScan ..................................................................... xii
Destinatari ......................................................................................................... xii
Convenzioni utilizzate nella documentazione ............................................ xiii
Terminologia .................................................................................................... xiv
Parte I: Introduzione e informazioni preliminari
Capitolo 1: Introduzione di OfficeScan
Informazioni su OfficeScan .......................................................................... 1-2
Novità della versione ...................................................................................... 1-2
Principali funzioni e vantaggi ........................................................................ 1-9
Il server OfficeScan ...................................................................................... 1-12
Agente OfficeScan ........................................................................................ 1-13
Integrazione con i prodotti e i servizi Trend Micro ................................ 1-14
Capitolo 2: Informazioni preliminari su OfficeScan
La console Web ............................................................................................... 2-2
Dashboard ....................................................................................................... 2-5
Strumento di migrazione del server ........................................................... 2-32
Active Directory Integration ....................................................................... 2-35
Struttura agente OfficeScan ........................................................................ 2-39
Domini OfficeScan ...................................................................................... 2-52
i
Guida per l'amministratore di OfficeScan™ 11.0
Capitolo 3: Informazioni preliminari su Protezione dati
Installazione di Protezione dati .................................................................... 3-2
Licenza di Protezione dati ............................................................................. 3-4
Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6
Cartella dati forensi e database DLP ........................................................... 3-9
Disinstallazione di Protezione dati ............................................................. 3-15
Parte II: Protezione degli agenti OfficeScan
Capitolo 4: Utilizzo di Trend Micro Smart Protection
Informazioni su Trend Micro Smart Protection ........................................ 4-2
Servizi Smart Protection ................................................................................ 4-3
Origini Smart Protection ............................................................................... 4-6
File Smart Protection Pattern ....................................................................... 4-8
Impostazione dei servizi Smart Protection ............................................... 4-13
Utilizzo dei servizi Smart Protection ......................................................... 4-34
Capitolo 5: Installazione dell'agente OfficeScan
Installazione da zero dell'agente OfficeScan .............................................. 5-2
Considerazioni sull'installazione ................................................................... 5-2
Considerazioni sull'implementazione ........................................................ 5-11
Migrazione all'agente OfficeScan ............................................................... 5-65
Post-installazione .......................................................................................... 5-70
Disinstallazione dell'agente OfficeScan ..................................................... 5-73
Capitolo 6: Come mantenere la protezione aggiornata
Programmi e componenti di OfficeScan .................................................... 6-2
Panoramica sugli aggiornamenti ................................................................. 6-14
ii
Sommario
Aggiornamenti server OfficeScan .............................................................. 6-17
Aggiornamenti di Integrated Smart Protection Server ........................... 6-30
Aggiornamenti agente OfficeScan ............................................................. 6-30
Update Agent ................................................................................................ 6-58
Riepilogo aggiornamento componenti ...................................................... 6-67
Capitolo 7: Analisi dei rischi per la sicurezza
Informazioni sui rischi per la sicurezza ....................................................... 7-2
Tipi di metodi di scansione ........................................................................... 7-8
Tipi di scansione ........................................................................................... 7-15
Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28
Privilegi scansione e altre impostazioni ..................................................... 7-55
Impostazioni globali di scansione .............................................................. 7-70
Notifiche sui Rischi per la sicurezza .......................................................... 7-82
Registri dei rischi per la sicurezza .............................................................. 7-90
Rischi per la sicurezza ................................................................................ 7-104
Capitolo 8: Uso di Monitoraggio del comportamento
Monitoraggio del comportamento ............................................................... 8-2
Configurazione delle impostazioni del monitoraggio del comportamento
globale ............................................................................................................... 8-8
Privilegi di monitoraggio del comportamento ......................................... 8-10
Notifiche di Monitoraggio del comportamento per gli utenti degli agenti
OfficeScan ..................................................................................................... 8-13
Registri di Monitoraggio del comportamento .......................................... 8-14
Capitolo 9: Utilizzo di Controllo dispositivo
Controllo dispositivo ...................................................................................... 9-2
iii
Guida per l'amministratore di OfficeScan™ 11.0
Autorizzazioni per dispositivi di archiviazione .......................................... 9-4
Autorizzazioni per dispositivi non di archiviazione ................................ 9-11
Modifica delle notifiche di controllo dispositivo ..................................... 9-18
Registri di controllo dispositivo ................................................................. 9-18
Capitolo 10: Utilizzo di Prevenzione perdita di dati
Informazioni sulla Prevenzione perdita di dati ........................................ 10-2
Criteri di Prevenzione perdita di dati ......................................................... 10-3
Tipi di identificatore di dati ......................................................................... 10-5
Modelli di Prevenzione perdita di dati .................................................... 10-20
Canali DLP .................................................................................................. 10-25
Azioni di Prevenzione perdita di dati ...................................................... 10-37
Eccezioni di Prevenzione perdita di dati ................................................ 10-38
Configurazione dei criteri Prevenzione perdita di dati ......................... 10-44
Notifiche di Prevenzione perdita di dati ................................................. 10-49
Registri di Prevenzione perdita di dati .................................................... 10-53
Capitolo 11: Protezione dei computer dalle minacce Web
Minacce Web ................................................................................................. 11-2
Servizi di avvisi contatti Command & Control ........................................ 11-2
Reputazione Web ......................................................................................... 11-4
Criteri di reputazione Web .......................................................................... 11-5
Servizio di connessione sospetta .............................................................. 11-12
Notifiche di minacce Web per utenti agente .......................................... 11-16
Configurazione delle notifiche di callback C&C per gli amministratori 11-18
Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 11-21
Registri delle minacce Web ....................................................................... 11-23
iv
Sommario
Capitolo 12: Utilizzo del firewall di OfficeScan
Informazioni sul Firewall di OfficeScan ................................................... 12-2
Attivazione o disattivazione del Frewall di OfficeScan .......................... 12-6
Criteri e profili del firewall .......................................................................... 12-8
Privilegi firewall .......................................................................................... 12-23
Impostazioni firewall globali ..................................................................... 12-25
Notifiche di violazione del firewall per utenti agente OfficeScan ...... 12-28
Registri del firewall ..................................................................................... 12-29
Infezioni da violazione del firewall .......................................................... 12-31
Test del firewall OfficeScan ...................................................................... 12-32
Parte III: Gestione degli agenti e del server
OfficeScan
Capitolo 13: Gestione del server OfficeScan
Role-based Administration (RBA) ............................................................. 13-2
Trend Micro Control Manager ................................................................. 13-22
Server di riferimento .................................................................................. 13-29
Impostazioni notifica amministratore ..................................................... 13-31
Registri eventi di sistema ........................................................................... 13-33
Gestione dei registri ................................................................................... 13-34
Licenze ......................................................................................................... 13-38
OfficeScan Database Backup ................................................................... 13-41
Strumento di migrazione SQL Server ..................................................... 13-42
Impostazioni connessione agente/server Web OfficeScan ................. 13-47
Password della console Web ..................................................................... 13-48
Autenticazione delle comunicazioni avviate dal server ........................ 13-48
v
Guida per l'amministratore di OfficeScan™ 11.0
Impostazioni della console Web .............................................................. 13-53
Gestore della quarantena ........................................................................... 13-54
Server Tuner ................................................................................................ 13-55
Smart Feedback .......................................................................................... 13-58
Capitolo 14: Gestione dell'agente OfficeScan
Posizione dispositivo ................................................................................... 14-2
Gestione del programma agente OfficeScan ............................................ 14-6
Connessione agente-server ....................................................................... 14-26
Impostazioni proxy agente OfficeScan ................................................... 14-50
Visualizzazione delle informazioni dettagliate sull'agente OfficeScan 14-55
Importazione ed esportazione delle impostazioni degli agenti ........... 14-55
Conformità sicurezza ................................................................................. 14-57
Supporto Trend Micro Virtual Desktop ................................................. 14-75
Impostazioni globali agente ...................................................................... 14-89
Configurazione dei privilegi dell'agente e altre impostazioni .............. 14-90
Parte IV: Protezione aggiuntiva
Capitolo 15: Uso di Plug-in Manager
Informazioni su Plug-in Manager .............................................................. 15-2
Installazione di Plug-in Manager ................................................................ 15-3
Gestione delle funzioni native di OfficeScan ........................................... 15-4
Gestione dei programmi plug-in ................................................................ 15-4
Disinstallazione di Plug-in Manager ........................................................ 15-12
Risoluzione dei problemi di Plug-in Manager ........................................ 15-12
Capitolo 16: Risorse per la risoluzione dei problemi
Sistema di supporto intelligente ................................................................. 16-2
vi
Sommario
Case Diagnostic Tool ................................................................................... 16-2
Trend Micro Performance Tuning Tool ................................................... 16-2
Registri del server OfficeScan ..................................................................... 16-3
Registri dell'agente OfficeScan ................................................................. 16-15
Capitolo 17: Assistenza tecnica
Risorse per la risoluzione dei problemi ..................................................... 17-2
Come contattare Trend Micro .................................................................... 17-4
Invio di contenuti sospetti a Trend Micro ................................................ 17-5
Other Resources ........................................................................................... 17-6
Appendici
Appendice A: Supporto IPv6 in OfficeScan
Supporto IPv6 per server OfficeScan e agenti .......................................... A-2
Configurazione indirizzi IPv6 ...................................................................... A-6
Schermate che visualizzano gli indirizzi IP ................................................ A-7
Appendice B: Supporto per Windows Server Core
2008/2012
Supporto per Windows Server Core 2008/2012 ...................................... B-2
Metodi di installazione per Windows Server Core ................................... B-2
Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6
Comandi di Windows Server Core .............................................................. B-7
Appendice C: Supporto per Windows 8/8.1 e Windows
Server 2012
Informazioni su Windows 8/8.1 e Windows Server 2012 ...................... C-2
Internet Explorer 10/11 ............................................................................... C-4
vii
Guida per l'amministratore di OfficeScan™ 11.0
Appendice D: Rollback di OfficeScan
Rollback del server OfficeScan e degli agenti OfficeScan ...................... D-2
Appendice E: Glossario
ActiveUpdate .................................................................................................. E-2
File compresso ............................................................................................... E-2
Cookie .............................................................................................................. E-2
Attacco DoS (Denial of Service) ................................................................. E-2
DHCP .............................................................................................................. E-3
DNS ................................................................................................................. E-3
Nome dominio ............................................................................................... E-3
Indirizzo IP dinamico ................................................................................... E-3
ESMTP ............................................................................................................ E-4
Contratto di licenza per l'utente finale ........................................................ E-4
Falso allarme ................................................................................................... E-4
FTP .................................................................................................................. E-4
GeneriClean .................................................................................................... E-4
Hot Fix ............................................................................................................ E-5
HTTP ............................................................................................................... E-5
HTTPS ............................................................................................................ E-6
ICMP ............................................................................................................... E-6
IntelliScan ........................................................................................................ E-6
IntelliTrap ....................................................................................................... E-7
IP ...................................................................................................................... E-7
File Java ........................................................................................................... E-7
LDAP .............................................................................................................. E-8
Porta di ascolto ............................................................................................... E-8
viii
Sommario
MCP Agent ..................................................................................................... E-8
Minaccia di tipo misto ................................................................................... E-9
NAT ................................................................................................................. E-9
NetBIOS ......................................................................................................... E-9
Comunicazione unidirezionale ..................................................................... E-9
Patch .............................................................................................................. E-10
Attacco di phishing ...................................................................................... E-10
Ping ................................................................................................................ E-11
POP3 ............................................................................................................. E-11
Server proxy .................................................................................................. E-11
RPC ................................................................................................................ E-11
Patch di protezione ...................................................................................... E-11
Service Pack .................................................................................................. E-12
SMTP ............................................................................................................. E-12
SNMP ............................................................................................................ E-12
Trap SNMP .................................................................................................. E-12
SOCKS 4 ....................................................................................................... E-12
SSL ................................................................................................................. E-13
Certificato SSL ............................................................................................. E-13
TCP ................................................................................................................ E-13
Telnet ............................................................................................................. E-13
Porta dei cavalli di Troia ............................................................................. E-14
Porta affidabile ............................................................................................. E-15
Comunicazione bidirezionale ..................................................................... E-16
UDP ............................................................................................................... E-16
File non disinfettabili ................................................................................... E-16
Indice
ix
Guida per l'amministratore di OfficeScan™ 11.0
Indice ............................................................................................................. IN-1
x
Prefazione
Prefazione
Consultare la Guida per l'amministratore di Trend Micro™OfficeScan™. Questo
documento contiene le informazioni introduttive e illustra le procedure per
l'installazione dell'agente e di gestione dell'agente e del server OfficeScan.
Di seguito sono riportati gli argomenti trattati:
•
Documentazione di OfficeScan a pagina xii
•
Destinatari a pagina xii
•
Convenzioni utilizzate nella documentazione a pagina xiii
•
Terminologia a pagina xiv
xi
Guida per l'amministratore di OfficeScan™ 11.0
Documentazione di OfficeScan
La documentazione di OfficeScan comprende quanto segue:
TABELLA 1. Documentazione di OfficeScan
DOCUMENTAZIONE
DESCRIZIONE
Guida
all'installazione e
all'aggiornamento
Un documento PDF che illustra i requisiti e le procedure di
installazione del server OfficeScan e l'aggiornamento del server e
degli agenti.
Guida per
l'amministratore
Un documento PDF contenente le informazioni introduttive, le
procedure per l'installazione dell'agente OfficeScan e la gestione
dell'agente e del server OfficeScan.
Guida
File HTML compilati in formato WebHelp o CHM che forniscono
procedure, consigli di utilizzo e informazioni specifiche. È possibile
accedere alla Guida delle console di agenti e server OfficeScan e
dall'installazione principale di OfficeScan.
File Readme
Contiene un elenco di problemi noti e la procedura di base per
l'installazione. Contiene inoltre le informazioni più recenti sul
prodotto che non è stato possibile inserire nella documentazione nel
software né in quella stampata.
Knowledge Base
Un database online contenente informazioni utili per la risoluzione
dei problemi. Fornisce le informazioni più recenti sui problemi noti
riscontrati nell'utilizzo dei prodotti. Per accedere alla Knowledge
Base, visitare il seguente sito Web:
http://esupport.trendmicro.com
Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per il
download alla pagina seguente:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Destinatari
La documentazione di OfficeScan è destinata agli utenti seguenti:
xii
Prefazione
•
Amministratori di OfficeScan: responsabili della gestione di OfficeScan,
comprese le attività di gestione e installazione del server OfficeScan e dell'agente
OfficeScan. Si presuppone che questi utenti abbiano conoscenze avanzate di reti e
gestione dei server.
•
Utenti finali: utenti che hanno l'agente OfficeScan installato nei propri computer.
Il livello di conoscenza dell'dispositivo di questi utenti varia da principiante a utente
esperto.
Convenzioni utilizzate nella documentazione
Per facilitare l'individuazione e l'interpretazione delle informazioni, nella
documentazione di OfficeScan vengono utilizzate le convenzioni illustrate di seguito:
TABELLA 2. Convenzioni utilizzate nella documentazione
CONVENZIONE
DESCRIZIONE
TUTTO MAIUSCOLO
Acronimi, abbreviazioni e nomi di alcuni comandi e tasti della
tastiera.
Grassetto
Menu e comandi dei menu, pulsanti dei comandi, schede,
opzioni e attività.
Corsivo
Riferimenti ad altra documentazione o a componenti di nuova
tecnologia.
Agenti > Gestione
agente
Un "percorso di navigazione" che consente all'utente di
raggiungere la schermata della console Web. Se sono
presenti diversi percorsi, vuol dire che ci sono diversi modi
per accedere alla stessa schermata.
<Testo>
Indica che il testo all'interno delle parentesi angolari deve
essere sostituito da dati effettivi. Ad esempio, C:\Programmi
\<nome_file> può corrispondere a C:\Programmi
\esempio.jpg.
Nota
Indica note per la configurazione o raccomandazioni
xiii
Guida per l'amministratore di OfficeScan™ 11.0
CONVENZIONE
DESCRIZIONE
Suggerimento
Indica informazioni su procedure ottimali e consigli di Trend
Micro
AVVERTENZA!
Indica avvisi relativi ad attività che possono comportare danni
per i computer della rete
Terminologia
La tabella riportata di seguito contiene la terminologia ufficiale utilizzata nella
documentazione di OfficeScan:
TABELLA 3. Terminologia di OfficeScan
TERMINOLOGIA
DESCRIZIONE
Agente OfficeScan
Il programma agente OfficeScan
Dispositivo agente
L'dispositivo dove è installato l'agente OfficeScan
Utente agente (o utente)
La persona che gestisce l'agente OfficeScan
sull'dispositivo agente
Server
Il programma server OfficeScan
Computer server
L'dispositivo dove è installato il server OfficeScan
Amministratore (o
amministratore OfficeScan)
La persona che gestisce il server OfficeScan
Console
L'interfaccia utente per configurare e gestire le
impostazioni dell'agente e del server OfficeScan.
La console del programma server OfficeScan è
denominata "console Web", mentre la console del
programma agente OfficeScan è denominata "console
agente".
xiv
Prefazione
TERMINOLOGIA
DESCRIZIONE
Rischio per la sicurezza
Termine collettivo per virus/minacce informatiche,
spyware/grayware e minacce Web
Servizio licenza
Comprende Antivirus, Damage Cleanup Services,
Reputazione Web e Anti-spyware, —tutti attivati durante
l'installazione del server OfficeScan
Servizio OfficeScan
Servizi gestiti tramite Microsoft Management Console
(MMC). Ad esempio, ofcservice.exe, il Servizio
principale OfficeScan.
Programma
Comprende l'agente OfficeScan e Plug-in Manager
Componenti
Consentono di analizzare, individuare ed eseguire
operazioni contro i rischi per la sicurezza
Cartella di
installazione
dell'agente
La cartella dell'dispositivo che contiene i file dell'agente
OfficeScan. Se durante l'installazione si accettano le
impostazioni predefinite, la cartella di installazione si
trova nei percorsi seguenti:
C:\Programmi\Trend Micro\OfficeScan Client
C:\Programmi (x86)\Trend Micro\Client
OfficeScan
Cartella di
installazione del
server
La cartella dell'dispositivo che contiene i file del server
OfficeScan. Se durante l'installazione si accettano le
impostazioni predefinite, la cartella di installazione si
trova nei percorsi seguenti:
C:\Programmi\Trend Micro\OfficeScan
C:\Programmi (x86)\Trend Micro\OfficeScan
Ad esempio, se un file specifico si trova in \PCCSRV nella
cartella di installazione del server, il percorso completo
del file è:
C:\Programmi\Trend Micro\OfficeScan\PCCSRV
\nome_file.
Agente Smart Scan
Qualsiasi agente OfficeScan configurato per utilizzare
Smart Scan
xv
Guida per l'amministratore di OfficeScan™ 11.0
TERMINOLOGIA
DESCRIZIONE
Agente scansione
convenzionale
Qualsiasi agente OfficeScan configurato per utilizzare la
scansione convenzionale
Dual-stack
Entità con indirizzi IPv4 e IPv6.
Ad esempio:
xvi
•
Dispositivo con indirizzi IPv4 e IPv6
•
Agenti OfficeScan installati su dispositivo dual-stack
•
Update Agent che distribuiscono gli aggiornamenti
agli agenti
•
Un server proxy dual-stack, come DeleGate, è in
grado di convertire un indirizzo IPv4 in IPv6 e
viceversa
IPv4 puro
Un'entità che ha solo un indirizzo IPv4
IPv6 puro
Un'entità che ha solo un indirizzo IPv6
Soluzioni plug-in
Programmi plug-in e funzioni di OfficeScan disponibili
attraverso Plug-in Manager
Parte I
Introduzione e informazioni
preliminari
Capitolo 1
Introduzione di OfficeScan
In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche di
Trend Micro™OfficeScan™.
Di seguito sono riportati gli argomenti trattati:
•
Informazioni su OfficeScan a pagina 1-2
•
Novità della versione a pagina 1-2
•
Principali funzioni e vantaggi a pagina 1-9
•
Il server OfficeScan a pagina 1-12
•
Agente OfficeScan a pagina 1-13
•
Integrazione con i prodotti e i servizi Trend Micro a pagina 1-14
1-1
Guida per l'amministratore di OfficeScan™ 11.0
Informazioni su OfficeScan
Trend Micro™ OfficeScan™ protegge le reti aziendali da minacce informatiche, virus di
rete, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una
soluzione integrata che comprende un programma agente OfficeScan che risiede
nell'dispositivo e un programma server che gestisce tutti gli agenti. L'agente OfficeScan
controlla l'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso la
console di gestione basata sul Web, permette di impostare criteri di sicurezza coordinati
e di implementare gli aggiornamenti in ciascun agente.
Trend Micro Smart Protection Network™, il componente principale di OfficeScan, è
un'infrastruttura client cloud di prossima generazione che fornisce soluzioni per la
sicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica e
un agente leggero consentono di ridurre la dipendenza dai download dei pattern
convenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti dei
desktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza di
banda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati.
Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile da
qualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio.
Novità della versione
Trend Micro OfficeScan comprende le nuove funzioni e i miglioramenti seguenti:
Novità nella versione 11.0
Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti:
TABELLA 1-1. Miglioramenti del server
FUNZIONE
Strumento di
migrazione SQL
Database
1-2
DESCRIZIONE
Gli amministratori possono scegliere di migrare il database del
server CodeBase® esistente su un database SQL Server.
Per i dettagli, consultare Strumento di migrazione SQL Server a
pagina 13-42.
Introduzione di OfficeScan
FUNZIONE
Miglioramenti di
Smart Protection
Server
Autenticazione del
server
DESCRIZIONE
Questa versione di OfficeScan supporta la versione Smart
Protection Server 3.0 aggiornata. Nella versione aggiornata di
Smart Protection Server sono stati migliorati i pattern per Servizi
di reputazione file. I file di pattern sono stati riprogettati per fornire
i seguenti vantaggi:
•
Riduzione del consumo della memoria
•
Aggiornamenti dei pattern incrementali e rilevamento del
pattern Servizi di reputazione file, con una notevole riduzione
del consumo della larghezza di banda
Le chiavi di autenticazione del server migliorate assicurano che
tutte le comunicazioni da e verso il server siano sicure e affidabili.
Per i dettagli, consultare Autenticazione delle comunicazioni
avviate dal server a pagina 13-48.
Miglioramento di
Role-based
Administration
(RBA)
Il miglioramento di Role-based administration semplifica il modo in
cui gli amministratori configurano ruoli e account, rendendo
l'integrazione con Trend Micro Control Manager™ più semplice.
Requisiti del server
Web
È possibile integrare questa versione di OfficeScan con il server
Web Apache 2.2.25.
Riprogettazione
dell'interfaccia del
server OfficeScan
L'interfaccia di OfficeScan è stata riprogettata per fornire
un'esperienza più semplice e diretta. Tutte le funzioni disponibili
nel server OfficeScan precedente sono tuttora presenti nella
versione aggiornata.
Per i dettagli, consultare Role-based Administration (RBA) a
pagina 13-2.
•
Le voci di menu principali occupano meno spazio nelle
schermate
•
Il menu "Preferiti" facilita l'accesso alle schermate utilizzate
più frequentemente
•
Una visualizzazione con presentazione delle schede
Dashboard consente di visualizzare i dati dei widget senza
dover controllare manualmente la console
1-3
Guida per l'amministratore di OfficeScan™ 11.0
FUNZIONE
DESCRIZIONE
Guida online
contestuale basata
sul cloud
La guida online basata sul cloud sensibile al contesto aiuta gli
amministratori ad avere sempre le informazioni più aggiornate
ogni volta che il sistema di guida viene aperto. Se la connessione
a Internet non è disponibile, OfficeScan passa automaticamente
al sistema di guida online locale fornito con il prodotto.
Piattaforme e
browser compatibili
OfficeScan supporta i seguenti sistemi operativi:
•
Windows Server™ 2012 R2 (server e agente)
•
Windows 8.1 (solo agente)
OfficeScan supporta il browser seguente:
•
Internet Explorer™ 11.0
TABELLA 1-2. Miglioramenti dell'agente
FUNZIONE
Ripristino Files in
Quarantena
DESCRIZIONE
OfficeScan offre agli amministratori la possibilità di ripristinare file
"sospetti" rilevati in precedenza e ne aggiunge altri agli elenchi
"approvati" a livello di dominio, per impedire ulteriori azioni sui file.
Se un file o un programma viene rilevato e messo in quarantena,
gli amministratori possono ripristinare il file sugli agenti in modo
globale o capillare. Gli amministratori possono usare lo strumento
di verifica SHA1 per assicurarsi che i file da ripristinare non siano
stati modificati in alcun modo. Dopo il ripristino, OfficeScan è in
grado di aggiungere automaticamente i file agli elenchi di
esclusione del dominio, escludendoli da ulteriori scansioni.
Per i dettagli, consultare Ripristino dei file in quarantena a pagina
7-45.
1-4
Introduzione di OfficeScan
FUNZIONE
Servizio di
protezione avanzata
DESCRIZIONE
Il Servizio di protezione avanzata fornisce le seguenti nuove
funzioni di scansione:
•
Prevenzione minaccia browser usa la tecnologia sandbox per
provare il comportamento delle pagine Web in tempo reale e
rilevare programmi o script dannosi prima che l'agente
OfficeScan sia esposto a minacce.
Per i dettagli, consultare Configurazione dei Criteri di
reputazione Web a pagina 11-5.
•
La scansione della memoria migliorata funziona insieme a
Monitoraggio del comportamento per individuare le varianti
delle minacce informatiche durante le scansioni in tempo
reale e intraprendere azioni di quarantena contro le minacce.
Per i dettagli, consultare Impostazioni di scansione a pagina
7-29.
1-5
Guida per l'amministratore di OfficeScan™ 11.0
FUNZIONE
Miglioramenti della
protezione dati
DESCRIZIONE
Protezione dati OfficeScan è stata migliorata per fornire i seguenti
vantaggi:
•
Data Discovery tramite l'integrazione con Control Manager™:
gli amministratori possono configurare i criteri di Prevenzione
perdita di dati su Control Manager per effettuare le scansioni
delle cartelle sugli agenti OfficeScan per i file sensibili. Dopo
aver rilevato dati sensibili all'interno di un file, Control
Manager è in grado di registrare la posizione del file o,
tramite l'integrazione con Crittografia dispositivo di Trend
Micro, di crittografare automaticamente il file sull'agente
OfficeScan.
•
Supporto giustificazione utente: gli amministratori possono
consentire agli utenti di fornire un motivo che giustifichi il
trasferimento di dati sensibili oppure possono essi stessi
bloccare le trasmissioni. OfficeScan registra tutti i tentativi di
trasferimento e i motivi forniti dall'utente.
Per i dettagli, consultare Azioni di Prevenzione perdita di dati
a pagina 10-37.
•
Supporto smartphone e tablet: Prevenzione perdita di dati e
Controllo dispositivo ora possono monitorare e intraprendere
azioni sui dati sensibili che vengono inviati ai dispositivi mobili
oppure bloccare interamente l'accesso a questi ultimi.
Per i dettagli, consultare Controllo dispositivo a pagina 9-2.
1-6
•
Identificatore di dati e librerie dei modelli aggiornati: le librerie
di Prevenzione perdita di dati sono state aggiornate con 2
nuovi elenchi di parole chiave e 93 nuovi modelli.
•
Integrazione dei registri di Controllo dispositivo con Control
Manager™
Introduzione di OfficeScan
FUNZIONE
Miglioramento di
Impostazioni
connessione
sospetta
DESCRIZIONE
Servizi di avvisi contatti Command & Control (C&C) è stato
aggiornato per includere quanto segue:
•
Elenchi globali di indirizzi IP bloccati e approvati definiti
dall'utente
Per i dettagli, consultare Configurazione impostazioni degli
elenchi di indirizzii IP globali definiti dall'utente a pagina
11-13.
•
Impronta di rete della minaccia per rilevare i callback C&C
•
Configurazione delle azioni flessibile quando vengono
rilevate connessioni sospette
Per i dettagli, consultare Configurazione delle impostazioni di
connessione sospetta a pagina 11-14.
•
Miglioramenti di
Prevenzione delle
infezioni
I registri dell'agente e del server C&C registrano il processo
responsabile per i callback C&C
Prevenzione delle infezioni è stato migliorato per offrire protezione
dalle seguenti minacce:
•
File compressi eseguibili
Per i dettagli, consultare Divieto di accesso ai file compressi
eseguibili a pagina 7-115.
•
Processi mutex
Per i dettagli, consultare Creazione del trattamento di
esclusione reciproca sui file/processi di minacce informatiche
a pagina 7-114.
1-7
Guida per l'amministratore di OfficeScan™ 11.0
FUNZIONE
Miglioramenti delle
funzioni di
protezione
automatica
DESCRIZIONE
Le funzioni di protezione automatica disponibili in questa versione
forniscono soluzioni per la sicurezza leggere e di alto livello, per la
protezione sia del server sia dei programmi dell'agente
OfficeScan.
•
Soluzione leggera: progettata per piattaforme server per
proteggere il processo dell'agente OfficeScan e le chiavi di
registro per impostazione predefinita, senza condizionare le
prestazioni del server
•
Soluzione di alto livello: migliora la funzione di protezione
automatica dell'agente disponibile nelle versioni precedenti,
grazie a:
•
Autenticazione del comando IPC
•
Verifica e protezione dei file di pattern
•
Protezione dell'aggiornamento dei file di pattern
•
Protezione del processo Monitoraggio del
comportamento
Per i dettagli, consultare Protezione automatica dell'agente
OfficeScan a pagina 14-13.
1-8
Introduzione di OfficeScan
FUNZIONE
Miglioramenti per il
rilevamento e le
prestazioni della
scansione
DESCRIZIONE
•
La scansione in tempo reale gestisce una cache di scansione
costante che si ricarica ogni volta che l'agente OfficeScan
viene avviato. L'agente OfficeScan tiene traccia di tutte le
modifiche ai file o alle cartelle verificatisi dalla rimozione
dell'agente OfficeScan, eliminando questi file dalla cache.
•
Questa versione di OfficeScan include elenchi Approvati
globali per i file di sistema Windows, file con firma digitale da
origini affidabili e file sottoposti a test da Trend Micro. Dopo
aver accertato la sicurezza di un file, OfficeScan non esegue
alcuna azione sul medesimo.
•
I miglioramenti di Damage Cleanup Services forniscono
funzioni di rilevamento migliorate per le minacce rootkit
nonché un numero ridotto di falsi positivi tramite la scansione
GeneriClean aggiornata.
•
Le impostazioni dei file compressi sono divise tra scansioni
su richiesta e scansioni in tempo reale, per un miglioramento
delle prestazioni.
Per i dettagli, consultare Configurare le impostazioni di
scansione per file compressi di grandi dimensioni a pagina
7-74.
•
Riprogettazione
dell'interfaccia
dell'agente
OfficeScan
I registri su due livelli forniscono una visualizzazione più
dettagliata per i rilevamenti che gli amministratori intendono
esaminare ulteriormente.
L'interfaccia dell'agente OfficeScan è stata riprogettata per fornire
un'esperienza più diretta, facile e moderna. Tutte le funzioni
disponibili nel programma client OfficeScan precedente sono
tuttora presenti nella versione aggiornata.
L'interfaccia aggiornata consente inoltre agli amministratori di
"sbloccare" funzioni amministrative direttamente dalla console
dell'agente OfficeScan, al fine di risolvere rapidamente i problemi
senza l'apertura della console Web.
Principali funzioni e vantaggi
OfficeScan offre le funzioni e i vantaggi seguenti:
1-9
Guida per l'amministratore di OfficeScan™ 11.0
•
Plug-In Manager e soluzioni plug-in
Plug-in Manager consente l'installazione, l'implementazione e la gestione delle
soluzioni plug-in.
Gli amministratori possono installare due tipi di soluzioni plug-in:
•
•
Programmi plug-in
•
Funzioni OfficeScan native
Gestione centralizzata
Una console di gestione basata su Web consente agli amministratori di accedere in
modo trasparente a tutti gli agenti e server della rete. La console Web coordina
l'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamenti
software su ciascun agente e server. Grazie ai servizi di prevenzione delle infezioni,
arresta i vettori delle infezioni e implementa rapidamente i criteri di protezione
specifici per attacco al fine di prevenire o contenere le infezioni prima che i file di
pattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in tempo
reale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratori
possono eseguire l'amministrazione in remoto, impostare criteri personalizzati per
singoli desktop o gruppi e bloccare le impostazioni di sicurezza degli agenti.
•
Protezione contro i rischi per la sicurezza
OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione
dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza
individuato. Un numero estremamente alto di rischi per la sicurezza individuati in
un periodo di tempo breve indica un'infezione. Per contenere le infezioni,
OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computer
infetti fino a quando sono completamente privi di rischi.
OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente.
Questa tecnologia consente di scaricare un gran numero di firme precedentemente
memorizzate negli dispositivo locali su Origini Smart Protection. Con questo
approccio viene ridotto l'impatto sul sistema e sulla rete del volume sempre
maggiore di aggiornamenti delle firme per i sistemi dispositivo.
Per informazioni su Smart Scan e su come implementarlo sugli agenti, vedere Tipi
di metodi di scansione a pagina 7-8.
1-10
Introduzione di OfficeScan
•
Damage Cleanup Services
Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basati
su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro,
file virali) utilizzando un processo completamente automatizzato. Per affrontare le
minacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettua
le seguenti operazioni:
•
Rileva e rimuove i cavalli di Troia attivi
•
Blocca i processi innescati dai cavalli di Troia
•
Ripara i file di sistema modificati dai cavalli di Troia
•
Elimina i file e le applicazioni lasciati dai cavalli di Troia
Poiché Damage Cleanup Services viene eseguito in background, non è necessario
configurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione.
Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare l'dispositivo per
completare il processo di rimozione di un cavallo di Troia.
•
Reputazione Web
La tecnologia di reputazione Web protegge in modo proattivo i computer agenti
all'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmente
pericolosi. La reputazione Web spezza la catena dell'infezione e impedisce il
download di codice dannoso.
Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrare
OfficeScan con Smart Protection Server o con Trend Micro Smart Protection
Network.
•
Firewall di OfficeScan
Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di
"stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. È
possibile creare regole per filtrare le connessioni in base all'applicazione,
all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole a
gruppi diversi di utenti.
•
Prevenzione perdita di dati
1-11
Guida per l'amministratore di OfficeScan™ 11.0
Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da
perdite accidentali o intenzionali. Prevenzione perdita di dati consente agli
amministratori di:
•
•
identificare le risorse digitali da proteggere
•
Creare criteri che limitano o impediscono la trasmissione delle risorse digitali
attraverso i comuni canali di trasmissione, ad esempio messaggi e-mail e
dispositivi esterni
•
implementare la conformità alle norme vigenti sulla privacy
Controllo dispositivo
Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle
risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la
perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a
proteggere dai rischi per la sicurezza.
•
Monitoraggio del comportamento
Il Monitoraggio del comportamento controlla costantemente gli agenti alla ricerca
di modifiche insolite al sistema operativo o al software installato.
Il server OfficeScan
Il server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischi
per la sicurezza e gli aggiornamenti degli agenti.
Il server esegue due importanti funzioni:
•
Installa, controlla e gestisce gli agenti OfficeScan.
•
Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScan
scarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agli
agenti.
Nota
Alcuni componenti vengono scaricati dalle origini Smart Protection. Per
informazioni, vedere Origini Smart Protection a pagina 4-6.
1-12
Introduzione di OfficeScan
FIGURA 1-1. Funzionamento del server OfficeScan
Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in tempo
reale tra il server e gli agenti OfficeScan. Gli agenti sono gestiti da una console Web
basata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi punto
della rete. Il server comunica con l'agente (e l'agente con il server) attraverso Hypertext
Transfer Protocol (HTTP).
Agente OfficeScan
L'installazione dell'agente OfficeScan su ogni dispositivo con sistema operativo
Windows consente di proteggere i computer dai rischi per la sicurezza.
1-13
Guida per l'amministratore di OfficeScan™ 11.0
L'agente OfficeScan invia quindi delle notifiche al server principale dal quale è stato
installato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzando
lo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi e
sullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacce
informatiche, l'avvio e lo spegnimento dell'agente, l'avvio di una scansione o il
completamento di un aggiornamento.
Integrazione con i prodotti e i servizi Trend
Micro
OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente.
Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguiti
sulle versioni richieste o consigliate.
TABELLA 1-3. Integrazione di prodotti e servizi con OfficeScan
PRODOTTO/
SERVIZIO
1-14
DESCRIZIONE
VERSIONE
Server
ActiveUpdate
Fornisce tutti i componenti necessari agli agenti
OfficeScan per proteggere gli agenti dalle
minacce alla sicurezza
Non pertinente
Smart
Protection
Network
Fornisce i Servizi di reputazione file e i Servizi di
reputazione Web agli agenti.
Non pertinente
Smart Protection Network è gestito da Trend
Micro.
Introduzione di OfficeScan
PRODOTTO/
SERVIZIO
Smart
Protection
Server
standalone
DESCRIZIONE
Fornisce gli stessi Servizi di reputazione file e
Servizi di reputazione Web offerti da Smart
Protection Network.
VERSIONE
•
3.0
•
6.0 SP1
Smart Protection Server standalone è inteso a
localizzare il servizio per garantire una maggiore
efficienza della rete aziendale.
Nota
Integrated Smart Protection Server viene
installato con il server OfficeScan. Svolge
le stesse funzioni del server standalone,
ma le sue capacità sono più limitate.
Control
Manager
Deep
Discovery
Advisor
Una soluzione di gestione software che consente
di controllare a livello centrale i programmi
antivirus e di protezione dei contenuti, senza
tenere conto della piattaforma o dell'ubicazione
fisica del programma.
Deep Discovery fornisce un monitoraggio globale
della rete mediante sandboxing personalizzato e
informazioni pertinenti in tempo reale, per
consentire il rilevamento degli attacchi,
implementare un contenimento rapido e offrire
aggiornamenti di sicurezza personalizzati che
migliorino tempestivamente la protezione contro
ulteriori attacchi.
(consigliato)
•
6.0
•
5.5 SP1
3.0 e versione
successiva
1-15
Capitolo 2
Informazioni preliminari su
OfficeScan
In questo capitolo vengono descritte le istruzioni preliminari per Trend
Micro™OfficeScan™ e le impostazioni iniziali per la configurazione.
Di seguito sono riportati gli argomenti trattati:
•
La console Web a pagina 2-2
•
Dashboard a pagina 2-5
•
Active Directory Integration a pagina 2-35
•
Struttura agente OfficeScan a pagina 2-39
•
Domini OfficeScan a pagina 2-52
2-1
Guida per l'amministratore di OfficeScan™ 11.0
La console Web
La console Web è l'elemento centrale per il monitoraggio di in tutta la rete aziendale. La
console ha una serie di impostazioni e valori predefiniti che possono essere configurati
in base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologie
Internet standard quali Java, CGI, HTML e HTTPS.
Nota
Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni della
console Web a pagina 13-53.
Utilizzare la console Web per eseguire le operazioni riportate di seguito:
•
Gestire gli agenti installati sui computer collegati in rete
•
Raggruppare gli agenti in domini logici per consentire configurazione e gestione
simultanee
•
Impostare le configurazioni di scansione e avviare la scansione manuale su uno o
più computer collegati in rete
•
Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registri
inviati dagli agenti
•
Configurare i criteri e le notifiche per le infezioni
•
Delegare operazioni di amministrazione della console Web ad altri amministratori
OfficeScan mediante la configurazione di ruoli e account utente
•
Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza
Nota
La console Web non è supportata da Windows 8, 8.1 o Windows Server 2012 in modalità
interfaccia utente di Windows.
2-2
Informazioni preliminari su OfficeScan
Requisiti per l'apertura della console Web
Aprire la console Web da un dispositivo della rete che abbia i requisiti riportati di
seguito:
•
Processore Intel ™ Pentium™ da 300 MHz o equivalente
•
128 MB di RAM
•
Almeno 30 MB di spazio disponibile su disco
•
Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore
•
Microsoft Internet Explorer™ 8.0 o versione successiva
Nota
Per la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS.
Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, a
seconda del tipo di installazione prevista per il server OfficeScan:
TABELLA 2-1. URL della console Web OfficeScan
TIPO DI INSTALLAZIONE
URL
Senza SSL su un sito predefinito
https://<server OfficeScan FQDN o
indirizzo IP>/OfficeScan
Senza SSL su un sito virtuale
https://<server OfficeScan FQDN o
indirizzo IP>:<numero di porta
HTTP>/OfficeScan
Con SSL su un sito predefinito
https://<server OfficeScan FQDN o
indirizzo IP>/OfficeScan
Con SSL su un sito virtuale
https://<server OfficeScan FQDN o
indirizzo IP>/OfficeScan
2-3
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browser
Web e i file della cache del server proxy potrebbero impedire il corretto caricamento della
console Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunque
server proxy che si trova tra il server OfficeScan e l'dispositivo usato per accedere alla
console Web.
Account di accesso
Durante l'installazione del server OfficeScan il programma crea un account principale
(root) e richiede di digitare la password per tale account. Quando si apre la console Web
per la prima volta, digitare "root" come nome utente e come password dell'account
principale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica per
reimpostarla.
Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti di
accedere alla console Web senza utilizzare l'account principale (root). Quando gli utenti
accedono alla console possono utilizzare gli account utente impostati per loro. Per
ulteriori informazioni, consultare Role-based Administration (RBA) a pagina 13-2.
Il banner della console Web
L'area del banner della console Web presenta le opzioni riportate di seguito:
FIGURA 2-1. Area banner della console Web
•
Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possono
inviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro
•
Altro
•
2-4
Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delle
minacce, archivio di Trend Micro per le informazioni relative alle minacce
informatiche. Gli esperti Trend Micro sulle minacce pubblicano regolarmente
Informazioni preliminari su OfficeScan
rilevamenti di minacce informatiche, spam, URL dannosi e vulnerabilità.
L'Enciclopedia delle minacce illustra inoltre gli attacchi Web di alto profilo e
fornisce informazioni correlate.
•
Trova un rivenditore: visualizza il sito Web Trend Micro Contatti con
informazioni sulle sedi in tutto il mondo.
•
Informazioni su: fornisce una panoramica del prodotto, le istruzioni per
controllare i dettagli della versione dei componenti e un collegamento a
Sistema di supporto intelligente. Per i dettagli, consultare Sistema di supporto
intelligente a pagina 16-2.
•
<nome account>: fare clic sul nome account (ad esempio, root) per modificare i
dettagli dell'account, ad esempio la password.
•
Disconnetti: consente di disconnettersi dalla console Web
Dashboard
La Dashboard viene visualizzata quando si apre la console Web OfficeScan o si fa clic
su Dashboard nel menu principale.
Ciascun account utente della console Web ha una dashboard completamente
indipendente. Qualunque modifica alla dashboard di un account utente non riguarda le
dashboard di altri account utente.
Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzati
dipendono dalle autorizzazioni del dominio agente per l'account utente. Ad esempio, se
vengono concesse autorizzazioni ad un account utente per la gestione dei domini A e B,
la dashboard dell'account utente visualizzerà solamente i dati degli agenti appartenenti ai
domini A e B.
Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a
pagina 13-2.
La schermata Dashboard contiene:
•
Sezione dello stato della licenza del prodotto
•
Widget
2-5
Guida per l'amministratore di OfficeScan™ 11.0
•
Schede
Sezione dello stato della licenza del prodotto
Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato delle
licenze OfficeScan.
FIGURA 2-2. Sezione dello stato della licenza del prodotto
Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze:
•
•
2-6
Se si dispone di una licenza per la versione completa:
•
60 giorni prima della scadenza della licenza
•
Durante il periodo di proroga per il prodotto. La durata del periodo di
proroga varia a seconda dell'area geografica. Verificare il periodo di proroga
con il rappresentante Trend Micro.
•
Alla scadenza della licenza e al termine del periodo di proroga. In questo
periodo non sarà possibile ottenere l'assistenza tecnica o effettuare
l'aggiornamento dei componenti. I motori di scansione continueranno a
effettuare l'analisi dei computer utilizzando componenti obsoleti. Tali
componenti obsoleti potrebbero non proteggere in maniera completa dai più
recenti rischi per la sicurezza.
Se si dispone di una licenza per la versione di prova:
•
14 giorni prima della scadenza della licenza
•
Alla scadenza della licenza. In questo periodo OfficeScan disattiva
l'aggiornamento dei componenti, la scansione e tutte le funzionalità degli
agenti.
Informazioni preliminari su OfficeScan
Se si dispone di un codice di attivazione, rinnovare una licenza accedendo a
Amministrazione > Impostazioni > Licenza del prodotto.
Barre delle informazioni sul prodotto
OfficeScan visualizza una serie di messaggi nella parte superiore della schermata
Dashboard che forniscono informazioni aggiuntive per gli amministratori.
Le informazioni visualizzate includono:
•
Service pack o patch più recenti disponibili per OfficeScan
Nota
Fare clic su Ulteriori informazioni per scaricare la patch dal Centro download
Trend Micro (http://downloadcenter.trendmicro.com/?regs=IT).
•
Nuovi widget disponibili
•
Notifiche dei certificati di autenticazione quando il certificato corrente scade o
quando non è presente un backup
•
Notifiche per i contratti di manutenzione quando la data di scadenza del contratto
è prossima
•
Notifiche per le modalità di valutazione
•
Notifiche di autenticità
Nota
Se la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio di
informazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso e
interrompe l'esecuzione degli aggiornamenti.
Schede e widget
I widget sono i componenti principali della dashboard. I widget forniscono informazioni
specifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguire
determinate operazioni, quali l'aggiornamento di componenti obsoleti.
2-7
Guida per l'amministratore di OfficeScan™ 11.0
Le informazioni che i widget visualizzano provengono da:
•
Agenti e server OfficeScan
•
Soluzioni plug-in e relativi agenti
•
Trend Micro Smart Protection Network
Nota
Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulteriori
informazioni su Smart Feedback, vedere Smart Feedback a pagina 13-58.
Le schede forniscono un contenitore per i widget. La Dashboard supporta fino a 30
schede.
Utilizzo delle schede
Gestire le schede effettuando le seguenti operazioni:
TABELLA 2-2. Operazioni schede
OPERAZIONE
Aggiungere una
nuova scheda
PASSAGGI
1.
Fare clic sull'icona di aggiunta sulla parte superiore della
dashboard. Viene visualizzata una nuova schermata.
2.
Inserire le seguenti informazioni.
3.
2-8
•
Titolo: il nome della scheda
•
Layout: scegliere uno dei layout disponibili
•
Adatta automaticamente: attivare Adatta
automaticamente se si seleziona un layout con diverse
") e ciascuna casella conterrà solo un
caselle (quali "
widget. Adatta automaticamente modifica i widget per
adattare le dimensioni a quelle di una casella.
Fare clic su Salva.
Informazioni preliminari su OfficeScan
OPERAZIONE
Modificare le
impostazioni della
scheda
PASSAGGI
1.
Fare clic su Impostazioni scheda sull'angolo in alto a destra
della scheda. Viene visualizzata una nuova schermata.
2.
Modificare il nome della scheda, il layout e le impostazioni di
adattamento automatico.
3.
Fare clic su Salva.
Spostare una
scheda
Usare la funzionalità di trascinamento per cambiare la posizione
della scheda.
Eliminare una
scheda
Fare clic sull'icona di eliminazione accanto al titolo della scheda.
Eliminare una scheda comporta l'eliminazione di tutti i widget della
scheda.
Utilizzo dei Widget
Gestire i widget effettuando le seguenti operazioni:
TABELLA 2-3. Operazioni widget
OPERAZIONE
Scorri schede
automaticamente
PASSAGGI
Fare clic su Scorri schede automaticamente per spostarsi
automaticamente tra le visualizzazioni delle schede.
2-9
Guida per l'amministratore di OfficeScan™ 11.0
OPERAZIONE
Aggiungere un nuovo
widget
PASSAGGI
1.
Fare clic sulla scheda.
2.
Fare clic su Aggiungi widget sull'angolo in alto a destra
della scheda. Viene visualizzata una nuova schermata.
3.
Selezionare i widget da aggiungere. Per un elenco dei
widget disponibili, vedere Widget disponibili a pagina
2-12.
•
Fare clic sulle icone di visualizzazione (
)
nella sezione superiore della schermata per passare
da Visualizzazione dettagliata a Visualizzazione di
riepilogo.
4.
•
Le categorie di widget si trovano alla sinistra della
schermata. Selezionare una categoria per restringere
le selezioni.
•
Utilizzare la casella di testo per la ricerca sull parte
superiore della schermata per cercare un widget
specifico.
Fare clic su Aggiungi.
Spostare un widget
Utilizzare la funzionalità di trascinamento per spostare i widget
in diverse posizioni all'interno della scheda.
Ridimensionare un
widget
Ridimensionare i widget su di una scheda multicolonna
puntando il cursore sul bordo del widget e muovendolo verso
destra o sinistra.
Modificare il titolo del
widget
1.
Fare clic sull'icona di modifica (
). Viene visualizzata
una nuova schermata.
2.
Immettere il nuovo titolo.
Nota
Per alcuni widget, quali OfficeScan e Plug-in
Mashup, le voci relative ai widget possono essere
modificate.
3.
2-10
Fare clic su Salva.
Informazioni preliminari su OfficeScan
OPERAZIONE
PASSAGGI
Aggiornare i dati del
widget
Fare clic sull'icona di aggiornamento (
Eliminare un widget
Fare clic sull'icona di eliminazione (
).
).
Schede e widget predefiniti
La Dashboard viene fornita con un set di schede e widget predefiniti. È possibile
rinominare o eliminare le schede e i widget.
TABELLA 2-4. Schede predefinite nella Dashboard
SCHEDA
OfficeScan
OfficeScan e
plug-in
DESCRIZIONE
WIDGET
Questa scheda contiene le stesse
informazioni trovate nella schermata
Dashboard nelle precedenti versioni di
OfficeScan. In questa scheda è
possibile visualizzare la protezione dai
rischi per la sicurezza globale della rete
OfficeScan. Inoltre, è possibile
effettuare delle azioni su voci che
richiedono un intervento immediato,
quali le infezioni o i componenti
obsoleti.
•
Widget Agenti antivirus
connessi a pagina 2-15
•
Widget Rilevamenti dei
rischi per la sicurezza a
pagina 2-19
•
Widget Infezioni a pagina
2-19
•
Widget Aggiornamenti
agente a pagina 2-22
Questa scheda mostra quali agenti
eseguono l'agente OfficeScan e le
soluzioni plug-in. Utilizzare questa
scheda per valutare lo stato di
sicurezza complessivo degli agenti.
Widget OfficeScan e Plug-ins
Mashup a pagina 2-23
2-11
Guida per l'amministratore di OfficeScan™ 11.0
SCHEDA
Smart
Protection
Network
DESCRIZIONE
WIDGET
Questa scheda contiene informazioni
per Trend Micro Smart Protection
Network, che fornisce Servizi di
reputazione file e Servizi di reputazione
Web agli agenti OfficeScan.
•
Widget Origini delle
minacce principali della
reputazione Web a
pagina 2-29
•
Widget Principali utenti
minacciati della
reputazione Web a
pagina 2-30
•
Widget Mappa delle
minacce della
reputazione file a pagina
2-31
Widget disponibili
In questa versione sono disponibili i seguenti widget:
TABELLA 2-5. Widget disponibili
NOME WIDGET
Agenti antivirus connessi
DISPONIBILITÀ
Disponibilità standard
Per i dettagli, consultare Widget Agenti antivirus
connessi a pagina 2-15.
Rilevamenti dei rischi per
la sicurezza
Infezioni
Disponibilità standard
Per i dettagli, consultare Widget Rilevamenti dei rischi
per la sicurezza a pagina 2-19.
Disponibilità standard
Per i dettagli, consultare Widget Infezioni a pagina
2-19.
Aggiornamenti agente
Disponibilità standard
Per i dettagli, consultare Widget Aggiornamenti agente a
pagina 2-22.
2-12
Informazioni preliminari su OfficeScan
NOME WIDGET
OfficeScan e Plug-ins
Mashup
DISPONIBILITÀ
Disponibilità standard ma solo con visualizzazione dei
dati sugli agenti OfficeScan
I dati provenienti dalle seguenti soluzioni plug-in sono
disponibili successivamente all'attivazione di ciascuna
soluzione:
•
Firewall di difesa dalle intrusioni
•
Supporto Trend Micro Virtual Desktop
Per i dettagli, consultare Widget OfficeScan e Plug-ins
Mashup a pagina 2-23.
Incidenti di Prevenzione
perdita di dati principali
Disponibile dopo l'attivazione di Protezione dati
OfficeScan
Per i dettagli, consultare Widget Incidenti di Prevenzione
perdita di dati principali a pagina 2-24.
Incidenti di Prevenzione
perdita di dati per periodo
di tempo
Disponibile dopo l'attivazione di Protezione dati
OfficeScan
Origini delle minacce
principali della reputazione
Web
Disponibilità standard
Principali utenti minacciati
della reputazione Web
Disponibilità standard
Mappa delle minacce della
reputazione file
Disponibilità standard
Eventi di callback C&C
Per i dettagli, consultare Widget Incidenti di Prevenzione
perdita di dati per periodo di tempo a pagina 2-26.
Per i dettagli, consultare Widget Origini delle minacce
principali della reputazione Web a pagina 2-29.
Per i dettagli, consultare Widget Principali utenti
minacciati della reputazione Web a pagina 2-30.
Per i dettagli, consultare Widget Mappa delle minacce
della reputazione file a pagina 2-31.
Disponibilità standard
Per i dettagli, consultare Widget Eventi di callback C&C
a pagina 2-27.
2-13
Guida per l'amministratore di OfficeScan™ 11.0
NOME WIDGET
IDF - Stato di avviso
IDF - Stato del computer
DISPONIBILITÀ
Disponibile successivamente all'attivazione di Intrusion
Defense Firewall. Fare riferimento alla documentazione
di IDF per i dettagli relativi a questi widget.
IDF - Cronologia eventi
della rete
IDF - Cronologia eventi del
sistema
Widget Connettività agente e server
Il widget Connettività agente e server visualizza lo stato della connettività di tutti gli
agenti con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a
torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di
).
visualizzazione (
FIGURA 2-3. Widget Connettività agente e server che visualizza una tabella
2-14
Informazioni preliminari su OfficeScan
Widget Agenti antivirus connessi
Il widget Agenti antivirus connessi visualizza lo stato della connettività degli agenti
antivirus con il server OfficeScan. I dati vengono visualizzati in una tabella e in un
grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone
di visualizzazione (
).
FIGURA 2-4. Widget Agenti antivirus connessi che visualizza una tabella
Widget Agenti antivirus connessi sotto forma di tabella
La tabella suddivide gli agenti per metodi di scansione.
Se il numero degli agenti per un determinato stato è 1 o maggiore, è possibile fare clic
sul numero per visualizzarli nella struttura agente. È possibile avviare delle operazioni su
tali agenti o modificare le relative impostazioni.
2-15
Guida per l'amministratore di OfficeScan™ 11.0
Per visualizzare solo gli agenti che utilizzano un particolare metodo di scansione, fare
clic su Tutti, quindi selezionare il metodo di scansione.
FIGURA 2-5. Stato della connessione degli agenti con scansione convenzionale
FIGURA 2-6. Stato della connessione degli agenti con Smart Scan
2-16
Informazioni preliminari su OfficeScan
Se si seleziona Smart Scan:
•
La tabella riporta gli agenti Smart Scan online in base allo stato di connessione con
gli Smart Protection Server.
Nota
Solo gli agenti online possono segnalare lo stato di connessione con Smart Protection
Server.
Se gli agenti non sono connessi a uno Smart Protection Server, ripristinare la
connessione tramite l'esecuzione della procedura descritta in Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a pagina 14-40.
•
Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia la
console del server.
•
Se sono presenti più Smart Protection Server, fare clic su ALTRO. Viene
visualizzata una nuova schermata con tutti gli Smart Protection Server.
FIGURA 2-7. Elenco Smart Protection Server
In questa schermata, è possibile:
•
Visualizzare tutti gli Smart Protection Server a cui si connettono gli agenti e i
numeri di agenti connessi a ciascun server. Se si fa clic sul numero viene aperta la
struttura agente dove è possibile gestire le impostazioni degli agenti.
2-17
Guida per l'amministratore di OfficeScan™ 11.0
•
Avviare la console di un server facendo clic sul collegamento del server
Widget Agenti antivirus connessi sotto forma di grafico a torta
Il grafico a torta visualizza solamente il numero di agenti per ciascuno stato e non li
suddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo si
ricongiunge, alla restante porzione del grafico.
FIGURA 2-8. Widget Agenti antivirus connessi che visualizza un grafico a torta
2-18
Informazioni preliminari su OfficeScan
Widget Rilevamenti dei rischi per la sicurezza
Il widget Rilevamenti rischi per la sicurezza visualizza il numero di rischi per la
sicurezza e di dispositivi infetti.
FIGURA 2-9. Widget Rilevamenti dei rischi per la sicurezza
Se il numero degli dispositivi infetti è 1 o maggiore, è possibile fare clic sul numero per
visualizzarli nella struttura agente. È possibile avviare delle operazioni sugli agenti
presenti su tali dispositivo o modificare le relative impostazioni.
Widget Infezioni
Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso di
infezione.
FIGURA 2-10. Widget Infezioni
2-19
Guida per l'amministratore di OfficeScan™ 11.0
In questo widget è possibile:
•
Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/ora
dell'avviso.
•
Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazioni
sull'avviso di infezione e implementare immediatamente le misure di prevenzione
delle infezioni. Per ulteriori informazioni sull'implementazione delle misure di
prevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina
7-110.
•
Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza per
visualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di
2-20
Informazioni preliminari su OfficeScan
rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata una
nuova schermata.
FIGURA 2-11. Schermata Statistiche sui primi 10 rischi per la sicurezza per gli
dispositivo collegati in rete
Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile:
•
Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic su
un nome di un rischio per la sicurezza.
•
Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nome
dell'dispositivo.
•
Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clic
su Visualizza in corrispondenza del nome dell'dispositivo.
2-21
Guida per l'amministratore di OfficeScan™ 11.0
•
Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimposta
conteggio.
Widget Aggiornamenti agente
Il widget Aggiornamenti agente visualizza i componenti e i programmi che
proteggono gli dispositivo collegati in rete contro i rischi per la sicurezza.
FIGURA 2-12. Widget Aggiornamenti agente
In questo widget è possibile:
•
Visualizzare la versione attuale di ciascun componente.
•
Visualizzare il numero di agenti con componenti obsoleti nella colonna Non
aggiornato. Se sono presenti agenti che devono essere aggiornati, fare clic sul
collegamento numerico per avviare l'aggiornamento.
•
Per ciascun programma, visualizzare gli agenti che non sono stati aggiornati
facendo clic sul collegamento numerico corrispondente al programma.
2-22
Informazioni preliminari su OfficeScan
Widget OfficeScan e Plug-ins Mashup
Il widget OfficeScan e Plug-ins Mashup combina i dati degli agenti OfficeScan e dei
programmi di plug-in installati e li visualizza in una struttura agente. Questo widget aiuta
a valutare rapidamente la copertura di protezione sugli agenti e riduce il sovraccarico
richiesto per la gestione dei programmi di plug-in individuali.
FIGURA 2-13. Widget OfficeScan e Plug-ins Mashup
Questo widget visualizza i dati per i seguenti programmi di plug-in:
•
Firewall di difesa dalle intrusioni
•
Supporto Trend Micro Virtual Desktop
Questi programmi di plug-in devono essere attivati affinché il widget mashup possa
visualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamento
dei programmi di plug-in.
In questo widget è possibile:
•
Scegliere le colonne visualizzate nella struttura agente. Fare clic sull'icona di
) sull'angolo in alto a destra del widget, quindi selezionare le colonne
modifica (
nella schermata visualizzata.
2-23
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 2-6. Colonne OfficeScan e Plug-ins Mashup
NOME COLONNA
Nome computer
DESCRIZIONE
Nome Dispositivo
Questa colonna è sempre disponibile e non può essere
rimossa.
Gerarchia dominio
Il dominio dell'dispositivo nella struttura agente
OfficeScan.
Stato della
connessione
La connettività degli agenti OfficeScan con il relativo
server OfficeScan principale.
Virus/minacce
informatiche
Il numero di virus e minacce informatiche rilevati
dall'agente OfficeScan
Spyware/Grayware
Il numero di spyware e grayware rilevati dall'agente
OfficeScan
Supporto VDI
Indica se l'dispositivo è una macchina virtuale.
Profilo sicurezza IDF
Fare riferimento alla documentazione di IDF per i dettagli
relativi a queste colonne e ai relativi dati.
Firewall IDF
Stato IDF
DPI IDF
•
Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, verrà
visualizzata la struttura agente OfficeScan. Se si fa doppio clic sui dati dei
programmi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verrà
visualizzata la schermata principale dei programmi di plug-in.
•
Utilizzare la funzionalità di ricerca per trovare dispositivo individuali. È possibile
immettere il nome completo o una parte del nome dell'host.
Widget Incidenti di Prevenzione perdita di dati principali
Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.
2-24
Informazioni preliminari su OfficeScan
Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentemente
dall'azione (blocca o ignora).
FIGURA 2-14. Widget Incidenti di Prevenzione perdita di dati principali
Per visualizzare i dati:
1.
2.
Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni
illustrate di seguito.
•
Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente
•
1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente
•
2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente
•
1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente
Dopo aver selezionato il periodo di tempo, scegliere tra:
•
Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza
•
Canale: canali usati per trasmettere risorse digitali con maggiore frequenza
•
Modello: modelli di risorse digitali che hanno avviato la maggior parte dei
rilevamenti
•
Computer: computer che hanno trasmesso risorse digitali con maggiore
frequenza
2-25
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Questo widget visualizza al massimo 10 utenti, canali, modelli o computer.
Widget Incidenti di Prevenzione perdita di dati per periodo
di tempo
Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan.
Questo widget traccia il numero di trasmissioni di risorse digitali in un determinato
periodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate
(consentite).
FIGURA 2-15. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo
Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sono
disponibili le opzioni illustrate di seguito.
•
Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente
•
1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente
2-26
Informazioni preliminari su OfficeScan
•
2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente
•
1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente
Widget Eventi di callback C&C
Il widget Eventi di callback C&C mostra tutte le informazioni sugli eventi di callback
C&C, compresa la destinazione dell'attacco e l'indirizzo di callback dell'origine.
Gli amministratori possono scegliere di visualizzare le informazioni di callback C&C da
un elenco di server C&C specifici. Per selezionare l'origine dell'elenco (Global
Intelligence, Virtual Analyzer), fare clic sull'icona di modifica ( ) e selezionare l'elenco
dal menu a discesa Origine elenco C&C.
Visualizzare i dati di callback C&C selezionando quanto segue:
•
Host compromesso: visualizza le informazioni C&C più recenti per per ciascun
dispositivo di destinazione
FIGURA 2-16. Widget Eventi di callback C&C che mostra le informazioni della
destinazione
TABELLA 2-7. Informazioni host compromesso
COLONNA
Host compromesso
DESCRIZIONE
Nome dell'dispositivo destinazione dell'attacco C&C
2-27
Guida per l'amministratore di OfficeScan™ 11.0
COLONNA
DESCRIZIONE
Indirizzo di callback
Numero di indirizzi di callback che l'dispositivo ha tentato
di contattare
Ultimo indirizzo di
callback
Ultimo indirizzo di callback che l'dispositivo ha tentato di
contattare
Tentativi di callback
Numero di tentativi da parte dell'dispositivo di
destinazione di contattare l'indirizzo di callback
Nota
Fare clic sul collegamento ipertestuale per aprire la
schermata Registri dei callback C&C e per
visualizzare informazioni più dettagliate.
•
Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascun
indirizzo di callback C&C
FIGURA 2-17. Widget Eventi di callback C&C che mostra le informazioni
sull'indirizzo di callback
2-28
Informazioni preliminari su OfficeScan
TABELLA 2-8. Informazioni sull'indirizzo C&C
COLONNA
DESCRIZIONE
Indirizzo di callback
Indirizzo di callback C&C originato dalla rete
Livello di rischio C&C
Livello di rischio dell'indirizzo di callback determinato
dall'elenco Global Intelligence o Virtual Analyzer
Host compromessi
Numero di dispositivo di destinazione dell'indirizzo di
callback
Ultimo host
compromesso
Nome dell'ultimo dispositivo che ha tentato di contattare
l'indirizzo di callback C&C
Tentativi di callback
Numero di tentativi di callback effettuati dalla rete verso
l'indirizzo
Nota
Fare clic sul collegamento ipertestuale per aprire la
schermata Registri dei callback C&C e per
visualizzare informazioni più dettagliate.
Widget Origini delle minacce principali della reputazione
Web
Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza
effettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una
2-29
Guida per l'amministratore di OfficeScan™ 11.0
mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo
widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget.
FIGURA 2-18. Widget Origini delle minacce principali della reputazione Web
Widget Principali utenti minacciati della reputazione Web
Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi di
reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla
2-30
Informazioni preliminari su OfficeScan
località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante
Guida ( ) nella parte superiore del widget.
FIGURA 2-19. Widget Principali utenti minacciati della reputazione Web
Widget Mappa delle minacce della reputazione file
Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza
effettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa
2-31
Guida per l'amministratore di OfficeScan™ 11.0
mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare
clic sul pulsante Guida ( ) nella parte superiore del widget.
FIGURA 2-20. Widget Mappa delle minacce della reputazione file
Strumento di migrazione del server
OfficeScan fornisce lo Strumento di migrazione del server, che consente agli
amministratori di copiare le impostazioni OfficeScan dalle versioni precedenti alla
versione corrente. Lo Strumento di migrazione del server esegue la migrazione delle
impostazioni seguenti:
2-32
•
Strutture dei domini
•
Impostazioni aggiuntive del servizio*
•
Impostazioni scansione manuale*
•
Elenco approvati spyware/grayware*
Informazioni preliminari su OfficeScan
•
Impostazioni scansione pianificata*
•
Impostazioni globali agente
•
Impostazioni scansione in tempo
reale*
•
Posizione dispositivo (computer)
•
Impostazioni funzione Esegui
scansione*
•
Criteri e profili del firewall
•
Impostazioni di reputazione Web*
•
Origini Smart Protection
•
Elenco URL approvato*
•
Pianificazione aggiornamento del
server
•
Impostazioni del monitoraggio del
comportamento*
•
Pianificazione e origine
dell'aggiornamento dell'agente (client)
•
Impostazioni di controllo dispositivo*
•
Notifiche
•
Impostazioni di Prevenzione perdita di
dati*
•
Impostazioni proxy
•
Privilegi e altre impostazioni*
•
Porta dell'agente (client) OfficeScan e
Client_LocalServer_Port nel file
ofcscan.ini
Nota
•
Le impostazioni con un asterisco (*) mantengono le configurazioni sia a livello
principale sia al livello di dominio.
•
Lo strumento non effettua il backup degli elenchi dell'agente OfficeScan nel server
OfficeScan ma solo delle strutture dei domini.
•
L'agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versione
precedente del server dell'agente OfficeScan. Per funzioni che non sono disponibili
sulla versione precedente, l'agente OfficeScan applica le impostazioni predefinite.
2-33
Guida per l'amministratore di OfficeScan™ 11.0
Utilizzo dello Strumento di migrazione del server
Nota
Questa versione di OfficeScan supporta le migrazioni da OfficeScan versione 10.0 e
successive.
Le versioni precedenti di OfficeScan potrebbero non contenere tutte le impostazioni
disponibili nella versione più recente. OfficeScan applica automaticamente le impostazioni
predefinite per ogni funzione non migrata nella versione del server OfficeScan precedente.
Procedura
1.
Nel computer server OfficeScan 11.0, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\ServerMigrationTool.
2.
Copiare lo Strumento di migrazione del server sul computer del server OfficeScan
di origine.
Importante
Usare lo Strumento di migrazione del server di OfficeScan 11.0 della versione del
server OfficeScan di origine per garantire la corretta formattazione di tutti i dati per il
nuovo server di destinazione. OfficeScan 11.0 non è compatibile con le versioni
precedenti dello Strumento di migrazione del server.
3.
Fare doppio clic su ServerMigrationTool.exe per avviare lo Strumento di
migrazione del server.
Lo Strumento di migrazione del server viene aperto.
4.
Per esportare le impostazioni dal server OfficeScan di origine:
a.
Specificare la cartella di destinazione utilizzando il pulsante Sfoglia.
Nota
Il nome predefinito del pacchetto di esportazione è OsceMigrate.zip.
b.
2-34
Fare clic sul pulsante Esporta.
Informazioni preliminari su OfficeScan
Viene visualizzato un messaggio che richiede la conferma dell'operazione.
c.
5.
Copiare il pacchetto di esportazione nel server OfficeScan di destinazione.
Per importare le impostazioni nel server OfficeScan di destinazione:
a.
Individuare il pacchetto di esportazione utilizzando il pulsante Sfoglia.
b.
Fare clic su Importa.
Viene visualizzato un messaggio di avviso.
c.
Fare clic su Sì per procedere.
Viene visualizzato un messaggio che richiede la conferma dell'operazione.
6.
Verificare che il server contenga tutte le impostazioni della versione di OfficeScan
precedente.
7.
Spostare gli agenti OfficeScan precedenti nel nuovo server.
Per ulteriori informazioni sullo spostamento degli agenti OfficeScan, vedere
Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-61 o
Agent Mover a pagina 14-23.
Active Directory Integration
L'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consente
di gestire gli agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni per
la console Web tramite gli account Active Directory e di determinare in quali agenti non
è installato il software di protezione. Tutti gli utenti del dominio della rete possono avere
accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitato
per utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo di
autenticazione e la chiave di crittografia convalidano le credenziali degli utenti.
L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioni
indicate di seguito:
•
Role-based Administration (RBA): consente di assegnare agli utenti
responsabilità amministrative specifiche concedendo loro l'accesso alla console del
2-35
Guida per l'amministratore di OfficeScan™ 11.0
prodotto mediante i loro account Active Directory. Per i dettagli, consultare Rolebased Administration (RBA) a pagina 13-2.
•
Personalizza gruppi di agenti: consente di utilizzare Active Directory o gli
indirizzi IP per raggruppare gli agenti in modo manuale e associarli ai domini della
struttura agente OfficeScan. Per i dettagli, consultare Raggruppamento automatico agenti
a pagina 2-54.
•
Gestione server esterni: assicurarsi che i computer della rete che non sono gestiti
dal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per i
dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-70.
Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il server
OfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione dei
dati con i domini di Active Directory a pagina 2-38.
Integrazione di Active Directory con OfficeScan
Procedura
1.
Accedere a Amministrazione > Active Directory > Active Directory
Integration.
2.
In Domini Active Directory specificare il nome del dominio Active Directory.
3.
Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazione
dei dati con il dominio Active Directory specificato. Le credenziali sono
obbligatorie se il server non appartiene al dominio. In caso contrario, le credenziali
sono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server non
sarà in grado di sincronizzare i dati.
a.
Fare clic su Specificare le credenziali di dominio.
b.
Nella finestra popup visualizzata, immettere il nome utente e la password. Il
nome utente può essere specificato in uno dei seguenti formati:
c.
2-36
•
dominio\nome utente
•
[email protected]
Fare clic su Salva.
Informazioni preliminari su OfficeScan
4.
Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare le
credenziali per i domini eventualmente aggiunti.
5.
Fare clic sul pulsante (
6.
Specificare le impostazioni di crittografia se sono state specificate le credenziali per
i domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominio
specificate dall'utente prima di salvarle nel database. Quando OfficeScan
sincronizza i dati con uno dei domini specificati, usa una chiave di crittografia per
decodificare le credenziali del dominio.
) per eliminare i domini.
a.
Andare alla sezione Impostazioni di crittografia per le credenziali del
dominio.
b.
Immettere una chiave di crittografia non superiore a 128 caratteri.
c.
Specificare un file in cui salvare la chiave di crittografia. È possibile scegliere
un comune formato di file, come .txt. Includere il nome e il percorso
completo del file, ad esempio C:\AD_Encryption\EncryptionKey.txt.
AVVERTENZA!
se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà in
grado di sincronizzare i dati con i domini specificati.
7.
8.
Fare clic su una delle opzioni riportate di seguito.
•
Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiede
una notevole quantità di risorse della rete, è possibile scegliere di salvare solo
le impostazioni e di eseguire la sincronizzazione successivamente, ad esempio
durante le ore con minore carico di lavoro.
•
Salva e sincronizza: Salva le impostazioni e sincronizza i dati con i domini
Active Directory.
Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione dei
dati con i domini di Active Directory a pagina 2-38.
2-37
Guida per l'amministratore di OfficeScan™ 11.0
Sincronizzazione dei dati con i domini di Active Directory
Sincronizzare i dati con i domini Active Directory regolarmente in modo che la struttura
agente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti.
Sincronizzazione manuale dei dati con i domini di Active
Directory
Procedura
1.
Accedere a Amministrazione > Active Directory > Active Directory
Integration.
2.
Verificare che le credenziali dei domini e le impostazioni di crittografia non siano
cambiate.
3.
Fare clic su Salva e sincronizza.
Sincronizzazione automatica dei dati con i domini di Active
Directory
Procedura
1.
Accedere a Amministrazione > Active Directory > Sincronizzazione
pianificata.
2.
Selezionare Attiva sincronizzazione pianificata di Active Directory.
3.
Specificare la pianificazione di sincronizzazione.
Nota
Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica il
numero di ore che OfficeScan destina alla sincronizzazione di Active Directory con il
server OfficeScan.
2-38
Informazioni preliminari su OfficeScan
4.
Fare clic su Salva.
Struttura agente OfficeScan
La struttura agente OfficeScan visualizza tutti gli agenti raggruppati in domini
attualmente gestiti dal server. Gli agenti sono raggruppati in domini per consentire di
configurare e gestire contemporaneamente tutti i membri del dominio, nonché di
assegnare loro la stessa configurazione.
La struttura agente viene visualizzata nel riquadro principale quando si accede a
determinate funzioni dal menu principale.
FIGURA 2-21. Struttura agente OfficeScan
Icone della struttura agente
Le icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano il
tipo di dispositivo e lo stato degli agenti OfficeScan gestiti da OfficeScan.
2-39
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 2-9. Icone della struttura agente di OfficeScan
ICONA
DESCRIZIONE
Dominio
Root
Update agent
Agente scansione convenzionale
Smart Scan disponibile nell'agente OfficeScan
Smart Scan non disponibile nell'agente OfficeScan
Smart Scan disponibile in Update Agent
Smart Scan non disponibile in Update Agent
Operazioni generali della struttura agente
Di seguito è riportato un elenco delle operazioni generali possibili quando viene
visualizzata la struttura agente:
Procedura
•
2-40
Per selezionare tutti i domini e tutti gli agenti, fare clic sull'icona del dominio root
( ). Quando viene selezionata l'icona del dominio root e si sceglie un'operazione
al di sopra della struttura agente, viene visualizzata una schermata per la
configurazione delle impostazioni. Nella schermata scegliere le seguenti opzioni
generali:
Informazioni preliminari su OfficeScan
•
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Per selezionare più agenti o domini adiacenti:
•
Nel pannello situato a destra, selezionare il primo dominio, tenere premuto il
tasto MAIUSC e fare clic sull'ultimo dominio o agente dell'intervallo.
•
Per selezionare un intervallo di agenti o domini non adiacenti, nel pannello situato
a destra, tenere premuto il tasto CTRL e fare clic sui domini o agenti che si
desidera selezionare.
•
È possibile cercare un determinato agente, specificando il nome dell'agente nella
casella di testo Cerca dispositivo.
L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altre
opzioni di ricerca, fare clic su Ricerca avanzata.
Nota
Non è possibile specificare indirizzi IPv6 o IPv4 quando si cercano degli agenti
specifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per i
dettagli, consultare Opzioni di ricerca avanzate a pagina 2-42.
•
Quando si seleziona un dominio, la tabella della struttura agente si espande e
mostra tutti gli agenti appartenenti al dominio e tutte le colonne contenenti le
informazioni relative a tali agenti. Per vedere solo un gruppo di colonne,
selezionare un elemento all'interno della visualizzazione della struttura agente.
•
Visualizza tutto: mostra tutte le colonne
•
Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi
•
Visualizzazione antivirus: mostra tutti i componenti antivirus
•
Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware
2-41
Guida per l'amministratore di OfficeScan™ 11.0
•
Visualizzazione protezione dati: mostra lo stato del modulo Protezione dati
sugli agenti
•
Visualizzazione firewall: mostra tutti i componenti firewall
•
Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagli
agenti (convenzionale o Smart Scan) e i componenti Smart Protection
•
Visualizzazione Update Agent: mostra le informazioni su tutti gli Update
Agent gestiti dal server OfficeScan
•
È possibile cambiare la disposizione delle colonne, trascinando i titoli delle colonne
in posizioni diverse all'interno della struttura agente. OfficeScan salva
automaticamente la nuova posizione delle colonne.
•
Facendo clic sul nome di una colonna, è possibile ordinare gli agenti sulla base delle
informazioni in essa contenute.
•
La struttura agente può essere aggiornata facendo clic sull'icona (
•
Le statistiche relative agli agenti vengono visualizzate al di sotto della struttura
agente e comprendono informazioni quali il numero totale di agenti, il numero di
agenti Smart Scan e il numero di agenti con scansione convenzionale.
).
Opzioni di ricerca avanzate
La ricerca degli agenti si basa sui seguenti criteri:
Procedura
•
Criteri di base: comprende le informazioni di base sugli dispositivo, come
indirizzo IP, sistema operativo, indirizzo MAC, metodo di scansione e stato di
reputazione Web
•
2-42
La ricerca in base al segmento IPv4 richiede una porzione di indirizzo IP che
inizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti gli
dispositivo con indirizzi IP contenenti la voce specificata. Se, ad esempio, se si
digita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo di
indirizzi IP da 10.5.0.0 a 10.5.255.255.
Informazioni preliminari su OfficeScan
•
La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso.
•
La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC in
notazione esadecimale, ad esempio 000A1B123C12.
•
Versioni componenti: selezionare la casella di controllo accanto al nome del
componente, restringere i parametri selezionando Precedente a o Precedente a e
incluso e immettere un numero di versione. Per impostazione predefinita viene
inserito il numero di versione attuale.
•
Stato: comprende le impostazioni dell'agente
•
Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della
struttura agente viene visualizzato un elenco di nomi di dispositivo corrispondenti
ai criteri.
Operazioni specifiche della struttura agente
La struttura agente viene visualizzata quando si accede ad alcune schermate della console
Web. Al di sopra della struttura agente sono disponibili elementi specifici della
schermata visualizzata. Questi elementi del menu consentono di effettuare operazioni
specifiche quali configurare le impostazioni degli agenti o avviare operazioni degli agenti.
Per eseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindi
selezionare una voce del menu.
La seguente schermata visualizza la struttura agente:
•
Schermata Gestione agente a pagina 2-44
•
Schermata Prevenzione delle infezioni a pagina 2-47
•
Schermata Selezione agente a pagina 2-48
•
Schermata Rollback a pagina 2-49
•
Schermata Registri dei rischi per la sicurezza a pagina 2-50
La struttura agente fornisce l'accesso alle seguenti funzioni:
•
Cerca dispositivo: individuare gli dispositivo specifici digitando i criteri di ricerca
nella casella di testo.
2-43
Guida per l'amministratore di OfficeScan™ 11.0
Gli amministratori possono inoltre cercare manualmente la struttura agente per
individuare dispositivo o domini. Le informazioni su specifici computer vengono
visualizzate nella tabella sulla destra.
Schermata Gestione agente
Per visualizzare questa schermata, accedere ad Agenti > Gestione agente.
Gestione delle impostaxioni generale dell'agente e visualizzazione delle informazioni
sullo stato relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP e
Stato della connessione) nella schermata Gestione agente.
FIGURA 2-22. Schermata Gestione agente
La tabella seguente elenca le operazioni che è possibile effettuare:
2-44
Informazioni preliminari su OfficeScan
TABELLA 2-10. Schermata Gestione agente
PULSANTE DI MENU
OPERAZIONE
Stato
Visualizzare le informazioni dettagliate sull'agente. Per i dettagli,
consultare Visualizzazione delle informazioni dettagliate sull'agente
OfficeScan a pagina 14-55.
Operazioni
•
Eseguire l'opzione Esegui scansione nei computer agenti. Per i
dettagli, consultare Avvio di Esegui scansione a pagina 7-26.
•
Disinstallare l'agente. Per i dettagli, consultare Disinstallazione
dell'agente OfficeScan dalla console Web a pagina 5-73.
•
Ripristinare il rilevamento dei file sospetti. Per i dettagli,
consultare Ripristino dei file in quarantena a pagina 7-45.
•
Ripristinare i componenti spyware/grayware. Per i dettagli,
consultare Ripristino spyware/grayware a pagina 7-54.
2-45
Guida per l'amministratore di OfficeScan™ 11.0
PULSANTE DI MENU
Impostazioni
2-46
OPERAZIONE
•
Configurare le impostazioni di scansione. Per ulteriori dettagli,
leggere i seguenti argomenti:
•
Tipi di metodi di scansione a pagina 7-8
•
Scansione manuale a pagina 7-19
•
Scansione in tempo reale a pagina 7-16
•
Scansione pianificata a pagina 7-21
•
Esegui scansione a pagina 7-24
•
Configurare le impostazioni di reputazione Web. Per i dettagli,
consultare Criteri di reputazione Web a pagina 11-5.
•
Configurare le impostazioni di connessione sospetta. Per i
dettagli, consultare Configurazione delle impostazioni di
connessione sospetta a pagina 11-14.
•
Configurare le impostazioni di Monitoraggio del comportamento.
Per i dettagli, consultare Monitoraggio del comportamento a
pagina 8-2.
•
Configurare le impostazioni di Controllo dispositivo. Per i
dettagli, consultare Controllo dispositivo a pagina 9-2.
•
Configurare i criteri di Prevenzione perdita di dati. Per i dettagli,
consultare Configurazione dei criteri Prevenzione perdita di dati
a pagina 10-44.
•
Assegnare gli agenti come Update Agent. Per i dettagli,
consultare Configurazione di Update Agent a pagina 6-59.
•
Configurare i privilegi agente e altre impostazioni. Per i dettagli,
consultare Configurazione dei privilegi dell'agente e altre
impostazioni a pagina 14-90.
•
Attivare o disattivare i servizi dell'agente OfficeScan. Per i
dettagli, consultare Servizi dell'agente OfficeScan a pagina
14-7.
•
Configurare l'elenco di spyware/grayware approvato. Per i
dettagli, consultare Elenco Approvati spyware/grayware a
pagina 7-51.
•
Importazione ed esportazione delle impostazioni agente. Per i
dettagli, consultare Importazione ed esportazione delle
impostazioni degli agenti a pagina 14-55.
Informazioni preliminari su OfficeScan
PULSANTE DI MENU
Registri
OPERAZIONE
Visualizzare i registri riportati di seguito:
•
Registri di virus/minacce informatiche (per maggiori dettagli,
vedere Visualizzazione dei registri di virus/minacce informatiche
a pagina 7-91)
•
Registri spyware/grayware (per maggiori dettagli, vedere
Visualizzazione dei registri di spyware/grayware a pagina 7-99)
•
Registri del firewall (per maggiori dettagli, vedere Registri del
firewall a pagina 12-29)
•
Registri di reputazione Web (per maggiori dettagli, consultare
Registri delle minacce Web a pagina 11-23)
•
Registri delle connessioni sospette (per maggiori dettagli,
consultare Visualizzazione dei registri delle connessioni
sospette a pagina 11-26)
•
Registri dei callback C&C (per maggiori dettagli, vedere
Visualizzazione dei registri dei callback C&C a pagina 11-25.)
•
Registri di Monitoraggio del comportamento (per maggiori
dettagli, vedere Registri di Monitoraggio del comportamento a
pagina 8-14)
•
Registri DLP (per maggiori dettagli, consultare Registri di
Prevenzione perdita di dati a pagina 10-53)
•
Registri di Controllo dispositivo (per maggiori dettagli, vedere
Registri di controllo dispositivo a pagina 9-18)
Eliminare i registri. Per i dettagli, consultare Gestione dei registri a
pagina 13-34.
Gestione
struttura agente
Gestire la struttura agente. Per i dettagli, consultare Operazioni di
raggruppamento agenti a pagina 2-58.
Esporta
Esportare un elenco degli agenti in un file .csv.
Schermata Prevenzione delle infezioni
Per visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezioni
virali.
2-47
Guida per l'amministratore di OfficeScan™ 11.0
Specificare ed attivare le impostazioni di prevenzione delle infezioni nella schermata
Prevenzione delle infezioni. Per i dettagli, consultare Configurazione della prevenzione dei
rischi per la sicurezza a pagina 7-108.
FIGURA 2-23. Schermata Prevenzione delle infezioni
Schermata Selezione agente
Per visualizzare questa schermata, accedere a Aggiornamenti > Agenti >
Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi su
Seleziona.
2-48
Informazioni preliminari su OfficeScan
Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli,
consultare Aggiornamenti manuali agente OfficeScan a pagina 6-47.
FIGURA 2-24. Schermata Selezione agente
Schermata Rollback
Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic su
Sincronizza con il server.
2-49
Guida per l'amministratore di OfficeScan™ 11.0
Eseguire il rollback dei componenti agenti nella schermata Rollback. Per i dettagli,
consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56.
FIGURA 2-25. Schermata Rollback
Schermata Registri dei rischi per la sicurezza
Per visualizzare questa schermata, accedere a Registri > Agenti > Rischi per la
sicurezza.
2-50
Informazioni preliminari su OfficeScan
Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza.
FIGURA 2-26. Schermata Registri dei rischi per la sicurezza
Eseguire le operazioni riportate di seguito:
1.
Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli,
consultare:
•
Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91
•
Visualizzazione dei registri di spyware/grayware a pagina 7-99
•
Visualizzazione dei registri firewall a pagina 12-30
•
Visualizzazione dei registri di reputazione Web a pagina 11-24
•
Visualizzazione dei registri delle connessioni sospette a pagina 11-26
•
Visualizzazione dei registri dei callback C&C a pagina 11-25
•
Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14
•
Visualizzazione dei registri di controllo dispositivo a pagina 9-19
2-51
Guida per l'amministratore di OfficeScan™ 11.0
•
2.
Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54
Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-34.
Domini OfficeScan
Un dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessa
configurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti in
domini consente di configurare e gestire tutti i membri del dominio, nonché di assegnare
loro la stessa configurazione. Per ulteriori informazioni sul raggruppamento degli agenti,
vedere Raggruppamento agenti a pagina 2-52.
Raggruppamento agenti
Utilizzare Raggruppamento agenti per creare e gestire domini in modo manuale o
automatico nella struttura agente OfficeScan.
Esistono due modi per raggruppare gli agenti nei domini.
TABELLA 2-11. Metodi di raggruppamento agenti
RAGGRUPPAMENTO
METODO
Manuale
AGENTI
•
Dominio
NetBIOS
•
Dominio Active
Directory
•
Dominio DNS
DESCRIZIONI
Il raggruppamento manuale agenti definisce il
dominio al quale il nuovo agente installato dovrebbe
appartenere. Quando l'agente viene visualizzato
nella struttura agente, è possibile spostarlo in un
altro dominio o in un altro server OfficeScan.
Il raggruppamento manuale agenti consente inoltre di
creare, gestire e rimuovere domini nella struttura
agente.
Per i dettagli, consultare Raggruppamento manuale
agenti a pagina 2-53.
2-52
Informazioni preliminari su OfficeScan
METODO
Automatici
RAGGRUPPAMENTO
DESCRIZIONI
AGENTI
Personalizza
gruppi di agenti
Il raggruppamento agenti automatico utilizza delle
regole per ordinare gli agenti nella struttura agente.
Dopo la definizione delle regole, è possibile accedere
alla struttura agente per ordinarli manualmente o per
consentire a OfficeScan di ordinarli automaticamente
quando si verificano eventi specifici o a intervalli
programmati.
Per i dettagli, consultare Raggruppamento
automatico agenti a pagina 2-54.
Raggruppamento manuale agenti
OfficeScan utilizza questa impostazione solo per le installazioni agenti da zero. Il
programma di installazione controlla il dominio di rete a cui appartiene l'dispositivo di
destinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScan
raggruppa l'agente dell'dispositivo di destinazione sotto quel dominio e applica ad esso le
impostazioni configurate per quel dominio. Se il nome del dominio non è presente,
OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto tale
dominio, quindi applica le impostazioni della directory principale al dominio e all'agente.
Configurazione raggruppamento manuale agenti
Procedura
1.
Accedere a Agenti > Raggruppamento agenti.
2.
Specificare il metodo di raggruppamento degli agenti:
3.
•
Dominio NetBIOS
•
Dominio Active Directory
•
Dominio DNS
Fare clic su Salva.
2-53
Guida per l'amministratore di OfficeScan™ 11.0
Operazioni successive
Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni:
•
Aggiungere un dominio
•
Eliminare un dominio o un agente
•
Rinominare un dominio
•
Trasferire un singolo agente a un altro dominio
Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-58.
Raggruppamento automatico agenti
Il raggruppamento automatico degli agenti utilizza le regole definite dagli indirizzi IP o
dai domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo di
indirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IP
corrispondente a un dominio specifico della struttura agente. Analogamente, se una
regola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà
agenti appartenenti a un particolare dominio Active Directory in un dominio specifico
della struttura agente.
Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, in
modo che se un agente soddisfa più di una regola, si applicherà quella con la priorità più
alta.
Configurazione del raggruppamento automatico agenti
Procedura
1.
Accedere a Agenti > Raggruppamento agenti
2.
Accedere alla sezione Raggruppamento agenti e selezionare Personalizza
gruppi di agenti.
3.
Accedere alla sezione Raggruppamento automatico agenti.
4.
Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare Active
Directory oppure Indirizzo IP.
2-54
Informazioni preliminari su OfficeScan
5.
6.
•
Se è stato selezionato Active Directory, consultare le istruzioni per la
configurazione in Definizione di una regola di raggruppamento degli agenti in base ai
domini Active Directory a pagina 2-56.
•
Se è stato selezionato Indirizzo IP, consultare le istruzioni per la
configurazione in Definizione delle regole di raggruppamento degli agenti in base agli
indirizzi IP a pagina 2-57.
Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi:
a.
Selezionare una regola.
b.
Fare clic su una freccia sotto la colonna Priorità di raggruppamento per
spostare la regola in alto o in basso nell'elenco. Il numero ID della regola
cambia in base alla nuova posizione assegnata.
Per utilizzare le regole durante il riordino dell'agente:
a.
Selezionare le caselle di controllo delle regole da utilizzare.
b.
Attivare la regola impostando lo Stato su Attivato.
Nota
Se non viene selezionata la casella di controllo per una regola o se la regola viene
disattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella struttura
agente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovo
dominio, l'agente non si sposterà e rimarrà nel dominio attuale.
7.
8.
Specificare una pianificazione di riordino nella sezione Creazione dominio
pianificata.
a.
Selezionare Attiva creazione dominio pianificata.
b.
Specificare la pianificazione in Creazione dominio basata su
pianificazione.
Scegliere una delle opzioni elencate di seguito.
•
Salva e crea dominio ora: scegliere questa opzione se sono stati specificati
nuovi domini in Definizione delle regole di raggruppamento degli agenti in base agli
indirizzi IP a pagina 2-57, passaggio 7 o in Definizione di una regola di
2-55
Guida per l'amministratore di OfficeScan™ 11.0
raggruppamento degli agenti in base ai domini Active Directory a pagina 2-56,
passaggio 7.
•
Salva: scegliere questa opzione se non sono stati specificati nuovi domini o si
desidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione.
Nota
Il riordino dell'agente non inizierà dopo il completamento di questo passaggio.
Definizione di una regola di raggruppamento degli agenti in
base ai domini Active Directory
Accertarsi di aver configurato le impostazioni di integrazione di Active Directory prima
di eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration a
pagina 2-35.
Procedura
1.
Accedere a Agenti > Raggruppamento agenti.
2.
Accedere alla sezione Raggruppamento agenti e selezionare Personalizza
gruppi di agenti.
3.
Accedere alla sezione Raggruppamento automatico agenti.
4.
Fare clic su Aggiungi, quindi selezionare Active Directory.
Viene visualizzata una nuova schermata.
5.
Selezionare Attiva raggruppamento.
6.
Specificare un nome per la regola.
7.
In Origine di Active Directory, selezionare il domini o i sottodomini di Active
Directory.
8.
In Struttura agente, selezionare un dominio OfficeScan esistente al quale sono
associati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste,
attenersi alla procedura riportata di seguito:
2-56
Informazioni preliminari su OfficeScan
9.
a.
Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clic
sull'icona ( ) per l'aggiunta dei domini.
b.
Immettere il nome del dominio nella casella di testo fornita.
c.
Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio
viene aggiunto ed è selezionato automaticamente.
Facoltativamente, selezionare Duplica la struttura Active Directory nella
struttura dell'agente OfficeScan. Questa opzione duplica la gerarchia dei domini
Active Directory selezionati nel dominio OfficeScan selezionato.
10. Fare clic su Salva.
Definizione delle regole di raggruppamento degli agenti in
base agli indirizzi IP
Per ordinare gli agenti della struttura agente OfficeScan, creare gruppi di agenti
personalizzati utilizzando gli indirizzi IP di rete. La funzione si rivela utile agli
amministratori per organizzare la struttura agente OfficeScan prima della registrazione
dell'agente con il server OfficeScan.
Procedura
1.
Accedere a Agenti > Raggruppamento agenti.
2.
Accedere alla sezione Raggruppamento agenti e selezionare Personalizza
gruppi di agenti.
3.
Accedere alla sezione Raggruppamento automatico agenti.
4.
Fare clic su Aggiungi e selezionare Indirizzo IP.
Viene visualizzata una nuova schermata.
5.
Selezionare Attiva raggruppamento.
6.
Specificare un nome per il raggruppamento.
7.
Specificare una delle seguenti opzioni:
2-57
Guida per l'amministratore di OfficeScan™ 11.0
•
Un indirizzo IPv4 o IPv6 singolo
•
Un intervallo di indirizzi IPv4
•
Una lunghezza e un prefisso IPv6
Nota
Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi di
agenti diversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è
disattivato nella macchina host dell'agente, questo sarà spostato sotto il gruppo IPv4.
8.
Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP è
associato. Se il dominio non esiste, attenersi alla procedura riportata di seguito:
a.
Posizionare il mouse sopra la struttura agente e fare clic sull'icona per
l'aggiunta dei domini.
FIGURA 2-27. Icona per l'aggiunta dei domini
9.
b.
Digitare il dominio nella casella di testo disponibile.
c.
Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio
viene aggiunto ed è selezionato automaticamente.
Fare clic su Salva.
Operazioni di raggruppamento agenti
Durante il raggruppamento agenti nei domini è possibile effettuare le operazioni
riportate di seguito:
2-58
Informazioni preliminari su OfficeScan
•
Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-59 per
ulteriori dettagli.
•
Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un
agente a pagina 2-60 per ulteriori dettagli.
•
Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 per
ulteriori dettagli.
•
Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan.
Consultare Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina
2-61 per ulteriori dettagli.
•
Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un
agente a pagina 2-60 per ulteriori dettagli.
Aggiunta di un dominio
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Fare clic su Gestione struttura agente > Aggiungi dominio.
3.
Digitare un nome per il dominio che si desidera aggiungere.
4.
Fare clic su Aggiungi.
Il nuovo dominio viene visualizzato nella struttura agente.
5.
Creare sottodomini (Facoltativo).
a.
Selezionare il dominio principale.
b.
Fare clic su Gestione struttura agente > Aggiungi dominio.
c.
Immettere il nome del sottodominio.
2-59
Guida per l'amministratore di OfficeScan™ 11.0
Eliminazione di un dominio o di un agente
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, selezionare:
•
Uno o più domini
•
Uno, alcuni o tutti gli agenti appartenenti a un dominio
3.
Fare clic su Gestione struttura agente > Rimuovi dominio/agente.
4.
Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se nel
dominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il server
OfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto tale
dominio la volta successiva che gli agenti si connettono al server OfficeScan. Prima
di eliminare il dominio, è possibile effettuare le seguenti operazioni:
5.
a.
Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini,
trascinarli nei domini di destinazione.
b.
Eliminare tutti gli agenti.
Per eliminare un singolo dominio, fare clic su Rimuovi dominio/agente.
Nota
L'eliminazione di un agente da una struttura agente non comporta l'eliminazione
dell'agente OfficeScan dall'dispositivo agente. L'agente OfficeScan è comunque in
grado di effettuare delle operazioni indipendenti dal server quali l'aggiornamento dei
componenti. Tuttavia, sul server non è presente alcuna traccia dell'esistenza
dell'agente e, per questo motivo, non è possibile implementare configurazioni o
inviare notifiche all'agente.
2-60
Informazioni preliminari su OfficeScan
Ridenominazione di un dominio
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Selezionare un dominio nella struttura agente.
3.
Fare clic su Gestione struttura agente > Rinomina dominio.
4.
Inserire un nuovo nome per un dominio.
5.
Fare clic su Rinomina.
All'interno della struttura agente viene visualizzato il nuovo nome assegnato al
dominio.
Spostamento di agenti OfficeScan in un altro dominio o server
OfficeScan
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, selezionare uno, alcuni o tutti gli agenti.
3.
Fare clic su Gestione struttura agente > Sposta agente.
4.
Per spostare gli agenti a un altro dominio:
•
Selezionare Sposta gli agenti selezionati in un altro dominio.
•
Selezionare il dominio.
•
Applicare le impostazioni del nuovo dominio agli agenti (facoltativo).
Suggerimento
È inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della struttura
agente.
2-61
Guida per l'amministratore di OfficeScan™ 11.0
5.
6.
2-62
Per spostare gli agenti a un altro server OfficeScan:
•
Selezionare Sposta gli agenti selezionati in un altro server OfficeScan.
•
Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di porta
HTTP.
Fare clic su Sposta.
Capitolo 3
Informazioni preliminari su
Protezione dati
In questo capitolo vengono descritte le modalità di installazione e di attivazione del
modulo Protezione dati.
Di seguito sono riportati gli argomenti trattati:
•
Installazione di Protezione dati a pagina 3-2
•
Licenza di Protezione dati a pagina 3-4
•
Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6
•
Cartella dati forensi e database DLP a pagina 3-9
•
Disinstallazione di Protezione dati a pagina 3-15
3-1
Guida per l'amministratore di OfficeScan™ 11.0
Installazione di Protezione dati
Il modulo Protezione dati comprende le funzionalità seguenti:
•
Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata di
risorse digitali
•
Controllo dispositivo: Regola l'accesso ai dispositivi esterni
Nota
La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo che
consente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazione
USB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di
ampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere
Controllo dispositivo a pagina 9-2.
Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan ma
richiedono una licenza separata. Dopo aver installato il server OfficeScan, queste
funzionalità sono disponibili ma non sono operative e non possono essere implementate
sugli agenti. L'installazione di Protezione dati prevede il download di un file dal server
ActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata.
Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza di
Protezione dati per attivarne le funzionalità complete. L'installazione e l'attivazione
vengono eseguite da Plug-in Manager.
Importante
3-2
•
Non è necessario installare il modulo standalone Protezione dati se il software
Prevenzione della perdita di dati Trend Micro è già installato e in esecuzione sugli
dispositivo.
•
Il modulo Protezione dati può essere installato su un Plug-in Manager IPv6 puro.
Tuttavia, solo la funzionalità Controllo dispositivo può essere implementata negli
agenti IPv6 puri. La funzione Prevenzione perdita di dati non funziona negli agenti
IPv6 puri.
Informazioni preliminari su Protezione dati
Installazione di Protezione dati
Procedura
1.
Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.
2.
Nella schermata Plug-in Manager, andare alla sezione Protezione dati
OfficeScan e fare clic su Download.
Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download.
Plug-In Manager archivia il file scaricato in <Cartella di installazione del server>
\PCCSRV\Download\Product.
Nota
Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente
dopo 24 ore. Per avviare manualmente il download del file da parte di Plug-in
Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management
Console.
3.
Monitorare l'avanzamento del download.
Nel corso del download è possibile effettuare altre operazioni.
Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare i
registri di aggiornamento server sulla console web di OfficeScan. Nella barra
laterale, fare clic su Registri > Aggiornamento del server.
Una volta completato il download del file di Plug-in Manager, Protezione dati
OfficeScan viene visualizzato in una nuova schermata.
Nota
Se Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioni
in Risoluzione dei problemi di Plug-in Manager a pagina 15-12.
4.
Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa ora
o per installarlo in un secondo momento, fare quanto segue:
a.
Fare clic su Installa in un secondo momento.
3-3
Guida per l'amministratore di OfficeScan™ 11.0
5.
b.
Aprire la schermata Plug-in Manager.
c.
Andare alla sezione Protezione dati OfficeScan e fare clic su Installa.
Leggere il contratto di licenza e fare clic su Accetto per accettare i termini.
L'installazione viene avviata.
6.
Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione viene
visualizzata la versione di Protezione dati OfficeScan.
Licenza di Protezione dati
Visualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager.
Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza.
Attivazione della licenza del programma plug-in
Procedura
1.
Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.
2.
Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e
fare clic su Gestione programma.
Viene visualizzata la schermata Nuovo codice di attivazione della licenza del
prodotto.
3.
Digitare o copiare e incollare il codice di attivazione nei campi del testo.
4.
Fare clic su Salva.
Viene visualizzata la console plug-in.
3-4
Informazioni preliminari su Protezione dati
Informazioni sulla visualizzazione e il rinnovo della
licenza
Procedura
1.
Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.
2.
Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e
fare clic su Gestione programma.
3.
Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizza
informazioni sulla licenza.
Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizza
informazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fare
riferimento alla documentazione utente sui programmi plug-in.
4.
Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata.
OPZIONE
DESCRIZIONE
Stato
Indica se lo stato è "Attivato", "Non attivato" o "Scaduto".
Versione
Indica se la versione è "Completa" o se si tratta di una "Versione
di prova"
Nota
L'attivazione viene visualizzata come "Completa" sia per la
versione completa e sia per la versione di prova.
Postazioni
Indica quanti dispositivo il programma plug-in è in grado di
gestire
La licenza
scade il
Se il programma plug-in prevede diverse licenze, verrà
visualizzata l'ultima data di scadenza.
Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11,
verrà visualizzata la data 31.12.11.
Codice di
attivazione
visualizza il Codice di attivazione
3-5
Guida per l'amministratore di OfficeScan™ 11.0
OPZIONE
Promemoria
DESCRIZIONE
A seconda della versione della licenza corrente, il plug-in
visualizza i promemoria sulla data di scadenza della licenza
durante il periodo di proroga (solo nelle versioni complete)
oppure quando scade la licenza.
Nota
La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il
periodo di proroga di in programma plug-in con un rappresentante Trend Micro.
Quando la licenza di un programma plug-in scade, questo continua a funzionare ma
gli aggiornamenti e l'assistenza non sono più disponibili.
5.
Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sulla
licenza corrente sul sito Web di Trend Micro.
6.
Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su
Aggiorna informazioni.
7.
Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codice
di attivazione della licenza del prodotto.
Per i dettagli, consultare Attivazione della licenza del programma plug-in a pagina 3-4.
Implementazione di Protezione dati negli
agenti OfficeScan
Implementare il modulo Protezione dati negli agenti OfficeScan dopo l'attivazione della
licenza. Dopo l'implementazione, gli agenti OfficeScan iniziano ad utilizzare
Prevenzione perdita di dati e Controllo dispositivo.
3-6
Informazioni preliminari su Protezione dati
Importante
•
Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003,
Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effetto
negativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazioni
del sistema costantemente e adottare le misure necessarie quando si verificano cali di
prestazioni.
Nota
Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultare
Servizi dell'agente OfficeScan a pagina 14-7.
•
Se il software Prevenzione della perdita di dati Trend Micro è disponibile
nell'dispositivo, OfficeScan non lo sostituisce con il modulo Protezione dati.
•
Solo Controllo dispositivo può essere implementato negli agenti IPv6 puri.
Prevenzione perdita di dati non funziona negli agenti IPv6 puri.
•
Il modulo Protezione dati viene installato immediatamente negli agenti online. Negli
agenti offline e roaming il modulo viene installato quando diventano online.
•
Gli utenti devono riavviare i computer per completare l'installazione dei driver di
Prevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare.
•
Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione dei
problemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug per
il modulo Protezione dati a pagina 10-60.
Implementazione del modulo Protezione dati agli agenti
OfficeScan
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente è possibile:
•
Fare clic sull'icona del dominio root (
gli agenti esistenti e futuri.
) per implementare il modulo su tutti
3-7
Guida per l'amministratore di OfficeScan™ 11.0
3.
•
Selezionare un dominio specifico per implementare il modulo su tutti gli
agenti esistenti e futuri del dominio.
•
Selezionare un agente specifico per implementare il modulo solo su
quell'agente.
Implementare il modulo in due modi diversi:
•
Fare clic su Impostazioni > Impostazioni DLP.
•
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
Nota
Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e il
modulo Protezione dati è stato implementato correttamente, saranno installati i
driver di Prevenzione perdita di dati. Se i driver sono installati correttamente,
viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare gli
dispositivo per terminare l'installazione dei driver.
Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemi
durante l'installazione dei driver. Se il registro di debug è attivato, controllare i
registri di debug per ottenere dettagli sui problemi di installazione dei driver.
4.
Viene visualizzato un messaggio per indicare il numero di agenti in cui il modulo
non è installato. Fare clic su Sì per avviare l’implementazione.
Nota
Se si fa clic su No (o se il modulo non è stato implementato su uno o più client), lo
stesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni >
Impostazioni DLP o Impostazioni > Impostazioni di controllo dispositivo.
Gli agenti OfficeScan iniziano il download del modulo dal server.
5.
3-8
Controllare se il modulo è stato implementato sugli agenti.
a.
Selezionare un dominio nella struttura agente.
b.
Nell visualizzazione struttura agente, selezionare Visualizzazione protezione
dati o Visualizza tutto.
Informazioni preliminari su Protezione dati
c.
Controllare la colonna Stato Protezione dati. Lo stato dell'implementazione
può essere uno dei valori riportati di seguito:
•
In esecuzione: l'implementazione del modulo è riuscita e le funzioni
sono state attivate.
•
Riavvio necessario: i driver di Prevenzione perdita di dati non sono
stati installati perché gli utenti non hanno riavviato i rispettivi computer.
Se i driver non sono installati, Prevenzione perdita di dati non funziona.
•
Operazione interrotta: il servizio per il modulo non è stato avviato o
l'dispositivo di destinazione è stato arrestato in modo normale. Per
avviare il servizio Protezione dati, accedere a Agenti > Gestione agente
> Impostazioni > Impostazioni aggiuntive del servizio e attivare
Servizio Protezione dati.
•
Impossibile eseguire l'installazione: si è verificato un problema
durante l'implementazione del modulo sull'agente. Occorre
implementare di nuovo il modulo dalla struttura agente.
•
Impossibile eseguire l'installazione (esiste già un programma per
la prevenzione della perdita di dati): il software Prevenzione della
perdita di dati Trend Micro è già disponibile nell'dispositivo. OfficeScan
non lo sostituisce con il modulo Protezione dati.
•
Non installato: il modulo non è stato implementato sull'agente. Lo stato
viene visualizzato se si sceglie di non implementare il modulo sull'agente
o se lo stato dell'agente è offline o roaming durante l'implementazione.
Cartella dati forensi e database DLP
Quando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i dati
dell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un file
crittografato contenente una copia dei dati sensibili che hanno causato l'incidente e
genera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili.
OfficeScan crea i file crittografati di dati forensi sulla macchina agente, caricandoli
successivamente in un percorso specifico sul server.
3-9
Guida per l'amministratore di OfficeScan™ 11.0
Importante
•
I file crittografati dei dati forensi contengono dati altamente sensibili e gli
amministratori devono agire con cautela quando consentono l'accesso a tali file.
•
OfficeScan, in combinazione con Control Manager, fornisce agli utenti di Control
Manager con ruolo di Responsabile della revisione degli incidenti DLP o di
Responsabile di conformità DLP la facoltà di accedere ai dati all'interno dei file
crittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensi
in Control Manager, vedere la guida per l'amministratore di Control Manager 6.0 Patch 2 o
versioni successive.
Modifica delle impostazioni della cartella e del database
dei dati forensi
Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazione
della cartella dei dati forensi nonché le dimensioni massime dei file che gli agenti
caricano, modificando i file INI di OfficeScan.
AVVERTENZA!
La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti di
Prevenzione perdita di dati può causare una disconnessione tra i dati del database e il
percorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmente
la migrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopo
averne modificato il percorso.
La seguente tabella delinea le impostazioni del server disponibili nel file del percorso
<Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel server
OfficeScan.
3-10
Informazioni preliminari su Protezione dati
TABELLA 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private
\ofcserver.ini
OBIETTIVO
IMPOSTAZIONE INI
Attivazione del
percorso della
cartella di dati
forensi definito
dall'utente
[INI_IDLP_SECTION]
Configurazion
e del percorso
della cartella di
dati forensi
definito
dall'utente
[INI_IDLP_SECTION]
EnableUserDefinedUploadFolder
VALORI
0: Disattiva
(predefinito)
1: Attiva
UserDefinedUploadFolder
Nota
•
Gli amministratori devono attivare
l'impostazione
EnableUserDefinedUploadFolder
prima che questa venga applicata da
Prevenzione perdita di dati.
•
Il percorso predefinito della cartella di
dati forensi è:
<Cartella di installazione del server>
Valore predefinito:
<Sostituire il valore
con il percorso di
cartella definito dal
cliente. Ad
esempio: C:
\VolumeData
\OfficeScanDlpFor
ensicData>
Valore definito
dall'utente: deve
essere un percorso
fisico di un'unità nel
server
\PCCSRV\Private\DLPForensicData
•
Attivazione
della pulizia
dei file di dati
forensi
Il percorso della cartella di dati forensi
definito dall'utente deve essere
un'unità fisica (interna o esterna) sul
server. OfficeScan non supporta la
mappatura di un percorso di un'unità
di rete.
[INI_IDLP_SECTION]
0: Disattiva
ForensicDataPurgeEnable
1: Attiva
(predefinito)
3-11
Guida per l'amministratore di OfficeScan™ 11.0
OBIETTIVO
Configurazion
e della
frequenza
temporale
della verifica di
pulizia del file
di dati forensi
IMPOSTAZIONE INI
[INI_IDLP_SECTION]
ForensicDataPurgeCheckFrequency
Nota
•
•
Gli amministratori devono attivare
l'impostazione
ForensicDataPurgeEnable prima che
questa venga applicata da OfficeScan.
OfficeScan elimina solamente i file di
dati che hanno superato la data di
scadenza specificata
nell'impostazione
ForensicDataExpiredPeriodInDays.
3-12
Configurazion
e del periodo
di tempo per
archiviare i file
di dati forensi
nel server
[INI_IDLP_SECTION]
Configurazion
e della
frequenza
temporale
della verifica di
spazio su
disco del file di
dati forensi
[INI_SERVER_DISK_THRESHOLD]
ForensicDataExpiredPeriodInDays
VALORI
1: Mensilmente, il
primo giorno del
mese alle 00:00
2: Settimanalmente
(predefinito), ogni
domenica alle
00:00
3:
Quotidianamente,
ogni giorno alle
00:00
4: Frequenza
oraria, ogni ora alle
HH:00
Valore predefinito
(in giorni): 180
Valore minimo: 1
Valore massimo:
3650
MonitorFrequencyInSecond
Nota
Se lo spazio su disco disponibile nella
cartella di dati forensi è inferiore al valore
configurato per l'impostazione
InformUploadOnDiskFreeSpaceInGb,
OfficeScan crea un registro eventi sulla
console Web.
Valore predefinito
(in secondi): 5
Informazioni preliminari su Protezione dati
OBIETTIVO
Configurazion
e della
frequenza di
caricamento
della verifica di
spazio su
disco del file di
dati forensi
Configurazion
e del valore
dello spazio su
disco minimo
che genera
una notifica di
spazio su
disco limitato
Configurazion
e dello spazio
minimo
disponibile per
caricare i file di
dati forensi
dagli agenti
IMPOSTAZIONE INI
[INI_SERVER_DISK_THRESHOLD]
IsapiCheckCountInRequest
VALORI
Valore predefinito
(in numero di file):
200
Nota
Se lo spazio su disco disponibile nella
cartella di dati forensi è inferiore al valore
configurato per l'impostazione
InformUploadOnDiskFreeSpaceInGb,
OfficeScan crea un registro eventi sulla
console Web.
[INI_SERVER_DISK_THRESHOLD]
InformUploadOnDiskFreeSpaceInGb
Valore predefinito
(in GB): 10
Nota
Se lo spazio su disco disponibile nella
cartella di dati forensi è inferiore al valore
configurato, OfficeScan crea un registro
eventi sulla console Web.
[INI_SERVER_DISK_THRESHOLD]
RejectUploadOnDiskFreeSpaceInGb
Valore predefinito
(in GB): 1
Nota
Se lo spazio su disco disponibile nella
cartella di dati forensi è inferiore al valore
configurato, gli agenti OfficeScan non
caricano i file dei dati forensi nel server e
OfficeScan crea un registro eventi sulla
console Web.
La seguente tabella delinea le impostazioni dell'agente OfficeScan disponibili nel file
<Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan.
3-13
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 3-2. Impostazioni dell'agente dei file di dati forensi in PCCSRV\ofcscan.ini
OBIETTIVO
3-14
IMPOSTAZIONE INI
Attivazione del
caricamento
dei file di dati
forensi nel
server
UploadForensicDataEnable
Configurazion
e delle
dimensioni
massime dei
file che
l'agente
OfficeScan
carica nel
server
UploadForensicDataSizeLimitInMb
Configurazion
e del periodo
di tempo per
archiviare i file
di dati forensi
nell'agente
OfficeScan
ForensicDataKeepDays
Configurazion
e della
frequenza con
cui l'agente
OfficeScan
verifica la
connettività del
server
ForensicDataDelayUploadFrequenceInMinute
s
VALORI
0: Disattiva
1: Attiva
(predefinito)
Valore predefinito
(in MB): 10
Nota
Valore minimo: 1
L'agente OfficeScan invia al server solo file
con dimensioni inferiori a queste.
Valore massimo:
2048
Valore predefinito
(in giorni): 180
Nota
Valore minimo: 1
L'agente OfficeScan elimina i file di dati
forensi che hanno superato la data di
scadenza specificata ogni giorno alle
11:00.
Valore massimo:
3650
Valore predefinito
(in minuti): 5
Valore minimo: 5
Nota
Gli agenti OfficeScan che non sono in
grado di caricare i file di dati forensi nel
server cercano automaticamente di
reinviarli in base all'intervallo di tempo
specificato.
Valore massimo:
60
Informazioni preliminari su Protezione dati
Creazione di un backup di dati forensi
In base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delle
informazioni dei dati forensi può variare enormemente. Al fine di liberare spazio su
disco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella e
del database contenenti i dati forensi.
Procedura
1.
Accedere al percorso della cartella di dati forensi nel server.
•
Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private
\DLPForensicData
•
Per individuare la cartella di dati forensi personalizzata, vedere Configurazione
del percorso della cartella di dati forensi definito dall'utente a pagina 3-11.
2.
Copiare la cartella in un nuovo percorso.
3.
Per effettuare il backup manuale del database di dati forensi, andare a <Cartella di
installazione del server>\PCCSRV\Private.
4.
Copiare il file DLPForensicDataTracker.db in un nuovo percorso.
Disinstallazione di Protezione dati
Se si disinstalla il modulo Protezione dati da Plug-in Manager:
•
Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registri
saranno rimossi dal server OfficeScan.
•
Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dal
modulo Protezione dati vengono rimosse dal server.
•
Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezione
dati completamente, è necessario riavviare gli dispositivo agente.
•
I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti.
3-15
Guida per l'amministratore di OfficeScan™ 11.0
•
Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi:
•
Adattatori Bluetooth
•
Porte COM e LPT
•
Interfaccia IEEE 1394
•
Dispositivi per l'acquisizione di immagini
•
Dispositivi a infrarossi
•
Modem
•
Scheda PCMCIA
•
Tasto Stamp
•
Schede NIC wireless:
Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione,
attivare la licenza con un Codice di attivazione valido.
Disinstallazione di Protezione dati da Plug-in Manager
Procedura
1.
Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale.
2.
Nella schermata Plug-in Manager, andare alla sezione Protezione dati
OfficeScan e fare clic su Disinstalla.
3.
Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è
possibile effettuare altre operazioni.
4.
Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. La
Protezione dati di OfficeScan è di nuovo disponibile per l'installazione.
3-16
Parte II
Protezione degli agenti
OfficeScan
Capitolo 4
Utilizzo di Trend Micro Smart
Protection
In questo capitolo vengono descritte le soluzioni Trend Micro™ Smart Protection e le
modalità di impostazione dell'ambiente richiesto per l'utilizzo di queste soluzioni.
Di seguito sono riportati gli argomenti trattati:
•
Informazioni su Trend Micro Smart Protection a pagina 4-2
•
Servizi Smart Protection a pagina 4-3
•
Origini Smart Protection a pagina 4-6
•
File Smart Protection Pattern a pagina 4-8
•
Impostazione dei servizi Smart Protection a pagina 4-13
•
Utilizzo dei servizi Smart Protection a pagina 4-34
4-1
Guida per l'amministratore di OfficeScan™ 11.0
Informazioni su Trend Micro Smart Protection
Trend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti degli
agenti cloud di prossima generazione concepita per proteggere gli utenti contro i rischi
per la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite
da host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agenti
leggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file,
posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti
viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti,
servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezione
reciproca in tempo reale per gli utenti.
Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione e
correlazione, le soluzioni Trend Micro Smart Protection riducono al minimo la
dipendenza dai download convenzionali dei file di pattern ed eliminano i ritardi
normalmente associati agli aggiornamenti desktop.
L'esigenza di una nuova soluzione
Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni)
richiesti per proteggere gli dispositivo, vengono per la maggior parte distribuiti in base a
una pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti.
Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/
minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni dei
pattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/
minaccia informatica, tale pattern deve nuovamente essere parzialmente o
completamente aggiornato e ricaricato sull'agente per garantire protezione continua.
Nel corso del tempo, si è verificato un significativo aumento del volume di minacce
emergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corso
degli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischi
per la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezza
rappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulle
prestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, in
generale, sul tempo globale richiesto per offrire una protezione di qualità o sul tempo
necessario a garantirla.
4-2
Utilizzo di Trend Micro Smart Protection
Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delle
minacce, volto a proteggere i clienti dalle minacce poste dal volume di virus/minacce
informatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano la
tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatiche
nell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacce
informatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti una migliore
protezione contro rischi per la sicurezza emergenti.
Servizi Smart Protection
Smart Protection include servizi che forniscono firme anti-malware, reputazione Web e
database delle minacce che vengono memorizzati nella rete cloud.
I servizi Smart Protection includono:
•
Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero di
firme contro le minacce informatiche (in precedenza memorizzate nei computer
agente) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazione
file a pagina 4-3.
•
Servizi di reputazione Web: Servizi di reputazione Web consente alle origini
Smart Protection locali di ospitare i dati di reputazione degli URL che in
precedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicurano
un consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o la
verifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web a
pagina 4-4.
•
Smart Feedback: Trend Micro continua a raccogliere informazioni inviate in
forma anonima dai prodotti Trend Micro in tutto il mondo per essere in grado di
individuare nuove minacce in modo proattivo. Per i dettagli, consultare Smart
Feedback a pagina 4-4.
Servizi di reputazione file
I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database
"in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono
memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad
4-3
Guida per l'amministratore di OfficeScan™ 11.0
elevate prestazioni in termini di disponibilità del contenuto e i server con cache locale
permettono che la latenza durante il processo di controllo sia minima. L'architettura
cloud offre protezione immediata, elimina la necessità di implementare i pattern e riduce
in modo significativo il carico complessivo degli agenti.
Gli agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione
file. In questo documento questi agenti sono definiti agenti Smart Scan. Gli agenti che
non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sono
definiti agenti con scansione convenzionale. Gli amministratori OfficeScan possono
configurare tutti gli agenti, o solo alcuni, in modalità Smart Scan.
OfficeScan deve essere in modalità Smart Scan per utilizzare i Servizi di reputazione file.
Servizi di reputazione Web
Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, la
tecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei domini
Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito
Web, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediante
l'analisi del comportamento delle minacce informatiche. Servizi di reputazione Web è
continuamente sottoposto alla reputazione Web e l'accesso ai siti infetti viene bloccato.
Le informazioni di reputazione Web contribuiscono a garantire che le pagine visitate
dagli utenti siano sicure e prive di minacce Web quali minacce informatiche, spyware e
frodi di phishing volte a indurre gli utenti a fornire informazioni personali. Per
aumentare l'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web di
Trend Micro assegna punteggi di reputazione a pagine e collegamenti individuali dei siti
anziché classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi
sono pericolose e la reputazione può cambiare con il tempo.
Gli agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi
di reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri di
reputazione Web a tutti gli agenti o solo ad alcuni.
Smart Feedback
Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra i
prodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.
4-4
Utilizzo di Trend Micro Smart Protection
Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ogni
singolo cliente aggiorna automaticamente il database completo delle minacce di Trend
Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessa
minaccia.
Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso la
vasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezione
automatica in tempo reale contro le minacce più recenti e di fornire una migliore
sicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco della
comunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione della
fonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacy
delle informazioni personali o professionali è sempre protetta.
Esempi di informazioni inviate a Trend Micro:
•
File checksum
•
Siti Web visitati
•
Informazioni sui file, comprese le dimensioni e i percorsi
•
Nomi di file eseguibili
È possibile interrompere la partecipazione al programma in qualsiasi momento dalla
console Web.
Suggerimento
Per proteggere il computer non è necessario partecipare al programma Smart Feedback. La
partecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Micro
consiglia di partecipare al programma Smart Feedback per contribuire a migliorare la
protezione complessiva di tutti i clienti Trend Micro.
Per ulteriori informazioni su Smart Protection Network, visitare:
http://it.trendmicro.com/it/technology/smart-protection-network/
4-5
Guida per l'amministratore di OfficeScan™ 11.0
Origini Smart Protection
Trend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle origini
OfficeScan e Smart Protection.
Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggior
parte delle definizioni dei pattern di virus e minacce informatiche. Gli agenti OfficeScan
ospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini Smart
Protection se le relative definizioni dei pattern non sono in grado di determinare il
rischio del file. Le origini Smart Protection determinano il rischio utilizzando le
informazioni di identificazione.
Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati di
reputazione Web precedentemente disponibili solo attraverso i server host di Trend
Micro. L'agente invia query di reputazione Web alle origini Smart Protection per
verificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette in
correlazione la reputazione di un sito Web con il criterio di reputazione Web applicato
sull'dispositivo per determinare se l'accesso al sito sarà consentito o bloccato.
L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente.
Gli agenti possono connettersi o a Smart Protection Network di Trend Micro o a Smart
Protection Network.
Trend Micro™ Smart Protection Network™
Trend Micro ™Smart Protection Network™ è un'infrastruttura per la sicurezza dei
contenuti dei client cloud di prossima generazione concepita per proteggere gli utenti
contro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestite
da host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio.
Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione
"in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai
database delle minacce. La protezione dei clienti viene aggiornata e rafforzata
automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono
alla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gli
utenti.
Per ulteriori informazioni su Smart Protection Network, visitare:
4-6
Utilizzo di Trend Micro Smart Protection
http://it.trendmicro.com/it/technology/smart-protection-network/
Smart Protection Server
Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendali
locali. I server locali limitano i servizi Smart Protection alla rete aziendale per una
maggiore efficienza.
Esistono due tipi di Smart Protection Server:
•
Integrated Smart Protection Server: Il programma di installazione di OfficeScan
comprende un Integrated Smart Protection Server che viene installato nello stesso
dispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibile
gestire le impostazioni di questo server dalla console Web OfficeScan. Il server
integrato è inteso per piccole implementazioni di OfficeScan. Per implementazioni
superiori, è necessario Smart Protection Server standalone.
•
Smart Protection Server standalone: Smart Protection Server standalone viene
installato su un server VMware o un server Hyper-V. Il server standalone dispone
di una console di gestione separata e non è gestito dalla console Web OfficeScan.
Confronto delle origini Smart Protection
La seguente tabella sottolinea le differenze tra Smart Protection Network e Smart
Protection Server.
TABELLA 4-1. Confronto delle origini Smart Protection
CRITERI DI
CONFRONTO
Disponibilità
SMART PROTECTION SERVER
Disponibile per gli agenti interni,
ossia gli agenti che soddisfano i
criteri di posizione specificati
nella console Web OfficeScan
TREND MICRO SMART PROTECTION
NETWORK
Disponibile principalmente per gli
agenti esterni, ossia gli agenti
che non soddisfano i criteri di
posizione specificati nella
console Web OfficeScan.
4-7
Guida per l'amministratore di OfficeScan™ 11.0
CRITERI DI
CONFRONTO
SMART PROTECTION SERVER
TREND MICRO SMART PROTECTION
NETWORK
Scopo
Progettata e finalizzata
all'identificazione dei servizi
Smart Protection per la rete
aziendale al fine di ottimizzare
l'efficienza.
Un'infrastruttura, basata su
Internet, su scala globale che
fornisce servizi Smart Protection
agli agenti che non possono
accedere direttamente alla loro
rete aziendale.
Amministrazione
Gli amministratori OfficeScan
installano e gestiscono queste
origini Smart Protection.
Trend Micro gestisce questa
origine.
Origine di
aggiornamento
dei pattern
Server ActiveUpdate di Trend
Micro
Server ActiveUpdate di Trend
Micro
Protocolli di
connessione
degli agenti
HTTP e HTTPS
HTTPS
File Smart Protection Pattern
I file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e i
Servizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il server
ActiveUpdate di Trend Micro.
Smart Scan Agent Pattern
Smart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricato
dall'origine aggiornamenti dell'agente OfficeScan (il server OfficeScan o un'origine
aggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern per
gli agenti Smart Scan.
4-8
Utilizzo di Trend Micro Smart Protection
Nota
Gli agenti con Smart Scan sono agenti OfficeScan che gli amministratori hanno configurato
per utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi di
reputazione file sono definiti agenti con scansione convenzionale.
Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono la
scansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischio
del file, viene utilizzato un altro pattern: Smart Scan Pattern.
Smart Scan Pattern
Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini Smart
Protection Gli agenti con Smart Scan non scaricano Smart Scan Pattern. Gli agenti
verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione
alle origini Smart Protection.
Elenco siti Web bloccati
L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli agenti
OfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco siti
Web bloccati.
Nota
Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad
alcuni.
Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano la
reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di
reputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati di
reputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Web
applicato sull'dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito.
4-9
Guida per l'amministratore di OfficeScan™ 11.0
Processo di aggiornamento di Smart Protection Pattern
Tutti gli aggiornamenti degli Smart Protection Pattern provengono dal server
ActiveUpdate di Trend Micro.
FIGURA 4-1. Processo di aggiornamento dei pattern
Utilizzo degli Smart Protection Pattern
L'agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per i
rischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern
4-10
Utilizzo di Trend Micro Smart Protection
non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco siti
Web bloccati quando un utente tenta di accedere ad un sito Web. La tecnologia di filtro
avanzata consente all'agente di inserire nella "cache" i risultati della query. In questo
modo si elimina la necessità di inviare la stessa query per più di una volta.
Gli agenti che si trovano attualmente nell'Intranet possono connettersi a Smart
Protection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati.
È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sono
stati impostati più Smart Protection Server, gli amministratori possono determinare la
priorità di connessione.
Suggerimento
Installare diversi Smart Protection Server per garantire la continuità della protezione nel
caso in cui la connessione a uno Smart Protection Server non sia disponibile.
4-11
Guida per l'amministratore di OfficeScan™ 11.0
Gli agenti attualmente non presenti nella Intranet non possono connettersi a Trend
Micro Smart Protection Network per tale operazione. Per connettersi a Smart Protection
Network, è necessaria una connessione ad Internet.
FIGURA 4-2. Processo di query
Gli agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezione
fornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di query
precedenti. La protezione viene ridotta solo quando una nuova query si rende necessaria
e l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungere
un'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verifica
consentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessione
all'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo a
scansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono stati
confermati come minaccia.
La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente.
4-12
Utilizzo di Trend Micro Smart Protection
TABELLA 4-2. Comportamenti di protezione in base alla località
POSIZIONE
Per accedere alla intranet
Senza accesso alla
Intranet, ma con
connessione a Smart
Protection Network
Senza accesso alla
Intranet e senza
connessione a Smart
Protection Network
COMPORTAMENTO DEI FILE DEI PATTERN E DELLE QUERY
•
File di pattern: gli agenti scaricano il file Smart Scan
Agent Pattern dal server OfficeScan o da un'origine
aggiornamenti personalizzata.
•
Query di reputazione file e Web: gli agenti si
connettono agli Smart Protection Server per le query.
•
File di pattern: gli agenti non scaricano il file Smart
Scan Agent Pattern più recente a meno che non sia
disponibile una connessione al server OfficeScan o a
un'origine aggiornamenti personalizzata.
•
Query di reputazione file e Web: gli agenti si
connettono a Smart Protection Network per le query.
•
File di pattern: gli agenti non scaricano il file Smart
Scan Agent Pattern più recente a meno che non sia
disponibile una connessione al server OfficeScan o a
un'origine aggiornamenti personalizzata.
•
Query di reputazione file e Web: gli agenti non
ricevono i risultati delle query e devono affidarsi a Smart
Scan Agent Pattern e alla cache che contiene i risultati
delle query precedenti.
Impostazione dei servizi Smart Protection
Prima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazione
Web, è necessario assicurarsi che l'ambiente sia stato impostato correttamente.
Controllare quanto segue:
•
Installazione di Smart Protection Server a pagina 4-14
•
Gestione di Integrated Smart Protection Server a pagina 4-20
•
Elenco delle origini Smart Protection a pagina 4-25
•
Impostazioni proxy connessione agente a pagina 4-33
4-13
Guida per l'amministratore di OfficeScan™ 11.0
•
Installazioni di Trend Micro Network VirusWall a pagina 4-34
Installazione di Smart Protection Server
Se il numero degli agenti è minore o uguale a 1.000, è possibile installare Smart
Protection Server integrato o standalone. Installare uno Smart Protection Server
standalone se il numero degli agenti è superiore a 1.000.
Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Gli
agenti che non sono in grado di connettersi a un server particolare tenteranno di
connettersi agli altri server impostati.
Dato che il server integrato e il server OfficeScan vengono eseguiti nello stesso
dispositivo, le prestazioni possono diminuire in modo significativo durante i periodi di
traffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Server
standalone come origine Smart Protection principale per gli agenti e Integrated Smart
Protection Server come supporto di backup.
Installazione di Smart Protection Server standalone
Per istruzioni sull'installazione e la gestione di Smart Protection Server standalone,
consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server.
Installazione di Integrated Smart Protection Server
Se durante l'installazione del server OfficeScan è stato installato Integrated Smart
Protection Server:
•
Attivare Integrated Smart Protection Server e configurare le impostazioni per il
server. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina
4-20.
•
Se Integrated Smart Protection Server e l'agente OfficeScan sono sullo stesso
computer server, considerare la possibilità di disattivare il firewall di OfficeScan. Il
firewall OfficeScan è destinato a essere utilizzato per l'dispositivo agente e può
avere un'influenza negativa sulle prestazioni dei server. Per le istruzioni per
disattivare il firewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina
12-6.
4-14
Utilizzo di Trend Micro Smart Protection
Nota
Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani
della sicurezza.
Suggerimento
Installare Integrated Smart Protection Server dopo aver completato l'installazione
OfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15.
Integrated Smart Protection Server Tool
L'Integrated Smart Protection Tool di Trend Micro OfficeScan consente agli
amministratori di installare o disinstallare Integrated Smart Protection Server dopo che
l'installazione del server OfficeScan è completata. La versione corrente di OfficeScan
non consente agli amministratori di installare/rimuovere Integrated Smart Protection
Server una volta completata l'installazione del server OfficeScan. Questo strumento
migliora la flessibilità delle funzionalità di installazione rispetto alle versioni precedenti di
OfficeScan.
Prima di installare Integrated Smart Protection Server, importare i seguenti elementi sul
server OfficeScan 11.0 aggiornato:
•
Strutture dei domini
•
Il livello principale e le impostazioni del livello dei domini seguenti:
•
Configurazioni di scansione per tutti i tipi di scansione (Manuale, In tempo
reale, Pianificata, Esegui scansione)
•
Impostazioni di reputazione Web
•
Impostazione del monitoraggio del comportamento
•
Impostazioni di controllo dispositivo
•
Impostazioni di Prevenzione perdita di dati
•
Privilegi e altre impostazioni
•
Impostazioni aggiuntive del servizio
4-15
Guida per l'amministratore di OfficeScan™ 11.0
•
Elenco approvati spyware/grayware
•
Impostazioni globali agente
•
Posizione dispositivo
•
Criteri e profili del firewall
•
Origini Smart Protection
•
Pianificazione aggiornamento del server
•
Pianificazione e origine dell'aggiornamento agente
•
Notifiche
•
Impostazioni proxy
Procedura
1.
Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione del
server>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trova
ISPSInstaller.exe.
2.
Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti:
TABELLA 4-3. Opzioni del programma di installazione
COMANDO
ISPSInstaller.exe /i
DESCRIZIONE
Installa Integrated Smart Protection Server
utilizzando le impostazioni della porta predefinita.
Per ulteriori informazioni sulle impostazioni della
porta predefinita, consultare la tabella seguente.
4-16
Utilizzo di Trend Micro Smart Protection
COMANDO
ISPSInstaller.exe /i /f:
[numero porta] /s:[numero
porta] /w:[numero porta]
DESCRIZIONE
Installa Integrated Smart Protection Server
utilizzando le porte specificate, dove:
•
/f:[numero porta] rappresenta la porta di
reputazione del file HTTP
•
/s:[numero porta] rappresenta la porta di
reputazione del file HTTPS
/w:[numero porta] rappresenta la porta di
•
reputazione Web
Nota
Alla porta non specificata viene assegnato
automaticamente un valore predefinito.
ISPSInstaller.exe /u
Disinstalla Integrated Smart Protection Server
TABELLA 4-4. Porte dei servizi di reputazione dell'Integrated Smart Protection
Server
PORTE PER SERVIZI DI REPUTAZIONE
FILE
SERVER WEB E IMPOSTAZIONI
PORTA HTTP
SERVIZI DI
PER I
REPUTAZIONE
HTTP
HTTPS (SSL)
WEB
Server Apache Web con SSL
attivato
8082
4345 (non
configurabile)
5274 (non
configurabile)
Server Apache Web con SSL
disattivato
8082
4345 (non
configurabile)
5274 (non
configurabile)
Sito Web predefinito IIS con
SSL attivato
80
443 (non
configurabile)
80 (non
configurabile)
Sito Web predefinito IIS con
SSL disattivato
80
443 (non
configurabile)
80 (non
configurabile)
Sito Web virtuale IIS con SSL
attivato
8080
4343
(configurabile)
8080
(configurabile)
4-17
Guida per l'amministratore di OfficeScan™ 11.0
PORTE PER SERVIZI DI REPUTAZIONE
FILE
SERVER WEB E IMPOSTAZIONI
REPUTAZIONE
HTTP
Sito Web virtuale IIS con SSL
disattivato
3.
PORTA HTTP
SERVIZI DI
PER I
8080
HTTPS (SSL)
WEB
4343
(configurabile)
8080
(configurabile)
Dopo il completamento dell'installazione, aprire la console Web OfficeScan e
verificare quanto segue:
•
Aprire Microsoft Management Console (digitando services.msc nel
menu Avvia) e verificare che Trend Micro Local Web Classification Server e
Trend Micro Smart Scan Server siano elencati con lo stato "Avviato".
•
Aprire Windows Task Manager. Nella scheda Processi, verificare che
iCRCService.exe e LWCSService.exe siano in esecuzione,
•
Nella console Web OfficeScan, verificare che sia visualizzata la voce di menu
Amministrazione > Smart Protection > Server integrato.
Migliori pratiche per Smart Protection Server
Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioni
riportate di seguito:
•
Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate.
Suddividere le scansioni in gruppi.
•
Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Esegui
scansione simultaneamente.
•
Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa
512 Kbps, modificando il file ptngrowth.ini.
4-18
Utilizzo di Trend Micro Smart Protection
Personalizzazione di ptngrowth.ini per il server standalone
Procedura
1.
Aprire il file ptngrowth.ini in /var/tmcss/conf/.
2.
Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:
•
[COOLDOWN]
•
ENABLE=1
•
MAX_UPDATE_CONNECTION=1
•
UPDATE_WAIT_SECOND=360
3.
Salvare il file ptngrowth.ini.
4.
Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia della
riga di comando (CLI, Command Line Interface):
•
service lighttpd restart
Personalizzazione di ptngrowth.ini per il server integrato
Procedura
1.
Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV
\WSS\.
2.
3.
Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati:
•
[COOLDOWN]
•
ENABLE=1
•
MAX_UPDATE_CONNECTION=1
•
UPDATE_WAIT_SECOND=360
Salvare il file ptngrowth.ini.
4-19
Guida per l'amministratore di OfficeScan™ 11.0
4.
Riavviare il servizio Trend Micro Smart Protection Server.
Gestione di Integrated Smart Protection Server
Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni:
•
Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del
server integrato
•
Registrazione degli indirizzi del server integrato
•
Aggiornamento dei componenti del server integrato
•
Configurazione dell'Elenco URL approvati/bloccati del server integrato
•
Configurazione delle impostazioni dell'elenco Virtual Analyzer C&C
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
Attivazione dei Servizi di reputazione Web e dei Servizi di
reputazione file del server integrato
Affinché gli agenti siano in grado di inviare query di reputazione Web o di scansione al
server integrato, è necessario attivare i Servizi di reputazione file e i Servizi di
reputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato di
aggiornare i componenti dal server ActiveUpdate.
Questi servizi vengono attivati automaticamente se si sceglie di installare il server
integrato durante l'installazione del server OfficeScan.
Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Server
standalone ai quali gli agenti possono inviare le query.
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
4-20
Utilizzo di Trend Micro Smart Protection
Registrazione degli Indirizzi del server integrato
Gli indirizzi del server integrato sono necessari per configurare l'elenco delle origini
Smart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedere
Elenco delle origini Smart Protection a pagina 4-25.
Quando inviano le query al server integrato, gli agenti identificano il server attraverso
uno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. La
connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentre
quella HTTP richiede un utilizzo di ampiezza di banda inferiore.
Quando gli agenti inviano query di reputazione Web, identificano il server integrato
dall'indirizzo dei relativi Servizi di reputazione Web.
Suggerimento
Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo server
integrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del server
integrato all'elenco delle origini Smart Protection.
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
Aggiornamento dei componenti del server integrato
Il server integrato aggiorna i seguenti componenti:
•
Smart Scan Pattern: Gli agenti OfficeScan verificano potenziali minacce rispetto a
Smart Scan Pattern inviando query di scansione al server integrato.
•
Elenco siti Web bloccati: gli agenti OfficeScan ai quali vengono applicati i criteri
di reputazione Web verificano la reputazione di un sito Web rispetto a Elenco siti
Web bloccati inviando query di reputazione Web al server integrato.
È possibile aggiornare manualmente tali componenti o configurare una pianificazione di
aggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate.
4-21
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal
server ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi al
server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli
indirizzi IP, come ad esempio DeleGate.
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
Configurazione dell'Elenco URL approvati/bloccati del
server integrato
Gli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurare
l'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultare
Criteri di reputazione Web a pagina 11-5 per ulteriori informazioni). Qualsiasi URL
nell'elenco dell'agente verrà automaticamente consentito o bloccato.
Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non è
presente nell'elenco dell'agente, l'agente invia una query di reputazione Web al server
integrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL si
trova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica
all'agente di consentire o bloccare l'URL.
Nota
L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati.
Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato,
importare un elenco da Smart Protection Server standalone. Non è possibile aggiungere
manualmente gli URL.
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
4-22
Utilizzo di Trend Micro Smart Protection
Impostazioni di connessione di Deep Discovery Advisor e
Virtual Analyzer
Configurare le impostazioni dell'elenco Virtual Analyzer C&C per stabilire una
connessione tra lo Smart Protection Server integrato e il server Deep Discovery Advisor.
Virtual Analyzer di Deep Discovery Advisor crea l'elenco Virtual Analyzer C&C, che
Smart Protection Server archivia per l'uso da parte di OfficeScan.
Una volta stabilita una corretta connessione al server Deep Discovery Advisor, abilitare
l'elenco Virtual Analyzer C&C per monitorare i callback C&C effettuati ai server
precedentemente identificati da altri agenti della rete.
Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a
pagina 4-23.
Configurazione delle impostazioni di Integrated Smart
Protection Server
Procedura
1.
Accedere a Amministrazione > Smart Protection > Server integrato.
2.
Selezionare Attiva Servizi di reputazione file.
3.
Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare le
query di scansione al server integrato.
4.
Selezionare Attiva Servizi di reputazione Web.
5.
Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server.
6.
Per aggiornare i componenti del server integrato:
•
Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Web
bloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Il
risultato dell'aggiornamento viene visualizzato nella parte superiore della
schermata.
•
Per aggiornare automaticamente il pattern:
a.
Selezionare Attiva aggiornamenti pianificati.
4-23
Guida per l'amministratore di OfficeScan™ 11.0
b.
Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti.
c.
Selezionare un'origine aggiornamenti in Servizi di reputazione file.
Smart Scan Pattern verrà aggiornato da questa origine.
d.
Selezionare un'origine aggiornamenti in Servizi di reputazione Web.
L'Elenco siti Web bloccati verrà aggiornato da questa origine.
Nota
7.
8.
•
Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che il
server disponga di una connessione a Internet e, se si utilizza un server proxy,
verificare se la connessione a Internet è disponibile utilizzando le impostazioni
proxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21 per
ulteriori dettagli.
•
Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e
le risorse di aggiornamento appropriate su tale origine di aggiornamento.
Accertarsi, inoltre, che la connessione tra il computer server e l'origine
aggiornamenti funzioni. Per ottenere supporto per la configurazione di
un'origine di aggiornamento, contattare l'assistenza tecnica.
Per configurare l'elenco dei siti approvati/bloccati del server integrato:
a.
Fare clic su Importa per immettere nell'elenco gli URL del file .csv
preformattato. È possibile ottenere il file .csv da uno Smart Protection
Server standalone.
b.
Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco in
un file .csv.
Nota
•
Contattare l'amministratore di Deep Discovery Advisor per ottenere il nome o
l'indirizzo IP del server, il numero di porta e una chiave API valida.
•
Questa versione di OfficeScan supporta solo Deep Discovery Advisor 3.0 e
versioni successive.
Per configurare la connessione Virtual Analyzer del server Deep Discovery
Advisor:
4-24
Utilizzo di Trend Micro Smart Protection
a.
Digitare il nome o l'indirizzo IP del server Deep Discovery Advisor.
Nota
Il nome del server supporta i formati FQDN e l'indirizzo IP il formato IPv4.
L'indirizzo del server supporta solo il protocollo HTTPS.
b.
Digitare la chiave API.
c.
Fare clic su Registra per effettuare la connessione al server Deep Discovery
Advisor.
Nota
Gli amministratori possono verificare la connessione al server prima di
effettuare la registrazione.
d.
Selezionare Attiva elenco Virtual Analyzer C&C per consentire a
OfficeScan di utilizzare l'elenco C&C personalizzato analizzato dal server
Deep Discovery Advisor locale.
Nota
L'opzione Attiva elenco Virtual Analyzer C&C è disponibile solo dopo aver
effettuato una corretta connessione al server Deep Discovery Advisor.
Gli amministratori sono in grado di effettuare in qualsiasi momento la
sincronizzazione manuale con Deep Discovery Advisor facendo clic sul pulsante
Sincronizza adesso.
9.
Fare clic su Salva.
Elenco delle origini Smart Protection
Gli agenti inviano query alle origini Smart Protection quando eseguono la scansione per i
rischi sulla sicurezza e per determinare la reputazione di un sito Web.
4-25
Guida per l'amministratore di OfficeScan™ 11.0
Supporto IPv6 per le origini Smart Protection
Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4,
come:
•
Smart Protection Server 2.0 (integrato o standalone)
Nota
Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5.
•
Trend Micro Smart Protection Network
Analogamente, un agente IPv4 puro non è in grado di inviare query agli Smart
Protection Server IPv6 puri.
Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dualstack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.
Origini Smart Protection e posizione dispositivo
L'origine Smart Protection a cui si connette l'agente dipende dalla posizione
dell'dispositivo agente.
Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedere
Posizione dispositivo a pagina 14-2.
TABELLA 4-5. Origini Smart Protection per località
POSIZIONE
Esterni
4-26
ORIGINI SMART PROTECTION
Gli agenti esterni inviano query di reputazione Web e di scansione a
Trend Micro Smart Protection Network.
Utilizzo di Trend Micro Smart Protection
POSIZIONE
Interni
ORIGINI SMART PROTECTION
Gli agenti interni inviano query di reputazione Web e di scansione a
Smart Protection Server o Trend Micro Smart Protection Network.
Se sono stati installati gli Smart Protection Server, configurare l'elenco
delle origini di Smart Protection nella console Web OfficeScan. Un
agente interno sceglie un server dall'elenco se deve inviare una query.
Se un agente non è in grado di connettersi al primo server, ne sceglie
un altro dall'elenco.
Suggerimento
Assegnare uno Smart Protection Server standalone come origine
di scansione principale e il server integrato come backup. In tal
modo si riduce il traffico diretto all'dispositivo che ospita il server
OfficeScan e il server integrato. Inoltre il server standalone è in
grado di elaborare un maggior numero di query.
È possibile configurare un elenco standard o personalizzato di origini
Smart Protection. L'elenco standard è utilizzato da tutti gli agenti interni.
L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzo
IP di un agente interno è compreso nell'intervallo, l'agente utilizza
l'elenco personalizzato.
Configurazione dell'elenco standard di Origini Smart
Protection
Procedura
1.
Accedere a Amministrazione > Smart Protection > Origini Smart Protection.
2.
Fare clic sulla scheda Agenti interni.
3.
Selezionare Utilizza l'elenco standard (per tutti gli agenti interni).
4.
Fare clic sul collegamento elenco standard.
Viene visualizzata una nuova schermata.
5.
Fare clic su Aggiungi.
4-27
Guida per l'amministratore di OfficeScan™ 11.0
Viene visualizzata una nuova schermata.
6.
Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se
viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.
Nota
Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a
Smart Protection Server.
7.
Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione
utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una
connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza
di banda inferiore.
a.
Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto
del server per le richieste HTTP. Se si desidera che gli agenti utilizzino
l'HTTPS, selezionare SSL ed immettere la porta di ascolto del server per le
richieste HTTPS.
b.
Per verificare se è possibile stabilire una connessione con il server, fare clic su
Test di connessione.
Suggerimento
Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere
l'indirizzo del server:
Per il server integrato, aprire la console Web OfficeScan e accedere a
Amministrazione > Smart Protection > Server integrato.
Per il server standalone, aprire la console del server standalone e andare alla
schermata Riepilogo.
8.
9.
4-28
Selezionare Servizi di reputazione Web. Gli agenti inviano query di reputazione
Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.
a.
Immettere la porta di ascolto del server per le richieste HTTP.
b.
Per verificare se è possibile stabilire una connessione con il server, fare clic su
Test di connessione.
Fare clic su Salva.
Utilizzo di Trend Micro Smart Protection
La schermata si chiude.
10. Aggiungere altri server ripetendo i passaggi precedenti.
11. Sulla parte superiore della schermata, selezionare Ordine o Casuale.
•
Ordine: Gli agenti scelgono i server nell'ordine con il quale sono visualizzati
nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine
per spostare i server in alto e in basso all'interno dell'elenco.
•
Casuale: gli agenti scelgono i server in modo casuale.
Suggerimento
Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti
nello stesso dispositivo, le prestazioni possono diminuire in modo significativo
durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il
computer server OfficeScan, assegnare uno Smart Protection Server standalone come
origine di Smart Protection principale e il server integrato come origine di backup.
12. Eseguire operazioni varie sulla schermata.
•
Se l'elenco è stato esportato da un altro server e occorre importarlo in questa
schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene
importato nella schermata.
•
Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su
Salva.
•
Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.
•
Fare clic sul nome del server per effettuare una delle operazioni riportate di
seguito:
•
•
Per visualizzare o modificare le informazioni del server.
•
Visualizzare l'indirizzo completo del server per Servizi di reputazione
Web o Servizi di reputazione file.
Per aprire la console di uno Smart Protection Server, fare clic su Avvia
console.
•
Per Integrated Smart Protection Server, viene visualizzata la schermata di
configurazione del server.
4-29
Guida per l'amministratore di OfficeScan™ 11.0
•
•
Per Smart Protection Server standalone e Integrated Smart Protection
Server di un altro server OfficeScan viene visualizzata la schermata di
accesso.
Per eliminare una voce, selezionare la casella di controllo del server e fare clic
su Elimina.
13. Fare clic su Salva.
La schermata si chiude.
14. Fare clic su Invia una notifica tutti gli agenti.
Configurazione degli elenchi personalizzati di Origini Smart
Protection
Procedura
1.
Accedere a Amministrazione > Smart Protection > Origini Smart Protection.
2.
Fare clic sulla scheda Agenti interni.
3.
Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente.
4.
Facoltativamente, selezionare Utilizza l'elenco standard quando nessun server
degli elenchi personalizzati è disponibile.
5.
Fare clic su Aggiungi.
Viene visualizzata una nuova schermata.
6.
Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, o
entrambi.
Nota
Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a Smart
Protection Server dual stack. Gli agenti con un indirizzo IPv6 possono connettersi a
un IPv6 puro o a Smart Protection Server dual stack. Gli agenti con entrambi gli
indirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server.
4-30
Utilizzo di Trend Micro Smart Protection
7.
8.
Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agenti
utilizzeranno per connettersi a Smart Protection Server.
a.
Selezionare Utilizza un server proxy per la comunicazione tra l'agente e
lo Smart Protection Server.
b.
Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server
proxy.
c.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la
password.
Nell'Elenco personalizzato Smart Protection Server, aggiungere gli Smart
Protection Server.
a.
Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server.
Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi.
Nota
Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono
a Smart Protection Server.
b.
Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione
utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una
connessione più sicura mentre il protocollo HTTP richiede un utilizzo di
ampiezza di banda inferiore.
i.
Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di
ascolto del server per le richieste HTTP. Se si desidera che gli agenti
utilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto del
server per le richieste HTTPS.
ii.
Per verificare se è possibile stabilire una connessione con il server, fare
clic su Test di connessione.
4-31
Guida per l'amministratore di OfficeScan™ 11.0
Suggerimento
Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere
l'indirizzo del server:
Per il server integrato, aprire la console Web OfficeScan e accedere a
Amministrazione > Smart Protection > Server integrato.
Per il server standalone, aprire la console del server standalone e andare
alla schermata Riepilogo.
c.
Selezionare Servizi di reputazione Web. Gli agenti inviano query di
reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato.
i.
Immettere la porta di ascolto del server per le richieste HTTP.
ii.
Per verificare se è possibile stabilire una connessione con il server, fare
clic su Test di connessione.
d.
Fare clic su Aggiungi all'elenco.
e.
Aggiungere altri server ripetendo i passaggi precedenti.
f.
Selezionare Ordine o Casuale.
•
Ordine: Gli agenti scelgono i server nell'ordine con il quale sono
visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella
colonna Ordine per spostare i server in alto e in basso all'interno
dell'elenco.
•
Casuale: gli agenti scelgono i server in modo casuale.
Suggerimento
Dato che Integrated Smart Protection Server e il server OfficeScan vengono
eseguiti nello stesso computer, le prestazioni possono diminuire in modo
significativo durante i periodi di traffico intenso per i due server. Per ridurre il
traffico verso il computer server OfficeScan, assegnare uno Smart Protection
Server standalone come origine di Smart Protection principale e il server
integrato come origine di backup.
g.
Eseguire operazioni varie nella schermata.
•
4-32
Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna.
Utilizzo di Trend Micro Smart Protection
•
•
9.
Per aprire la console di uno Smart Protection Server, fare clic su Avvia
console.
•
Per Integrated Smart Protection Server, viene visualizzata la
schermata di configurazione del server.
•
Per Smart Protection Server standalone e Integrated Smart
Protection Server di un altro server OfficeScan viene visualizzata la
schermata di accesso.
Per eliminare una voce, fare clic su Elimina (
).
Fare clic su Salva.
La schermata si chiude. L'elenco appena aggiunto viene visualizzato come
collegamento dell'intervallo IP nella tabella Intervallo IP
10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati.
11. Eseguire operazioni varie nella schermata.
•
Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindi
modificare le impostazioni nella schermata visualizzata.
•
Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su
Salva.
•
Se l'elenco è stato esportato da un altro server e occorre importarlo in questa
schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene
importato nella schermata.
12. Fare clic su Invia una notifica tutti gli agenti.
Impostazioni proxy connessione agente
Se la connessione a Smart Protection Network richiede l'autenticazione proxy,
specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per gli
agenti OfficeScan a pagina 14-51.
4-33
Guida per l'amministratore di OfficeScan™ 11.0
Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durante
la connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno per
gli agenti OfficeScan a pagina 14-50.
Impostazioni sulla posizione dell'dispositivo
OfficeScan comprende la funzione di Location Awarness in grado di identificare la
posizione del computer agente e determinare se l'agente si connette a Smart Protection
Network o a Smart Protection Server. In tal modo, gli agenti rimangono protetti
indipendentemente dalla loro posizione.
Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 14-2.
Installazioni di Trend Micro Network VirusWall
Se è installato Trend Micro™ Network VirusWall™ Enforcer:
•
Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build
1013 per Network VirusWall Enforcer 1200).
•
Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguire
l'aggiornamento del motore OPSWAT alla versione 2.5.1017.
Utilizzo dei servizi Smart Protection
Dopo che l'ambiente Smart Protection è stato impostato correttamente, gli agenti
possono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche
possibile iniziare a configurare le impostazioni di Smart Feedback.
Nota
Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione dei
servizi Smart Protection a pagina 4-13.
4-34
Utilizzo di Trend Micro Smart Protection
Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agenti
devono usare un metodo di scansione denominato Smart Scan. Per informazioni su
Smart Scan e su come attivarlo sugli agenti, vedere Tipi di metodi di scansione a pagina 7-8.
Per consentire agli agenti OfficeScan di usare Servizi di reputazione Web, configurare i
criteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina
11-5.
Nota
Le impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. A
seconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti o
configurare impostazioni diverse per i singoli agenti o per gruppi di agenti.
Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina
13-58.
4-35
Capitolo 5
Installazione dell'agente OfficeScan
Questo capitolo descrive i requisiti di sistema Trend Micro™ OfficeScan™ e le
procedure di installazione dell'agente OfficeScan.
Per ulteriori informazioni sull'aggiornamento dell'agente OfficeScan, consultare la Guida
all'installazione e all'aggiornamento di OfficeScan.
Di seguito sono riportati gli argomenti trattati:
•
Installazione da zero dell'agente OfficeScan a pagina 5-2
•
Considerazioni sull'installazione a pagina 5-2
•
Considerazioni sull'implementazione a pagina 5-11
•
Migrazione all'agente OfficeScan a pagina 5-65
•
Post-installazione a pagina 5-70
•
Disinstallazione dell'agente OfficeScan a pagina 5-73
5-1
Guida per l'amministratore di OfficeScan™ 11.0
Installazione da zero dell'agente OfficeScan
L'agente OfficeScan può essere installato su computer con piattaforme Microsoft
Windows. OfficeScan è compatibile anche con diversi prodotti di terzi.
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e dei
prodotti compatibili di terze parti:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Considerazioni sull'installazione
Prima di installare gli agenti, valutare le informazioni riportate di seguito.
TABELLA 5-1. Considerazioni sull'installazione agente
CONSIDERAZIONE
Supporto della
funzione
Windows
Alcune funzioni dell'agente OfficeScan non sono disponibili su
determinate piattaforme Windows.
Supporto IPv6
L'agente OfficeScan può essere installato su agenti dual-stack o IPv6
puri. Tuttavia:
Indirizzi IP
dell'agente
OfficeScan
5-2
DESCRIZIONE
•
Alcuni sistemi operativi Windows sui quali è possibile installare
l'agente OfficeScan non supportano l'indirizzamento IPv6.
•
Alcuni metodi di installazione richiedono dei requisiti particolari
per installare correttamente l'agente OfficeScan.
Per gli agenti con indirizzi IPv4 e IPv6, è possibile scegliere quale
indirizzo IP sarà usato dall'agente per effettuare la registrazione al
server.
Installazione dell'agente OfficeScan
CONSIDERAZIONE
Elenco
eccezioni
DESCRIZIONE
assicurarsi che gli elenchi di eccezioni per le funzioni seguenti siano
configurati correttamente:
•
Monitoraggio del comportamento: Aggiungere le applicazioni
importanti dell'dispositivo all'elenco Programmi approvati per
evitare che tali applicazioni siano bloccate dall'agente OfficeScan.
Per ulteriori informazioni, consultare Elenco eccezioni
Monitoraggio del comportamento a pagina 8-6.
•
Reputazione Web: Aggiungere i siti Web considerati sicuri
all'Elenco URL approvati per evitare che l'agente OfficeScan
blocchi l'accesso ai siti Web. Per ulteriori informazioni, consultare
Criteri di reputazione Web a pagina 11-5.
Funzioni dell'agente OfficeScan
Le funzioni dell'agente OfficeScan disponibili nell'dispositivo dipendono dal sistema
operativo dell'dispositivo.
TABELLA 5-2. Funzionalità dell'agente OfficeScan su piattaforme server
SISTEMA OPERATIVO WINDOWS
FUNZIONE
SERVER 2003
SERVER 2008/
SERVER 2012/
SERVER CORE 2008 SERVER CORE 2012
Scansione manuale,
scansione in tempo
reale e scansione
pianificata.
Sì
Sì
Sì
Aggiornamento dei
componenti
(aggiornamento
manuale e pianificato)
Sì
Sì
Sì
Update Agent
Sì
Sì
Sì
5-3
Guida per l'amministratore di OfficeScan™ 11.0
SISTEMA OPERATIVO WINDOWS
FUNZIONE
5-4
SERVER 2003
SERVER 2008/
SERVER 2012/
SERVER CORE 2008 SERVER CORE 2012
Reputazione Web
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server e con
supporto limitato
alla modalità
interfaccia utente
di Windows
Damage Cleanup
Services
Sì
Sì
Sì
Firewall di OfficeScan
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server
Sì, ma disattivato
per impostazione
predefinita durante
l'installazione del
server e Filtro di
applicazioni non
supportato
Monitoraggio del
comportamento
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Installazione dell'agente OfficeScan
SISTEMA OPERATIVO WINDOWS
FUNZIONE
Protezione automatica
dell'agente per:
•
Chiavi di registro
•
Processi
Protezione automatica
dell'agente per:
•
Servizi
•
Protezione file
Controllo dispositivo
(Servizio prevenzione
modifiche non
autorizzate)
Protezione dati
(inclusa protezione dati
per controllo
dispositivo)
Scansione e-mail
POP3
SERVER 2003
SERVER 2008/
SERVER 2012/
SERVER CORE 2008 SERVER CORE 2012
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì
Sì
Sì
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
No (64 bit)
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (32 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì
Sì
Sì (64 bit), ma
disattivato per
impostazione
predefinita
Sì
5-5
Guida per l'amministratore di OfficeScan™ 11.0
SISTEMA OPERATIVO WINDOWS
FUNZIONE
SERVER 2008/
SERVER 2012/
SERVER CORE 2008 SERVER CORE 2012
SERVER 2003
Plug-in Manager
agente
Sì
Sì
Sì
Modalità roaming
Sì
Sì (Server)
Sì
No (Server Core)
Smart Feedback
Sì
Sì
Sì
TABELLA 5-3. Funzionalità dell'agente OfficeScan su piattaforme desktop
SISTEMA OPERATIVO WINDOWS
FUNZIONE
5-6
XP
VISTA
WINDOWS
8/8.1
WINDOWS 7
Scansione manuale,
scansione in tempo
reale e scansione
pianificata.
Sì
Sì
Sì
Sì
Aggiornamento dei
componenti
(aggiornamento
manuale e pianificato)
Sì
Sì
Sì
Sì
Update Agent
Sì
Sì
Sì
Sì
Reputazione Web
Sì
Sì
Sì
Sì, ma è
supportata
solo la
modalità
interfaccia
utente di
Windows
Damage Cleanup
Services
Sì
Sì
Sì
Sì
Installazione dell'agente OfficeScan
SISTEMA OPERATIVO WINDOWS
FUNZIONE
XP
VISTA
WINDOWS
8/8.1
WINDOWS 7
Firewall di OfficeScan
Sì
Sì
Sì
Sì, ma non è
supportato
Filtro di
applicazioni
Monitoraggio del
comportamento
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Il supporto di
Vista a 64 bit
richiede SP1
o SP2
Protezione automatica
dell'agente per:
•
Chiavi di registro
•
Processi
Protezione automatica
dell'agente per:
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Il supporto di
Vista a 64 bit
richiede SP1
o SP2
Sì
Sì
Sì
Sì
Controllo dispositivo
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
(Servizio prevenzione
modifiche non
autorizzate)
No (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
•
Servizi
•
Protezione file
Il supporto di
Vista a 64 bit
richiede SP1
o SP2
5-7
Guida per l'amministratore di OfficeScan™ 11.0
SISTEMA OPERATIVO WINDOWS
FUNZIONE
XP
VISTA
WINDOWS
8/8.1
WINDOWS 7
Protezione dati
Sì (32 bit)
Sì (32 bit)
Sì (32 bit)
(inclusa protezione
dati per controllo
dispositivo)
Sì (32 bit) in
modalità
desktop
Sì (64 bit)
Sì (64 bit)
Sì (64 bit)
Sì (64 bit) in
modalità
desktop
Scansione e-mail
POP3
Sì
Sì
Sì
Sì
Plug-in Manager
agente
Sì
Sì
Sì
Sì
Modalità roaming
Sì
Sì
Sì
Sì
Smart Feedback
Sì
Sì
Sì
Sì
Installazione dell'agente OfficeScan e supporto IPv6
In questo argomento vengono illustrate le considerazioni relative all'installazione
dell'agente OfficeScan su agenti dual-stack IPv6 puri.
Sistema operativo
L'agente OfficeScan può essere installato solo sui seguenti sistemi operativi che
supportano l'indirizzamento IPv6:
5-8
•
Windows Vista™ (tutte le edizioni)
•
Windows Server 2008 (tutte le edizioni)
•
Windows 7 (tutte le edizioni)
•
Windows Server 2012 (tutte le edizioni)
•
Windows 8/8.1 (tutte le edizioni)
Installazione dell'agente OfficeScan
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Metodi di installazione
Per installare l'agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibile usare
tutti i metodi di installazione dell'agente OfficeScan. Alcuni metodi di installazione
richiedono dei requisiti particolari per installare correttamente l'agente OfficeScan.
Non è possibile migrare ServerProtect™ all'agente OfficeScan con lo Strumento di
migrazione di server normali ServerProtect in quanto lo strumento non supporta
l'indirizzamento IPv6.
TABELLA 5-4. Metodi di installazione e supporto IPv6
METODO DI
INSTALLAZIONE
Pagina di installazione
Web e installazione
basata sul browser
REQUISITI E CONSIDERAZIONI
L'URL per la pagina di installazione include il nome host del
server OfficeScan o il relativo indirizzo IP.
Se si sta effettuando l'installazione su un agente IPv6 puro, il
server deve essere dual-stack o IPv6 puro e il relativo nome
host o indirizzo IPv6 deve essere incluso nell'URL.
Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nella
schermata dello stato d'installazione dipende dall'opzione
selezionata nella sezione Indirizzo IP preferito di Agenti >
Impostazioni globali agente.
Agent Packager
Quando si esegue lo strumento Packager, è necessario
scegliere se assegnare i privilegi Update Agent all'agente.
Tenere presente che gli Update Agent IPv6 puri possono
distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack.
Conformità sicurezza,
Vulnerability Scanner e
installazione remota
Un server IPv6 puro non può installare l'agente OfficeScan su
dispositivo IPv4 puri. Analogamente, un server IPv4 puro non
può installare l'agente OfficeScan su dispositivo IPv6 puri.
5-9
Guida per l'amministratore di OfficeScan™ 11.0
Indirizzi IP dell'agente
I server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possono
gestire i seguenti agenti OfficeScan:
•
I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agenti
IPv6 puri.
•
I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6
assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri.
Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al server
usando un indirizzo IP.
•
Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6.
•
Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4.
•
Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 o
IPv6. È possibile scegliere l'indirizzo IP che gli agenti utilizzeranno.
Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stack
per la registrazione al server
Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solo
dagli agenti dual-stack.
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione Indirizzo IP preferito.
3.
Scegliere una delle opzioni elencate di seguito.
5-10
•
Solo IPv4: gli agenti usano il proprio indirizzo IPv4.
•
Prima IPv4, poi IPv6: gli agenti usano prima il proprio indirizzo IPv4. Se
l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4, usa
l'indirizzo IPv6. Se la registrazione non riesce con entrambi gli indirizzi IP,
l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione.
Installazione dell'agente OfficeScan
•
4.
Prima IPv6, poi IPv4: gli agenti usano prima il proprio indirizzo IPv6. Se
l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6, usa
l'indirizzo IPv4. Se la registrazione non riesce con entrambi gli indirizzi IP,
l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione.
Fare clic su Salva.
Considerazioni sull'implementazione
Questa sezione fornisce un riepilogo dei diversi metodi di installazione dell'agente
OfficeScan disponibili per l'installazione da zero dell'agente OfficeScan. Tutti i metodi di
installazione necessitano dei privilegi di amministratore sui computer di destinazione.
Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere le
istruzioni riportate in Installazione dell'agente OfficeScan e supporto IPv6 a pagina 5-8.
TABELLA 5-5. Considerazioni sull'implementazione per l'installazione
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Pagina di
installazione sul
Web
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
No
No
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
Sì
A
No
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
No
Alto
Supportato su tutti i
sistemi operativi a
eccezione di
Windows Server
Core 2008 e
Windows 8/8.1/
Server 2012/Server
Core 2012 in
modalità interfaccia
utente di Windows
5-11
Guida per l'amministratore di OfficeScan™ 11.0
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Installazioni basate
su browser
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
A
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
Supporto per tutti i
sistemi operativi
Nota
Non
supportato in
Windows 8,
8.1 o
Windows
Server 2012
in modalità
interfaccia
utente di
Windows.
Installazioni basate
su UNC
Supporto per tutti i
sistemi operativi
5-12
Installazione dell'agente OfficeScan
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Installazioni remote
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
A
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
No
Sì
No
Sì
No
Alto
No
No
Sì
Sì
No
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
No
No
Sì
Sì
No
Basso, se
pianificato
Supporto per tutti i
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
•
Windows 8/8.1
(versioni base)
Impostazione script
di accesso
Supporto per tutti i
sistemi operativi
Agent Packager
Supporto per tutti i
sistemi operativi
5-13
Guida per l'amministratore di OfficeScan™ 11.0
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Agent Packager
(pacchetto MSI
implementato
tramite Microsoft
SMS)
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
A
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
Sì
Sì
Sì/No
Sì
Sì
Basso, se
pianificato
Sì
Sì
Sì/No
Sì
Sì
Alto, se le
installazioni
vengono
avviate
nello stesso
momento
No
No
No
Sì
No
Basso
Supporto per tutti i
sistemi operativi
Agent Packager
(pacchetto MSI
implementato
tramite Active
Directory)
Supporto per tutti i
sistemi operativi
Immagine disco
dell'agente
Supporto per tutti i
sistemi operativi
5-14
Installazione dell'agente OfficeScan
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Trend Micro
Vulnerability
Scanner (TMVS)
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
No
Sì
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
No
A
Sì
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
No
Alto
Supporto per tutti i
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 8/8.1
(versioni base)
5-15
Guida per l'amministratore di OfficeScan™ 11.0
CONSIDERAZIONI SULL'IMPLEMENTAZIONE
METODO DI
INSTALLAZIONE/
SUPPORTO SISTEMA
OPERATIVO
Installazioni di
conformità
sicurezza
IMPLEME
GESTIONE
NTAZIONE
CENTRALIZ
WAN
ZATA
No
Sì
RICHIEDE
RICHIE
INTERVEN
DE
TO
RISORS
UTENTE
No
A
Sì
IT
IMPLEME
AMPIEZZA DI
NTAZIONE
BANDA
DI MASSA
UTILIZZATA
No
Alto
Supporto per tutti i
sistemi operativi
eccetto:
•
Windows Vista
Home Basic
Edition e Home
Premium
Edition
•
Windows XP
Home Edition
•
Windows 7
Home Basic/
Home Premium
•
Windows 8/8.1
(versioni base)
Installazioni della pagina di installazione sul Web
Affinché gli utenti possano installare il programma agente OfficeScan dalla pagina di
installazione Web, il server OfficeScan deve essere installato in dispositivo che utilizzano
una delle piattaforme riportate di seguito:
•
Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x
•
Windows Server 2008 con Internet Information Server (IIS) 7.0
•
Windows Server 2008 R2 con Internet Information Server (IIS) 7.5
•
Windows Server 2012 con Internet Information Server (IIS) 8.0
5-16
Installazione dell'agente OfficeScan
Per installare dalla pagina di installazione Web, occorre disporre della configurazione
riportata di seguito:
•
•
Internet Explorer con il livello di sicurezza impostato in modo da consentire i
controlli ActiveX™. Sono richieste le versioni seguenti:
•
versione 6.0 con Windows XP e Windows Server 2003
•
versione 7.0 con Windows Vista e Windows Server 2008
•
versione 8.0 con Windows 7
•
versione 10.0 su Windows 8/8.1 e Windows Server 2012
Privilegi di amministratore sull'dispositivo
Per installare l'agente OfficeScan dalla pagina di installazione Web, inviare agli utenti le
seguenti istruzioni. Per inviare una notifica di installazione tramite messaggio e-mail,
vedere Avvio di un'installazione basata sul browser a pagina 5-19.
Installazione dalla pagina di installazione Web
Procedura
1.
Accedere all'dispositivo utilizzando un account amministratore integrato.
Nota
Per le piattaforme Windows 7, 8 o 8.1 occorre aver attivato prima l'account di
amministratore predefinito. Per impostazione predefinita Windows 7, 8 e 8.1
disattivano l'account di amministratore predefinito. Per ulteriori informazioni, fare
riferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/
library/dd744293%28WS.10%29.aspx).
2.
Se si effettua l'installazione su dispositivo con Windows XP, Vista, Server 2008, 7,
8, 8.1 o Server 2012, attenersi alla procedura riportata di seguito:
a.
Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (ad
esempio https://<nome server OfficeScan>:4343/officescan)
all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco
5-17
Guida per l'amministratore di OfficeScan™ 11.0
fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'icona
Siti affidabili e fare clic su Siti.
b.
3.
Modificare le impostazioni di sicurezza di Internet Explorer e attivare
Richiesta di conferma automatica per controlli ActiveX. In Windows XP,
per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet
> Protezione e fare clic su Livello personalizzato.
Aprire una finestra di Internet Explorer e digitare quanto segue:
https://<nome server OfficeScan>:<porta>/officescan
4.
Fare clic sul collegamento del programma di installazione nella pagina di
accesso, per visualizzare le seguenti opzioni di installazione:
•
Installazione agente basata su browser (solo Internet Explorer): Seguire le
istruzioni sullo schermo in base al sistema operativo.
•
Installazione agente MSI: scaricare il pacchetto a 32 o a 64 bit, in base al
sistema operativo, e seguire le istruzioni sullo schermo.
Nota
Quando viene richiesto, consentire l'installazione dei controlli ActiveX.
5.
Dopo il completamento dell'installazione, l'icona dell'agente OfficeScan viene
visualizzata nella barra delle applicazioni di Windows.
Nota
Per ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedere
Icone dell'agente OfficeScan a pagina 14-26.
Installazione basata su browser
Impostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioni
per installare l'agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clic
sul collegamento per l'installazione dell'agente OfficeScan contenuto nel messaggio email.
5-18
Installazione dell'agente OfficeScan
Prima di installare gli agenti OfficeScan:
•
Verificare i requisiti di installazione degli agenti OfficeScan.
•
Individuare quali computer della rete non sono attualmente provvisti di protezione
contro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito:
•
Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica la
presenza di applicazioni software antivirus installate sugli dispositivo in base a
un intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultare
Utilizzo di Vulnerability Scanner a pagina 5-39.
•
Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezza
per dispositivo non gestiti a pagina 14-70.
Avvio di un'installazione basata sul browser
Procedura
1.
Accedere a Agenti > Installazione agente > Basato su browser.
2.
Se necessario, modificare la riga dell'oggetto del messaggio e-mail.
3.
Fare clic su Crea e-mail.
Si apre il programma di posta predefinito.
4.
Inviare il messaggio ai destinatari designati.
Esecuzione di un'installazione basata su UNC
AutoPcc.exe è un programma standalone che installa l'agente OfficeScan nei
computer non protetti e aggiorna i componenti e i file di programma. Per poter
utilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), gli
dispositivo devono appartenere al dominio.
Procedura
1.
Accedere a Agenti > Installazione agente > Basato su UNC.
5-19
Guida per l'amministratore di OfficeScan™ 11.0
•
Per installare l'agente OfficeScan su un dispositivo non protetto utilizzando
AutoPcc.exe:
a.
Connettersi al computer server OfficeScan. Accedere al percorso UNC:
\\<nome del computer server>\ofscan
b.
•
Fare clic con il pulsante destro del mouse su AutoPcc.exe e
selezionare Esegui come amministratore.
Per le installazioni desktop in remoto che utilizzano AutoPcc.exe:
a.
Aprire una connessione da desktop remoto (Mstsc.exe) in modalità
console. In questo modo l'installazione di AutoPcc.exe viene
forzatamente eseguita nella sessione 0.
b.
Accedere alla directory \\<nome del computer server>\ofscan
ed eseguire AutoPcc.exe.
Installazione remota dalla console Web OfficeScan
È possibile installare in remoto l'agente OfficeScan su uno o più computer collegati in
rete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazione
remota sui computer di destinazione. L'installazione remota non installa l'agente
OfficeScan su dispositivo sui quali è già in esecuzione il server OfficeScan.
Nota
Questo metodo di installazione non può essere adottato sugli dispositivo con Windows XP
Home, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic e
Home Premium Edition (versioni a 32 e a 64 bit) e Windows 8/8.1 (versioni di base a 32 e
a 64 bit). Un server IPv6 puro non può installare l'agente OfficeScan su agenti IPv4 puri.
Analogamente, un server IPv4 puro non può installare l'agente OfficeScan su agenti IPv6
puri.
Procedura
1.
5-20
Se si utilizza Windows Vista, Windows 7, Windows 8 (Pro, Enterprise), Windows
8.1 o Windows Server 2012, attenersi alla procedura riportata di seguito:
Installazione dell'agente OfficeScan
a.
Attivare l'account dell'amministratore integrato e impostare una password per
l'account stesso.
b.
Disattivare la condivisione dei file sull'dispositivo.
c.
Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows
Firewall con protezione avanzata.
d.
Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo
stato del firewall su "Disattivato".
e.
Aprire Microsoft Management Console (fare clic su Avvia > Esegui e
digitare services.msc) e avviare i servizi Registro remoto e Remote
Procedure Call. Quando si installa l'agente OfficeScan, utilizzare l'account e
la password di amministratore integrati.
2.
Nella console Web, accedere a Agenti > Installazione agente > Remote.
3.
Selezionare i computer di destinazione.
•
L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete.
Per visualizzare gli dispositivo in un dominio specifico, fare doppio clic sul
nome del dominio. Selezionare un dispositivo e fare clic su Aggiungi.
•
Se si conosce già il nome dell'dispositivo di destinazione, immetterlo nel
campo in cima alla pagina Cerca dispositivoe fare clic su INVIO..
OfficeScan richiede il nome utente e la password del computer di destinazione. Per
proseguire utilizzare un nome utente e una password con privilegi di
amministratore.
4.
Immettere il nome utente e la password e fare clic su Accedi.
Nella tabella Dispositivo selezionati viene visualizzato l'dispositivo di
destinazione.
5.
Per aggiungere altri computer, ripetere i passaggi 4 e 3.
6.
Quando si è pronti per installare l'agente OfficeScan sui computer di destinazione,
fare clic su Installa.
Viene visualizzata una finestra di dialogo di conferma.
5-21
Guida per l'amministratore di OfficeScan™ 11.0
7.
Fare clic su Sì per confermare l'installazione dell'agente OfficeScan sui computer di
destinazione.
Mentre i file di programma vengono copiati sui diversi dispositivo di destinazione,
viene visualizzata una schermata di avanzamento.
Quando OfficeScan ha completato l'installazione in un dispositivo di destinazione, il
nome dell'dispositivo non viene più visualizzato nell'elenco Dispositivo selezionati e
viene visualizzato nell'elenco Dispositivo e domini con un segno di spunta rosso.
Quando tutti i computer di destinazione sono visualizzati nell'elenco Dispositivo e
domini con un segno di spunta rosso, il processo di installazione remota è concluso.
Nota
Nell'installazione su diversi computer, OfficeScan riporta nei registri tutte le installazioni
non completate (per i dettagli vedere Registri installazioni da zero a pagina 16-16); questo,
tuttavia, non causa problemi all'installazione del software sugli altri computer. Dopo aver
fatto clic su Installa, pertanto, non è più necessario supervisionare la procedura di
installazione. Per vedere i risultati dell'installazione, controllare i registri al termine
dell'operazione.
Installazione con Impostazione script di accesso
L'Impostazione script di accesso automatizza l'installazione dell'agente OfficeScan su
computer non protetti quando questi accedono alla rete. L'Impostazione script di
accesso aggiunge allo script di accesso del server un programma denominato
AutoPcc.exe.
AutoPcc.exe installa l'agente OfficeScan negli dispositivo non gestiti e aggiorna i
componenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script di
accesso, gli dispositivo devono appartenere al dominio.
Installazione dell'agente OfficeScan
Quando l'dispositivo effettua l'accesso al server sul quale sono stati modificati gli script
di accesso, AutoPcc.exe installa automaticamente l'agente OfficeScan su un
dispositivo Windows Server 2003 non protetto. AutoPcc.exe, tuttavia, non effettua
5-22
Installazione dell'agente OfficeScan
installazioni automatiche dell'agente OfficeScan sui computer con Windows Vista, 7, 8,
8.1, Server 2008 e Server 2012. Gli utenti devono collegarsi al computer server, accedere
a \\<nome computer server>\ofcscan, fare clic con il pulsante destro del mouse
su AutoPcc.exe e selezionare Esegui come amministratore.
Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe:
•
L'dispositivo deve essere eseguito in modalità Mstsc.exe / console. In questo
modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0.
•
Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da tale
posizione.
Aggiornamenti dei componenti e del programma
AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti-
spyware e di Damage Cleanup Services.
Script di Windows Server 2003, 2008 e 2012
Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge un
comando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file
batch denominato officescan.bat che contiene il comando per eseguire
AutoPcc.exe.
L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di
seguito.
\\<Server_name>\ofcscan\autopcc
Dove:
•
<Nome_server> è il nome dell'dispositivo o l'indirizzo IP dell'dispositivo server
OfficeScan.
•
"ofcscan" è il nome della cartella condivisa di OfficeScan sul server.
•
"autopcc" è il collegamento al file eseguibile autopcc che installa l'agente
OfficeScan.
5-23
Guida per l'amministratore di OfficeScan™ 11.0
Posizione dello script di accesso (tramite una directory condivisa mediante accesso di
rete):
•
Windows Server 2003: \\server Windows 2003\unità di sistema
\windir\sysvol\domain\scripts\ofcscan.bat
•
Windows Server 2008: \\server Windows 2008\unità di sistema
\windir\sysvol\domain\scripts\ofcscan.bat
•
Windows Server 2012: \\server Windows 2012\unità di sistema
\windir\sysvol\domain\scripts\ofcscan.bat
Aggiunta di Autopcc.exe allo script di accesso con l'utilizzo
di Impostazione script di accesso
Procedura
1.
Nell'dispositivo da cui si esegue l'installazione del server, dal menu Start di
Windows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nome
server> > Impostazione script di accesso.
Viene caricata l'utilità Impostazione script di accesso. La console visualizza una
struttura ad albero con tutti i domini della rete.
2.
Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo e
fare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario e
di disporre dei privilegi di amministratore del server.
L'Impostazione script di accesso richiede un nome utente e una password.
3.
Immettere il nome utente e la password. Fare clic su OK per continuare.
Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene i
profili degli utenti che si collegano al server. L'elenco Utenti selezionati contiene
invece i profili degli utenti di cui si desidera modificare lo script di accesso.
4.
Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elenco
Utenti e fare clic su Aggiungi.
5.
Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.
5-24
Installazione dell'agente OfficeScan
6.
Per escludere il profilo di un utente precedentemente selezionato, selezionarne il
nome nell'elenco Utenti selezionati e fare clic su Elimina.
7.
Per reimpostare le selezioni effettuate, fare clic su Elimina tutto.
8.
Quando tutti i profili utenti di destinazione si trovano nell'elenco Utenti
selezionati, fare clic su Applica.
Viene visualizzato un messaggio in cui viene confermata la corretta modifica degli
script di accesso al server.
9.
Fare clic su OK.
Si ritorna alla schermata iniziale dell'Impostazione script di accesso.
10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4.
11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.
Installazione con Agent Packager
Agent Packager crea un pacchetto di installazione che può essere inviato agli utenti con
supporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propri
dispositivo agente per installare o aggiornare la versione dell'agente OfficeScan e
aggiornare i componenti.
Agent Packager risulta particolarmente utile quando si esegue l'implementazione
dell'agente OfficeScan o dei componenti sugli agenti nelle sedi remote con ampiezza di
banda ridotta. Gli agenti OfficeScan installati mediante Agent Packager si collegano al
server in cui è stato creato il pacchetto.
Requisiti di Agent Packager:
•
350 MB di spazio libero su disco
•
Windows Installer 2.0 (per eseguire un pacchetto MSI)
Linee guida per l'implementazione del pacchetto
1.
Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto agente
OfficeScan sui loro computer, facendo doppio clic sul file .exeo .msi.
5-25
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Inviare il pacchetto solo agli utenti con agente OfficeScan che riporta al server la
posizione nella quale è stato creato.
2.
Informare gli utenti che installano il pacchetto .exe su computer con Windows
Vista, Server 2008, 7, 8,8.1 o Server 2012, che è necessario fare clic con il pulsante
destro del mouse sul file .exe e selezionare Esegui come amministratore.
3.
Se è stato creato un file .msi, per implementare il pacchetto effettuare le
operazioni riportate di seguito:
•
4.
Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di un
pacchetto MSI utilizzando Active Directory a pagina 5-32 o Implementazione di un
pacchetto MSI utilizzando Microsoft SMS a pagina 5-33.
Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'agente
OfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Vista,
Server 2008, 7, 8 8.1 o Server 2012.
Linee guida del metodo di scansione per i pacchetti agente
Selezionare il metodo di scansione del pacchetto. Per informazioni, vedere Tipi di metodi
di scansione a pagina 7-8.
I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Per
ulteriori informazioni sui componenti disponibili per ciascun metodo di scansione,
vedere Aggiornamenti agente OfficeScan a pagina 6-30.
Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo di
scansione leggere le linee guida riportate di seguito.
•
5-26
Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione di
OfficeScan, verificare il metodo di scansione del livello del dominio nella console
Web. Nella console, accedere a Agenti > Gestione agente, selezionare il dominio
della struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni >
Impostazioni di scansione > Metodi di scansione. Il metodo di scansione del
livello del dominio deve essere coerente con il metodo di scansione del pacchetto.
Installazione dell'agente OfficeScan
•
Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'agente
OfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella console
Web, accedere a Agenti > Raggruppamento agenti.
•
Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory o
dominio DNS, verificare il dominio di appartenenza dell'dispositivo di
destinazione. Se il dominio esiste, verificare il metodo di scansione configurato per
il dominio. Se il dominio non esiste, verificare il metodo di scansione del livello
root (selezionare l'icona del dominio root ( ) nella struttura agente e fare clic su
Impostazioni > Impostazioni di scansione > Metodi di scansione). Il metodo
di scansione del livello del dominio o del livello principale deve essere coerente con
il metodo di scansione del pacchetto.
•
Se il raggruppamento degli agenti avviene in base ai gruppi di agenti personalizzati,
verificare Priorità di raggruppamento e Origine.
FIGURA 5-1. Riquadro di anteprima Raggruppamento automatico agenti
Se l'dispositivo di destinazione appartiene a un'origine particolare, verificare la
Destinazione corrispondente. La destinazione è il nome del dominio visualizzato
nella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansione
per quel dominio.
•
Se il pacchetto verrà utilizzato per aggiornare i componenti negli agenti con questa
versione di OfficeScan, verificare il metodo di scansione configurato per il dominio
della struttura agente a cui appartiene l'agente. Il metodo di scansione del livello del
dominio deve essere coerente con il metodo di scansione del pacchetto.
5-27
Guida per l'amministratore di OfficeScan™ 11.0
Considerazioni su Update Agent
Assegnare i privilegi di Update Agent all'agente OfficeScan dell'dispositivo di
destinazione. Gli Update Agent assistono il server OfficeScan nell'implementazione dei
componenti sugli agenti. Per i dettagli, consultare Update Agent a pagina 6-58.
Per assegnare privilegi Update Agent all'agente OfficeScan:
1.
Tenere presente che se il pacchetto sarà implementato su un agente IPv6 puro,
Update Agent può distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack.
2.
Per attivare e configurare gli aggiornamenti dell'agente, utilizzare Strumento di
configurazione aggiornamento pianificato. Per i dettagli, consultare Metodi di
aggiornamento per Update Agent a pagina 6-65.
3.
Il server OfficeScan che gestisce l'Update Agent non sarà in grado di sincronizzare
o implementare le seguenti impostazioni sull'agente:
•
Privilegio Update Agent
•
aggiornamento pianificato agente
•
Aggiornamenti dal server ActiveUpdate di Trend Micro
•
Aggiornamenti da altre origini di aggiornamenti
Il pacchetto dell'agente OfficeScan, quindi, deve essere implementato solo sui
computer che non saranno gestiti dal server OfficeScan. Successivamente,
configurare Update Agent in modo che ottenga gli aggiornamenti da un'origine di
aggiornamenti diversa dal server OfficeScan, ad esempio, un'origine aggiornamenti
personalizzata. Per fare in modo che il server OfficeScan sincronizzi le
impostazioni con Update Agent, non utilizzare Agent Packager e scegliere un
diverso metodo di installazione per l'agente OfficeScan.
5-28
Installazione dell'agente OfficeScan
Creazione di un pacchetto di installazione con l'utilizzo di
Agent Packager
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\ClientPackager.
2.
Per eseguire lo strumento, fare doppio clic su ClnPack.exe.
Viene aperta la console di Agent Packager.
3.
Selezionare il tipo di pacchetto che si desidera creare.
TABELLA 5-6. Tipi di pacchetti agente
TIPO PACCHETTO
4.
DESCRIZIONE
Installazione
Selezionare Installazione per creare il pacchetto come file
eseguibile. Il pacchetto installa il programma agente
OfficeScan con i componenti attualmente disponibili nel
server. Se nell'dispositivo di destinazione è installata una
versione precedente dell'agente, il file eseguibile consente
di aggiornare l'agente.
Aggiornamento
Selezionare Aggiorna per creare un pacchetto contenente
i componenti attualmente disponibili nel server. Il pacchetto
viene creato come file eseguibile. Utilizzare questo
pacchetto se si verificano problemi con l'aggiornamento dei
componenti in un dispositivo agente.
MSI
Selezionare MSI per creare un pacchetto conforme al
formato Microsoft Installer Package. Il pacchetto installa
anche il programma agente OfficeScan con i componenti
attualmente disponibili nel server. Se nell'dispositivo di
destinazione è installata una versione precedente
dell'agente, il file MSI consente di aggiornare l'agente.
Selezionare il sistema operativo per cui si desidera creare il pacchetto.
Implementare il pacchetto solo sugli endopint che eseguono questo tipo di sistema
operativo. Creare un altro pacchetto da implementare su un altro tipo di sistema
operativo.
5-29
Guida per l'amministratore di OfficeScan™ 11.0
5.
Selezionare il metodo di scansione implementato dal pacchetto agente.
Per le linee guida su come selezionare un metodo di scansione, vedere Linee guida
del metodo di scansione per i pacchetti agente a pagina 5-26.
6.
7.
Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito:
•
Consenti all'agente di segnalare i propri domini automaticamente: dopo
aver installato l'agente OfficeScan, l'agente invia una query al database del
server OfficeScan e invia al server le segnalazioni relative alle impostazioni del
dominio.
•
Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il server
OfficeScan ed elenca i domini attualmente usati nella struttura agente.
Nella sezione Opzioni, selezionare tra quelle illustrate di seguito:
OPZIONE
DESCRIZIONE
Modalità invisibile
Questa opzione crea un pacchetto che viene installato in
background sull'dispositivo agente, in modo impercettibile per
l'agente e senza visualizzare la finestra sullo stato
dell'installazione. Attivare questa opzione se si intende
implementare il pacchetto in modo remoto sull'dispositivo di
destinazione.
Sovrascrittura
forzata con ultima
versione
Questa opzione sovrascrive le versioni dei componenti
dell'agente con le versioni attualmente disponibili nel server.
Attivare questa opzione per fare in modo che i componenti
del server e dell'agente siano sincronizzati.
Disattiva
Scansione
preliminare (solo
installazioni da
zero)
Se nell'dispositivo di destinazione non è installato l'agente
OfficeScan, prima di installare l'agente OfficeScan il
pacchetto esegue la scansione dell'dispositivo per rilevare
eventuali rischi per la sicurezza. Se si è certi che l'dispositivo
di destinazione non sia infetto, è possibile disattivare la prescansione.
Se la pre-scansione è attivata, il programma di installazione
esegue la scansione per rilevare virus e minacce informatiche
nelle aree dell'dispositivo più vulnerabili, comprese quelle
riportate di seguito:
•
5-30
Area boot e la directory boot (per i virus del settore boot)
Installazione dell'agente OfficeScan
OPZIONE
8.
DESCRIZIONE
•
Cartella Windows
•
Cartella Programmi
In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in grado
di implementare.
Per ulteriori informazioni sull'assegnazione delle funzioni di Update Agent, vedere
Considerazioni su Update Agent a pagina 5-28.
9.
In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto.
•
Per ulteriori informazioni sui componenti, vedere Programmi e componenti di
OfficeScan a pagina 6-2.
•
Il modulo Protezione dati è disponibile solo se si installa e si attiva la
Protezione dati. Per ulteriori informazioni su Protezione dati, vedere
Informazioni preliminari su Protezione dati a pagina 3-1.
10. Successivamente a File di origine, assicurarsi che il percorso del file
ofcscan.ini sia corretto. Per modificare il percorso, fare clic su
il file ofcscan.ini.
per cercare
Per impostazione predefinita, questo file si trova nella cartella <Cartella di
installazione del server>\PCCSRV del server OfficeScan.
, specificare in quale percorso e con quale
11. In File di destinazione, fare clic su
nome si desidera creare il pacchetto agente OfficeScan, (ad esempio
AgentSetup.exe).
12. Fare clic su Crea.
Quando Agent Packager ha completato la creazione del pacchetto, viene
visualizzato il messaggio “Creazione pacchetto completata”. Individuare il package
nella directory specificata nel passaggio precedente.
13. Implementare il pacchetto.
5-31
Guida per l'amministratore di OfficeScan™ 11.0
Implementazione di un pacchetto MSI utilizzando Active
Directory
È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchetto
MSI contemporaneamente su diversi dispositivo agente. Per istruzioni sulla creazione di
un file MSI, consultare Installazione con Agent Packager a pagina 5-25.
Procedura
1.
Eseguire le operazioni riportate di seguito:
•
•
•
5-32
Per Windows Server 2003 e versioni precedenti:
a.
Aprire la console di Active Directory
b.
Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desidera
implementare il pacchetto MSI e fare clic su Proprietà.
c.
Nella scheda Criterio di gruppo, fare clic su Nuovo.
Per Windows Server 2008 e Windows Server 2008 R2:
a.
Aprire la console Gestione Criteri di gruppo. Fare clic su Start >
Pannello di controllo > Strumenti di amministrazione > Gestione
Criteri di gruppo.
b.
Nell'albero della console espandere Oggetti Criteri di gruppo
nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di
gruppo da modificare.
c.
Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da
modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor
oggetti Criteri di gruppo.
Per Windows Server 2012:
a.
Aprire la console Gestione Criteri di gruppo. Fare clic su Gestione
server > Strumenti > Gestione Criteri di gruppo.
b.
Nell'albero della console espandere Oggetti Criteri di gruppo
nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di
gruppo da modificare.
Installazione dell'agente OfficeScan
c.
2.
Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da
modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor
oggetti Criteri di gruppo.
Scegliere tra Configurazione computer e Configurazione utente e aprire le
relative Impostazioni software.
Suggerimento
Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamente
indipendentemente da quale utente accede all'dispositivo, Trend Micro consiglia di
utilizzare la Configurazione computer anziché la Configurazione utente.
3.
Sotto a Impostazioni software, fare clic con il pulsante destro del mouse su
Installazione software, quindi selezionare Nuovo e Pacchetto.
4.
Individuare e selezionare il pacchetto MSI.
5.
Selezionare un metodo di implementazione e fare clic su OK.
•
Assegnato: il pacchetto MSI viene automaticamente implementato al
successivo accesso dell'utente all'dispositivo (se è stata selezionata la
Configurazione utente) o al successivo riavvio dell'dispositivo (se è stata
selezionata la Configurazione computer). Questo metodo non richiede alcun
intervento da parte dell'utente.
•
Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinché
apra il Pannello di controllo e la schermata Installazione applicazioni e
selezioni l'opzione per l'installazione di programmi in rete. All'avvio del
pacchetto MSI dell'agente OfficeScan, gli utenti possono procedere con
l'installazione dell'agente OfficeScan.
Implementazione di un pacchetto MSI utilizzando Microsoft
SMS
Se Microsoft BackOffice SMS è installato nel server, è possibile implementare il
pacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzioni
sulla creazione di un file MSI, consultare Installazione con Agent Packager a pagina 5-25.
5-33
Guida per l'amministratore di OfficeScan™ 11.0
Prima di implementare il pacchetto sul computer di destinazione, il server SMS deve
ottenere il file MSI dal server OfficeScan.
•
Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo.
•
Remoto: il server SMS e il server OfficeScan si trovano su computer diversi.
Problemi noti relativi all'installazione con Microsoft SMS:
•
Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato il
messaggio "Sconosciuto".
•
Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor del
programma SMS potrebbe comunque indicare che l'installazione è stata completata.
Per istruzioni su come controllare se l'installazione è stata conclusa correttamente,
vedere Post-installazione a pagina 5-70.
Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito.
Ottenimento del pacchetto localmente
Procedura
1.
Aprire la console dell'amministratore SMS.
2.
Nella scheda Struttura ad albero, fare clic su Pacchetti.
3.
Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.
Viene visualizzata la schermata iniziale della procedura guidata per la creazione
del pacchetto.
4.
Fare clic su Avanti.
Viene visualizzata la schermata Package Definition.
5.
Fare clic su Sfoglia.
Viene visualizzata la schermata Open.
6.
5-34
Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindi
fare clic su Apri.
Installazione dell'agente OfficeScan
Il nome del pacchetto MSI viene visualizzato sulla schermata Definizione
pacchetto. Il pacchetto visualizza la versione del programma e di "agente
OfficeScan".
7.
Fare clic su Avanti.
Viene visualizzata la schermata Source Files.
8.
Fare clic su Ricevere sempre i file da una directory di origine, quindi su
Avanti.
Viene visualizzata la schermata Directory di origine con il nome del pacchetto
che viene creato e la directory di origine stessa.
9.
Fare clic su Unità locale sul server del sito.
10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI.
11. Fare clic su Avanti.
Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene
visualizzato sulla console dell'amministratore SMS.
Ottenimento del pacchetto in remoto
Procedura
1.
Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto di
installazione con estensione .exe (non è possibile creare un pacchetto .msi). Per
informazioni, vedere Installazione con Agent Packager a pagina 5-25.
2.
Sull'dispositivo sul quale si desidera archiviare il file di origine, creare una cartella
condivisa.
3.
Aprire la console dell'amministratore SMS.
4.
Nella scheda Struttura ad albero, fare clic su Pacchetti.
5.
Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione.
Viene visualizzata la schermata iniziale della procedura guidata per la creazione
del pacchetto.
5-35
Guida per l'amministratore di OfficeScan™ 11.0
6.
Fare clic su Avanti.
Viene visualizzata la schermata Package Definition.
7.
Fare clic su Sfoglia.
Viene visualizzata la schermata Open.
8.
Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata.
9.
Fare clic su Avanti.
Viene visualizzata la schermata Source Files.
10. Fare clic su Ricevere sempre i file da una directory di origine, quindi su
Avanti.
Viene visualizzata la schermata Directory di origine.
11. Fare clic su Percorso di rete (nome UNC).
12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (la
cartella condivisa creata in precedenza).
13. Fare clic su Avanti.
Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene
visualizzato sulla console dell'amministratore SMS.
Distribuzione del pacchetto agli dispositivo di destinazione
Procedura
1.
Nella scheda Struttura ad albero, fare clic su Annunci.
2.
Dal menu Azione, fare clic su All Tasks > Distribute Software.
Viene visualizzata la schermata Benvenuto della procedura guidata per la
distribuzione del software.
3.
Fare clic su Avanti.
Viene visualizzata la schermata Package.
5-36
Installazione dell'agente OfficeScan
4.
Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto
di installazione creato.
5.
Fare clic su Avanti.
Viene visualizzata la schermata Distribution Points.
6.
Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic su
Avanti.
Viene visualizzata la schermata Advertise a Program.
7.
Fare clic su Sì per annunciare il pacchetto di installazione dell'agente OfficeScan,
quindi su Avanti.
Viene visualizzata la schermata Advertisement Target.
8.
Fare clic su Sfoglia per selezionare i computer di destinazione.
Viene visualizzata la schermata Browse Collection.
9.
Fare clic su Tutti i sistemi Windows NT.
10. Fare clic su OK.
Viene nuovamente visualizzata la schermata Advertisement Target.
11. Fare clic su Avanti.
Viene visualizzata la schermata Advertisement Name.
12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clic
su Avanti.
Viene visualizzata la schermata Advertise to Subcollections.
13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere di
annunciare il programma solo ai membri della raccolta specificata oppure anche ai
membri delle sottoraccolte.
14. Fare clic su Avanti.
Viene visualizzata la schermata Advertisement Schedule.
5-37
Guida per l'amministratore di OfficeScan™ 11.0
15. Specificare il momento in cui annunciare il pacchetto di installazione dell'agente
OfficeScan digitando o selezionando la data e l'ora.
Nota
Se si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una data
specifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data e
l'ora nelle caselle di riepilogo Data e ora di scadenza.
16. Fare clic su Avanti.
Viene visualizzata la schermata Assign Program.
17. Fare clic su Sì, assegna il programma, quindi su Avanti.
Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratore
SMS.
18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero il
programma agente OfficeScan) ai computer di destinazione, su ognuno degli
dispositivo di destinazione viene visualizzata una schermata. Chiedere agli utenti di
fare clic su Sì e seguire le istruzioni fornite dalla procedura guidata per installare
l'agente OfficeScan sul proprio computer.
Installazioni con l'uso delle immagini disco dell'agente
La tecnologia delle immagini disco consente di creare un'immagine dell'agente
OfficeScan e di clonarlo su altri computer della rete utilizzando un software per
immagini disco.
Affinché il server possa identificare i singoli agenti, ogni installazione agente OfficeScan
necessita di un Identificatore univoco globale (GUID). Per creare GUID diversi per
ognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe.
Creazione di un'immagine disco di un agente OfficeScan
Procedura
1.
5-38
Installare l'agente OfficeScan sull'dispositivo.
Installazione dell'agente OfficeScan
2.
Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin
\Utility\ImgSetup in questo dispositivo.
3.
Eseguire ImgSetup.exe su questo dispositivo.
Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE.
4.
Creare un'immagine disco dell'agente OfficeScan utilizzando il software per
l'immagine disco.
5.
Riavviare il clone.
ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'agente
OfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per il
nuovo agente OfficeScan.
AVVERTENZA!
Per evitare di avere nel database di OfficeScan due computer con lo stesso nome,
modificare manualmente il nome dell'dispositivo o del dominio relativo all'agente
OfficeScan clonato.
Utilizzo di Vulnerability Scanner
Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate,
di cercare i computer non protetti presenti nella rete e di installare gli agenti OfficeScan
nei computer.
Considerazioni sull'utilizzo di Vulnerability Scanner
Le considerazioni riportate di seguito possono aiutare a decidere se utilizzare
Vulnerability Scanner:
•
Amministrazione della rete a pagina 5-40
•
Topologia e architettura della rete a pagina 5-40
•
Specifiche software/hardware a pagina 5-41
•
Struttura del dominio a pagina 5-41
5-39
Guida per l'amministratore di OfficeScan™ 11.0
•
Traffico di rete a pagina 5-42
•
Dimensioni della rete a pagina 5-42
Amministrazione della rete
TABELLA 5-7. Amministrazione della rete
INSTALLAZIONE
EFFICACIA DI VULNERABILITY SCANNER
Amministrazione con criteri di
protezione rigidi
Estremamente efficace. Vulnerability Scanner
segnala se in tutti i computer è installato o meno il
software antivirus.
Le responsabilità amministrative
sono distribuite nei vari siti
Mediamente efficace
Amministrazione centralizzata
Mediamente efficace
Servizio esterno
Mediamente efficace
Gli utenti amministrano i propri
computer
Non efficace. Poiché Vulnerability Scanner esegue la
scansione della rete per rilevare le installazioni del
software antivirus, non è possibile fare in modo che
gli utenti eseguano la scansione dei propri computer.
Topologia e architettura della rete
TABELLA 5-8. Topologia e architettura della rete
INSTALLAZIONE
5-40
EFFICACIA DI VULNERABILITY SCANNER
Sede unica
Estremamente efficace. Vulnerability Scanner
consente di eseguire la scansione di un intero
segmento IP e di installare l'agente OfficeScan nella
LAN con facilità.
Sedi diverse con connessione ad
alta velocità
Mediamente efficace
Installazione dell'agente OfficeScan
INSTALLAZIONE
EFFICACIA DI VULNERABILITY SCANNER
Sedi diverse con connessione a
bassa velocità
Non efficace. Occorre eseguire Vulnerability Scanner
in ciascuna posizione e l'installazione dell'agente
OfficeScan deve essere diretta a un server
OfficeScan locale.
Computer remoti e isolati
Mediamente efficace
Specifiche software/hardware
TABELLA 5-9. Specifiche software/hardware
INSTALLAZIONE
EFFICACIA DI VULNERABILITY SCANNER
Sistemi operativi basati su
Windows NT
Estremamente efficace. Vulnerabilty Scanner è in
grado di installare facilmente l'agente OfficeScan in
remoto nei computer con sistema operativo basato
su Windows NT.
Sistemi operativi misti
Mediamente efficace. Vulnerability Scanner è in
grado di eseguire l'installazione solo nei computer
con sistemi operativi basati su Windows NT.
Software di gestione dei desktop
Non efficace. Vulnerability Scanner non può essere
utilizzato con software di gestione dei desktop.
Tuttavia, può essere utile per tenere traccia
dell'installazione dell'agente OfficeScan.
Struttura del dominio
TABELLA 5-10. Struttura del dominio
INSTALLAZIONE
Microsoft Active Directory
EFFICACIA DI VULNERABILITY SCANNER
Estremamente efficace. Per consentire l'installazione
remota dell'agente OfficeScan, specificare l'account
dell'amministratore del dominio in Vulnerability
Scanner.
5-41
Guida per l'amministratore di OfficeScan™ 11.0
INSTALLAZIONE
EFFICACIA DI VULNERABILITY SCANNER
Workgroup
Non efficace. Vulnerability Scanner potrebbe
incontrare difficoltà nell'installazione in computer che
utilizzano password e account amministrativi diversi.
Servizio di directory Novell™
Non efficace. Vulnerability Scanner richiede un
account di dominio Windows per installare l'agente
OfficeScan.
Peer-to-peer
Non efficace. Vulnerability Scanner potrebbe
incontrare difficoltà nell'installazione in computer che
utilizzano password e account amministrativi diversi.
Traffico di rete
TABELLA 5-11. Traffico di rete
INSTALLAZIONE
EFFICACIA DI VULNERABILITY SCANNER
Connessione LAN
Estremamente efficace.
512 Kbps
Mediamente efficace
Connessione T1 e superiore
Mediamente efficace
Accesso remoto
Non efficace. Richiede molto tempo per portare a
termine l'installazione dell'agente OfficeScan.
Dimensioni della rete
TABELLA 5-12. Dimensioni della rete
INSTALLAZIONE
Rete aziendale molto grande
5-42
EFFICACIA DI VULNERABILITY SCANNER
Estremamente efficace. Vulnerability Scanner si
rivela molto utile con reti di grandi dimensioni per le
quali è indispensabile controllare le installazioni
dell'agente OfficeScan.
Installazione dell'agente OfficeScan
INSTALLAZIONE
Piccole e medie imprese
EFFICACIA DI VULNERABILITY SCANNER
Mediamente efficace. Vulnerability Scanner è utile
per installare l'agente OfficeScan nelle reti di piccole
dimensioni. Tuttavia, altri metodi di installazione
dell'agente OfficeScan potrebbero rivelarsi più
semplici da implementare.
Linee guida per l'installazione dell'agente OfficeScan con
Vulnerability Scanner
Vulnerability Scanner non installa l'agente OfficeScan nei casi indicati di seguito:
•
Il server OfficeScan o un altro software di sicurezza è installato sulla macchina host
di destinazione.
•
Nell'dispositivo remoto è presente Windows XP Home, Windows Vista Home
Basic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 Home
Premium o Windows 8 (versioni base) Windows 8.1.
Nota
È possibile installare l'agente OfficeScan sulla macchina host di destinazione utilizzando
altri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-11.
Prima di usare Vulnerability Scanner per installare l'agente OfficeScan, attenersi alla
procedura riportata di seguito:
•
Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7
(Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise),
Windows 8.1, Windows Server 2012 (Standard):
1.
Attivare l'account dell'amministratore integrato e impostare una password per
l'account stesso.
2.
Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows
Firewall con protezione avanzata.
3.
Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo
stato del firewall su "Disattivato".
5-43
Guida per l'amministratore di OfficeScan™ 11.0
4.
Aprire Microsoft Management Console (fare clic su Start > Esegui e digitare
services.msc) e avviare il servizio Remote Registry. Quando si installa
l'agente OfficeScan, utilizzare l'account e la password di amministratore
integrati.
•
Per Windows XP Professional (versione a 32 bit o a 64 bit):
1.
Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella.
2.
Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione file
semplice (scelta consigliata).
Metodi di scansione di vulnerabilità
La scansione di vulnerabilità verifica se nelle macchine host è presente un software di
sicurezza e può installare l'agente OfficeScan nelle macchine non protette.
Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità.
TABELLA 5-13. Metodi di scansione di vulnerabilità
METODO
DETTAGLI
Scansione di
vulnerabilità manuale
Ora gli amministratori possono eseguire scansioni di vulnerabilità
su richiesta.
Scansione DHCP
Gli amministratori possono eseguire scansioni di vulnerabilità su
macchine host che richiedono gli indirizzi IP da un server DHCP.
Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di
ascolto del server DHCP per le richieste DHCP). Se rileva una
richiesta DHCP proveniente da una macchina host, la scansione
di vulnerabilità viene eseguita sulla macchina.
Nota
Vulnerability Scanner non rileva le richieste DHCP se
partono da Windows Server 2008, Windows 7, Windows 8,
8.1 o Windows Server 2012.
5-44
Installazione dell'agente OfficeScan
METODO
Scansione di
vulnerabilità
pianificata
DETTAGLI
Le scansioni pianificate vengono eseguite in base alla
pianificazione configurata dagli amministratori.
Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'agente OfficeScan sulle
macchine host di destinazione. Lo stato può essere:
•
Normale: l'agente OfficeScan è in esecuzione e sta funzionando correttamente
•
Anomalo: i servizi dell'agente OfficeScan non sono in esecuzione oppure l'agente
non dispone della protezione in tempo reale
•
Non installato: manca il servizio TMListen oppure l'agente OfficeScan non è stato
installato
•
Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire la
connessione con la macchina host e di determinare lo stato dell'agente OfficeScan
Esecuzione di una scansione di vulnerabilità manuale
Procedura
1.
Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare
a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare
doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability
Scanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo con
Windows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012:
a.
Nel computer server OfficeScan, accedere a <Cartella di
installazione del server>\PCCSRV\Admin\Utility.
b.
Copiare la cartella TMVS nell'altro dispositivo.
c.
Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.
Viene visualizzata la console Trend Micro Vulnerability Scanner.
5-45
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Non è possibile avviare lo strumento da Terminal Server.
2.
Andare alla sezione Scansione manuale.
3.
immettere l'intervallo di indirizzi IP dei computer da controllare.
a.
Immettere un intervallo di indirizzi IPv4.
Nota
Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo
se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability
Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da
168.212.1.1 a 168.212.254.254.
b.
Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso
IPv6.
Nota
Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo
se è eseguito su una macchina host IPv6 pura o dual-stack.
4.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
5.
5-46
Configurare le impostazioni riportate di seguito:
a.
Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degli
indirizzi IP specificati nel passaggio precedente per verificare se sono
attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP,
Vulnerability Scanner può determinare il sistema operativo della macchina
host. Per i dettagli, consultare Impostazioni ping a pagina 5-60.
b.
Metodo di recupero delle descrizioni del computer: per le macchine host
che rispondono al comando "ping", Vulnerability Scanner è in grado di
reperire ulteriori informazioni sulle macchine host. Per i dettagli, consultare
Metodo per recuperare le descrizioni degli dispositivo a pagina 5-57.
Installazione dell'agente OfficeScan
c.
Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di
software di sicurezza nelle macchine host di destinazione. Per i dettagli,
consultare Query prodotto a pagina 5-54.
d.
Impostazioni server OfficeScan: configurare queste impostazioni se si
desidera che Vulnerability Scanner installi automaticamente l'agente
OfficeScan sulle macchine host non protette. Queste impostazioni
consentono di identificare il server principale dell'agente OfficeScan e le
credenziali amministrative usate per l'accesso alle macchine host. Per i dettagli,
consultare Impostazioni server OfficeScan a pagina 5-62.
Nota
Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle
macchine host di destinazione. Per i dettagli, consultare Linee guida per
l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.
6.
e.
Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione
di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di
visualizzare le notifiche sulle macchine host non protette. Per i dettagli,
consultare Notifiche a pagina 5-58.
f.
Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli
amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati
in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina
5-59.
Fare clic su OK.
La schermata Impostazioni si chiude.
7.
Fare clic su Avvio.
I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati
all'interno della scheda Scansione manuale.
Nota
Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, le
informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.
5-47
Guida per l'amministratore di OfficeScan™ 11.0
8.
Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su
Salva.
Esecuzione di una scansione DHCP
Procedura
1.
Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartella
riportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\Utility
\TMVS.
TABELLA 5-14. Impostazioni DHCP nel file TMVS.ini
IMPOSTAZIONE
DESCRIZIONE
DhcpThreadNum=x
Specificare il numero di thread per la modalità DHCP. Il
valore minimo è 3 e il valore massimo è 100. Il valore
predefinito è 8.
DhcpDelayScan=x
La durata del ritardo in secondi prima che venga eseguito il
controllo del software antivirus nell'dispositivo che effettua
la richiesta.
Il valore minimo è 0 (senza attesa) e il valore massimo è
600. Il valore predefinito è 30.
LogReport=x
Il valore 0 disattiva la registrazione, il valore 1 la attiva.
Vulnerability Scanner invia i risultati della scansione al
server OfficeScan. I registri vengono visualizzati nella
schermata Registri eventi di sistema nella console Web.
2.
5-48
OsceServer=x
L'indirizzo IP o il nome DNS del server OfficeScan.
OsceServerPort=x
La porta del server Web nel server OfficeScan.
Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, passare
a <Cartella di installazione del server>\PCCSRV\Admin
\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console
Trend Micro Vulnerability Scanner.
Installazione dell'agente OfficeScan
a.
Nel computer server OfficeScan, accedere a <Cartella di
installazione del server>\PCCSRV\Admin\Utility.
b.
Copiare la cartella TMVS nell'altro dispositivo.
c.
Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.
Viene visualizzata la console Trend Micro Vulnerability Scanner.
Nota
Non è possibile avviare lo strumento da Terminal Server.
3.
Nella sezione Scansione manuale, fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
4.
Configurare le impostazioni riportate di seguito:
a.
Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di
software di sicurezza nelle macchine host di destinazione. Per i dettagli,
consultare Query prodotto a pagina 5-54.
b.
Impostazioni server OfficeScan: configurare queste impostazioni se si
desidera che Vulnerability Scanner installi automaticamente l'agente
OfficeScan sulle macchine host non protette. Queste impostazioni
consentono di identificare il server principale dell'agente OfficeScan e le
credenziali amministrative usate per l'accesso alle macchine host. Per i dettagli,
consultare Impostazioni server OfficeScan a pagina 5-62.
Nota
Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle
macchine host di destinazione. Per i dettagli, consultare Linee guida per
l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.
c.
Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione
di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di
visualizzare le notifiche sulle macchine host non protette. Per i dettagli,
consultare Notifiche a pagina 5-58.
d.
Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli
amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati
5-49
Guida per l'amministratore di OfficeScan™ 11.0
in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina
5-59.
5.
Fare clic su OK.
La schermata Impostazioni si chiude.
6.
Nella tabella Risultati fare clic sulla scheda Scansione DHCP.
Nota
La scheda Scansione DHCP non è disponibile nei computer che eseguono
Windows Server 2008,Windows 7, Windows 8, Windows 8.1 e Windows Server 2012.
7.
Fare clic su Avvio.
Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di
controlli di vulnerabilità sui computer mano a mano che questi si connettono alla
rete.
8.
Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su
Salva.
Configurazione di una scansione di vulnerabilità pianificata
Procedura
1.
Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare
a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare
doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro
Vulnerability Scanner. Per eseguire una scansione di vulnerabilità su un altro
dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012:
a.
Nel computer server OfficeScan, accedere a <Cartella di
installazione del server>\PCCSRV\Admin\Utility.
5-50
b.
Copiare la cartella TMVS nell'altro dispositivo.
c.
Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe.
Installazione dell'agente OfficeScan
Viene visualizzata la console Trend Micro Vulnerability Scanner.
Nota
Non è possibile avviare lo strumento da Terminal Server.
2.
Andare alla sezione Scansione pianificata.
3.
Fare clic su Aggiungi/Modifica.
Viene visualizzata la schermata Scansione pianificata.
4.
Configurare le impostazioni riportate di seguito:
a.
Nome: digitare un nome per la scansione di vulnerabilità pianificata.
b.
Intervallo di indirizzi IP: immettere l'intervallo di indirizzi IP dei computer
da controllare.
i.
Immettere un intervallo di indirizzi IPv4.
Nota
Vulnerability Scanner può eseguire query per un intervallo di indirizzi
IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack con
un indirizzo IPv4 disponibile. Vulnerability Scanner supporta soltanto gli
intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a
168.212.254.254.
ii.
Per un intervallo di indirizzi IPv6, immettere una lunghezza o un
prefisso IPv6.
Nota
Vulnerability Scanner può eseguire query per un intervallo di indirizzi
IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack con
un indirizzo IPv6 disponibile.
c.
Pianificazione: specificare un'ora di inizio con il formato 24 ore, quindi
selezionare con quale frequenza si desidera eseguire la scansione. Selezionare
una frequenza giornaliera, settimanale o mensile.
5-51
Guida per l'amministratore di OfficeScan™ 11.0
d.
Impostazioni: selezionare le impostazioni di scansione vulnerabilità da usare.
•
Se sono state configurate le impostazioni di scansione vulnerabilità
manuale e si desidera usarle, selezionare Usa impostazioni correnti.
Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità
manuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina
5-45.
•
Se non sono state specificate le impostazioni di scansione vulnerabilità
manuale o si desidera usare altre impostazioni, selezionare Modifica
impostazioni e fare clic su Impostazioni. Viene visualizzata la
schermata Impostazioni.
È possibile configurare le seguenti impostazioni e fare clic su OK:
5-52
•
Impostazioni ping: la Scansione di vulnerabilità può eseguire il
"ping" degli indirizzi IP specificati nel passaggio 4b per verificare se
sono attualmente in uso. Se una macchina host di destinazione usa
un indirizzo IP, Vulnerability Scanner può determinare il sistema
operativo della macchina host. Per i dettagli, consultare Impostazioni
ping a pagina 5-60.
•
Metodo di recupero delle descrizioni del computer: per le
macchine host che rispondono al comando "ping", Vulnerability
Scanner è in grado di reperire ulteriori informazioni sulle macchine
host. Per i dettagli, consultare Metodo per recuperare le descrizioni degli
dispositivo a pagina 5-57.
•
Query prodotto: Vulnerability Scanner è in grado di verificare la
presenza di software di sicurezza nelle macchine host di
destinazione. Per i dettagli, consultare Query prodotto a pagina 5-54.
•
Impostazioni server OfficeScan: configurare queste impostazioni
se si desidera che Vulnerability Scanner installi automaticamente
l'agente OfficeScan sulle macchine host non protette. Queste
impostazioni consentono di identificare il server principale
dell'agente OfficeScan e le credenziali amministrative usate per
l'accesso alle macchine host. Per i dettagli, consultare Impostazioni
server OfficeScan a pagina 5-62.
Installazione dell'agente OfficeScan
Nota
Alcune condizioni possono impedire l'installazione dell'agente
OfficeScan nelle macchine host di destinazione. Per i dettagli,
consultare Linee guida per l'installazione dell'agente OfficeScan con
Vulnerability Scanner a pagina 5-43.
5.
•
Notifiche: Vulnerability Scanner è in grado di inviare i risultati della
scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è
in grado di visualizzare le notifiche sulle macchine host non
protette. Per i dettagli, consultare Notifiche a pagina 5-58.
•
Salva risultati: oltre ad inviare i risultati della scansione di
vulnerabilità agli amministratori, Scansione di vulnerabilità è anche
in grado di salvare i risultati in un file .csv. Per i dettagli, consultare
Risultati scansione vulnerabilità a pagina 5-59.
Fare clic su OK.
La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilità
pianificata creata viene visualizzata nella sezione Scansione pianificata. Se sono
state attivate le notifiche, Vulnerability Scanner invia i risultati della scansione di
vulnerabilità pianificata.
6.
Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic su
Esegui ora.
I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati
all'interno della scheda Scansione pianificata.
Nota
Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, le
informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati.
7.
Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,
individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su
Salva.
5-53
Guida per l'amministratore di OfficeScan™ 11.0
Impostazioni Scansione vulnerabilità
Le impostazioni di Scansione vulnerabilità sono configurate da Trend Micro
Vulnerability Scanner (TMVS.exe) o dal file TMVS.ini.
Nota
Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug per
Vulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 16-3.
Query prodotto
Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negli
agenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti di
protezione da parte di Vulnerability Scanner:
TABELLA 5-15. Prodotti di protezione controllati da Vulnerability Scanner
PRODOTTO
DESCRIZIONE
ServerProtect per
Windows
Per controllare se SPNTSVC.exe è in esecuzione,
Vulnerability Scanner utilizza dispositivo RPC. In tal modo
ottiene informazioni quali il sistema operativo e le versioni del
motore di scansione virus, del pattern dei virus e dei prodotti.
Vulnerability Scanner non è in grado di rilevare il server
informazioni di ServerProtect o la console di gestione di
ServerProtect.
ServerProtect per Linux
Se nell'dispositivo di destinazione non è presente Windows,
Vulnerability Scanner tenta di connettersi alla porta 14942
per verificare che ServerProtect per Linux sia installato.
Agente OfficeScan
Per verificare se l'agente OfficeScan è installato, Vulnerability
Scanner utilizza la porta dell'agente OfficeScan. Controlla
inoltre se il processo TmListen.exe è in esecuzione. Se
viene eseguito dalla posizione predefinita, ottiene il numero
di porta in modo automatico.
Se Vulnerability Scanner viene avviato in un dispositivo
diverso dal server OfficeScan, controllare la porta di
comunicazione dell'altro dispositivo prima di utilizzarla.
5-54
Installazione dell'agente OfficeScan
PRODOTTO
DESCRIZIONE
PortalProtect™
Per controllare l'installazione del prodotto, Vulnerability
Scanner carica la pagina Web http://localhost:port/
PortalProtect/index.html.
ScanMail™ per
Microsoft Exchange™
Per controllare l'installazione di ScanMail, Vulnerability
Scanner carica la pagina Web http://ipaddress:port/
scanmail.html. Per impostazione predefinita, ScanMail
utilizza la porta 16372. Se ScanMail utilizza un numero di
porta differente, specificare tale numero. In caso contrario,
Vulnerability Scanner non è in grado di rilevare ScanMail.
Serie InterScan™
Per controllare l'installazione dei prodotti, Vulnerability
Scanner carica la pagina Web di ciascun prodotto.
•
InterScan Messaging Security Suite 5.x: http://
localhost:port/eManager/cgi-bin/eManager.htm
•
InterScan eManager 3.x: http://localhost:port/
eManager/cgi-bin/eManager.htm
•
InterScan VirusWall™ 3.x: http://localhost:port/
InterScan/cgi-bin/interscan.dll
Trend Micro Internet
Security™ (PC-cillin)
Per controllare se Trend Micro Internet Security è installato,
Vulnerability Scanner utilizza la porta 40116.
McAfee VirusScan
ePolicy Orchestrator
Vulnerability Scanner invia un token speciale alla porta TCP
8081, la porta predefinita di ePolicy Orchestrator per la
connessione tra server e agente. L'dispositivo con questo
prodotto antivirus risponde utilizzando un tipo di token
speciale. Vulnerability Scanner non è in grado di rilevare
McAfee VirusScan standalone.
Norton Antivirus™
Corporate Edition
Vulnerability Scanner invia un token speciale alla porta UDP
2967, la porta predefinita di Norton Antivirus Corporate
Edition RTVScan. L'dispositivo con questo prodotto antivirus
risponde utilizzando un tipo di token speciale. Poiché Norton
Antivirus Corporate Edition comunica tramite UDP, il livello di
accuratezza non è garantito. Inoltre il traffico di rete potrebbe
influenzare il tempo di attesa UDP.
Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati di
seguito:
5-55
Guida per l'amministratore di OfficeScan™ 11.0
•
RPC: rileva ServerProtect per NT
•
UDP: rileva i client Norton AntiVirus Corporate Edition
•
TCP: rileva McAfee VirusScan ePolicy Orchestrator
•
ICMP: rileva i computer tramite l'invio di pacchetti ICMP
•
HTTP: Rileva gli agenti OfficeScan
•
DHCP: Se viene rilevata una richiesta DHCP, Vulnerability Scanner è in grado di
controllare se sull'dispositivo che invia la richiesta sia già installato un software
antivirus.
Configurazione delle impostazioni della query del prodotto
Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni di
scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di
vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner
(TMVS.exe):
a.
Avviare TMVS.exe.
b.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
c.
Andare alla sezione Query prodotto.
d.
Selezionare i prodotti da esaminare.
e.
Fare clic su Impostazioni accanto al nome del prodotto e specificare il
numero di porta che verrà controllato da Vulnerability Scanner.
f.
Fare clic su OK.
La schermata Impostazioni si chiude.
5-56
Installazione dell'agente OfficeScan
2.
Consente di impostare il numero di computer che verranno contemporaneamente
controllati da Vulnerability Scanner per verificare la presenza di software di
sicurezza.
a.
Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility
\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco
note.
b.
Per impostare il numero di computer che verranno sottoposti alla scansione di
vulnerabilità manuale, modificare il valore per ThreadNumManual.
Specificare un valore compreso tra 8 e 64.
Ad esempio, digitare ThreadNumManual=60 se si desidera che Vulnerability
Scanner esegua il controllo su 60 computer alla volta.
c.
Per impostare il numero di computer che verranno sottoposti alla scansione di
vulnerabilità pianificata, modificare il valore per ThreadNumSchedule.
Specificare un valore compreso tra 8 e 64.
Ad esempio, digitare ThreadNumSchedule=50 se si desidera che
Vulnerability Scanner esegua il controllo su 50 computer alla volta.
d.
Salvare il file TMVS.ini.
Metodo per recuperare le descrizioni degli dispositivo
Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, può
reperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi di
recupero delle informazioni:
•
Recupero rapido: Recupera solo il nome dell'dispositivo
•
Recupero normale: Recupera le informazioni del dominio e dell'dispositivo
Configurazione delle impostazioni di recupero
Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansione
vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,
vedere Metodi di scansione di vulnerabilità a pagina 5-44.
5-57
Guida per l'amministratore di OfficeScan™ 11.0
Procedura
1.
Avviare TMVS.exe.
2.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
3.
Andare alla sezione Metodo per recuperare le descrizioni computer.
4.
Selezionare Normale o Rapido.
5.
Se è stata seleziona l'opzione Normale, selezionare Recupera descrizioni
computer quando disponibili.
6.
Fare clic su OK.
La schermata Impostazioni si chiude.
Notifiche
Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli
amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine
host non protette.
Configurazione delle impostazioni di notifica
Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansione
vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità,
vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
3.
5-58
Andare alla sezione Notifica.
Installazione dell'agente OfficeScan
4.
Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi o
ad altri amministratori nell'organizzazione:
a.
Selezionare Risultati e-mail all'amministratore di sistema.
b.
Fare clic su Configura per specificare le impostazioni e-mail.
c.
Nel campo A immettere l'indirizzo e-mail del destinatario.
d.
Nel campo Da, immettere l'indirizzo e-mail del mittente.
e.
Nel campo Server SMTP digitare l'indirizzo del server SMTP.
ad esempio smtp.azienda.com. Le informazioni sul server SMTP sono
obbligatorie.
5.
6.
f.
Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppure
accettare quello predefinito.
g.
Fare clic su OK.
Per comunicare agli utenti che sui computer non è installato il software di
sicurezza:
a.
Selezionare Visualizza una notifica sui computer non protetti.
b.
Fare clic su Personalizza per configurare il messaggio di notifica.
c.
Nella schermata Messaggio di notifica, digitare un nuovo messaggio o
accettare il messaggio predefinito.
d.
Fare clic su OK.
Fare clic su OK.
La schermata Impostazioni si chiude.
Risultati scansione vulnerabilità
È possibile configurare Vulnerability Scanner in modo da salvare i risultati della
scansione in un file CSV.
5-59
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione risultati di scansione
Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delle
impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di
scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
3.
Andare alla sezione Salva risultati.
4.
Selezionare Salva automaticamente i risultati in un file CSV.
5.
Per cambiare la cartella predefinita in cui salvare il file CSV:
6.
a.
Fare clic su Sfoglia.
b.
Selezionare una cartella di destinazione nell'dispositivo o nella rete.
c.
Fare clic su OK.
Fare clic su OK.
La schermata Impostazioni si chiude.
Impostazioni ping
Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina di
destinazione e verificare il sistema operativo usato. Se queste impostazioni sono
disattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallo
specificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi il
tentativo di eseguire la scansione impiegherà più tempo di quanto previsto.
5-60
Installazione dell'agente OfficeScan
Configurazione delle impostazioni ping
Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità.
Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi
di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe):
a.
Avviare TMVS.exe.
b.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
c.
Andare alla sezione delle impostazioni Ping.
d.
Selezionare Consenti a Vulnerability Scanner di eseguire il ping dei
computer della rete per verificarne lo stato.
e.
Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi
Dimensioni pacchetto e Timeout.
f.
Selezionare Rilevare il tipo di sistema operativo usando l'impronta del
sistema operativo ICMP.
Se si seleziona questa opzione, Vulnerability Scanner determina se una
macchina host esegue Windows o un altro sistema operativo. Per le macchine
host con Windows, Vulnerability Scanner è in grado di identificare la versione
di Windows.
g.
Fare clic su OK.
La schermata Impostazioni si chiude.
2.
Per impostare il numero di computer che verranno sottoposti
contemporaneamente a ping da parte di Vulnerability Scanner:
a.
Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility
\TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco
note.
5-61
Guida per l'amministratore di OfficeScan™ 11.0
b.
Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64.
Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner
effettui il ping su 60 computer alla volta.
c.
Salvare il file TMVS.ini.
Impostazioni server OfficeScan
Le impostazioni del server OfficeScan sono usate quando:
•
Vulnerability Scanner è in grado di installare l'agente OfficeScan su macchine di
destinazione non protette. Le impostazioni del server consentono a Vulnerability
Scanner di identificare il server principale dell'agente OfficeScan e le credenziali
amministrative da usare per il collegamento alle macchine di destinazione.
Nota
Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle
macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione
dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43.
•
Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan.
Configurazione impostazioni server OfficeScan
Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni di
scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di
vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44.
Procedura
1.
Avviare TMVS.exe.
2.
Fare clic su Impostazioni.
Viene visualizzata la schermata Impostazioni.
3.
Andare alla sezione Impostazioni server OfficeScan.
4.
Immettere il nome e il numero della porta del server OfficeScan.
5-62
Installazione dell'agente OfficeScan
5.
Selezionare Installa automaticamente l'agente OfficeScan sui computer non
protetti.
6.
Per configurare le credenziali amministrative:
a.
Fare clic su Installa nell'account.
b.
Nella schermata Informazioni account, digitare un nome utente e una
password.
c.
Fare clic su OK.
7.
Selezionare Invia registri al server OfficeScan.
8.
Fare clic su OK.
La schermata Impostazioni si chiude.
Installazione con Conformità sicurezza
Installare gli agenti OfficeScan nei computer dei domini della rete oppure installare
l'agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP.
Prima di installare l'agente OfficeScan, tenere presente quando segue:
Procedura
1.
Prendere nota delle credenziali di accesso di ogni dispositivo. Durante
l'installazione, OfficeScan richiede di specificare le credenziali di accesso.
2.
L'agente OfficeScan non viene installato in un dispositivo nei casi seguenti:
•
Il server OfficeScan è installato nell'dispositivo.
•
Nell'dispositivo è in esecuzione Windows XP Home, Windows Vista Home
Basic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7
Home Basic, Windows 7 Home Premium e Windows 8 (versioni di base) e
Windows 8.1. Per i computer con tali piattaforme è necessario scegliere un
altro metodo di installazione. Consultare Considerazioni sull'implementazione a
pagina 5-11 per ulteriori dettagli.
5-63
Guida per l'amministratore di OfficeScan™ 11.0
3.
4.
Se nell'dispositivo di destinazione è eseguito Windows Vista (Business, Enterprise
o Ultimate Edition) o Windows 7 (Professional, Enterprise o Ultimate
Edition),Windows 8 (Pro, Enterprise), Windows 8.1 o Windows Server 2012
(Standard), eseguire nell'dispositivo la procedura riportata di seguito:
a.
Attivare l'account dell'amministratore integrato e impostare una password per
l'account stesso.
b.
Disattivare il firewall di Windows.
c.
Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows
Firewall con protezione avanzata.
d.
Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo
stato del firewall su "Disattivato".
e.
Aprire Microsoft Management Console (da Start > Esegui, digitare
services.msc) e avviare il servizio Registro remoto. Quando si installa
l'agente OfficeScan, utilizzare l'account e la password di amministratore
integrati.
Se nell'dispositivo sono installati programmi di protezione dispositivo di Trend
Micro o di terzi, verificare se OfficeScan è in grado di disinstallare
automaticamente il software e sostituirlo con l'agente OfficeScan. Per un elenco del
software di protezione dell'agente che OfficeScan disinstalla automaticamente,
aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Per
aprire tali file utilizzare un editor di testo, ad esempio Blocco note.
•
tmuninst.ptn
•
tmuninst_as.ptn
Se il software nell'dispositivo di destinazione non è compreso nell'elenco,
disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione,
potrebbe essere necessario riavviare l'dispositivo.
5-64
Installazione dell'agente OfficeScan
Installazione dell'agente OfficeScan
Procedura
1.
Accedere a Valutazione > Dispositivo non gestiti.
2.
Fare clic su Installa in cima alla struttura agente.
•
Se nell'dispositivo è già installata una versione precedente dell'agente
OfficeScan e si fa clic su Installa, l'installazione non viene eseguita e l'agente
non viene aggiornato a questa versione. Per aggiornare l'agente, è necessario
disattivare un'impostazione.
a.
Accedere a Agenti > Gestione agente.
b.
Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni >
Altre impostazioni.
c.
Disattivare l'opzione Gli agenti OfficeScan possono aggiornare i
componenti, ma non possono aggiornare il programma agente né
implementare gli hotfix.
3.
Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic su
Accesso. OfficeScan inizia l'installazione dell'agente nell'dispositivo di
destinazione.
4.
Visualizzare lo stato dell'installazione.
Migrazione all'agente OfficeScan
Sostituire il software di protezione dell'agente installato su un dispositivo di destinazione
con l'agente OfficeScan.
Migrazione da altro software di protezione dispositivo
Quando si installa l'agente OfficeScan, il programma di installazione esegue il controllo
del software di protezione dispositivo di Trend Micro o di terzi installato nell'dispositivo
5-65
Guida per l'amministratore di OfficeScan™ 11.0
di destinazione. Il programma di installazione è in grado di disinstallare automaticamente
il software e di sostituirlo con l'agente OfficeScan.
Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in grado
di disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server>
\PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note.
•
tmuninst.ptn
•
tmuninst_as.ptn
Se il software nell'dispositivo di destinazione non è compreso nell'elenco, disinstallarlo
in modo manuale. In base al tipo di processo di disinstallazione, potrebbe essere
necessario riavviare l'dispositivo.
Problemi relativi alla migrazione degli agenti OfficeScan
•
Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente ha
riscontrato dei problemi nell'uso dell'agente OfficeScan subito dopo l'installazione,
riavviare l'dispositivo.
•
Se il programma di installazione OfficeScan ha eseguito l'installazione dell'agente
OfficeScan senza disinstallare l'altro software di protezione, si verificheranno dei
conflitti tra i due software. Disinstallare entrambi i software, quindi installare
l'agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazioni
sull'implementazione a pagina 5-11.
Migrazione dai normali server ServerProtect
Lo strumento di migrazione di server normali ServerProtect™ consente di effettuare la
migrazione di computer con server normale Trend Micro ServerProtect all'agente
OfficeScan.
Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifiche
hardware e software del server OfficeScan. Eseguire lo strumento su computer con
Windows Server 2003 e Windows Server 2008.
Se la disinstallazione del server normale ServerProtect viene completata correttamente,
lo strumento installa l'agente OfficeScan. Consente anche di migrare le impostazioni
5-66
Installazione dell'agente OfficeScan
dell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) all'agente
OfficeScan.
Durante l'installazione del'agente OfficeScan, potrebbe verificarsi il timeout del
programma di installazione dell'agente dello strumento di migrazione ed essere
visualizzata una notifica per avvisare che l'installazione non è riuscita. Se questo dovesse
verificarsi, non è detto che l'agente OfficeScan non sia stato installato correttamente.
Verificare l'installazione sull'dispositivo agente dalla console Web OfficeScan.
La migrazione non riesce nelle seguenti situazioni:
•
L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione non
supporta l'indirizzamento IPv6.
•
L'agente remoto non è in grado di utilizzare il protocollo NetBIOS.
•
Le porte 455, 337 e 339 sono bloccate.
•
L'agente remoto non è in grado di utilizzare il protocollo RPC.
•
Il servizio Registro remoto s'interrompe.
Nota
Lo strumento di migrazione di server normali ServerProtect non effettua la disinstallazione
dell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallare
l'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager.
Utilizzo dello strumento di migrazione di server normali
ServerProtect
Procedura
1.
Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV
\Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in
Cartella di installazione del server>\PCCSRV\Admin.
2.
Fare doppio clic su SPNSXfr.exe per aprire lo strumento.
Viene visualizzata la console dello strumento di migrazione del server normale
ServerProtect.
5-67
Guida per l'amministratore di OfficeScan™ 11.0
3.
Selezionare il server OfficeScan. Il percorso del server OfficeScan viene
visualizzato nell'apposita sezione. Se il percorso non è quello corretto, fare clic su
Sfoglia e selezionare la cartella PCCSRV nella directory di installazione di
OfficeScan. Per attivare lo strumento in modo che al successivo utilizzo trovi
automaticamente il server OfficeScan, selezionare la casella di controllo
Individuazione automatica percorso server (selezionata per impostazione
predefinita).
4.
Per selezionare i computer sui quali è in esecuzione il server normale ServerProtect
per i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nella
sezione Dispositivo di destinazione:
•
Struttura di rete Windows: visualizza una struttura ad albero dei domini
presenti nella rete. Per selezionare i computer che utilizzano questo metodo,
fare clic sui domini sui quali effettuare la ricerca dei computer agente.
•
Nome server informazioni: ricerca effettuata per nome server informazioni.
Per selezionare i computer con questo metodo, immettere il nome di un
server informazioni presente sulla propria rete. Per effettuare la ricerca di
diversi server informazioni, inserire un punto e virgola ";" tra i nomi dei
server.
•
Nome server normale certo: ricerca effettuata per nome server normale. Per
selezionare i computer con questo metodo, immettere il nome di un server
normale presente sulla propria rete. Per effettuare la ricerca su diversi server
normali, inserire un punto e virgola ";" tra i nomi dei server.
•
Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Per
selezionare i computer con questo metodo, immettere un intervallo di
indirizzi IP di classe B nella casella Intervallo IP.
Nota
Se un server DNS presente in rete non risponde in fase di ricerca degli agenti, anche
l'operazione di ricerca non risponde. Attendere il timeout della ricerca.
5.
5-68
Selezionare Riavvio dopo l'installazione per riavviare automaticamente i
computer di destinazione dopo la migrazione.
Installazione dell'agente OfficeScan
Per completare la migrazione correttamente, è necessario riavviare il computer. Se
non si seleziona questa opzione, riavviare il computer manualmente dopo la
migrazione.
6.
Fare clic su Cerca.
I risultati della ricerca vengono visualizzati nella sezione Server normali
ServerProtect.
7.
8.
Fare clic sui computer per i quali effettuare la migrazione.
a.
Per selezionare tutti i computer, fare clic su Seleziona tutto.
b.
Per deselezionare tutti i computer, fare clic su Deseleziona tutto.
c.
Per esportare l'elenco in un file CSV (comma-separated value), fare clic su
Esporta in CSV.
Se per accedere ai computer di destinazione sono necessari nome utente e
password, effettuare le seguenti operazioni:
a.
Selezionare la casella di controllo Usa account/password gruppo.
b.
Fare clic su Imposta account di accesso.
Viene visualizzata la finestra Inserisci informazioni di amministrazione.
c.
Immettere il nome utente e la password.
Nota
Per accedere all'dispositivo di destinazione, utilizzare l'account di
amministratore locale o di dominio. Se si effettua l'accesso senza i necessari
privilegi (ad esempio, come "Guest" o "Utente normale"), non sarà possibile
effettuare l'installazione.
9.
d.
Fare clic su OK.
e.
Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri di
poter inserire il nome utente e la password nel corso del processo di
migrazione nel caso in cui l'accesso risulti impossibile.
Fare clic su Migra.
5-69
Guida per l'amministratore di OfficeScan™ 11.0
10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare i
computer di destinazione dopo la migrazione.
Post-installazione
Al termine dell'installazione, verificare i seguenti elementi:
•
Collegamento agente OfficeScan a pagina 5-70
•
Elenco programmi a pagina 5-70
•
Servizi dell'agente OfficeScan a pagina 5-71
•
Registri di installazione agente OfficeScan a pagina 5-71
Collegamento agente OfficeScan
I collegamenti all'agente OfficeScan vengono visualizzati nel menu Start di Windows
nell'dispositivo agente.
FIGURA 5-2. Collegamento agente OfficeScan
Elenco programmi
Security Agent è incluso nell'elenco Installazione applicazioni del Pannello di
controllo dell'dispositivo agente.
5-70
Installazione dell'agente OfficeScan
Servizi dell'agente OfficeScan
I seguenti servizi dell'agente OfficeScan sono visualizzati in Microsoft Management
Console:
•
OfficeScan NT Listener (TmListen.exe)
•
Scansione in tempo reale OfficeScanNT (NTRtScan.exe)
•
OfficeScan NT Proxy Service (TmProxy.exe)
Nota
OfficeScan NT Proxy Service non è presente su piattaforme Windows 8/8.1 o
Windows Server 2012.
•
OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durante
l'installazione
•
Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)
•
Framework soluzione client comune Trend Micro (TmCCSF.exe)
Registri di installazione agente OfficeScan
Il registro di installazione dell'agente OfficeScan, OFCNT.LOG si trova nei percorsi
riportati di seguito:
•
%windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazione
del pacchetto MSI
•
%temp% per il metodo di installazione con il pacchetto MSI
Attività post-installazione consigliate
Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni.
5-71
Guida per l'amministratore di OfficeScan™ 11.0
Aggiornamento dei componenti
Per essere sicuri che tutti gli agenti siano dotati della protezione contro i rischi per la
sicurezza più recente, aggiornare i componenti degli agenti OfficeScan. È possibile
eseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agli
utenti di eseguire "Aggiorna ora" dai propri computer.
Scansione di prova mediante lo script di prova EICAR
L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per la
ricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consente
di controllare in modo sicuro la corretta installazione e configurazione del software
antivirus. Per ulteriori informazioni, visitare il sito Web EICAR:
http://www.eicar.org
Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo file
non è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei
software antivirus reagiscono a tale file come se si trattasse di un virus. È possibile
utilizzare il file per simulare un'infezione virale e verificare così il corretto
funzionamento delle notifiche e-mail e dei registri dei virus.
AVVERTENZA!
Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus.
Esecuzione di una scansione di prova
Procedura
1.
Attivare la scansione in tempo reale sull'agente.
2.
Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testo
semplice: [email protected][4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*
3.
5-72
Salvare il file nominandolo EICAR.com in una directory temporanea. OfficeScan
rileva immediatamente il file.
Installazione dell'agente OfficeScan
4.
Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato in
un messaggio e-mail e inviarlo ad uno dei computer.
Suggerimento
Trend Micro consiglia di comprimere il file EICAR utilizzando un software di
compressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova.
Disinstallazione dell'agente OfficeScan
Per disinstallare l'agente OfficeScan dai computer, è possibile procedere in due modi:
•
Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-73
•
Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-75
Se non è possibile disinstallare l'agente OfficeScan con i metodi illustrati, rimuoverlo
manualmente. Per i dettagli, consultare Disinstallazione manuale dell'agente OfficeScan a pagina
5-76.
Disinstallazione dell'agente OfficeScan dalla console Web
Disinstallare il programma agente OfficeScan dalla console Web. Eseguire la
disinstallazione solo in caso di problemi con il programma. Per mantenere l'dispositivo
protetto dai rischi per la sicurezza, reinstallare subito il programma.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Operazioni > Disinstallazione di Agent.
4.
Nella schermata Disinstallazione Agent, fare clic su Avvia disinstallazione. Il
server invia una notifica agli agenti.
) per includere
5-73
Guida per l'amministratore di OfficeScan™ 11.0
5.
Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la
notifica.
a.
Fare clic su Seleziona dispositivo non notificati, quindi su Avvia
disinstallazione per inviare nuovamente la notifica agli agenti che non
l'hanno ricevuta.
b.
Se si desidera che OfficeScan interrompa l'invio della notifica agli agenti, fare
clic su Interrompi disinstallazione. Gli agenti che hanno già ricevuto la
notifica, hanno già avviato il processo di disinstallazione e pertanto ignorano
questo comando.
Programma di disinstallazione dell'agente OfficeScan
Assegnare agli utenti i privilegi per disinstallare il programma agente OfficeScan e
richiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer.
In base alla configurazione, la disinstallazione può richiedere o meno una password. Se è
richiesta una password, assicurarsi di condividere la password solo con gli utenti che
devono eseguire il programma di disinstallazione e cambiarla immediatamente se viene
divulgata ad altri utenti.
Assegnazione dei privilegi di disinstallazione dell'agente
OfficeScan
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Disinstallazione.
5.
Per consentire agli utenti di eseguire la disinstallazione senza password, selezionare
Consenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta una
5-74
) per includere
Installazione dell'agente OfficeScan
password, selezionare Richiedi una password per disinstallare l'agente
OfficeScan, digitare la password e confermarla.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Esecuzione del Programma di disinstallazione dell'agente
OfficeScan
Procedura
1.
Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScan
Agent > Disinstalla l'agente OfficeScan.
È inoltre possibile eseguire la procedura riportata di seguito:
2.
a.
Fare clic su Pannello di controllo > Installazione applicazioni.
b.
Individuare Trend Micro OfficeScan Agent e fare clic su Cambia.
c.
Seguire le istruzioni visualizzate.
Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza una
finestra che informa l'utente sul progresso e il completamento della disinstallazione.
Per completare la disinstallazione, non è necessario riavviare l'dispositivo agente.
5-75
Guida per l'amministratore di OfficeScan™ 11.0
Disinstallazione manuale dell'agente OfficeScan
Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione
dell'agente OfficeScan dalla console Web o dopo aver eseguito il programma di
disinstallazione.
Procedura
1.
Accedere all'dispositivo agente mediante un account con privilegi di
amministratore.
2.
Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan presente
nella barra delle applicazioni e selezionare Scarica OfficeScan. Se viene richiesta
una password, specificare la password per la rimozione, quindi fare clic su OK.
Nota
3.
•
In Windows 8, 8.1 e Windows Server 2012, passare alla modalità desktop per
rimuovere l'agente OfficeScan.
•
Disattivare la password nei computer in cui l'agente OfficeScan verrà rimosso.
Per i dettagli, consultare Configurazione dei privilegi dell'agente e altre impostazioni a
pagina 14-90.
Se la password per la rimozione non è stata specificata, utilizzare Microsoft
Management Console per interrompere i servizi riportati di seguito:
•
OfficeScan NT Listener
•
OfficeScan NT Firewall
•
Scansione in tempo reale di OfficeScan NT
•
OfficeScan NT Proxy Service
Nota
OfficeScan NT Proxy Service non è presente su piattaforme Windows 8, 8.1 o
Windows Server 2012.
•
5-76
Servizio prevenzione modifiche non autorizzate di Trend Micro
Installazione dell'agente OfficeScan
•
4.
Framework soluzione client comune Trend Micro
Rimuovere il collegamento all'agente OfficeScan presente nel menu Start.
•
In Windows 8, 8.1 e Windows Server 2012:
a.
passare alla modalità desktop.
b.
Spostare il puntatore del mouse sull'angolo in basso a destra dello
schermo e scegliere Start dal menu visualizzato.
Viene visualizzata la schermata Home.
•
c.
Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan.
d.
Fare clic su Rimuovi da Start.
In tutte le altre piattaforme Windows:
Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse su
Trend Micro OfficeScan Agent, quindi fare clic su Elimina.
5.
Aprire l'editor del Registro di sistema (regedit.exe).
AVVERTENZA!
La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se si
apportano modifiche errate al registro di sistema, possono verificarsi seri problemi
nel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre una
copia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor del
registro.
6.
Eliminare le chiavi di registro riportate di seguito:
•
Se nell'dispositivo non sono installati altri prodotti Trend Micro:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
Per computer a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro
•
Se nell'dispositivo sono installati altri prodotti Trend Micro, eliminare solo le
chiavi riportate di seguito:
5-77
Guida per l'amministratore di OfficeScan™ 11.0
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
Per computer a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro
\OfcWatchDog
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp
Per computer a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro
\PC-cillinNTCorp
7.
Eliminare i valori o le chiavi di registro riportati di seguito:
•
Per sistemi a 32 bit:
•
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\OfficeScanNT
•
OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
•
8.
•
HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft
\Windows\CurrentVersion\Uninstall\OfficeScanNT
•
OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE
\SOFTWARE\ Wow6432Node\Microsoft\Windows
\CurrentVersion\Run
Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati di
seguito:
•
5-78
Per sistemi a 64 bit:
Percorsi:
•
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
•
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
Installazione dell'agente OfficeScan
•
•
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
•
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
Chiavi:
•
NTRtScan
•
tmcfw
•
tmcomm
•
TmFilter
•
TmListen
•
tmpfw
•
TmPreFilter
•
TmProxy
Nota
TmProxy non è presente sulle piattaforme Windows 8/8.1 o Windows
Server 2012.
•
tmtdi
Nota
tmtdi non è presente sulle piattaforme Windows 8/8.1 o Windows Server
2012.
•
VSApiNt
•
tmlwf (per computer Windows Vista/Server 2008/7/8/8.1/Server 2012)
•
tmwfp (per computer Windows Vista/Server 2008/7/8/8.1/Server
2012)
•
tmactmon
•
TMBMServer
5-79
Guida per l'amministratore di OfficeScan™ 11.0
9.
•
TMebc
•
tmevtmgr
•
tmeevw (per Windows 8/8.1/Server 2012)
•
tmusa (per Windows 8/8.1/Server 2012)
•
tmnciesc
•
tmeext (per Windows XP/2003)
Chiudere l'editor del Registro di sistema.
10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic su
Sistema.
Nota
Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012.
11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi.
Nota
Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012.
12. Fare clic su Visualizza > Mostra dispositivi nascosti.
Nota
Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012.
13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati di
seguito (Windows XP/Vista/7/Server 2003/Server 2008):
5-80
•
tmcomm
•
tmactmon
•
tmevtmgr
•
Trend Micro Filter
Installazione dell'agente OfficeScan
•
Trend Micro PreFilter
•
Trend Micro TDI Driver
•
Trend Micro VSAPI NT
•
Servizio prevenzione modifiche non autorizzate di Trend Micro
•
Trend Micro WFP Callout Driver (per computer con Windows Vista/Server
2008/7)
14. Per eliminare manualmente i driver di Trend Micro con un editor della riga di
comando (solo Windows 8/8.1/Server 2012), eseguire i comandi seguenti:
•
sc delete tmcomm
•
sc delete tmactmon
•
sc delete tmevtmgr
•
sc delete tmfilter
•
sc delete tmprefilter
•
sc delete tmwfp
•
sc delete vsapint
•
sc delete tmeevw
•
sc delete tmusa
•
sc delete tmebc
Nota
Per essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor da
riga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tasto
destro del mouse sul file cmd.exe e scegliere Esegui come amministratore).
15. Disinstallare il Driver comune Firewall.
a.
Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic su
Proprietà.
5-81
Guida per l'amministratore di OfficeScan™ 11.0
b.
Fare clic con il tasto destro del mouse su Connessione alla rete locale
(LAN) e fare clic su Proprietà.
c.
Nella scheda Generale selezionare Driver comune Firewall di Trend
Micro e fare clic su Disinstalla.
Nota
I seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server
2008/7/8/8.1/Server 2012. Per gli agenti che utilizzano tutti gli altri sistemi
operativi, andare al punto 15.
d.
Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà.
e.
Fare clic su Gestisci connessioni di rete.
f.
Fare clic con il tasto destro del mouse su Connessione alla rete locale
(LAN) e fare clic su Proprietà.
g.
Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fare
clic su Disinstalla.
16. Riavviare l'dispositivo agente.
17. Se nell'dispositivo non sono installati altri prodotti Trend Micro, eliminare la
cartella di installazione Trend Micro (normalmente C:\Programmi\Trend
Micro). Nei computer a 64 bit la cartella di installazione è in C:\Programmi
(x86)\Trend Micro.
18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelle
riportate di seguito:
5-82
•
<Cartella di installazione dell'agente>
•
La cartella BM nella cartella di installazione Trend Micro (solitamente C:
\Programmi\Trend Micro\BM per i sistemi a 32 bit e C:
\Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit )
Capitolo 6
Come mantenere la protezione
aggiornata
In questo capitolo vengono descritti i componenti OfficeScan™ di Trend Micro™ e le
procedure di aggiornamento.
Di seguito sono riportati gli argomenti trattati:
•
Programmi e componenti di OfficeScan a pagina 6-2
•
Panoramica sugli aggiornamenti a pagina 6-14
•
Aggiornamenti server OfficeScan a pagina 6-17
•
Aggiornamenti di Integrated Smart Protection Server a pagina 6-30
•
Aggiornamenti agente OfficeScan a pagina 6-30
•
Update Agent a pagina 6-58
•
Riepilogo aggiornamento componenti a pagina 6-67
6-1
Guida per l'amministratore di OfficeScan™ 11.0
Programmi e componenti di OfficeScan
OfficeScan utilizza i componenti e i programmi per mantenere i computer agente
protetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti e
programmi aggiornati, eseguire gli aggiornamenti manuali o pianificati.
Oltre ai componenti, gli agenti OfficeScan ricevono dal server OfficeScan anche i file di
configurazione aggiornati. Gli agenti necessitano di tali file di configurazione per poter
applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di
OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione.
I componenti sono raggruppati come segue:
•
Componenti antivirus a pagina 6-2
•
Componenti di Damage Cleanup Services a pagina 6-7
•
Componenti anti-spyware a pagina 6-7
•
Componenti firewall a pagina 6-8
•
Componente di Reputazione Web a pagina 6-9
•
Componenti monitoraggio del comportamento a pagina 6-9
•
Programmi a pagina 6-11
•
Componenti Connessioni sospette a pagina 6-13
•
Soluzione minaccia browser a pagina 6-13
Componenti antivirus
I componenti antivirus sono composti dai pattern, driver e motori seguenti:
6-2
•
Pattern antivirus a pagina 6-3
•
Motore di scansione virus a pagina 6-4
•
Driver scansione dei virus a pagina 6-5
•
Pattern IntelliTrap a pagina 6-6
Come mantenere la protezione aggiornata
•
Pattern eccezioni IntelliTrap a pagina 6-6
•
Pattern ispezione memoria a pagina 6-6
Pattern antivirus
Il pattern antivirus disponibile nell'dispositivo agente dipende dal metodo di scansione
utilizzato dall'agente. Per informazioni sui metodi di scansione, vedere Tipi di metodi di
scansione a pagina 7-8.
TABELLA 6-1. Pattern antivirus
METODO DI
SCANSIONE
Scansione
convenzionale
PATTERN IN USO
Il Pattern antivirus contiene informazioni che consentono a
OfficeScan di identificare i virus, le minacce informatiche e le minacce
di tipo misto più recenti. Trend Micro crea e distribuisce nuove versioni
del pattern antivirus diverse volte alla settimana e ogniqualvolta viene
scoperta una particolare minaccia.
Trend Micro consiglia di pianificare gli aggiornamenti automatici in
modo che vengano effettuati almeno ogni ora; questa è l'impostazione
predefinita per tutti i prodotti.
6-3
Guida per l'amministratore di OfficeScan™ 11.0
METODO DI
PATTERN IN USO
SCANSIONE
Smart Scan
Nella modalità Smart Scan gli agenti OfficeScan utilizzano due pattern
leggeri che vengono integrati per fornire lo stesso livello di protezione
dei pattern anti-malware e anti-spyware convenzionali.
Un'origine Smart Protection ospita lo Smart Scan Pattern. Questo
pattern viene aggiornato ogni ora e contiene la maggior parte delle
definizioni dei pattern. Questo pattern non viene scaricato dagli agenti
Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern
inviando query di scansione all'origine Smart Protection.
L'origine aggiornamenti dell'agente (il server OfficeScan oppure una
delle origini aggiornamenti personalizzate) ospita Smart Scan Agent
Pattern. Questo pattern viene aggiornato quotidianamente e contiene
tutte le altre definizioni dei pattern non disponibili in Smart Scan
Pattern. Gli agenti scaricano questo pattern dall'origine aggiornamenti
utilizzando gli stessi metodi di download degli altri componenti
OfficeScan.
Per ulteriori informazioni su Smart Scan Pattern e Smart Scan Agent
Pattern, vedere File Smart Protection Pattern a pagina 4-8.
Motore di scansione virus
Il motore di scansione rappresenta il fulcro dei prodotti Trend Micro e originariamente è
stato sviluppato in risposta ai primi virus degli dispositivo basati su file. Il motore di
scansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi di
Virus e minacce informatiche a pagina 7-2. Il motore di scansione inoltre rileva i virus
controllati sviluppati e utilizzati per la ricerca.
Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei pattern
collaborano per identificare gli elementi riportati di seguito:
•
Caratteristiche riconoscibili del codice del virus
•
La posizione precisa del virus all'interno del file
OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristina
l'integrità del file.
6-4
Come mantenere la protezione aggiornata
Aggiornamento del motore di scansione
Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su virus
o minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre al
minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la
protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove
versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti
circostanze:
•
Implementazione di nuove tecnologie di scansione e rilevamento all'interno del
software.
•
Scoperta di un nuovo virus potenzialmente molto dannoso che il motore di
scansione non è in grado di gestire
•
Miglioramento delle prestazioni di scansione
•
Aggiunta di formati di file, linguaggi per script, codifica e/o formati di
compressione
Driver scansione dei virus
Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Le
operazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di
un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sono
TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazione
in tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delle
operazioni degli utenti.
Nota
Questo componente non viene visualizzato nella console. Per verificare la versione in uso,
accedere a vCartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsante
destro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione.
6-5
Guida per l'amministratore di OfficeScan™ 11.0
Pattern IntelliTrap
Pattern IntelliTrap ( Per maggiori dettagli, consultare IntelliTrap a pagina E-7 ). Il
pattern rileva i file compressi in tempo reale impacchettati come file eseguibili.
Pattern eccezioni IntelliTrap
Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati".
Pattern ispezione memoria
La scansione in tempo reale utilizza il Pattern ispezione memoria per valutare i file
compressi eseguibili identificati dal monitoraggio del comportamento. La scansione in
tempo reale effettua nei file compressi eseguibili le seguenti azioni:
1.
Crea un file di mappatura nella memoria dopo aver verificato il percorso di
immagine del processo.
Nota
L'elenco di esclusione scansione sovrascrive la scansione del file.
2.
6-6
Invia l'ID di processo al Servizio di protezione avanzata che quindi:
a.
Usa il Motore di scansione virus per effettuare la scansione della memoria.
b.
Filtra il processo tramite gli elenchi Approvati globali per i file di sistema
Windows, i file con firma digitale da origini affidabili e i file sottoposti a test
da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non
esegue alcuna azione sul medesimo.
3.
Dopo aver elaborato la scansione della memoria, il Servizio di protezione avanzata
invia i risultati alla Scansione in tempo reale.
4.
La Scansione in tempo reale quindi mette in quarantena eventuali minacce
informatiche rilevate e interrompe il processo.
Come mantenere la protezione aggiornata
Componenti di Damage Cleanup Services
I componenti di Damage Cleanup Services sono composti dal motore e dal modello
seguenti.
•
Motore di disinfezione virus a pagina 6-7
•
Modello disinfezione virus a pagina 6-7
•
Driver Early Boot Clean a pagina 6-7
Motore di disinfezione virus
Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativi
processi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit.
Modello disinfezione virus
Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus per
individuare i file dei cavalli di Troia e i relativi processi per consentire al motore di
eliminarli.
Driver Early Boot Clean
Il driver Early Boot Clean di Trend Micro viene caricato prima dei driver del sistema
operativo, consentendo il rilevamento e il blocco dei rootkit di tipo boot. Dopo il
caricamento dell'agente OfficeScan, il driver Early Boot Clean di Trend Micro invoca
Damage Cleanup Services per disinfettare il rootkit.
Componenti anti-spyware
I componenti anti-spyware sono formati dal motore e dai pattern seguenti:
•
Pattern spyware a pagina 6-8
•
Motore di scansione spyware a pagina 6-8
6-7
Guida per l'amministratore di OfficeScan™ 11.0
•
Pattern di monitoraggio attivo spyware a pagina 6-8
Pattern spyware
Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli di
memoria, nel registro di Windows e nei collegamenti URL.
Motore di scansione spyware
Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata su
spyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit.
Pattern di monitoraggio attivo spyware
Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo reale
di spyware/grayware. Solo gli agenti con scansione convenzionale utilizzano questo
pattern.
Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern per la scansione in
tempo reale di spyware/grayware. Se non è possibile determinare il rischio della
destinazione della scansione, gli agenti inviano query di scansione a un'origine Smart
Protection.
Componenti firewall
I componenti Firewall sono composti dal pattern e dal driver seguenti:
•
Driver comune Firewall a pagina 6-8
•
Pattern comune firewall a pagina 6-9
Driver comune Firewall
Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire la
scansione dei computer agente per rilevare virus di rete. Questo driver supporta
piattaforme a 32 bit e a 64 bit.
6-8
Come mantenere la protezione aggiornata
Pattern comune firewall
Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuare
le impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus di
rete.
Componente di Reputazione Web
Il componente di reputazione Web è il Motore Filtro URL.
Motore Filtro URL
Il motore Filtro URL consente la comunicazione tra OfficeScan e il servizio di filtro
URL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL e
trasmette a OfficeScan le informazioni sulla valutazione.
Componenti monitoraggio del comportamento
I componenti del monitoraggio del comportamento sono composti dai pattern, driver e
servizi seguenti:
•
Pattern rilevamento monitoraggio del comportamento a pagina 6-9
•
Driver monitoraggio del comportamento a pagina 6-10
•
Servizio principale monitoraggio del comportamento a pagina 6-10
•
Pattern di configurazione monitoraggio del comportamento a pagina 6-10
•
Digital Signature Pattern a pagina 6-10
•
Pattern implementazione dei criteri a pagina 6-10
Pattern rilevamento monitoraggio del comportamento
Questo pattern contiene le regole per rilevare il comportamento relativo a minacce
sospette.
6-9
Guida per l'amministratore di OfficeScan™ 11.0
Driver monitoraggio del comportamento
Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principale
monitoraggio del comportamento per implementare i criteri.
Servizio principale monitoraggio del comportamento
Questo servizio in modalità utente ha le seguenti funzioni:
•
Rileva rootkit
•
Regola l'accesso ai dispositivi esterni
•
Protegge file, chiavi di registro e servizi
Pattern di configurazione monitoraggio del comportamento
Driver monitoraggio del comportamento utilizza questo pattern per individuare gli
eventi di sistema normali ed escluderli dall'implementazione dei criteri.
Digital Signature Pattern
Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principale
monitoraggio del comportamento per determinare se un programma responsabile di un
evento di sistema è sicuro.
Pattern implementazione dei criteri
Servizio principale monitoraggio del comportamento controlla gli eventi di sistema
rispetto ai criteri contenuti in questo pattern.
Pattern avvio scansione memoria
Monitoraggio del comportamento utilizza il Pattern avvio scansione memoria per
identificare possibili minacce dopo il rilevamento delle seguenti operazioni:
•
6-10
Azione di scrittura del file
Come mantenere la protezione aggiornata
•
Azione di scrittura del registro
•
Creazione di un nuovo processo
Dopo aver identificato una di queste operazioni, Monitoraggio del comportamento
richiama il Pattern ispezione memoria della Scansione in tempo reale per verificare i
rischi per la sicurezza.
Per ulteriori informazioni sulle operazioni di scansione in tempo reale, consultare Pattern
ispezione memoria a pagina 6-6.
Programmi
OfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti:
•
Programma agente OfficeScan a pagina 6-11
•
Hot fix, patch e service pack a pagina 6-11
Programma agente OfficeScan
Il programma agente OfficeScan fornisce una protezione reale contro i rischi per la
sicurezza.
Hot fix, patch e service pack
Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch e
service pack come quelli riportati di seguito per risolvere problemi, migliorare le
prestazioni del prodotto oppure aggiungere nuove funzioni.
•
Hot Fix a pagina E-5
•
Patch a pagina E-10
•
Patch di protezione a pagina E-11
•
Service Pack a pagina E-12
6-11
Guida per l'amministratore di OfficeScan™ 11.0
Quando questi elementi vengono resi disponibili, l'utente viene informato dal
rivenditore o dal fornitore dell'assistenza. Per informazioni sul rilascio di hot fix, patch e
service pack, consultare il sito Web di Trend Micro:
http://downloadcenter.trendmicro.com/index.php?regs=it
Tutte le release includono un file readme che contiene informazioni su installazione,
implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamente
il file readme.
Cronologia hot fix e patch
Quando il server OfficeScan implementa file di hot fix o patch negli agenti OfficeScan, il
programma agente OfficeScan registra le informazioni su hot fix e patch nell'editor del
Registro di sistema. È possibile inviare una query su queste informazioni a più agenti
utilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™.
Nota
Questa funzione non registra hot fix e patch implementate solo nel server.
Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1.
•
Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1
con patch 3.1 o versioni successive registrano le hot fix e le patch installate per la
versione 8.0 e le versioni successive.
•
Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti alla
versione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installate
per la versione 10.0 e successive.
Le informazioni sono memorizzate nelle chiavi riportate di seguito:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\
CurrentVersion\HotfixHistory\<Product version>
•
Per computer con piattaforme di tipo x64:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PCcillinNTCorp\CurrentVersion\HotfixHistory\<Product version>
6-12
Come mantenere la protezione aggiornata
Controllare le chiavi riportate di seguito:
•
Chiave: HotFix_installed
Tipo: REG_SZ
Valore: <Nome di hot fix o patch>
•
Chiave: HotfixInstalledNum
Tipo: DWORD
Valore: <Numero di hot fix o patch>
Componenti Connessioni sospette
I componenti di Connessioni sospette sono composti dal modello e dall'elenco seguenti:
•
Elenco IP C&C globale a pagina 6-13
•
Pattern regola di pertinenza a pagina 6-13
Elenco IP C&C globale
L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network
Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C noti.
Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete.
Per la valutazione, OfficeScan registra tutte le informazioni di connessione ai server
nell'elenco IP C&C globale.
Pattern regola di pertinenza
Il servizio Connessioni sospette usa il Pattern regola di pertinenza per individuare per
rilevare firme di famiglie di minacce uniche nelle intestazioni nei pacchetti di rete.
Soluzione minaccia browser
La Soluzione minaccia browser è composta da due modelli:
6-13
Guida per l'amministratore di OfficeScan™ 11.0
•
Pattern prevenzione minaccia browser a pagina 6-14
•
Pattern Script Analyzer a pagina 6-14
Pattern prevenzione minaccia browser
Il pattern identifica le vulnerabilità più recenti del browser Web e impedisce l'uso di tali
vulnerabilità per compromettere il browser Web.
Pattern Script Analyzer
Il pattern analizza gli script delle pagine Web e identifica gli script dannosi.
Panoramica sugli aggiornamenti
Tutti gli aggiornamenti dei componenti provengono dal server Trend Micro
ActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le
origini Smart Protection (Smart Protection Server o Smart Protection Network)
scaricano i componenti aggiornati. I download delle origini Smart Protection e del server
OfficeScan non si sovrappongono in quanto ciascun server scarica un insieme di
componenti specifico.
Nota
È possibile configurare sia il server OfficeScan che Smart Protection Server in modo che
eseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. A
tale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per la
configurazione di questa origine di aggiornamento, contattare l'assistenza tecnica.
Aggiornamento dell'agente OfficeScan e server
OfficeScan
Il server OfficeScan scarica la maggior parte dei componenti necessari all'agente. L'unico
componente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini Smart
Protection.
6-14
Come mantenere la protezione aggiornata
Se un server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamento
potrebbe utilizzare una grande quantità di risorse del computer server e influire sulla
stabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScan
dispone della funzione Update Agent che consente ad alcuni agenti di condividere
l'attività di distribuzione degli aggiornamenti agli altri agenti.
La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento dei
componenti per gli agenti e per il server OfficeScan, con consigli per l'utilizzo:
TABELLA 6-2. Opzioni di aggiornamento server-agente
OPZIONE DI
AGGIORNAMENTO
DESCRIZIONE
RACCOMANDAZIONE
Server
ActiveUpdate >
Server > Agente
Il server OfficeScan riceve i
componenti aggiornati dal
server ActiveUpdate di Trend
Micro (o da un'altra origine
aggiornamenti) e avvia
l'aggiornamento dei
componenti sugli agenti.
Utilizzare questo metodo se non ci
sono sezioni di larghezza di banda
ridotta tra il server OfficeScan e gli
agenti.
Server
ActiveUpdate >
Server > Update
Agent > Agente
Il server OfficeScan riceve i
componenti aggiornati dal
server ActiveUpdate (o da
un'altra origine
aggiornamenti) e avvia
l'aggiornamento dei
componenti sugli agenti. Gli
agenti designati come
Update Agent segnalano agli
altri agenti di aggiornare i
componenti.
Se ci sono sezioni ad larghezza di
banda ridotta tra il server
OfficeScan e gli agenti, utilizzare
questo metodo per bilanciare il
carico del traffico nella rete.
6-15
Guida per l'amministratore di OfficeScan™ 11.0
OPZIONE DI
AGGIORNAMENTO
Server
ActiveUpdate >
Update Agent >
Agente
Server
ActiveUpdate >
Agente
DESCRIZIONE
Gli Update Agent ricevono i
componenti aggiornati
direttamente dal server
ActiveUpdate (o da un'altra
origine aggiornamenti) e
segnalano agli agenti di
aggiornare i componenti.
Gli agenti OfficeScan
ricevono i componenti
aggiornati direttamente dal
server ActiveUpdate (o da
un'altra origine
aggiornamenti).
RACCOMANDAZIONE
Utilizzare questo metodo solo se si
verificano problemi con
l'aggiornamento di Update Agent
dal server OfficeScan o da un altro
Update Agent.
Nella maggior parte dei casi, gli
Update Agent ricevono gli
aggiornamenti più velocemente dal
server OfficeScan o da altri Update
Agent, piuttosto che da un'origine di
aggiornamenti esterna.
Utilizzare questo metodo solo se si
verificano problemi con
l'aggiornamento degli agenti dal
server OfficeScan o da altri Update
Agent.
Nella maggior parte dei casi, gli
agenti ricevono gli aggiornamenti
più velocemente dal server
OfficeScan o dagli Update Agent,
rispetto a un'origine aggiornamenti
esterna.
Aggiornamento dell'origine Smart Protection
Un'origine Smart Protection (Smart Protection Server o Smart Protection Network)
scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti Smart
Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di
scansione all'origine Smart Protection.
Nota
Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini Smart
Protection.
6-16
Come mantenere la protezione aggiornata
Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle origini
Smart Protection.
TABELLA 6-3. Processo di aggiornamento delle origini Smart Protection
PROCESSO DI
DESCRIZIONE
AGGIORNAMENTO
Server ActiveUpdate
> Smart Protection
Network
Trend Micro Smart Protection Network riceve gli aggiornamenti
dal server ActiveUpdate di Trend Micro. Gli agenti Smart Scan
che non sono connessi alla rete aziendale inviano query a
Trend Micro Smart Protection Network.
Server ActiveUpdate
> Smart Protection
Server
Smart Protection Server (integrato o standalone) riceve gli
aggiornamenti dal server ActiveUpdate di Trend Micro. Gli
agenti Smart Protection connessi alla rete aziendale inviano
query a Smart Protection Server.
Smart Protection
Network > Smart
Protection Server
Smart Protection Server (integrato o standalone) riceve gli
aggiornamenti da Trend Micro Smart Protection Network. Gli
agenti Smart Protection connessi alla rete aziendale inviano
query a Smart Protection Server.
Aggiornamenti server OfficeScan
Il server OfficeScan scarica i componenti riportati di seguito e li implementa negli agenti:
TABELLA 6-4. Componenti scaricati dal server OfficeScan
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
AGENTI SMART SCAN
Antivirus
Smart Scan Agent Pattern
No
Sì
Pattern dei virus
Sì
No
Pattern IntelliTrap
Sì
Sì
6-17
Guida per l'amministratore di OfficeScan™ 11.0
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
AGENTI SMART SCAN
Pattern eccezioni IntelliTrap
Sì
Sì
Pattern ispezione memoria
Sì
Sì
Motore di scansione virus (32 bit)
Sì
Sì
Motore di scansione virus (64 bit)
Sì
Sì
Pattern spyware
Sì
Sì
Pattern di monitoraggio attivo
spyware
Sì
No
Motore di scansione spyware (32 bit)
Sì
Sì
Motore di scansione spyware (64 bit)
Sì
Sì
Modello disinfezione virus
Sì
Sì
Motore di disinfezione virus (32-bit)
Sì
Sì
Motore di disinfezione virus (64-bit)
Sì
Sì
Driver Early Boot Clean (32 bit)
Sì
Sì
Driver Early Boot Clean (32 bit)
Sì
Sì
Sì
Sì
Anti-spyware
Damage Cleanup Services
Firewall
Pattern comune firewall
Componenti monitoraggio del comportamento
Pattern rilevamento monitoraggio del
comportamento (32 bit)
6-18
Sì
Sì
Come mantenere la protezione aggiornata
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
AGENTI SMART SCAN
Driver monitoraggio del
comportamento a 32 bit
Sì
Sì
Servizio principale monitoraggio del
comportamento (32 bit)
Sì
Sì
Pattern rilevamento monitoraggio del
comportamento (64 bit)
Sì
Sì
Driver monitoraggio del
comportamento a 64 bit
Sì
Sì
Servizio principale monitoraggio del
comportamento (64 bit)
Sì
Sì
Pattern di configurazione
monitoraggio del comportamento
Sì
Sì
Pattern implementazione dei criteri
Sì
Sì
Digital Signature Pattern
Sì
Sì
Pattern avvio scansione memoria (32
bit)
Sì
Sì
Pattern avvio scansione memoria (64
bit)
Sì
Sì
Elenco IP C&C globale
Sì
Sì
Pattern regola di pertinenza
Sì
Sì
Pattern prevenzione minaccia
browser
Sì
Sì
Pattern Script Analyzer
Sì
Sì
Servizio di avvisi contatti C&C
Soluzione minaccia browser
6-19
Guida per l'amministratore di OfficeScan™ 11.0
Suggerimenti e promemoria per gli aggiornamenti:
•
Per consentire al server di implementare i componenti aggiornati sugli agenti,
attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti
automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è
disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti.
•
Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamenti
direttamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puro
non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri.
Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti, è
necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come
ad esempio DeleGate.
•
Trend Micro rilascia regolarmente i file di pattern, in modo da mantenere
aggiornata la protezione dell'agente. Poiché i file di pattern sono disponibili
regolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione dei
componenti che consente un download più rapido dei file di pattern. Consultare
Duplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori informazioni.
•
Se per il collegamento a Internet si utilizza un server proxy, utilizzare le
impostazioni proxy corrette per il download degli aggiornamenti.
•
Nella dashboard della console Web, aggiungere il widget Aggiornamenti agente
per visualizzare le versioni correnti dei componenti e determinare il numero di
agenti con componenti aggiornati e obsoleti.
Origini aggiornamenti del server OfficeScan
Configurare il server OfficeScan per scaricare i componenti dal server Active Update di
Trend Micro o da un'altra origine. È possibile specificare un'altra origine se il server
OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per uno
scenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-26.
Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamente
notificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delle
impostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico.
Se l'aggiornamento di un componente è particolarmente importante, fare in modo che il
server invii la notifica agli agenti immediatamente accedendo a Aggiornamenti >
Agenti > Aggiornamento manuale.
6-20
Come mantenere la protezione aggiornata
Nota
Se non vengono specificate impostazioni di aggiornamento attivate da eventi né una
pianificazione delle impostazioni all'interno di Aggiornamenti > Agenti >
Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà la
notifica agli agenti affinché effettuino l'aggiornamento.
Supporto IPv6 per gli aggiornamenti del server OfficeScan
Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamento
direttamente da origini IPv4 pure, come:
•
Server ActiveUpdate di Trend Micro
•
Qualsiasi origine aggiornamenti personalizzata IPv4 pura
Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguire
l'aggiornamento direttamente da origini personalizzate IPv6 pure.
Per consentire a un server di connettersi alle origini aggiornamenti, è necessario un
server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio
DeleGate.
Proxy per gli aggiornamenti del server OfficeScan
Configurare i programmi server ospitati nel computer server per utilizzare le
impostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di
Trend Micro. I programmi server comprendono il server OfficeScan e Integrated Smart
Protection Server.
Configurazione delle impostazioni proxy
Procedura
1.
Accedere a Amministrazione > Impostazioni > Proxy.
2.
Fare clic sulla scheda Proxy esterno.
3.
Andare alla sezione Aggiornamenti del computer server OfficeScan.
6-21
Guida per l'amministratore di OfficeScan™ 11.0
4.
Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motore
e licenza.
5.
Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero di
porta.
6.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la password.
7.
Fare clic su Salva.
Configurazione della fonte di aggiornamento server
Procedura
1.
Accedere a Aggiornamenti > Server > Origine aggiornamenti.
2.
Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti.
Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessione
a Internet e, se si utilizza un server proxy, provare se la connessione a Internet è
disponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gli
aggiornamenti del server OfficeScan a pagina 6-21.
Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le
risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi,
inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni.
Per ottenere supporto per la configurazione di un'origine di aggiornamento,
contattare l'assistenza tecnica.
Nota
Il server OfficeScan utilizza la duplicazione dei componenti per scaricare i
componenti dall'origine di aggiornamento. Per informazioni, vedere Duplicazione dei
componenti server OfficeScan a pagina 6-23.
3.
6-22
Fare clic su Salva.
Come mantenere la protezione aggiornata
Duplicazione dei componenti server OfficeScan
Quando la versione più recente di un file di pattern completo è disponibile per il
download dal server Trend Micro ActiveUpdate, sono disponibili anche 14 pattern
incrementali. I pattern incrementali sono versioni ridotte del file di pattern completo che
colmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti.
Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175
contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (la
versione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto i
numeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175
contiene i dati presenti nella versione 175 e non presenti nella versione 171.
Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScan
esegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti in
cui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Per
informazioni sul modo in cui gli Update Agent eseguono la duplicazione dei
componenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-64.
La duplicazione dei componenti si applica ai seguenti componenti:
•
Pattern dei virus
•
Smart Scan Agent Pattern
•
Modello disinfezione virus
•
Pattern eccezioni IntelliTrap
•
Pattern spyware
•
Pattern di monitoraggio attivo spyware
Scenario di duplicazione dei componenti
Per comprendere la duplicazione dei componenti per il server, considerare il seguente
scenario:
6-23
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 6-5. Scenario di duplicazione dei componenti del server
Pattern
completi sul
server
OfficeScan
Versione più
recente sul
server
ActiveUpdate
1.
Versione attuale: 171
Altre versioni disponibili:
169
167
165
161
159
173.175
171.175
169.175
167.175
165.175
163.175
161.175
159.175
157.175
155.175
153.175
151.175
149.175
147.175
Il server OfficeScan confronta la versione attuale del pattern completo con la
versione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è
al massimo 14, il server scarica solo il pattern incrementale per colmare la
differenza tra le due versioni.
Nota
Se la differenza è superiore a 14, il server scarica automaticamente la versione
completa del file di pattern e 14 pattern incrementali.
Esempio:
2.
•
La differenza tra le versioni 171 e 175 è 2. Questo significa che il server non
dispone delle versioni 173 e 175.
•
Il server scarica il pattern incrementale 171.175. Questo pattern incrementale
colma la differenza tra le versioni 171 e 175.
Il server integra il pattern incrementale con il pattern completo corrente per
generare il pattern completo più recente.
Esempio:
6-24
•
Sul server, OfficeScan integra la versione 171 con il pattern incrementale
171.175 per generare la versione 175.
•
Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente
(versione 175).
Come mantenere la protezione aggiornata
3.
Il server genera pattern incrementali sulla base degli altri pattern completi
disponibili sul server. Se il server non genera questi pattern incrementali, gli agenti
che non hanno scaricato i pattern incrementali precedenti, scaricano
automaticamente il file di pattern completo, che genererà poi ulteriore traffico di
rete.
Esempio:
•
Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, può
generare i seguenti pattern incrementali:
169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
Il server non deve utilizzare la versione 171 perché dispone già del pattern
incrementale 171.175.
•
Ora il server dispone di 7 pattern incrementali:
171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
4.
Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169,
167, 165, 163, 161). Le versioni precedenti vengono rimosse (159).
Il server confronta i pattern incrementali correnti con i pattern incrementali
disponibili sul server ActiveUpdate. Il server scarica i pattern incrementali non
presenti.
Esempio:
•
Il server ActiveUpdate ha 14 pattern incrementali:
173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,
157.175, 155.175, 153.175, 151.175, 149.175, 147.175
•
Il server OfficeScan ha 7 pattern incrementali:
171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175
•
Il server OfficeScan scarica altri 7 pattern incrementali:
173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175
•
Ora il server dispone di tutti i pattern incrementali disponibili sul server
ActiveUpdate.
6-25
Guida per l'amministratore di OfficeScan™ 11.0
5.
Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili per
gli agenti.
Aggiornamenti server OfficeScan isolato
Se il server OfficeScan appartiene a una rete completamente isolata da tutte le origini
esterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguire
l'aggiornamento da un'origine interna che contiene i componenti più recenti.
In questo argomento vengono descritte le operazioni necessarie per eseguire
l'aggiornamento di un server OfficeScan isolato.
Aggiornamento di un server OfficeScan isolato
Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte le
operazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggi
dettagliati di ciascuna operazione.
Procedura
1.
2.
6-26
Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager o
un'altra macchina host. L'origine aggiornamenti deve disporre di:
•
Una connessione Internet in modo da poter per scaricare i componenti più
recenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet,
il solo modo per ottenere i componenti aggiornati necessari le origini
aggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelle
origini aggiornamenti.
•
Una connessione funzionante con il server OfficeScan. Se tra il server
OfficeScan e le origini aggiornamenti esiste un server proxy, configurare le
impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server
OfficeScan a pagina 6-21.
•
Spazio su disco sufficiente per i componenti scaricati
Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli,
consultare Origini aggiornamenti del server OfficeScan a pagina 6-20.
Come mantenere la protezione aggiornata
3.
Identificare i componenti che il server implementa per gli agenti. Per un elenco dei
componenti implementabili, vedere Aggiornamenti agente OfficeScan a pagina 6-30.
Suggerimento
Per provare a determinare se un componente viene implementato sugli agenti,
accedere alla schermata Riepilogo aggiornamento nella console Web
(Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamento
per un componente che viene implementato è sempre maggiore dello 0%.
4.
Determinare la frequenza di scaricamento dei componenti. I file di pattern
vengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia di
aggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenza
tecnica di notificare gli aggiornamenti importanti.
5.
Su un'origine aggiornamenti:
a.
Effettuare la connessione al server ActiveUpdate. L'URL del server varia in
base alla versione OfficeScan.
b.
Scaricare i seguenti elementi:
c.
•
Il file server.ini. Questo file contiene informazioni sui componenti
più recenti.
•
I componenti identificati nel passaggio 3.
Salvare gli elementi scaricati in una directory dell'origine aggiornamenti.
6.
Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultare
Aggiornamento manuale del server OfficeScan a pagina 6-28.
7.
Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare i
componenti.
Metodi di aggiornamento del server OfficeScan
I componenti del server OfficeScan possono essere aggiornati manualmente oppure
configurando una pianificazione di aggiornamento.
6-27
Guida per l'amministratore di OfficeScan™ 11.0
Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare
l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici
dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il
server scarica gli aggiornamenti ma non li implementa negli agenti.
I metodi aggiornamento includono:
•
Aggiornamento server manuale: Quando un aggiornamento è importante,
eseguire l'aggiornamento manuale in modo che il server possa ottenere gli
aggiornamenti immediatamente. Per informazioni, vedere Aggiornamento manuale del
server OfficeScan a pagina 6-28.
•
Aggiornamento server pianificato: Il server OfficeScan si connette all'origine di
aggiornamento nella data e orario pianificati per ottenere i componenti più recenti.
Per informazioni, vedere Pianificazione aggiornamenti per il server OfficeScan a pagina
6-28.
Aggiornamento manuale del server OfficeScan
Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato o
aggiornato il server e quando si verifica un'infezione.
Procedura
1.
Avviare un aggiornamento manuale tramite:
•
Accesso a Aggiornamenti > Server > Aggiornamento manuale.
•
Selezione di Aggiorna server ora nel menu principale della console Web.
2.
Selezionare i componenti da aggiornare.
3.
Fare clic su Aggiorna.
Il server scarica i componenti aggiornati.
Pianificazione aggiornamenti per il server OfficeScan
Configurare il server OfficeScan affinché controlli con regolarità l'origine di
aggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di
6-28
Come mantenere la protezione aggiornata
norma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è un
modo semplice ed efficace per assicurare una protezione continua contro i rischi per la
sicurezza.
Procedura
1.
Accedere a Aggiornamenti > Server > Aggiornamento pianificato.
2.
Selezionare Attiva aggiornamento pianificato del server OfficeScan.
3.
Selezionare i componenti da aggiornare.
4.
Specificare la pianificazione dell'aggiornamento.
Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica il
numero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti di
OfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallo
temporale.
5.
Fare clic su Salva.
Registri di aggiornamento del server OfficeScan
Verificare i registri di aggiornamento del server per determinare se esistono dei problemi
di aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti dei
componenti del server OfficeScan.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di aggiornamento
Procedura
1.
Accedere a Registri > Aggiornamento server.
6-29
Guida per l'amministratore di OfficeScan™ 11.0
2.
Controllare la colonna Risultato per verificare se alcuni componenti non sono stati
aggiornati.
3.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Aggiornamenti di Integrated Smart Protection
Server
Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern e
l'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e come
aggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-20.
Aggiornamenti agente OfficeScan
Per garantire la continua protezione degli agenti contro i più recenti rischi per la
sicurezza, è necessario aggiornare regolarmente i componenti dell'agente.
Prima di aggiornare gli agenti, verificare che la loro origine aggiornamenti (server
OfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti più
recenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamenti
server OfficeScan a pagina 6-17.
La seguente tabella comprende un elenco di tutti i componenti implementati dalle origini
aggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo di
scansione.
TABELLA 6-6. Componenti OfficeScan implementati sugli agenti
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
Antivirus
6-30
AGENTI SMART SCAN
Come mantenere la protezione aggiornata
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
AGENTI SMART SCAN
Smart Scan Agent Pattern
No
Sì
Pattern dei virus
Sì
No
Pattern IntelliTrap
Sì
Sì
Pattern eccezioni IntelliTrap
Sì
Sì
Motore di scansione virus (32 bit)
Sì
Sì
Motore di scansione virus (64 bit)
Sì
Sì
Pattern ispezione memoria
Sì
Sì
Pattern spyware/grayware
Sì
Sì
Pattern di monitoraggio attivo
spyware
Sì
No
Motore di scansione spyware/
grayware (32 bit)
Sì
Sì
Motore di scansione spyware/
grayware (64 bit)
Sì
Sì
Modello Damage Cleanup
Sì
Sì
Motore Damage Cleanup (32 bit)
Sì
Sì
Motore Damage Cleanup (64 bit)
Sì
Sì
Driver Early Boot Clean (32 bit)
Sì
Sì
Driver Early Boot Clean (64 bit)
Sì
Sì
Anti-spyware
Damage Cleanup Services
Servizi di reputazione Web
6-31
Guida per l'amministratore di OfficeScan™ 11.0
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
Motore Filtro URL
AGENTI SMART SCAN
Sì
Sì
Pattern di firewall
Sì
Sì
Driver per firewall (32 bit)
Sì
Sì
Driver per firewall (64 bit)
Sì
Sì
Firewall
Componenti monitoraggio del comportamento
6-32
Pattern rilevamento monitoraggio del
comportamento (32 bit)
Sì
Sì
Driver principale monitoraggio del
comportamento (32 bit)
Sì
Sì
Servizio principale monitoraggio del
comportamento (32 bit)
Sì
Sì
Pattern rilevamento monitoraggio del
comportamento (64 bit)
Sì
Sì
Driver principale monitoraggio del
comportamento (64 bit)
Sì
Sì
Servizio principale monitoraggio del
comportamento (64 bit)
Sì
Sì
Pattern di configurazione
monitoraggio del comportamento
Sì
Sì
Pattern implementazione dei criteri
Sì
Sì
Digital Signature Pattern
Sì
Sì
Pattern avvio scansione memoria (32
bit)
Sì
Sì
Come mantenere la protezione aggiornata
DISTRIBUZIONE
COMPONENTE
AGENTI SCANSIONE
CONVENZIONALE
Pattern avvio scansione memoria (64
bit)
AGENTI SMART SCAN
Sì
Sì
Elenco IP C&C globale
Sì
Sì
Pattern regola di pertinenza
Sì
Sì
Pattern prevenzione minaccia
browser
Sì
Sì
Pattern Script Analyzer
Sì
Sì
Connessioni sospette
Vulnerabilità browser
Origini aggiornamenti dell'agente OfficeScan
Gli agenti possono ottenere gli aggiornamenti dalle origini aggiornamenti standard
(server OfficeScan) o componenti specifici dalle origini aggiornamenti personalizzate,
come il server ActiveUpdate di Trend Micro. Per ulteriori dettagli, vedere Origine
aggiornamenti standard per gli agenti OfficeScan a pagina 6-34 e Origini aggiornamenti
personalizzate per gli agenti OfficeScan a pagina 6-35.
Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalle
origini aggiornamenti IPv4 pure, come:
•
Un server OfficeScan IPv4 puro
•
Un Update Agent IPv4 puro
•
Qualsiasi origine aggiornamenti personalizzata IPv4 pura
•
Server ActiveUpdate di Trend Micro
6-33
Guida per l'amministratore di OfficeScan™ 11.0
Analogamente, un agente IPv4 puro non è in grado di eseguire direttamente
l'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6
puro o un Update Agent.
Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un server
proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate.
Origine aggiornamenti standard per gli agenti OfficeScan
Il server OfficeScan server è l'origine aggiornamenti standard per gli agenti.
Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup e
quindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado di
raggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usare
questo strumento per creare un pacchetto con i componenti più recenti disponibili sul
server, quindi eseguire il pacchetto sugli agenti.
Nota
L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione al
server OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti
agente, vedere Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-33.
Configurazione dell'origine aggiornamenti standard per gli agenti
OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.
2.
Selezionare Origini di aggiornamento standard (aggiorna dal server
OfficeScan).
3.
Fare clic su Invia una notifica tutti gli agenti.
6-34
Come mantenere la protezione aggiornata
Processo di aggiornamento dell'agente OfficeScan
Nota
In questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan.
Il processo di aggiornamento per gli Update Agent è trattato in Origine aggiornamenti standard
per gli agenti OfficeScan a pagina 6-34.
Se gli agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamente
dal server OfficeScan, il processo di aggiornamento è il seguente:
1.
L'agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan.
2.
Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'agente tenta
di connettersi direttamente al server ActiveUpdate di Trend Micro se l'opzione Gli
agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di
Trend Micro è attivata in Agenti > Gestione agente, fare clic sulla scheda
Impostazioni > Privilegi e altre impostazioni > Altre impostazioni >
Impostazioni di aggiornamento.
Nota
È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile
scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server
OfficeScan o dagli Update Agent. Per rendere più rapido il processo di
aggiornamento, configurare gli agenti OfficeScan in modo che dal server
ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni,
consultare Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan a pagina 6-40.
Origini aggiornamenti personalizzate per gli agenti
OfficeScan
Oltre che dal server OfficeScan, gli agenti OfficeScan possono eseguire l'aggiornamento
dalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzate
contribuiscono a ridurre il traffico degli aggiornamenti dell'agente OfficeScan diretto al
server OfficeScan e consentono agli agenti OfficeScan che non riescono a connettersi al
server OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le origini
di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate,
che può contenere fino a 1024 origini di aggiornamento.
6-35
Guida per l'amministratore di OfficeScan™ 11.0
Suggerimento
Trend Micro consiglia di assegnare alcuni agenti OfficeScan come Update Agent e poi
aggiungerli all'elenco.
Configurazione delle origini aggiornamenti personalizzate per gli
agenti OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.
2.
Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi.
3.
Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile
immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.
4.
Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent se
è stato assegnato oppure digitare l'URL di un'origine specifica.
Nota
Accertarsi che gli agenti OfficeScan siano in grado di connettersi all'origine
aggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato
un intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4.
Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamenti
deve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gli
aggiornamenti agente, vedere Origini aggiornamenti dell'agente OfficeScan a pagina 6-33.
5.
Fare clic su Salva.
6.
Eseguire operazioni varie nella schermata.
a.
Selezionare una delle impostazioni riportate di seguito. Per ulteriori
informazioni sul funzionamento di queste impostazioni, vedere Processo di
aggiornamento dell'agente OfficeScan a pagina 6-35.
•
6-36
Gli Update Agent aggiornano componenti, impostazioni di
dominio, programmi agente e hot fix solo dal server OfficeScan
Come mantenere la protezione aggiornata
•
7.
Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan
se tutte le origini personalizzate non sono disponibili o non sono state
trovate:
•
Componenti
•
Impostazioni dominio
•
Programmi agenti OfficeScan e hot fix
b.
Se come origine è stato specificato almeno un Update Agent, fare clic su
Segnalazione analitica di Update Agent per generare una segnalazione che
evidenzi lo stato di aggiornamento degli agenti. Per ulteriori informazioni sulla
segnalazione, vedere Segnalazione analitica di Update Agent a pagina 6-66.
c.
Modificare un'origine aggiornamenti facendo clic sul collegamento
dell'intervallo di indirizzi IP. Modificare le impostazioni nella schermata
visualizzata e fare clic su Salva.
d.
Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella di
controllo e facendo clic su Elimina.
e.
Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. È
possibile spostare solo un'origine per volta.
Fare clic su Invia una notifica tutti gli agenti.
Processo di aggiornamento dell'agente OfficeScan
Nota
In questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan.
Il processo di aggiornamento per gli Update Agent è trattato in Origini aggiornamenti
personalizzate per gli Update Agent a pagina 6-62.
Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, il
processo di aggiornamento prosegue come riportato di seguito:
1.
L'agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco.
6-37
Guida per l'amministratore di OfficeScan™ 11.0
2.
Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'agente
OfficeScan utilizza la seconda voce e così via.
3.
Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'agente
OfficeScan controlla le impostazioni seguenti nella schermata Origine
aggiornamenti:
TABELLA 6-7. Altre impostazioni per le origini aggiornamenti personalizzate
IMPOSTAZIONE
Gli Update Agent
aggiornano componenti,
impostazioni di dominio,
programmi agente e hot
fix solo dal server
OfficeScan
DESCRIZIONE
Se tale impostazione è attivata, gli Update Agent
eseguono l'aggiornamento direttamente dal server
OfficeScan e ignorano Elenco origini di aggiornamento
personalizzate.
Se disattivata, gli Update Agent applicano le
impostazioni di origine aggiornamenti personalizzata
configurate per gli agenti normali.
Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le
origini personalizzate non sono disponibili o non sono state trovate:
6-38
Come mantenere la protezione aggiornata
IMPOSTAZIONE
Componenti
DESCRIZIONE
Se questa opzione è attivata, l'agente esegue
l'aggiornamento dei componenti dal server OfficeScan.
Se l'opzione è disattivata, l'agente tenta di connettersi
direttamente al server ActiveUpdate di Trend Micro se si
verifica una delle seguenti condizioni:
•
In Agenti > Gestione agente, fare clic sulla scheda
Impostazioni > Privilegi e altre impostazioni >
Altre impostazioni > Aggiorna impostazioni,
l'opzione Gli agenti OfficeScan scaricano gli
aggiornamenti dal server ActiveUpdate di Trend
Micro è attivata.
•
Il server ActiveUpdate non è incluso nell'Elenco
origini aggiornamento personalizzate.
Nota
È possibile aggiornare solo i componenti dal
server ActiveUpdate. È possibile scaricare i
programmi, le hot fix e le impostazioni del dominio
solo dal server OfficeScan o dagli Update Agent.
Per rendere più rapido il processo di
aggiornamento, configurare gli agenti in modo che
dal server ActiveUpdate vengano scaricati solo i
file di pattern. Per ulteriori informazioni, consultare
Server ActiveUpdate come origine aggiornamenti
dell'agente OfficeScan a pagina 6-40.
4.
Impostazioni dominio
Se questa opzione è attivata, l'agente esegue
l'aggiornamento delle impostazioni a livello di dominio
dal server OfficeScan.
Programmi agenti
OfficeScan e hot fix
Se questa impostazione è attivata, l'agente aggiorna i
programmi e le hot fix dal server OfficeScan.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agente
interrompe il processo di aggiornamento.
6-39
Guida per l'amministratore di OfficeScan™ 11.0
Server ActiveUpdate come origine aggiornamenti
dell'agente OfficeScan
Quando gli agenti OfficeScan sono configurati per scaricare gli aggiornamenti
direttamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di
pattern per ridurre la larghezza di banda utilizzata durante gli aggiornamenti e rendere
più rapido il processo di aggiornamento.
I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenza
dei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern.
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server
ActiveUpdate di Trend Micro. Per consentire agli agenti OfficeScan di connettersi al
server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli
indirizzi IP, come ad esempio DeleGate.
Limitazione dei download dal server ActiveUpdate
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione Aggiornamenti.
3.
Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gli
aggiornamenti.
Metodi di aggiornamento dell'agente OfficeScan
Gli agenti OfficeScan che eseguono l'aggiornamento dei componenti dal server
OfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno dei
metodi di aggiornamento riportati di seguito:
•
Aggiornamenti automatici: L'aggiornamento degli agenti viene eseguito
automaticamente quando si verificano alcuni eventi o in base a una pianificazione.
Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41.
•
Aggiornamento manuale: Quando un aggiornamento è importante, utilizzare
l'aggiornamento manuale per notificare immediatamente agli agenti di eseguire
6-40
Come mantenere la protezione aggiornata
l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manuali
agente OfficeScan a pagina 6-47.
•
Aggiornamenti basati su privilegi: Gli utenti con privilegi di aggiornamento
hanno maggiore controllo sulla modalità di aggiornamento dell'agente OfficeScan
nei propri computer. Per i dettagli, consultare Configurazione dei privilegi di
aggiornamento e altre impostazioni a pagina 6-49.
Aggiornamenti automatici dell'agente OfficeScan
La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agli
agenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti.
Nel corso dell'aggiornamento automatico, oltre ai componenti, gli aggiornamenti
OfficeScan ricevono anche dei file di configurazione aggiornati. Gli agenti necessitano di
tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si
modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati
anche i file di configurazione. Per specificare la frequenza in base alla quale i file di
configurazione vengono applicati agli agenti, vedere il punto 3 Configurazione degli
aggiornamenti automatici dell'agente OfficeScan a pagina 6-43.
Nota
È possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corso
dell'aggiornamento automatico. Per informazioni, vedere Proxy per gli aggiornamenti dei
componenti dell'agente OfficeScan a pagina 6-52.
Esistono due tipi di aggiornamenti automatici:
•
Aggiornamenti provocati da un evento a pagina 6-41
•
Aggiornamenti pianificati a pagina 6-43
Aggiornamenti provocati da un evento
Il server può notificare agli agenti online di effettuare l'aggiornamento dei componenti
dopo aver effettuato il download di quelli più recenti e notificare agli agenti offline di
effettuare l'aggiornamento quando avranno ristabilito la connessione con il server.
6-41
Guida per l'amministratore di OfficeScan™ 11.0
Facoltativamente, al termine dell'aggiornamento, sui computer dell'agente OfficeScan è
possibile avviare Esegui scansione (scansione manuale).
TABELLA 6-8. Opzioni di aggiornamento provocate da un evento
OPZIONE
Avvia l'aggiornamento
dei componenti degli
agenti subito dopo che
il server OfficeScan ha
scaricato un nuovo
componente
DESCRIZIONE
Non appena completato un aggiornamento, il server notifica
agli agenti di eseguirlo. Gli agenti aggiornati di frequente
devono scaricare pattern incrementali, riducendo in tal modo il
tempo necessario per completare l'aggiornamento (per
maggiori dettagli sui pattern incrementali, vedere Duplicazione
dei componenti server OfficeScan a pagina 6-23). Tuttavia, gli
aggiornamenti frequenti potrebbero incidere negativamente
sulle prestazioni del server, soprattutto se molti agenti
eseguono l'aggiornamento contemporaneamente.
Per includere nell'aggiornamento gli agenti in modalità
roaming, selezionare Includi agenti in roaming e offline. Per
maggiori dettagli sulla modalità roaming, vedere Privilegio di
roaming dell'agente OfficeScan a pagina 14-20.
6-42
Consente agli agenti di
avviare l'aggiornamento
dei componenti dopo il
riavvio e la connessione
al server OfficeScan
(escludendo gli agenti
in roaming)
Se un agente non ha eseguito un aggiornamento, i
componenti vengono scaricati non appena questo stabilisce la
connessione con il server. L'agente potrebbe non eseguire un
aggiornamento se è offline o se l'dispositivo dove è installato
non è in esecuzione.
Effettua Esegui
scansione dopo
l'aggiornamento
(escludendo gli agenti
in roaming)
Il server invia una notifica agli agenti per l'esecuzione della
scansione dopo un'aggiornamento attivato da un evento.
Attivare questa opzione se un aggiornamento specifico
risponde a un rischio per la sicurezza già diffuso nella rete.
Come mantenere la protezione aggiornata
Nota
Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti al
termine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15
minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5
volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server non
invierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti
quando gli agenti si riavviano e si connettono al server, l'aggiornamento dei componenti
avverrà in ogni caso.
Aggiornamenti pianificati
L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare
gli agenti OfficeScan che dispongono di tale privilegio e tali agenti OfficeScan potranno
eseguire gli aggiornamenti in base alla pianificazione.
Nota
Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultare
Configurazione aggiornamenti dell'agente OfficeScan pianificati con NAT a pagina 6-45.
Configurazione degli aggiornamenti automatici dell'agente
OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.
2.
Selezionare gli eventi per un Aggiornamento provocato da un evento:
•
Avvia l'aggiornamento dei componenti degli agenti subito dopo che il
server OfficeScan ha scaricato un nuovo componente
•
•
Includi agenti in roaming e offline
Consente agli agenti di avviare l'aggiornamento dei componenti dopo il
riavvio e la connessione al server OfficeScan (escludendo gli agenti in
roaming)
6-43
Guida per l'amministratore di OfficeScan™ 11.0
•
Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agenti
in roaming)
Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati da
un evento a pagina 6-41.
3.
Configurare la pianificazione per l'Aggiornamento pianificato.
•
Minuto/i o Ora/e
L'opzione Aggiorna le configurazioni degli agenti solo una volta al
giorno è disponibile quando viene pianificata una frequenza di aggiornamento
oraria o basata sui minuti. La configurazione contiene tutte le impostazioni
degli agenti OfficeScan configurati usando la console Web
Suggerimento
Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che le
impostazioni di configurazione di OfficeScan cambino con minore frequenza.
L'aggiornamento dei file di configurazione effettuato insieme a quello dei
componenti, richiede una maggiore ampiezza di banda e aumenta il tempo
necessario affinché OfficeScan completi l'aggiornamento. Per questo motivo,
Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScan
solo una volta al giorno.
•
Frequenza giornaliera o Frequenza settimanale
Specificare l'ora dell'aggiornamento e il periodo di tempo in cui il server
OfficeScan notifica agli agenti di aggiornare i componenti.
Suggerimento
Questa impostazione consente di evitare che tutti gli agenti online si connettano
contemporaneamente al server nell'ora di inizio indicata e di ridurre la quantità
di traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e il
periodo di tempo è fissato a 2 ore, OfficeScan invia la notifica di aggiornamento
dei componenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00.
6-44
Come mantenere la protezione aggiornata
Nota
Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazione
sugli agenti selezionati. Per informazioni sull'attivazione degli aggiornamenti
pianificati, vedere il passaggio 4 di Configurazione dei privilegi di aggiornamento e altre
impostazioni a pagina 6-49.
4.
Fare clic su Salva.
OfficeScan non può inviare immediatamente la notifica agli agenti offline.
Selezionare Consente agli agenti di avviare l'aggiornamento dei componenti
dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti
in roaming) per aggiornare gli agenti offline che passano online dopo la scadenza
del periodo di tempo. Gli agenti offline che non hanno questa impostazione
attivata aggiornano i componenti alla pianificazione successiva o durante un
aggiornamento manuale.
Configurazione aggiornamenti dell'agente OfficeScan pianificati
con NAT
Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito:
•
Gli agenti OfficeScan vengono visualizzati offline nella console Web.
•
Il server OfficeScan non è in grado di notificare agli agenti le modifiche degli
aggiornamenti e della configurazione.
Per risolvere questi problemi, implementare i componenti aggiornati e i file di
configurazione dal server all'agente OfficeScan con un aggiornamento pianificato così
come descritto di seguito.
Procedura
•
Prima di installare l'agente OfficeScan sui computer agente:
a.
Configurare la pianificazione dell'aggiornamento agente nella sezione
Aggiornamento pianificato di Aggiornamenti > Agenti >
Aggiornamento automatico.
6-45
Guida per l'amministratore di OfficeScan™ 11.0
b.
•
Assegnare agli agenti il privilegio per attivare l'aggiornamento pianificato in
Agenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegi
e altre impostazioni > Privilegi > Privilegi aggiornamento componenti.
Se gli agenti OfficeScan sono già presenti sui computer agente:
a.
Assegnare agli agenti il privilegio per eseguire "Aggiorna ora" in Agenti >
Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altre
impostazioni > Privilegi > Privilegi aggiornamento componenti.
b.
Chiedere agli utenti di aggiornare manualmente i componenti sull'dispositivo
agente (fare clic con il pulsante destro del mouse sull'icona dell'agente
OfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") per
ottenere le impostazioni di configurazione aggiornate.
Quando gli agenti OfficeScan eseguono un aggiornamento, ricevono sia i componenti
aggiornati sia i file di configurazione.
Utilizzo dello Strumento di aggiornamento pianificazione dei
domini
L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sono
applicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti,
è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questa
operazione, è necessario configurare una pianificazione in base ai domini della struttura
agente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio.
Nota
Non è possibile impostare una pianificazione di aggiornamento per un agente o un
sottodominio specifico. La configurazione configurata per il dominio principale si applica a
tutti i sottodomini.
Procedura
1.
6-46
Registrare i nomi dei domini della struttura agente e le pianificazioni di
aggiornamento.
Come mantenere la protezione aggiornata
2.
Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility
\DomainScheduledUpdate.
3.
Copiare i file seguenti in <Cartella di installazione del server>
\PCCSRV:
•
DomainSetting.ini
•
dsu_convert.exe
4.
Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note.
5.
Specificare il dominio della struttura agente e configurare la pianificazione di
aggiornamento per il dominio. Ripetere questo passaggio per aggiungere altri
domini.
Nota
Nel file .ini sono fornite istruzioni dettagliate per la configurazione.
6.
Salvare DomainSetting.ini.
7.
Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV.
8.
Immettere il seguente comando e premere Invio.
dsuconvert.exe DomainSetting.ini
9.
Nella console Web, accedere a Agenti > Impostazioni globali agente.
10. Fare clic su Salva.
Aggiornamenti manuali agente OfficeScan
Aggiornare manualmente i componenti dell'agente OfficeScan quando questi sono
estremamente obsoleti e ogni volta che viene rilevata un'infezione. I componenti
dell'agente OfficeScan diventano estremamente obsoleti quando esso non è in grado di
aggiornarli dall'origine aggiornamenti per un periodo di tempo prolungato.
Nel corso dell'aggiornamento manuale, oltre ai componenti, gli agenti OfficeScan
ricevono anche file di configurazione aggiornati. Gli agenti OfficeScan necessitano di tali
6-47
Guida per l'amministratore di OfficeScan™ 11.0
file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si
modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati
anche i file di configurazione.
Nota
Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degli
aggiornamenti manuali (ovvero Aggiorna ora sugli dispositivo agente OfficeScan). Per i
dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49.
Aggiornamento manuale degli agenti OfficeScan
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento manuale.
2.
Nella parte superiore della schermata vengono visualizzati i componenti
attualmente disponibili nel server OfficeScan e la data in cui tali componenti sono
stati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che i
componenti siano aggiornati.
Nota
Aggiornare manualmente i componenti obsoleti nel server. Per informazioni, vedere
Aggiornamenti manuali agente OfficeScan a pagina 6-47.
3.
Per aggiornare solo gli agenti con componenti non aggiornati:
a.
Fare clic su Selezionare agenti con componenti non aggiornati.
b.
Facoltativamente, selezionare Includi agenti in roaming e offline
c.
6-48
•
Per aggiornare gli agenti in roaming con connessione attiva sul server.
•
Per aggiornare gli agenti offline quando passano online.
Fare clic su Avvia aggiornamento.
Come mantenere la protezione aggiornata
Nota
Il server cerca gli agenti con componenti di versioni precedenti alle versioni del server
e invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato delle
notifiche, accedere alla schermata Aggiornamenti > Riepilogo
4.
Per aggiornare gli agenti selezionati:
a.
Selezionare Seleziona agenti manualmente.
b.
Fare clic su Seleziona.
c.
Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per
includere tutti gli agenti oppure selezionare domini o agenti specifici.
d.
Fare clic su Avvia aggiornamento componenti.
Nota
Il server inizia a inviare a ogni agente la notifica del download dei componenti
aggiornati. Per controllare lo stato delle notifiche, accedere alla schermata
Aggiornamenti > Riepilogo
Configurazione dei privilegi di aggiornamento e altre
impostazioni
Configurare le impostazioni di aggiornamento e concedere agli utenti agente alcuni
privilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamento
pianificato.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
) per includere
6-49
Guida per l'amministratore di OfficeScan™ 11.0
4.
Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nella
sezione Aggiorna impostazioni:
OPZIONE
DESCRIZIONE
Gli agenti
OfficeScan
scaricano gli
aggiornamen
ti dal server
ActiveUpdate
di Trend
Micro
Quando gli aggiornamenti vengono avviati, gli agenti OfficeScan
tentano di ottenere gli aggiornamenti prima dall'origine
aggiornamenti specificata nella schermata Aggiornamenti >
Agenti > Origine aggiornamenti. Se l'aggiornamento non riesce,
gli agenti tentano di eseguirlo dal server OfficeScan. Se si
seleziona questa opzione, si consente agli agenti di provare a
eseguire l'aggiornamento dal server ActiveUpdate di Trend Micro,
qualora l'aggiornamento dal server OfficeScan non riesca.
Nota
Un agente IPv6 puro non è in grado di eseguire l'aggiornamento
direttamente dal server ActiveUpdate di Trend Micro. Per
consentire agli agenti di connettersi al server ActiveUpdate, è
necessario un server proxy dual-stack in grado di convertire gli
indirizzi IP, come ad esempio DeleGate.
Attiva
aggiornamen
ti pianificati
sugli agenti
OfficeScan
La selezione di questa opzione configura tutti gli agenti
OfficeScan per attivare gli aggiornamenti pianificati come
impostazione predefinita. Gli utenti con il privilegio Attiva/
Disattiva aggiornamenti pianificati possono sovrascrivere tale
impostazione.
Per maggiori dettagli sulla configurazione della pianificazione degli
aggiornamenti, vedere Configurazione degli aggiornamenti
automatici dell'agente OfficeScan a pagina 6-43.
Gli agenti
OfficeScan
possono
aggiornare i
componenti,
ma non
possono
aggiornare il
programma
agente né
implementare
le hot fix.
6-50
Questa opzione consente agli aggiornamenti dei componenti di
proseguire, ma impedisce l'implementazione delle hot fix e
l'aggiornamento dell'agente OfficeScan.
Nota
La disattivazione di questa opzione potrebbe influire
negativamente sulle prestazioni del server, poiché tutti gli agenti si
connettono simultaneamente al server per aggiornare o installare
una hot fix.
Come mantenere la protezione aggiornata
5.
Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezione
Aggiornamento dei componenti:
OPZIONE
Esecuzione
di "Aggiorna
ora"
DESCRIZIONE
Gli utenti con questo privilegio possono aggiornare i componenti
su richiesta facendo clic con il pulsante destro del mouse
sull'icona dell'agente OfficeScan nella barra delle applicazioni e
selezionando Aggiorna ora
Nota
Gli utenti dell'agente OfficeScan possono utilizzare le impostazioni
proxy durante l'operazione "Aggiorna ora". Per informazioni,
vedere Privilegi di configurazione del proxy per gli agenti a pagina
14-52.
Attiva/
Disattiva
aggiornamen
ti pianificati
La selezione di questa opzione consente agli utenti degli agenti
OfficeScan di attivare e disattivare gli aggiornamenti pianificati
utilizzando il menu di scelta rapida dell'agente OfficeScan, che è
in grado di sovrascrivere l'impostazione Attiva aggiornamenti
pianificati sugli agenti OfficeScan.
Nota
Gli amministratori devono selezionare innanzitutto l'impostazione
Attiva aggiornamenti pianificati sugli agenti OfficeScan nella
scheda Altre impostazioni prima che la voce di menu venga
visualizzata nel menu dell'agente OfficeScan.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
6-51
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione dello spazio su disco riservato per gli
aggiornamenti degli agenti OfficeScan
OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco
del'agente per hot fix, file di pattern, motori di scansione e aggiornamenti dei
programmi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco.
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione Spazio su disco riservato.
3.
Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti.
4.
Selezionare lo quantità di spazio su disco.
5.
Fare clic su Salva.
Proxy per gli aggiornamenti dei componenti dell'agente
OfficeScan
Gli agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamento
automatico oppure se dispongono del privilegio di eseguire "Aggiorna ora".
6-52
Come mantenere la protezione aggiornata
TABELLA 6-9. Impostazioni proxy utilizzate durante gli aggiornamenti dei componenti
dell'agente OfficeScan
METODO DI
IMPOSTAZIONI PROXY
AGGIORNAMENTO
UTILIZZATE
Aggiornamento
automatico
•
•
Aggiorna ora
•
•
Impostazioni proxy
automatiche. Per i
dettagli, consultare
Impostazioni proxy
automatiche per
l'agente OfficeScan a
pagina 14-53.
Impostazioni proxy
interne. Per i dettagli,
consultare Proxy
interno per gli agenti
OfficeScan a pagina
14-50.
Impostazioni proxy
automatiche. Per i
dettagli, consultare
Impostazioni proxy
automatiche per
l'agente OfficeScan a
pagina 14-53.
Impostazioni proxy
configurate dall'utente.
È possibile concedere
agli utenti agente il
privilegio di configurare
le impostazioni proxy.
Per i dettagli,
consultare Privilegi di
configurazione del
proxy per gli agenti a
pagina 14-52.
UTILIZZO
1.
Per aggiornare i componenti, gli
agenti OfficeScan utilizzeranno per
prima cosa le impostazioni proxy
automatiche.
2.
Qualora le impostazioni proxy
automatiche non fossero attive,
verranno utilizzate le impostazioni
proxy interne.
3.
Se entrambe sono disattivate, gli
agenti non utilizzeranno alcuna
impostazione proxy.
1.
Per aggiornare i componenti, gli
agenti OfficeScan utilizzeranno per
prima cosa le impostazioni proxy
automatiche.
2.
Qualora le impostazioni proxy
automatiche non fossero attive,
verranno utilizzate le impostazioni
proxy configurare dall'utente.
3.
Se entrambe le impostazioni sono
disattivate o se le impostazioni
proxy automatiche sono disattivare
e gli utenti agente non dispongono
degli appositi privilegi, gli agenti
non utilizzeranno nessun proxy per
l'aggiornamento dei componenti.
6-53
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle notifiche di aggiornamento
dell'agente OfficeScan
OfficeScan notifica agli utenti agente quando si verificano i seguenti eventi relativi
all'aggiornamento:
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione Impostazioni avvisi.
3.
Selezionare le seguenti opzioni:
•
Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il
file di pattern dei virus non è aggiornato da __ giorno/i: Un'icona di
avviso viene visualizzata nella barra delle applicazioni di Windows per
ricordare agli utenti di aggiornare un Pattern dei virus che non è stato
aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usare
uno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agente
OfficeScan a pagina 6-40.
Questa impostazione viene applicata a tutti gli agenti gestiti dal server.
•
Visualizza un messaggio di notifica se è necessario un riavvio
dell'dispositivo per caricare un driver in modalità kernel: Dopo
l'installazione di una hot fix o di un pacchetto di aggiornamenti che contiene
una nuova versione di un driver in modalità kernel, la precedente versione del
driver potrebbe essere ancora presente sull'dispositivo. L'unico modo per
eliminare la versione precedente e caricare quella nuova è riavviare
l'dispositivo. Dopo aver riavviato l'dispositivo, la nuova versione viene
automaticamente installata e non sono necessari altri riavvii.
Subito dopo l'installazione della hot fix o del pacchetto di aggiornamenti,
sull'dispositivo agente viene visualizzato un messaggio di notifica.
4.
6-54
Fare clic su Salva.
Come mantenere la protezione aggiornata
Visualizzazione dei registri dei aggiornamento dell'agente
OfficeScan
Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi di
aggiornamento del pattern antivirus negli agenti.
Nota
In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern dei
virus possono essere inviate dalla console Web.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Procedura
1.
Accedere a Registri > Agenti > Aggiornamento componente agente.
2.
Per visualizzare il numero di aggiornamenti degli agenti, fare clic su Visualizza
nella colonna Avanzamento. Nella schermata Avanzamento aggiornamento
componenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minuti
e il numero totale di agenti aggiornati.
3.
Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic su
Visualizza nella colonna Dettagli.
4.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Implementazione aggiornamenti dell'agente OfficeScan
Utilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componenti
più recenti. La conformità della sicurezza consente di determinare le incoerenze dei
componenti tra gli agenti e il server OfficeScan. In genere le incoerenze si verificano
quando gli agenti non riescono a connettersi al server per aggiornare i componenti. Se
6-55
Guida per l'amministratore di OfficeScan™ 11.0
l'agente ottiene un aggiornamento da un'altra origine (ad esempio dal server
ActiveUpdate), è possibile che un componente dell'agente sia più recente rispetto a uno
del server.
Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58.
Rollback dei componenti per gli agenti OfficeScan
Il termine rollback si riferisce all'azione di ripristino della versione precedente del Pattern
dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questi
componenti non funzionano correttamente, ripristinare le versioni precedenti.
OfficeScan conserva la versione attuale e quella precedente del Motore di scansione
virus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern.
Nota
Il rollback è consentito solo per i componenti riportati sopra.
OfficeScan utilizza diversi motori di scansione per gli agenti con piattaforme a 32 e 64
bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura di
ripristino per tutti i tipi di motore di scansione è identica.
Procedura
1.
Accedere a Aggiornamenti > Rollback
2.
Nella sezione appropriata, fare clic su Sincronizza con il server.
6-56
a.
Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per
includere tutti gli agenti oppure selezionare domini o agenti specifici.
b.
Fare clic su Rollback
c.
Fare clic su Visualizza registri di aggiornamento per verificare i risultati o
su Indietro per tornare alla schermata Rollback.
Come mantenere la protezione aggiornata
3.
Se sul server è presente una versione precedente del file di pattern, è possibile
effettuare il rollback del file di pattern per server e per l'agente OfficeScan, facendo
clic su Rollback versioni di server e agenti.
Esecuzione di Touch Tool per le hot fix dell'agente
OfficeScan
Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file con
l'indicatore data e ora di un altro file o con l'orario di sistema dell'dispositivo. Se non si
riesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare Touch
Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScan
di interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente di
implementarlo automaticamente.
Procedura
1.
Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV
\Admin\Utility\Touch.
2.
Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Per
sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare
entrambi i file nella stessa posizione di Touch Tool.
3.
Aprire un prompt dei comandi ed accedere al percorso di Touch Tool.
4.
Digitare i comandi seguenti:
TmTouch.exe <nome file di destinazione> <nome file di
origine>
Dove:
•
•
<nome file destinazione> è il nome dell'hot fix di cui si desidera
modificare l'indicatore di data e ora
<nome file origine> è il nome del file di cui si desidera replicare
l'indicatore di data e ora
6-57
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Se non viene specificato un nome del file di origine, lo strumento imposta l'indicatore
data e ora del file di destinazione in base all'orario di sistema dell'dispositivo.
Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quello
del file di origine.
5.
Per verificare se la modifica dell'indicatore data e ora è stata applicata, immettere
dir nel prompt dei comandi oppure verificare le proprietà del file in Esplora
risorse.
Update Agent
Per distribuire l'attività di implementazione dei componenti, delle impostazioni di
dominio o dei programmi agente e delle hot fix negli agenti OfficeScan, è necessario
impostare alcuni agenti OfficeScan come Update Agent o come origini aggiornamenti
per altri agenti. In questo modo si ha la certezza che gli agenti ricevano tempestivamente
gli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al server
OfficeScan.
Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti è
caratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent a
ciascuna località.
Nota
Gli agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agent
ricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli agenti
OfficeScan segnalano il proprio stato al server OfficeScan.
Requisiti di sistema per gli Update Agent
Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
6-58
Come mantenere la protezione aggiornata
Configurazione di Update Agent
Il processo di configurazione di Update Agent prevede due operazioni:
1.
Assegnare l'agente OfficeScan come Update Agent per componenti specifici.
2.
Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent.
Nota
Il numero di connessioni degli agenti simultanee che un singolo Update Agent può
gestire dipende dalle specifiche hardware dell'dispositivo.
Assegnazione degli agenti OfficeScan come Update Agent
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, selezionare gli agenti da designare come Update Agent.
Nota
Non è possibile selezionare l'icona del dominio root, in quanto tale operazione
designerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non è
in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri.
Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gli
aggiornamenti direttamente agli agenti IPv6 puri. Per consentire ad un Update Agent
di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in
grado di convertire gli indirizzi IP, come ad esempio DeleGate.
3.
Fare clic su Impostazioni > Impostazioni Update Agent.
4.
Selezionare gli elementi che Update Agent possono condividere.
•
Aggiornamento dei componenti
•
Impostazioni dominio
•
Programmi agenti OfficeScan e hot fix
6-59
Guida per l'amministratore di OfficeScan™ 11.0
5.
Fare clic su Salva.
Specifica degli agenti OfficeScan che seguono
l'aggiornamento da un Update Agent
Procedura
1.
Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.
2.
In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi.
3.
Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile
immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6.
4.
Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti.
Nota
Accertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando i
rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4,
l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e
un prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6.
5.
Fare clic su Salva.
Origini aggiornamenti per gli Update Agent
Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il server
OfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origine
aggiornamenti dalla schermata Origine aggiornamenti della console Web.
Supporto IPv6 per gli Update Agent
Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento da
origini IPv4 pure, come:
•
6-60
Un server OfficeScan IPv4 puro
Come mantenere la protezione aggiornata
•
Qualsiasi origine aggiornamenti personalizzata IPv4 pura
•
Server ActiveUpdate di Trend Micro
Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamente
l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro:
Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessario
un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio
DeleGate.
Origine aggiornamenti standard per gli Update Agent
Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gli
agenti vengono configurati per eseguire l'aggiornamento direttamente dal server
OfficeScan, il processo di aggiornamento avviene come riportato di seguito:
1.
L'Update Agent ottiene gli aggiornamenti dal server OfficeScan.
2.
Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersi
direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle
seguenti condizioni:
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione
Gli agenti OfficeScan scaricano gli aggiornamenti dal server
ActiveUpdate di Trend Micro è attivata.
•
Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento
personalizzate.
Suggerimento
Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di
aggiornamento dal server OfficeScan. Quando gli Update Agent eseguono
l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di
banda tra la rete e Internet è considerevole.
3.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update
Agent interrompe il processo di aggiornamento.
6-61
Guida per l'amministratore di OfficeScan™ 11.0
Origini aggiornamenti personalizzate per gli Update Agent
Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento da
origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate
contribuiscono a ridurre il traffico degli aggiornamenti degli agenti diretto al server
OfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di
aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento.
Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35 per la
procedura per configurare l'elenco.
Nota
Assicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni di
dominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nella
schermata Origine di aggiornamento per Update Agent (Aggiornamenti > Agenti >
Origine aggiornamenti) per consentire agli Update Agent di connettersi alle origini
aggiornamenti personalizzate.
Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue come
riportato di seguito:
1.
Update Agent esegue l'aggiornamento dalla prima voce dell'elenco.
2.
Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza la
seconda voce e così via.
3.
Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica le
seguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguenti
voci dal server OfficeScan se tutte le origini personalizzate non sono
disponibili o non sono state trovate:
•
Componenti: se attivata l'agente esegue l'aggiornamento dal server
OfficeScan.
Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server
ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti
condizioni:
6-62
Come mantenere la protezione aggiornata
Nota
È possibile eseguire l'aggiornamento dei componenti solo dal server Active
Update. È possibile scaricare i programmi, le hot fix e le impostazioni del
dominio dal server o dagli Update Agent.
4.
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e
altre impostazioni > Altre impostazioni > Aggiorna impostazioni,
l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal
server ActiveUpdate di Trend Micro è attivata.
•
Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento
personalizzate.
•
Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal server
OfficeScan.
•
Programmi agenti OfficeScan e hot fix: se attivata l'agente esegue
l'aggiornamento dal server OfficeScan.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update
Agent interrompe il processo di aggiornamento.
Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamento
standard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notifica
all'agente di aggiornare i componenti. Il processo è il seguente:
1.
Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignora
l'elenco delle origini di aggiornamento.
2.
Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamente
al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti
condizioni:
•
In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre
impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione
Gli agenti OfficeScan scaricano gli aggiornamenti dal server
ActiveUpdate di Trend Micro è attivata.
•
Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento
personalizzate.
6-63
Guida per l'amministratore di OfficeScan™ 11.0
Suggerimento
Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di
aggiornamento dal server OfficeScan. Quando gli agenti OfficeScan eseguono
l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di
banda tra la rete e Internet è considerevole.
3.
Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update
Agent interrompe il processo di aggiornamento.
Configurazione dell'origine aggiornamenti per Update Agent
Procedura
1.
Accedere a Aggiornamenti > Agenti > Origine aggiornamenti.
2.
Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gli
Update Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gli
Update Agent.
3.
Fare clic su Invia una notifica tutti gli agenti.
Duplicazione dei componenti di Update Agent
Come il server OfficeScan, anche gli Update Agent utilizzano il metodo della
duplicazione per scaricare i componenti. Per informazioni sul modo in cui il server
esegue la duplicazione dei componenti, consultare Duplicazione dei componenti server
OfficeScan a pagina 6-23.
Il processo di duplicazione dei componenti per gli Update Agent è il seguente:
1.
6-64
Update Agent confronta la versione corrente del pattern completo con la versione
più recente sull'origine aggiornamenti. Se la differenza tra le due versioni è al
massimo 14, Update Agent scarica il pattern incrementale per colmare la differenza
tra le due versioni.
Come mantenere la protezione aggiornata
Nota
Se la differenza è superiore a 14, Update Agent scarica automaticamente la versione
completa del file di pattern.
2.
Update Agent integra il pattern incrementale scaricato con il pattern completo
corrente per generare il pattern completo più recente.
3.
Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti.
4.
Il pattern completo più recente e tutti i pattern incrementali sono resi disponibili
per gli agenti.
Metodi di aggiornamento per Update Agent
Gli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agenti
normali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.
È possibile utilizzare lo strumento di configurazione aggiornamento pianificato per
attivare e configurare gli aggiornamenti pianificati di un Update Agent installato
mediante Agent Packager.
Nota
Questo strumento non è disponibile se l'Update Agent è stato installato mediante altri
metodi di installazione. Per ulteriori informazioni, consultare Considerazioni
sull'implementazione a pagina 5-11.
Uso dello strumento di configurazione aggiornamento
pianificato
Procedura
1.
Nell'dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>.
2.
Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la console
dello Strumento di configurazione aggiornamento pianificato.
3.
Selezionare Attiva aggiornamento pianificato.
6-65
Guida per l'amministratore di OfficeScan™ 11.0
4.
Specificare la frequenza e l'orario dell'aggiornamento.
5.
Fare clic su Applica.
Segnalazione analitica di Update Agent
La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura di
aggiornamento e determinare quali agenti scaricano dal server OfficeScan, dagli Update
Agent o dal server ActiveUpdate. Questa segnalazione è utile anche per controllare se il
numero di agenti che richiedono aggiornamenti dalle origini aggiornamenti supera il
limite di risorse disponibili ed, eventualmente, per reindirizzare il traffico di rete alle
origini appropriate.
Nota
Questa segnalazione comprende tutti gli Update Agent. Se l'attività di gestione di uno o più
domini è stata delegata ad altri amministratori, essi vedranno anche gli Update Agent
appartenenti ai domini non gestiti da loro.
OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (commaseparated value).
In questa segnalazione sono contenute le seguenti informazioni:
•
Dispositivo dell'agente OfficeScan
•
Indirizzo IP
•
Percorso struttura dell'agente
•
Origine aggiornamenti
•
Se gli agenti scaricano i seguenti elementi dagli Update Agent:
6-66
•
Componenti
•
Impostazioni dominio
•
Programmi agenti OfficeScan e hot fix
Come mantenere la protezione aggiornata
Importante
La segnalazione analitica di Update Agent elenca solamente gli agenti OfficeScan
configurati per ricevere aggiornamenti parziali da un Update Agent. Gli agenti OfficeScan
configurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti,
impostazioni di dominio, hot fix e programmi dell'agente OfficeScan) non vengono
visualizzati nella segnalazione.
Per ulteriori informazioni sulla generazione della segnalazione, vedere Origini
aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35.
Riepilogo aggiornamento componenti
La console Web fornisce la schermata Riepilogo aggiornamento (accedere a
Aggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivo
dell'aggiornamento dei componenti e consente di aggiornare quelli obsoleti. Se è stato
attivato l'aggiornamento server pianificato, la schermata informa anche sulla data
prevista per il prossimo aggiornamento.
Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare la
schermata periodicamente.
Nota
Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server,
accedere a Amministrazione > Smart Protection > Server integrato.
Stato dell'aggiornamento per gli agenti OfficeScan
Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare in
questa sezione le seguenti informazioni:
•
Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento dei
componenti.
6-67
Guida per l'amministratore di OfficeScan™ 11.0
•
Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presenti
nella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic su
Annulla notifica.
Componenti
Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascun
componente scaricato e distribuito dal server OfficeScan.
Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimo
aggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti con
componenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti.
6-68
Capitolo 7
Analisi dei rischi per la sicurezza
Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza
utilizzando l'analisi basata su file.
Di seguito sono riportati gli argomenti trattati:
•
Informazioni sui rischi per la sicurezza a pagina 7-2
•
Tipi di metodi di scansione a pagina 7-8
•
Tipi di scansione a pagina 7-15
•
Impostazioni comuni a tutti i tipi di scansione a pagina 7-28
•
Privilegi scansione e altre impostazioni a pagina 7-55
•
Impostazioni globali di scansione a pagina 7-70
•
Notifiche sui Rischi per la sicurezza a pagina 7-82
•
Registri dei rischi per la sicurezza a pagina 7-90
•
Rischi per la sicurezza a pagina 7-104
7-1
Guida per l'amministratore di OfficeScan™ 11.0
Informazioni sui rischi per la sicurezza
Rischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche,
spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraverso
la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la
sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati
in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere le
infezioni, implementando i criteri di prevenzione delle infezioni e isolando i computer
infetti fino a quando sono completamente privi di rischi. Le notifiche e i registri
contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fosse
necessaria un'azione tempestiva.
Virus e minacce informatiche
Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengono
creati molti altri. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i
virus degli dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità,
possono causare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.
TABELLA 7-1. Tipi di virus/minaccia informatica
TIPO DI VIRUS/
MINACCIA
DESCRIZIONE
INFORMATICA
7-2
Programma
Joke
I programmi Joke sono programmi simili ai virus che spesso
manipolano l'aspetto degli oggetti sul monitor di un dispositivo.
Altro
"Altri" includono virus/minacce informatiche non classificati come altri
tipi di virus/minacce informatiche.
Packer
I packer sono programmi eseguibili compressi e/o codificati per
Windows o Linux™, spesso sono cavalli di Troia. La compressione di
programmi eseguibili rende i packer più difficili da rilevare per i prodotti
antivirus.
Analisi dei rischi per la sicurezza
TIPO DI VIRUS/
MINACCIA
DESCRIZIONE
INFORMATICA
Rootkit
I rootkit sono programmi o raccolte di programmi che installano ed
eseguono un codice su un sistema senza il consenso o la
consapevolezza dell'utente finale. Utilizzano un virus stealth per
mantenere la presenza costante e non rilevabile sulla macchina. I
rootkit non infettano le macchine ma cercano piuttosto di fornire un
ambiente non rilevabile affinché sia possibile eseguire un codice
dannoso. I rootkit vengono installati sui sistemi tramite social
engineering, in presenza di minacce informatiche o semplicemente
accedendo ad un sito Web dannoso. Una volta installato, l'aggressore
può virtualmente eseguire qualunque funzione sul sistema che includa
l'accesso remoto, le intercettazioni, nascondere i processi, i file le
chiavi di registro e i canali di comunicazione.
virus di prova
I virus di prova sono file inerti che agiscono come virus reali e che
possono essere rilevati dal software di scansione antivirus. I virus di
prova, come gli script di prova EICAR, possono essere utilizzati per
verificare che l'antivirus installato funzioni correttamente.
Cavallo di
Troia
I cavalli di Troia spesso usano porte per accedere ai computer o ai
programmi eseguibili. I programmi cavallo di Troia non sono in grado di
riprodursi, ma risiedono nei sistemi per compiere operazioni dannose,
ad esempio l'apertura delle porte, per consentire l'ingresso degli
hacker. Le soluzioni antivirus tradizionali sono in grado di rilevare e
rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già in
esecuzione nel sistema.
7-3
Guida per l'amministratore di OfficeScan™ 11.0
TIPO DI VIRUS/
DESCRIZIONE
MINACCIA
INFORMATICA
Virus
Virus di rete
7-4
I virus sono programmi in grado di replicarsi. Per farlo, un virus deve
attaccarsi ad altri file di programma che gli consentono di attivarsi
quando il programma che lo ospita viene eseguito, inclusi:
•
Codice dannoso ActiveX: codice presente nelle pagine Web che
eseguono controlli ActiveX™.
•
Virus da settore boot: virus che infetta il settore boot o una
partizione del disco.
•
File COM ed EXE infettante: programma eseguibile con
estensione .com o .exe.
•
Codice dannoso Java: codice virus indipendente dal sistema
operativo scritto o incluso in un codice Java™.
•
Virus da macro: virus codificato come macro di un'applicazione e
spesso incluso in un documento.
•
VBScript, JavaScript o virus HTML: virus presente in una pagina
Web e scaricato tramite un browser.
•
Worm: programma (o gruppo di programmi) autonomo in grado di
diffondere copie funzionanti di se stesso o di suoi segmenti ad altri
sistemi di dispositivo, spesso tramite e-mail.
un virus che si diffonde su una rete non è necessariamente un virus di
rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm,
possono essere considerati virus di rete. In particolare, per
moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP,
UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i file
di sistema né modificano i settori boot dei dischi rigidi. Tuttavia,
infettano la memoria dei computer agente, obbligandoli a invadere la
rete di traffico e causando rallentamenti o persino errori nell'intera rete.
Poiché i virus di rete rimangono in memoria, spesso non sono rilevabili
mediante i tradizionali metodi di scansione I/O dei file.
Analisi dei rischi per la sicurezza
TIPO DI VIRUS/
DESCRIZIONE
MINACCIA
INFORMATICA
Probabile
virus/minaccia
informatica
I virus/minacce informatiche probabili sono file sospetti che presentano
caratteristiche di virus/minacce informatiche.
Per dettagli, consultare l'Enciclopedia dei virus di Trend Micro:
http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp
Nota
La disinfezione non può essere eseguita su un probabile virus/
minaccia informatica, ma l'azione di scansione è configurabile.
Spyware e grayware
Sono presenti altre minacce che potrebbero mettere a repentaglio gli dispositivo oltre ai
virus e alle minacce informatiche. Per spyware e grayware si intendono applicazioni o file
non classificati come virus o cavalli di Troia ma che possono avere un'influenza negativa
sulle prestazioni degli dispositivo della rete e introdurre notevoli rischi per la sicurezza,
la riservatezza e causare problemi legali all'organizzazione. Spesso spyware e grayware
attivano una varietà di azioni indesiderate e pericolose come la visualizzazione di
fastidiose finestre popup, la registrazione delle sequenze di tasti digitate dall'utente o
l'esposizione delle vulnerabilità dell'dispositivo agli attacchi.
Se è presente un'applicazione o un file che OfficeScan non riesce a rilevare come
grayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro per l'analisi:
http://esupport.trendmicro.com/solution/en-us/1059565.aspx
TIPO
DESCRIZIONE
Spyware
raccoglie dati come nomi utente e password e li trasmette a terzi.
Adware
visualizza delle pubblicità e raccoglie dati come le preferenze di
navigazione Web in modo da indirizzare pubblicità mirata attraverso
un browser Web.
7-5
Guida per l'amministratore di OfficeScan™ 11.0
TIPO
DESCRIZIONE
Dialer
Modifica le impostazioni Internet dell'dispositivo e può forzarlo a
selezionare numeri telefonici preconfigurati attraverso un modem. Si
tratta in genere di numeri a pagamento o internazionali che
rappresentano un notevole costo per l'organizzazione.
Programma
Joke
Causa un comportamento anomalo dell'dispositivo, come l'apertura e
la chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre
di dialogo.
Strumento di
hacking
consente agli hacker di penetrare nel computer.
Strumento di
accesso remoto
consente agli hacker di accedere al computer in remoto e controllarlo.
Applicazione di
decifratura
delle password
consente agli hacker di decifrare i nomi utente e le password.
Altro
altri tipi di programmi potenzialmente dannosi.
In che modo spyware e grayware penetrano nelle reti
Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utenti
scaricano un software legittimo contenente applicazioni grayware all'interno del
pacchetto di installazione. La maggior parte dei programmi contiene un contratto di
licenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spesso
nel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di dati
personali, tuttavia molto frequentemente, gli utenti non leggono attentamente il
contratto o non comprendono il linguaggio legale.
Rischi e minacce potenziali
L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguenti
problemi:
7-6
Analisi dei rischi per la sicurezza
TABELLA 7-2. Rischi e minacce potenziali
RISCHIO O MINACCIA
DESCRIZIONE
Riduzione delle
prestazioni
dell'dispositivo
per svolgere la loro azione, le applicazioni spyware e grayware
utilizzano spesso una quantità considerevole di risorse di
memoria del sistema e della CPU.
Aumento dei
malfunzionamenti
del browser Web
alcuni tipi di grayware, come ad esempio l'adware, visualizzano
informazioni in riquadri o finestre del browser. In base al modo in
cui il codice di queste applicazioni interagisce con i processi di
sistema, il grayware può bloccare o interrompere il funzionamento
del browser o richiedere un riavvio dell'dispositivo.
Riduzione
dell'efficienza
dell'utente
costretto a chiudere frequentemente le finestre pop-up
pubblicitarie e affrontare gli effetti negativi dei programmi Joke,
l'utente viene spesso distratto dalla propria attività principale.
Riduzione della
larghezza di banda
della rete
le applicazioni spyware e grayware spesso trasmettono
regolarmente i dati raccolti ad altre applicazioni in esecuzione
sulla rete o al di fuori della rete.
Perdita di
informazioni
personali e
aziendali
non tutti i dati che le applicazioni spyware/grayware raccolgono
sono innocui come può esserlo un elenco di pagine Web visitate
dall'utente. Spyware e grayware inoltre sono in grado di ottenere
le credenziali dell'utente quali quelle di accesso ai conti bancari
online e alle reti aziendali.
Rischio elevato di
responsabilità legali
Se le risorse degli dispositivo nella rete vengono manomesse, gli
hacker sono in grado di utilizzare i computer agente per lanciare
attacchi o installare spyware e grayware su computer al di fuori
della rete. La partecipazione delle risorse di rete a questo tipo di
attività potrebbe rendere un'azienda legalmente responsabile di
danni causati a terzi.
Protezione da spyware e grayware e da altre minacce
Possono essere prese molte precauzioni per evitare l'installazione di spyware e grayware
sul proprio dispositivo. Trend Micro consiglia quanto segue:
•
Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale,
Scansione pianificata e Esegui scansione) per individuare e rimuovere file e
applicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 per
ulteriori informazioni.
7-7
Guida per l'amministratore di OfficeScan™ 11.0
•
Istruire gli utenti agente sulle procedure riportate di seguito:
•
Leggere il contratto di licenza (EULA) e la documentazione forniti con le
applicazioni scaricate e installate sui computer.
•
Fare clic su No se un messaggio richiede l'autorizzazione per scaricare e
installare software, a meno che gli utenti agente non siano certi dell'affidabilità
dell'autore del software e del sito Web.
•
Ignorare messaggi e-mail di natura commerciale non richiesti (spam),
soprattutto se viene richiesto di fare clic su un pulsante o un collegamento.
•
Configurare le impostazioni del browser Web in modo che assicurino un livello di
sicurezza alto. Trend Micro consiglia di impostare i browser Web per la richiesta di
conferma prima di installare i comandi ActiveX.
•
Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo
che Outlook non scarichi automaticamente elementi HTML, come immagini
inviate in messaggi spam.
•
Non permettere l'uso di servizi di condivisione file peer-to-peer. Lo spyware e altre
applicazioni grayware potrebbero essere mascherati come altri tipi di file che gli
utenti potrebbero scaricare, come file musicali MP3.
•
Esaminare periodicamente il software installato sui computer agent e cercare
applicazioni che possano essere spyware o altro grayware.
•
Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con le
patch più recenti di Microsoft. Per ulteriori dettagli, consultare il sito Web
Microsoft.
Tipi di metodi di scansione
Gli agenti OfficeScan possono utilizzare uno dei due metodi di scansione, quando
eseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: Smart
Scan e Scansione convenzionale.
•
7-8
Smart Scan
Analisi dei rischi per la sicurezza
Gli agenti che utilizzano Smart Scan, in questo documento vengono definiti agenti
Smart Scan. Gli agenti Smart Scan utilizzano le scansioni locali e le query in-thecloud fornite da Servizi di reputazione file.
•
Scansione convenzionale
Gli agenti che non utilizzano Smart Scan sono definiti agenti con scansione
convenzionale. Un agente con scansione convenzionale archivia tutti i
componenti OfficeScan nell'dispositivo agente ed esegue la scansione locale di tutti
i file.
Metodo di scansione predefinito
In questa versione di OfficeScan, il metodo di scansione predefinito per una nuova
installazione è Smart Scan. Questo significa che se si esegue un'installazione del server
OfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gli
agenti gestiti dal server utilizzeranno il metodo Smart Scan.
Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attiva
l'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzeranno
ancora il metodo di scansione configurato prima dell'aggiornamento della versione. Ad
esempio, se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan e
Scansione convenzionale, tutti gli agenti aggiornati che utilizzano Smart Scan
continueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano
Scansione convenzionale continueranno ad utilizzare quest'ultima.
Metodi di scansione a confronto
La tabella riportata di seguito consente di confrontare i due metodi di scansione:
TABELLA 7-3. Confronto tra Scansione convenzionale e Smart Scan
CRITERI DI
CONFRONTO
Disponibilità
SCANSIONE CONVENZIONALE
Disponibile in questa
versione di OfficeScan e in
tutte quelle precedenti
SMART SCAN
Disponibile a partire da OfficeScan
10
7-9
Guida per l'amministratore di OfficeScan™ 11.0
CRITERI DI
CONFRONTO
Comportamento
della scansione
SCANSIONE CONVENZIONALE
L'agente con scansione
convenzionale esegue la
scansione nell'dispositivo
locale.
SMART SCAN
•
L'agente con Smart Scan
esegue la scansione
nell'dispositivo locale.
•
Se non è in grado di
determinare il rischio del file
durante la scansione, l'agente
verifica il rischio inviando una
query di scansione a un'origine
Smart Protection.
•
L'agente memorizza il risultato
della query di scansione per
migliorare le prestazioni della
scansione.
Componenti in uso
e aggiornati
Tutti i componenti
disponibili nell'origine di
aggiornamento, ad
eccezione di Smart Scan
Agent Pattern
Tutti i componenti disponibili
nell'origine di aggiornamento, ad
eccezione di Pattern dei virus e
Pattern di monitoraggio attivo
spyware
Origine di
aggiornamento
tipica
Server OfficeScan
Server OfficeScan
Modifica del metodo di scansione
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Metodi di
scansione.
4.
Selezionare Scansione convenzionale oppure Smart Scan.
7-10
) per includere
Analisi dei rischi per la sicurezza
5.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Passaggio da Smart Scan a Scansione convenzionale
Quando gli agenti passano alla scansione convenzionale, tenere presente quanto segue:
1.
Numero degli agenti che effettuano il passaggio
Se il numero di agenti che passa contemporaneamente alla scansione convenzionale
è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del
server OfficeScan e di Smart Protection Server. Questi server sono in grado di
eseguire altre operazioni importanti durante il passaggio da un metodo di scansione
all'altro.
2.
Tempistica
Quando si passa di nuovo alla scansione convenzionale, è probabile che gli agenti
scarichino la versione completa di Pattern antvirus e Pattern di monitoraggio attivo
spyware dal server OfficeScan . Questi file di pattern vengono utilizzati solo dagli
agenti con scansione convenzionale.
Per fare in modo che il processo di download termini in tempi brevi, è opportuno
effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di
effettuare l'operazione quando per gli agenti non sono pianificati aggiornamenti dal
server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare
la funzione una volta effettuato il passaggio a Smart Scan.
3.
Impostazioni della struttura agente
7-11
Guida per l'amministratore di OfficeScan™ 11.0
Il metodo di scansione è un'impostazione estremamente flessibile che può essere
impostata a livello principale (root), di dominio o di singolo agente. Quando si
passa alla scansione convenzionale è possibile:
•
Creare un nuovo dominio della struttura agente e assegnargli la scansione
convenzionale come metodo di scansione. Gli agenti trasferiti su questo
dominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente,
attivare l'impostazione Applica le impostazioni del nuovo dominio agli
agenti selezionati.
•
Selezionare un dominio e configurarlo in modo che utilizzi la scansione
convenzionale. Gli agenti Smart Scan che appartengono al dominio
passeranno alla scansione convenzionale.
•
Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare il
passaggio alla scansione convenzionale.
Nota
I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di
scansione configurato per i singoli agenti.
Passaggio da Scansione convenzionale a Smart Scan
Se si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan,
assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultare
Impostazione dei servizi Smart Protection a pagina 4-13.
La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan:
TABELLA 7-4. Considerazioni sul passaggio a Smart Scan
CONSIDERAZIONE
Licenza del prodotto
7-12
DETTAGLI
Per utilizzare Smart Scan accertarsi di aver attivato le licenze
dei servizi riportati di seguito e che le licenze non siano
scadute:
•
Antivirus
•
Reputazione Web e anti-spyware
Analisi dei rischi per la sicurezza
CONSIDERAZIONE
Server OfficeScan
DETTAGLI
Accertarsi che gli agenti siano in grado di connettersi al server
OfficeScan. Solo gli agenti online ricevono la notifica del
passaggio a Smart Scan. Gli agenti offline ricevono la notifica
quando sono online. Gli agenti roaming ricevono la notifica
quando sono online oppure, se l'agente possiede privilegi di
aggiornamento pianificato, quando viene eseguito un
aggiornamento pianificato.
Verificare inoltre che il server OfficeScan disponga dei
componenti più recenti perché gli agenti Smart Scan devono
scaricare Smart Scan Agent Pattern dal server. Per
aggiornare i componenti, vedere Aggiornamenti server
OfficeScan a pagina 6-17.
Numero degli agenti
che effettuano il
passaggio
Se il numero di agenti che passa contemporaneamente alla
Scansione convenzionale è relativamente esiguo, è possibile
utilizzare in maniera efficiente le risorse del server OfficeScan.
Il server OfficeScan è in grado di eseguire altre operazioni
importanti durante il passaggio da un metodo di scansione
all'altro.
Tempistica
Quando passano a Smart Scan per la prima volta, gli agenti
devono scaricare la versione completa di Smart Scan Agent
Pattern dal server OfficeScan. Smart Scan Pattern viene
utilizzato solo dagli agenti Smart Scan.
Per fare in modo che il processo di download termini in tempi
brevi, è opportuno effettuare il passaggio durante l'orario a
traffico ridotto. Si consiglia inoltre di effettuare l'operazione
quando per gli agenti non sono pianificati aggiornamenti dal
server. Disattivare temporaneamente anche "Aggiorna ora"
negli agenti e riattivare la funzione una volta effettuato il
passaggio a Smart Scan.
7-13
Guida per l'amministratore di OfficeScan™ 11.0
CONSIDERAZIONE
Impostazioni della
struttura agente
DETTAGLI
Il metodo di scansione è un'impostazione estremamente
flessibile che può essere impostata a livello principale (root),
di dominio o di singolo agente. Quando si passa a Smart Scan
è possibile:
•
Creare un nuovo dominio della struttura agente e
assegnargli Smart Scan come metodo di scansione. Gli
agenti trasferiti su questo dominio utilizzano Smart Scan.
Quando si trasferisce l'agente, attivare l'impostazione
Applica le impostazioni del nuovo dominio agli agenti
selezionati.
•
Selezionare un dominio e configurarlo in modo che utilizzi
Smart Scan. Gli agenti con la scansione convenzionale
che appartengono al dominio passeranno a Smart Scan.
•
Selezionare uno o più agenti con scansione
convenzionale da un dominio e poi effettuare il passaggio
a Smart Scan.
Nota
I cambiamenti al metodo di scansione del dominio
sovrascrivono il metodo di scansione configurato per i
singoli agenti.
7-14
Analisi dei rischi per la sicurezza
CONSIDERAZIONE
Supporto IPv6
DETTAGLI
Gli agenti Smart Scan inviano query di scansione alle origini
Smart Protection.
Un agente Smart Scan IPv6 puro non è in grado di inviare
query direttamente alle origini IPv4 pure, come:
•
Smart Protection Server 2.0 (integrato o standalone)
Nota
Il supporto IPv6 per Smart Protection Server è
stato introdotto nella versione 2.5.
•
Trend Micro Smart Protection Network
Analogamente, un agente Smart Scan IPv4 puro non è in
grado di inviare query agli Smart Protection Server IPv6 puri.
Per consentire agli agenti Smart Scan di connettersi alle
origini, è necessario un server proxy dual-stack in grado di
convertire gli indirizzi IP, come ad esempio DeleGate.
Tipi di scansione
Per proteggere i computer agente OfficeScan dai rischi per la sicurezza, OfficeScan
fornisce i seguenti tipi di scansione:
TABELLA 7-5. Tipi di scansione
TIPO DI SCANSIONE
Scansione in
tempo reale
DESCRIZIONE
Esegue la scansione automatica di un file sull'dispositivo quando
viene ricevuto, aperto, scaricato, copiato o modificato
Per informazioni, vedere Scansione in tempo reale a pagina 7-16.
Scansione
manuale
Una scansione avviata dall'utente che analizza un file o un insieme
di file per iniziativa dell'utente.
Per informazioni, vedere Scansione manuale a pagina 7-19.
7-15
Guida per l'amministratore di OfficeScan™ 11.0
TIPO DI SCANSIONE
Scansione
pianificata
DESCRIZIONE
Esegue la scansione automatica di file sull'dispositivo in base alla
pianificazione configurata dall'utente finale o dall'amministratore.
Per informazioni, vedere Scansione pianificata a pagina 7-21.
Esegui scansione
Una scansione avviata dall'amministratore per analizzare i file in uno
o più computer di destinazione.
Per informazioni, vedere Esegui scansione a pagina 7-24.
Scansione in tempo reale
La scansione in tempo reale è una scansione continua e costante. Ogni volta che un file
viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale
analizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rileva
rischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. Se
OfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informatica
probabili, visualizza un messaggio di notifica che indica il nome del file infetto e il
rischio per la sicurezza specifico.
La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni
volta che l'agente OfficeScan viene avviato. L'agente OfficeScan tiene traccia di tutte le
modifiche ai file o alle cartelle verificatisi dalla rimozione dell'agente OfficeScan,
eliminando questi file dalla cache.
Nota
Per modificare il messaggio di notifica, aprire la console Web e accedere a
Amministrazione > Notifiche > Agente.
Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più agenti e
domini oppure a tutti gli agenti gestiti dal server.
7-16
Analisi dei rischi per la sicurezza
Configurare le impostazioni della scansione in tempo reale
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
scansione in tempo reale.
4.
Selezionare le seguenti opzioni:
•
Attiva scansione antivirus/minacce informatiche
•
Attiva scansione spyware/grayware
) per includere
Nota
Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la
scansione per rilevare spyware/grayware verrà disattivata. Durante un'infezione
virale, per impedire al virus di modificare o eliminare i file e le cartelle nei
computer agente, non è possibile disattivare Scansione in tempo reale (se
originariamente disattivata viene attivata automaticamente).
5.
6.
Configurare i criteri di scansione seguenti:
•
Attività utente sui file a pagina 7-28
•
File da esaminare a pagina 7-28
•
Impostazioni di scansione a pagina 7-29
•
Esclusioni scansione a pagina 7-32
Fare clic sulla scheda Azione e configurare le seguenti opzioni:
7-17
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 7-6. Azioni di Scansione in tempo reale
AZIONE
Azione di Virus e
minacce informatiche
RIFERIMENTO
Azione primaria (effettuare una selezione):
•
Usa ActiveAction a pagina 7-39
•
Stessa operazione per tutti i tipi virus o minaccia
informatica a pagina 7-41
•
Azione specifica per ogni tipo di virus o minaccia a
pagina 7-41
Nota
Per ulteriori informazioni sulle varie azioni, vedere
Azioni di scansione di virus/minacce informatiche a
pagina 7-37.
Ulteriori azioni di virus e minacce informatiche:
Azione di spyware/
grayware
•
Directory di quarantena a pagina 7-41
•
Crea copia di backup prima di disinfettare a pagina
7-43
•
Damage Cleanup Services a pagina 7-43
•
Mostra notifica al rilevamento di spyware/grayware a
pagina 7-45
•
Mostra notifica al rilevamento di probabile spyware/
grayware a pagina 7-45
Azione primaria:
•
Azioni di scansione spyware/grayware a pagina
7-50
Ulteriori azioni di spyware/grayware:
•
7-18
Mostra notifica al rilevamento di spyware/grayware a
pagina 7-51
Analisi dei rischi per la sicurezza
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Scansione manuale
Scansione manuale è un metodo di scansione su richiesta che viene avviato
immediatamente dopo che un utente esegue la scansione nella console dell'agente
OfficeScan. Il tempo necessario per completare la scansione dipende dal numero di file
da analizzare e dalle risorse hardware dell'dispositivo agente OfficeScan.
Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti e
domini oppure a tutti gli agenti gestiti dal server.
Configurazione della scansione manuale
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
scansione manuale.
4.
Nella scheda Destinazione, configurare le opzioni riportate di seguito:
•
) per includere
File da esaminare a pagina 7-28
7-19
Guida per l'amministratore di OfficeScan™ 11.0
5.
•
Impostazioni di scansione a pagina 7-29
•
Uso della CPU a pagina 7-31
•
Esclusioni scansione a pagina 7-32
Fare clic sulla scheda Azione e configurare le seguenti opzioni:
TABELLA 7-7. Azione di scansione manuale
AZIONE
Azione di Virus e
minacce informatiche
RIFERIMENTO
Azione primaria (effettuare una selezione):
•
Usa ActiveAction a pagina 7-39
•
Stessa operazione per tutti i tipi virus o minaccia
informatica a pagina 7-41
•
Azione specifica per ogni tipo di virus o minaccia a
pagina 7-41
Nota
Per ulteriori informazioni sulle varie azioni, vedere
Azioni di scansione di virus/minacce informatiche a
pagina 7-37.
Ulteriori azioni di virus e minacce informatiche:
Azione di spyware/
grayware
6.
7-20
•
Directory di quarantena a pagina 7-41
•
Crea copia di backup prima di disinfettare a pagina
7-43
•
Damage Cleanup Services a pagina 7-43
Azione primaria:
•
Azioni di scansione spyware/grayware a pagina
7-50
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
Analisi dei rischi per la sicurezza
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Scansione pianificata
Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate.
Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, per
una più efficiente gestione delle scansioni.
Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti e
domini oppure a tutti gli agenti gestiti dal server.
Configurazione della scansione pianificata
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
scansione pianificata.
4.
Selezionare le seguenti opzioni:
•
Attiva scansione antivirus/minacce informatiche
•
Attiva scansione spyware/grayware
) per includere
7-21
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione
per rilevare spyware/grayware verrà disattivata.
5.
6.
7-22
Configurare i criteri di scansione seguenti:
•
Pianificazione a pagina 7-32
•
File da esaminare a pagina 7-28
•
Impostazioni di scansione a pagina 7-29
•
Uso della CPU a pagina 7-31
•
Esclusioni scansione a pagina 7-32
Fare clic sulla scheda Azione e configurare le seguenti opzioni:
Analisi dei rischi per la sicurezza
TABELLA 7-8. Azioni di Scansione pianificata
AZIONE
Azione di Virus e
minacce informatiche
RIFERIMENTO
Azione primaria (effettuare una selezione):
•
Usa ActiveAction a pagina 7-39
•
Stessa operazione per tutti i tipi virus o minaccia
informatica a pagina 7-41
•
Azione specifica per ogni tipo di virus o minaccia a
pagina 7-41
Nota
Per ulteriori informazioni sulle varie azioni, vedere
Azioni di scansione di virus/minacce informatiche a
pagina 7-37.
Ulteriori azioni di virus e minacce informatiche:
Azione di spyware/
grayware
•
Directory di quarantena a pagina 7-41
•
Crea copia di backup prima di disinfettare a pagina
7-43
•
Damage Cleanup Services a pagina 7-43
•
Mostra notifica al rilevamento di spyware/grayware a
pagina 7-45
•
Mostra notifica al rilevamento di probabile spyware/
grayware a pagina 7-45
Azione primaria:
•
Azioni di scansione spyware/grayware a pagina
7-50
Ulteriori azioni di spyware/grayware:
•
Mostra notifica al rilevamento di spyware/grayware a
pagina 7-51
7-23
Guida per l'amministratore di OfficeScan™ 11.0
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Esegui scansione
Esegui scansione viene avviata in remoto dall'amministratore di OfficeScan mediante la
console Web e può essere mirata a uno o più computer agente.
Configurare e applicare le impostazioni di Esegui scansione a uno o più agenti e domini
oppure a tutti gli agenti gestiti dal server.
Configurazione delle impostazioni della scansione
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
funzione Esegui scansione.
4.
Selezionare le seguenti opzioni:
7-24
•
Attiva scansione antivirus/minacce informatiche
•
Attiva scansione spyware/grayware
) per includere
Analisi dei rischi per la sicurezza
Nota
Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione
per rilevare spyware/grayware verrà disattivata.
5.
6.
Configurare i criteri di scansione seguenti:
•
File da esaminare a pagina 7-28
•
Impostazioni di scansione a pagina 7-29
•
Uso della CPU a pagina 7-31
•
Esclusioni scansione a pagina 7-32
Fare clic sulla scheda Azione e configurare le seguenti opzioni:
TABELLA 7-9. Azioni di Esegui scansione
AZIONE
Azione di Virus e
minacce informatiche
RIFERIMENTO
Azione primaria (effettuare una selezione):
•
Usa ActiveAction a pagina 7-39
•
Stessa operazione per tutti i tipi virus o minaccia
informatica a pagina 7-41
•
Azione specifica per ogni tipo di virus o minaccia a
pagina 7-41
Nota
Per ulteriori informazioni sulle varie azioni, vedere
Azioni di scansione di virus/minacce informatiche a
pagina 7-37.
Ulteriori azioni di virus e minacce informatiche:
•
Directory di quarantena a pagina 7-41
•
Crea copia di backup prima di disinfettare a pagina
7-43
•
Damage Cleanup Services a pagina 7-43
7-25
Guida per l'amministratore di OfficeScan™ 11.0
AZIONE
Azione di spyware/
grayware
7.
RIFERIMENTO
Azione primaria:
•
Azioni di scansione spyware/grayware a pagina
7-50
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Avvio di Esegui scansione
Avviare Esegui scansione nei computer che si sospetta siano infetti.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Operazioni > Esegui scansione.
4.
Per modificare le impostazioni Esegui scansione pre-configurate prima di avviare
la scansione, fare clic su Impostazioni.
) per includere
Viene aperta la schermata Impostazioni funzione Esegui scansione. Per
informazioni, vedere Esegui scansione a pagina 7-24.
7-26
Analisi dei rischi per la sicurezza
5.
Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clic
su Avvia Esegui scansione.
Nota
Se non si seleziona alcun agente, OfficeScan invia automaticamente una notifica a
tutti gli agenti della struttura agente.
Il server invia una notifica agli agenti.
6.
Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la
notifica.
7.
Fare clic su Seleziona dispositivo non notificati, quindi su Avvia Esegui
scansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta.
Esempio: Numero totale di agenti: 50
TABELLA 7-10. Scenari di agenti non notificati
SELEZIONE STRUTTURA
AGENTE
AGENTI NOTIFICATI (DOPO
"AVVIA
ESEGUI SCANSIONE")
AVER FATTO CLIC SU
AGENTI NON NOTIFICATI
Nessuno (tutti i 50 agenti
selezionati
automaticamente)
35 su 50 agenti
15 agenti
Selezione manuale (45 su
50 agenti selezionati)
40 su 45 agenti
5 agenti + altri 5 agenti
non inclusi nella selezione
manuale
8.
Fare clic su Interrompi notifica per richiedere a OfficeScan di interrompere
l'invio della notifica agli agenti. Gli agenti che hanno già ricevuto la notifica e
hanno già avviato il processo di scansione ignoreranno questo comando.
9.
Per gli agenti che stanno già eseguendo la scansione, fare clic su Interrompi
Esegui scansione per richiedere l'interruzione della scansione.
7-27
Guida per l'amministratore di OfficeScan™ 11.0
Impostazioni comuni a tutti i tipi di scansione
Per ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri di
scansione, esclusioni di scansione e azioni di scansione. Implementare queste
impostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server.
Parametri di scansione
Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributi
dei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano la
scansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di file
dopo averlo scaricato nell'dispositivo.
Attività utente sui file
Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delle
opzioni seguenti:
•
Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdotti
nell'dispositivo (ad esempio dopo il download di un file) o dei file modificati
•
Scansione dei file recuperati: esegue la scansione dei file alla loro apertura
•
Scansione dei file creati/modificati e recuperati
Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nell'dispositivo
viene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimane
nella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente lo
apre e, se l'utente lo modifica, prima che le modifiche vengano salvate.
File da esaminare
Selezionare una delle opzioni seguenti:
•
7-28
Tutti i file analizzabili: esegue la scansione di tutti i file
Analisi dei rischi per la sicurezza
•
Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possono
potenzialmente nascondere codici dannosi, compresi quelli mascherati da nomi
estensione innocui. Per informazioni, vedere IntelliScan a pagina E-6.
•
File con le seguenti estensioni: esegue solo la scansione dei file con estensione
compresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuovere
quelle esistenti.
Impostazioni di scansione
Selezionare una o più opzioni tra quelle elencate di seguito:
•
Scansione del disco floppy allo spegnimento del sistema: Scansione in tempo
reale esegue la scansione del disco floppy per rilevare virus da boot prima dello
spegnimento dell'dispositivo. Ciò impedisce l'esecuzione di virus/minacce
informatiche quando un utente riavvia l'dispositivo dal disco.
•
Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascoste
dell'dispositivo e di eseguirne la scansione durante Scansione manuale
•
Analizza unità di rete: esegue la scansione delle cartelle o delle unità di rete
mappate nell'dispositivo agente OfficeScan durante Scansione manuale o Scansione
in tempo reale.
•
Esegui la scansione del settore boot del dispositivo di archiviazione USB
dopo il collegamento: esegue la scansione automatica del settore boot di un
dispositivo di archiviazione USB quando viene collegato con Scansione in tempo
reale.
•
Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibili
dopo il collegamento: esegue la scansione automatica di tutti i file di un
dispositivo di archiviazione USB quando viene collegato con Scansione in tempo
reale.
•
Varianti di malware in quarantena rilevate nella memoria: Monitoraggio del
comportamento effettua la scansione della memoria di sistema per processi sospetti
mentre Scansione in tempo reale mappa il processo e ne esegue la scansione per le
minacce informatiche. Se è presente una minaccia informatica, Scansione in tempo
reale sottopone a quarantena il processo e/o il file.
7-29
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Per utilizzare questa funzione gli amministratori devono attivare il Servizio
prevenzione modifiche non autorizzate e il Servizio di protezione avanzata.
•
Scansione dei file compressi: consente a OfficeScan di analizzare il numero
specificato di livelli di compressione e ignora tutti i livelli in eccesso. Inoltre
OfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio,
se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli,
OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compresso
contiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file.
Nota
OfficeScan considera i file Microsoft Office 2007 in formato Office Open XML
come file compressi. Office Open XML, il formato file per le applicazioni Office
2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati con
queste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, è
necessario attivare la scansione dei file compressi.
•
Analizza oggetti OLE: quando un file contiene più livelli OLE (Object Linking
and Embedding), OfficeScan esegue la scansione del numero di livelli specificato e
ignora i livelli rimanenti.
Tutti gli agenti OfficeScan gestiti dal server controllano questa impostazione
durante le funzioni Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione. La scansione per rilevare virus/minacce
informatiche e spyware/grayware viene eseguita su ciascun livello.
Ad esempio:
si supponga che il numero di livelli specificati sia 2 e che un file abbia un
documento Microsoft Word incorporato (primo livello) all'interno del quale è
presente un foglio di calcolo Microsoft Excel (secondo livello) che contiene un
file .exe (terzo livello). OfficeScan esegue la scansione del documento Word e del
foglio di calcolo Excel, ma ignora il file .exe.
•
7-30
Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consente
di identificare in modo euristico eventuali minacce informatiche controllando
che i file Microsoft Office non contengano codice di minaccia.
Analisi dei rischi per la sicurezza
Nota
Il numero di livelli specificato è applicabile a entrambe le opzioni Analizza
oggetti OLE e Rileva codice maligno.
•
Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibili
compressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Per
informazioni, vedere IntelliTrap a pagina E-7.
•
Esamina settore boot: esegue la scansione del settore boot del disco rigido
dell'dispositivo agente per rilevare virus/minacce informatiche durante Scansione
manuale, Scansione pianificata ed Esegui scansione
Uso della CPU
È possibile impostare in OfficeScan una pausa tra una scansione di un file e quella
successiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansione
pianificata ed Esegui scansione.
Selezionare una delle opzioni seguenti:
•
Alto: nessuna pausa tra le scansioni
•
Medio: effettua una pausa tra una scansione file e quella successiva, se il consumo
di risorse della CPU è superiore al 50%; in caso contrario non effettua la pausa.
•
Basso: effettua una pausa tra una scansione file e quella successiva, se il consumo
di risorse della CPU è superiore al 20%; in caso contrario non effettua la pausa.
Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU è
inferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa riducendo in
tal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo ma
poiché il consumo di CPU è ottimale, le prestazioni dell'dispositivo non ne risentono in
modo sensibile. Quando il consumo di CPU comincia ad eccedere il valore di soglia,
OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando il
consumo torna al di sotto del valore di soglia.
Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue la
scansione dei file senza pause.
7-31
Guida per l'amministratore di OfficeScan™ 11.0
Pianificazione
Configurare la frequenza (giornaliera, settimanale o mensile) e l'ora di esecuzione della
Scansione pianificata.
Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno del
mese o della settimana e l'ordine di ricorrenza.
•
•
Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Se
si seleziona il 29, 30 o 31 di un mese che non ha tale giorno, la Scansione
pianificata viene eseguita l'ultimo giorno del mese. Quindi:
•
Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (ad
eccezione degli anni bisestili) e il 29 di tutti gli altri mesi.
•
Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraio
e il 30 di tutti gli altri mesi.
•
Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio,
il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi.
Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimana
ricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattro
lunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Ad
esempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ogni
mese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste la
quinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza.
Esclusioni scansione
La configurazione delle esclusioni di scansione consente di migliorare le prestazioni della
scansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si
esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione della
scansione per determinare i file dell'dispositivo che devono essere esclusi dalla scansione
per il rilevamento di virus/minacce informatiche e spyware/grayware.
Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di un
file negli scenari riportati di seguito:
•
7-32
Il file si trova in una directory specifica (o in una delle sottodirectory).
Analisi dei rischi per la sicurezza
•
Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione.
•
L'estensione del file corrisponde a un'estensione contenuta nell'elenco di
esclusione.
Suggerimento
Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in tempo
reale, accedere a:
http://esupport.trendmicro.com/solution/en-US/1059770.aspx
Eccezioni con caratteri jolly
Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratteri
jolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione di
diversi caratteri.
Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del carattere
jolly potrebbero comportare l'esclusione dalla scansione delle directory e dei file
sbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file)
escluderebbe l'intera unità C:\.
TABELLA 7-11. Esclusioni dalla scansione con caratteri jolly
VALORE
ESCLUSI
NON ESCLUSI
c:\director*\fil
\*.txt
c:\directory\fil\doc.txt
c:\directory\file\
c:\directories\fil\files
\document.txt
c:\directories\files\
c:\directory\file\doc.txt
c:\directories\files
\document.txt
c:\director?
\file\*.txt
c:\directory\file
\doc.txt
c:\directories\file
\document.txt
c:\director?
\file\?.txt
c:\directory\file\1.txt
c:\directory\file\doc.txt
c:\directories\file
\document.txt
7-33
Guida per l'amministratore di OfficeScan™ 11.0
VALORE
ESCLUSI
C:\
Tutti gli altri tipi di file nella
directory C:\
[]
Non supportato
Non supportato
*.*
Non supportato
Non supportato
c:\*.txt
Tutti i file .txt nella directory
NON ESCLUSI
Elenco di esclusione scansione (directory)
OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica del
computer. È possibile specificare al massimo 256 directory.
Nota
Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte le
relative sottodirectory dalle scansioni.
Inoltre è possibile selezionare l'opzione Escludi directory di installazione dei
programmi Trend Micro. Se si seleziona questa opzione OfficeScan esclude
automaticamente dalla scansione le directory dei seguenti prodotti Trend Micro:
•
<Cartella di installazione del server>
•
ScanMail™ per Microsoft Exchange (tutte le versioni tranne la versione 7). Se si
utilizza la versione 7, aggiungere all'elenco di esclusione le seguenti cartelle:
•
\Smex\Temp
•
\Smex\Storage
•
\Smex\ShareResPool
•
ScanMail eManager™ 3.11, 5.1, 5.11, 5.12
•
ScanMail for Lotus Notes™ eManager NT
•
InterScan Web Security Suite
•
InterScan Web Protect
7-34
Analisi dei rischi per la sicurezza
•
InterScan FTP VirusWall
•
InterScan Web VirusWall
•
InterScan E-mail VirusWall
•
InterScan VirusWall 3.53
•
InterScan NSAPI Plug-in
•
InterScan eManager 3.5x
Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungere
manualmente la directory del prodotto all'elenco di esclusione dalla scansione.
Configurare inoltre OfficeScan per escludere le direcrory di Microsoft Exchange
2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti >
Impostazioni globali agente. Se si utilizza Microsoft Exchange 2007 o versioni
successive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione.
Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito:
http://technet.microsoft.com/en-us/library/bb332342.aspx
Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:
•
Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per
impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.
Per salvare e implementare le modifiche effettuate all'elenco di esclusione,
selezionare una delle altre opzioni.
•
Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione
sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli
agenti, OfficeScan visualizza un messaggio di conferma.
•
Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di
esclusione dell'agente, l'agente lo ignorerà.
•
Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente, se presenti.
7-35
Guida per l'amministratore di OfficeScan™ 11.0
Elenco di esclusione scansione (file)
OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno dei
nomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in un
determinato percorso dell'dispositivo, includere il percorso, ad esempio C:\Temp
\esempio.jpg.
È possibile specificare al massimo 256 file.
Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni:
•
Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per
impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente.
Per salvare e implementare le modifiche effettuate all'elenco di esclusione,
selezionare una delle altre opzioni.
•
Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione
sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli
agenti, OfficeScan visualizza un messaggio di conferma.
•
Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di
esclusione dell'agente, l'agente lo ignorerà.
•
Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente
all'elenco di esclusione esistente dell'agente, se presenti.
Elenco di esclusione scansione (estensione file)
OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a una
delle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo
256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione.
Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando si
specificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti i
file le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitare
D*.
Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un punto
interrogativo (?) o un asterisco (*) come carattere jolly.
7-36
Analisi dei rischi per la sicurezza
Applica impostazioni di esclusione scansione a tutti i tipi di
scansione
OfficeScan consente di configurare le impostazioni di esclusione per un tipo di
scansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione.
Ad esempio:
Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computer
agente e si rende conto che questi file non rappresentano una minaccia alla sicurezza.
Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applica
questa impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale,
Esegui scansione e Scansione pianificata sono impostate in modo da ignorare i
file .jpg.
Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione in
tempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Ora
i file JPG vengono sottoposti a scansione solo con Scansione in tempo reale.
Azioni di scansione
Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva un
rischio per la sicurezza. OfficeScan ha gruppi di azioni o operazioni di scansione
differenti per virus/minacce informatiche e spyware/grayware.
Azioni di scansione di virus/minacce informatiche
L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minaccia
informatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Ad
esempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minaccia
informatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione
(operazione) del file infetto.
Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacce
informatiche a pagina 7-2.
Di seguito sono riportate le operazioni di OfficeScan contro virus/minacce
informatiche:
7-37
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 7-12. Azioni di scansione di virus/minacce informatiche
AZIONE
DESCRIZIONE
Elimina
OfficeScan elimina il file infetto.
Metti in
quarantena
OfficeScan rinomina e sposta il file infetto in una directory di quarantena
temporanea sull'dispositivo agente, che si trova in <Cartella di
installazione dell'agente>\Suspect.
L'agente OfficeScan invia i file in quarantena alla directory di quarantena
designata. Per informazioni, vedere Directory di quarantena a pagina
7-41.
La directory di quarantena predefinita si trova sul server OfficeScan in
<Cartella di installazione del server>\PCCSRV\Virus. OfficeScan codifica
i file in quarantena inviati a questa directory.
Se occorre ripristinare i file in quarantena, utilizzare lo strumento
VSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento,
vedere Server Tuner a pagina 13-55.
Disinfetta
Prima di consentire l'accesso completo al file, OfficeScan disinfetta il file
infetto.
Se il file non può essere disinfettato, OfficeScan esegue una seconda
operazione: Metti in quarantena, Elimina, Rinomina, e Ignora. Per
configurare la seconda azione, accedere a Agenti > Gestione agente.
Fare clic sulla scheda Impostazioni > Impostazioni di scansione >
{Tipo di scansione} > Azione.
Questa operazione può essere eseguita su tutti i tipi di minacce
informatiche ad eccezione di virus/minacce informatiche probabili.
Rinomina
OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti non
possono aprire il file rinominato immediatamente ma solo se lo associano
a una determinata applicazione.
All'apertura del file infetto rinominato, il virus o la minaccia informatica in
esso contenuti potrebbero entrare in azione.
7-38
Analisi dei rischi per la sicurezza
AZIONE
DESCRIZIONE
Ignora
OfficeScan può utilizzare questa operazione di scansione solo se rileva
un tipo di virus durante Scansione manuale, Scansione pianificata ed
Esegui scansione. OfficeScan non può utilizzare questa operazione di
scansione durante la Scansione in tempo reale perché la mancata
esecuzione di un'operazione quando si rileva un tentativo di aprire o
eseguire un file infetto consente l'esecuzione del virus/della minaccia.
Tutte le altre azioni di scansione possono essere utilizzate.
Impedisci
l'accesso
Questa operazione di scansione può essere eseguita solo durante la
scansione in tempo reale. Quando OfficeScan rileva un tentativo di aprire
o eseguire un file infetto, blocca immediatamente l'operazione.
Gli utenti possono eliminare manualmente il file infetto.
Usa ActiveAction
Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. La
personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce
informatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveAction
per contrastare questi problemi.
ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacce
informatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione o
se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/
minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.
L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito.
•
ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è
necessario dedicare tempo alla configurazione delle operazioni.
•
Gli sviluppatori di virus/minacce informatiche modificano costantemente il modo
in cui i virus attaccano i computer. Le impostazioni di ActiveAction vengono
aggiornate per fornire protezione dalle minacce più recenti e dalle modalità di
attacco di virus/minacce informatiche più recenti.
Nota
ActiveAction non è disponibile per la scansione spyware/grayware.
7-39
Guida per l'amministratore di OfficeScan™ 11.0
La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus e
minacce informatiche:
TABELLA 7-13. Operazioni di scansione consigliate da Trend Micro contro virus e
minacce informatiche
TIPO DI VIRUS/
SCANSIONE IN TEMPO REALE
SCANSIONE MANUALE/SCANSIONE
PIANIFICATA/ESEGUI SCANSIONE
MINACCIA
INFORMATICA
PRIMA
SECONDA
PRIMA
SECONDA
OPERAZIONE
OPERAZIONE
OPERAZIONE
OPERAZIONE
Programma Joke
Metti in
quarantena
Elimina
Metti in
quarantena
Elimina
Programma
cavallo di Troia
Metti in
quarantena
Elimina
Metti in
quarantena
Elimina
Virus
Disinfetta
Metti in
quarantena
Disinfetta
Metti in
quarantena
virus di prova
Impedisci
l'accesso
N.D.
Ignora
N.D.
Packer
Metti in
quarantena
N.D.
Metti in
quarantena
N.D.
Altro
Disinfetta
Metti in
quarantena
Disinfetta
Metti in
quarantena
Probabile virus/
minaccia
informatica
Impedisci
l'accesso o
azione
configurata
dall'utente
N.D.
Ignora o
azione
configurata
dall'utente
N.D.
Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso"
durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansione
pianificata ed Esegui scansione. Se non si desidera impostare queste azioni come
preferite, è possibile modificarle in Quarantena, Elimina o Rinomina.
7-40
Analisi dei rischi per la sicurezza
Stessa operazione per tutti i tipi virus o minaccia
informatica
Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/
minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se come
prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che
OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è
"Disinfetta", non è possibile configurare una seconda operazione.
Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azione
quando rileva probabili virus/minacce informatiche.
Azione specifica per ogni tipo di virus o minaccia
Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus o
minaccia informatica.
Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informatiche
probabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si è
scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se
la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile
configurare una seconda operazione.
Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione,
ad eccezione di "Disinfetta".
Directory di quarantena
Se l'azione di un file infetto è "Quarantena", l'agente OfficeScan crittografa il file e lo
trasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente>
\SUSPECT e poi invia il file alla directory di quarantena designata.
Nota
Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, è
possibile ripristinarli. Per ulteriori dettagli, vedere Ripristino dei file crittografati a pagina 7-46.
7-41
Guida per l'amministratore di OfficeScan™ 11.0
Accettare la directory di quarantena predefinita, che si trova nel computer server
OfficeScan. La directory è in formato URL e contiene il nome host del server o
l'indirizzo IP.
•
Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gli
agenti possano inviare file in quarantena al server.
•
Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),
solo gli agenti IPv4 puri e dual-stack possono inviare file in quarantena al server.
•
Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),
solo gli agenti IPv6 puri e dual-stack possono inviare file in quarantena al server.
È anche possibile specificare una directory di quarantena alternativa immettendo il
percorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devono
essere in grado di connettersi a questa directory alternativa. Ad esempio, la directory
alternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da agenti dualstack e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa,
identificando la directory con il corrispondente nome host e specificando la directory
con un percorso UNC.
Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,
percorso UNC o percorso di file assoluto:
TABELLA 7-14. Directory di quarantena
DIRECTORY DI
FORMATO
QUARANTENA
ACCETTATO
Una directory sul
computer server
OfficeScan
7-42
ESEMPIO
URL
http:// <server
osce>
Percorso
UNC
\\<server osce>\
ofcscan\Virus
NOTE
Questa è la directory predefinita.
Configurare le impostazioni di
questa directory, quali le
dimensioni della cartella di
quarantena. Per ulteriori dettagli,
vedere Gestore della quarantena
a pagina 13-54.
Analisi dei rischi per la sicurezza
DIRECTORY DI
FORMATO
QUARANTENA
ACCETTATO
ESEMPIO
NOTE
Accertarsi che gli agenti siano in
grado di connettersi a questa
directory. Se si specifica una
directory non valida, l'agente
OfficeScan conserva i file di
quarantena nella cartella
SUSPECT fino a quando non
viene specificata una directory di
quarantena valida. Nei registri di
virus e minacce informatiche sul
server, il risultato della scansione
è "Impossibile inviare il file da
mettere in quarantena alla cartella
in quarantena specificata".
Una directory su
un altro computer
server
OfficeScan (se
sono presenti
altri server
OfficeScan nella
rete)
URL
http:// <server2
osce>
Percorso
UNC
\\<server2 osce>
\ ofcscan\Virus
Un altro
dispositivo della
rete
Percorso
UNC
\\<nome_
computer>\temp
Una diversa
directory
sull'agente
OfficeScan
Percorso
assoluto
C:\temp
Se si utilizza il percorso UNC,
assicurarsi che la directory di
quarantena sia condivisa per il
gruppo "Tutti" e che tutti i membri
del gruppo abbiano i permessi di
lettura e scrittura.
Crea copia di backup prima di disinfettare
Se OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire il
backup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro.
OfficeScan crittografa il file di backup per prevenirne l'apertura e lo archivia nella
cartella <Cartella di installazione dell'agente>\Backup.
Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina
7-46.
Damage Cleanup Services
Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file e
dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali).
L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacce
informatiche, in base al tipo di scansione.
7-43
Guida per l'amministratore di OfficeScan™ 11.0
•
Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui
scansione, l'agente OfficeScan avvia prima Damage Cleanup Services, quindi
continua con la scansione di virus/minacce informatiche. Durante la scansione di
virus/minacce informatiche, l'agente può avviare di nuovo Damage Cleanup
Services, se necessario.
•
Durante Scansione in tempo reale, l'agente OfficeScan esegue prima la scansione di
virus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario.
È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services:
•
•
Disinfezione standard: durante la disinfezione standard, l'agente OfficeScan
esegue una delle seguenti azioni:
•
Rileva e rimuove i cavalli di Troia attivi
•
Blocca i processi innescati dai cavalli di Troia
•
Ripara i file di sistema modificati dai cavalli di Troia
•
Elimina i file e le applicazioni lasciati dai cavalli di Troia
Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'agente
OfficeScan arresta le attività dei software di sicurezza non legittimi, noti anche
come falsi antivirus, nonché di alcune varianti rootkit. L'agente OfficeScan utilizza
anche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo le
applicazioni che manifestano un comportamento rootkit e da falso antivirus.
Nota
Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altro
numero di falsi allarmi.
Damage Cleanup Services non esegue la scansione di virus/minacce informatiche
probabili a meno che non si selezioni l'opzione Esegui disinfezione quando viene
rilevato probabile virus/minaccia informatica. Selezionare questa opzione solo se
l'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso.
Ad esempio, se l'agente OfficeScan rileva virus/minacce informatiche probabili durante
Scansione in tempo reale e l'azione è Metti in quarantena, l'agente OfficeScan prima
7-44
Analisi dei rischi per la sicurezza
mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo di
disinfezione (standard o avanzata) dipende dalle opzioni selezionate.
Mostra notifica al rilevamento di spyware/grayware
Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo reale
e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di
notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal
menu a discesa Tipo in Amministrazione > Notifiche > Agente.
Mostra notifica al rilevamento di probabile spyware/
grayware
Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione in
tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un
messaggio di notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal
menu a discesa Tipo in Amministrazione > Notifiche > Agente.
Ripristino dei file in quarantena
È possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene che
il rilevamento non sia stato accurato. La funzione Ripristino Files in Quarantena
consente di cercare i file nella directory di quarantena ed eseguire una verifica SHA1 per
verificare che i file che si desidera ripristinare non siano stati modificati in alcun modo.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, selezionare un dominio o un qualsiasi agente.
3.
Fare clic su Operazioni > Ripristino Files in Quarantena.
Viene visualizzata la schermata Ripristino Files in Quarantena.
7-45
Guida per l'amministratore di OfficeScan™ 11.0
4.
Digitare il nome dei dati che si desidera ripristinare nel campo File/oggetto
infetto.
5.
Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per la
sicurezza e il percorso del file di dati.
6.
Fare clic su Cerca.
Viene visualizzata la schermata Ripristino Files in Quarantena, con i risultati
della ricerca.
7.
Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio per
assicurare che tutti gli agenti OfficeScan nei domini dove i file sono stati ripristinati
aggiungano il file all'elenco di esclusione scansione.
Questa operazione assicura che OfficeScan non rilevi il file come minaccia durante
le future scansioni.
8.
Facoltativamente, digitare il valore SHA1 del file a scopo di verifica.
9.
Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina.
Suggerimento
Per visualizzare i singoli agenti OfficeScan che ripristinano il file, fare clic sul
collegamento nella colonna Dispositivo.
10. Fare clic su Chiudi nella finestra di dialogo di conferma.
Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena,
vedere Visualizzazione dei registri di ripristino files in quarantena a pagina 7-98.
Ripristino dei file crittografati
Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportati
di seguito:
•
Prima di mettere un file in quarantena
•
Quando si esegue un backup di un file prima di disinfettarlo
7-46
Analisi dei rischi per la sicurezza
OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sia
necessario recuperare le informazioni in esso contenute. OfficeScan può decodificare e
ripristinare i file seguenti:
TABELLA 7-15. File soggetti a decodifica e ripristino in OfficeScan
FILE
DESCRIZIONE
File messi in
quarantena
nell'dispositivo agente
Questi file si trovano in <Cartella di installazione dell'agente>
\SUSPECT\Backup e vengono automaticamente cancellati dopo
7 giorni. Questi file inoltre vengono caricati nella directory di
quarantena nel server OfficeScan.
File in quarantena
nella directory di
quarantena designata
Per impostazione predefinita questa directory si trova nel
computer server OfficeScan. Per ulteriori dettagli, vedere
Directory di quarantena a pagina 7-41.
File crittografati di
backup
I file di backup dei file infetti disinfettati da OfficeScan. Questi
file si trovano in <Cartella di installazione
dell'agente>\Backup. Per ripristinare questi file, gli utenti
devono trasferirli nella <Cartella di installazione
dell'agente>\SUSPECT\Backup.
OfficeScan esegue il backup e la crittografia dei file prima di
disinfettarli solo se si seleziona la scheda Esegui backup dei
file prima della disinfezione in Agenti > Gestione agente >
Impostazioni > Impostazioni di scansione > {tipo di
scansione} > Azione.
AVVERTENZA!
Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche ad
altri file e computer. Prima di ripristinare il file, isolare l'dispositivo infetto e trasferire i file
importanti dell'dispositivo in un percorso di backup.
Decodifica e ripristino dei file
Procedura
•
Se il file si trova nell'dispositivo agente OfficeScan:
a.
Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>.
7-47
Guida per l'amministratore di OfficeScan™ 11.0
b.
Eseguire VSEncode.exe facendo doppio clic sul file o digitando quanto
segue nel prompt dei comandi:
VSEncode.exe /u
Questo parametro apre una schermata contenente un elenco dei file presenti
in <Cartella di installazione dell'agente>\SUSPECT
\Backup.
c.
Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in
grado di ripristinare un solo file alla volta.
d.
Nella schermata visualizzata specificare la cartella nella quale deve essere
ripristinato il file.
e.
Fare clic su OK. Il file viene ripristinato nella cartella specificata.
Nota
Se OfficeScan esegue di nuovo la scansione del file subito dopo che è stato
ripristinato, è possibile che venga considerato infetto. Per impedire la scansione
del file, aggiungerlo all'elenco di esclusione della scansione. Per informazioni,
vedere Esclusioni scansione a pagina 7-32.
f.
•
Terminato il ripristino dei file, fare clic su Chiudi.
Se il file si trova nel server OfficeScan o in una directory di quarantena
personalizzata:
a.
Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandi
e accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility
\VSEncrypt.
Se il file si trova in una directory di quarantena personalizzata, accedere a
<Cartella di installazione del server>\PCCSRV\Admin
\Utility e copiare la cartella VSEncrypt nell'dispositivo contenente la
directory di quarantena personalizzata.
b.
Creare un file di testo e digitare l'intero percorso dei file da codificare o
decodificare.
Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare
nel file di testo C:\Documenti\Reports\*.*.
7-48
Analisi dei rischi per la sicurezza
I file in quarantena nel computer server OfficeScan si trovano in <Cartella
di installazione del server>\PCCSRV\Virus.
c.
d.
Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con il
nome PerCrittografia.ini nell'unità C: .
Aprire un prompt dei comandi e andare alla directory in cui si trova la cartella
VSEncrypt.
e.
Digitare il comando riportato di seguito per eseguire VSEncode.exe:
VSEncode.exe /d /i <percorso del file INI o TXT>
Dove:
<percorso del file INI o TXT> è il percorso del file INI o TXT
creato (ad esempio C:\ForEncryption.ini).
f.
Utilizzare gli altri parametri per ottenere comandi diversi.
TABELLA 7-16. Parametri di ripristino
PARAMETRO
DESCRIZIONE
Nessuno (nessun
parametro)
Codifica i file
/d
Decodifica i file
/debug
Creare un registro di debug e salvarlo
nell'dispositivo. Nell'dispositivo agente OfficeScan, il
registro di debug VSEncrypt.log viene creato in
<Cartella di installazione dell'agente>.
/o
Sovrascrive il file crittografato o decrittografato già
esistente
/f <nome file>.
Codifica o decodifica un solo file
/nr
Non ripristina il nome del file originale
/v
Visualizza le informazioni sullo strumento
/u
Avvia l'interfaccia utente dello strumento
7-49
Guida per l'amministratore di OfficeScan™ 11.0
PARAMETRO
DESCRIZIONE
/r <Cartella di
destinazione>
Cartella contenente il file ripristinato
/s <Nome del file
originale>
Il nome del file crittografato originale
Ad esempio, è possibile digitare VSEncode [/d] [/debug] per
decodificare i file nella cartella Suspect e creare un registro di debug.
Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato o
codificato nella stessa cartella. Prima di decodificare o codificare un file,
accertarsi che il file non sia bloccato.
Azioni di scansione spyware/grayware
L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che ha
rilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche per
ciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida
per tutti i tipi di spyware/grayware (per informazioni sui diversi tipi di spyware/
grayware, vedere Spyware e grayware a pagina 7-5). Ad esempio, quando OfficeScan rileva
qualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione),
esegue la disinfezione (operazione) delle relative risorse di sistema.
Nota
Le azioni di spyware/grayware sono configurabili solo tramite la console Web. La console
dell'agente OfficeScan non consente di accedere a queste impostazioni.
Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware:
7-50
Analisi dei rischi per la sicurezza
TABELLA 7-17. Azioni di scansione spyware/grayware
AZIONE
Disinfetta
DESCRIZIONE
OfficeScan interrompe i processi o elimina registri, file, cookie e
collegamenti.
Dopo aver effettuato la disinfezione di spyware e grayware, gli agenti
OfficeScan effettuano un backup dei dati relativi a spyware e grayware
così da consentirne il ripristino nel caso in cui l'utente li consideri sicuri.
Per informazioni, vedere Ripristino spyware/grayware a pagina 7-54.
Ignora
OfficeScan non esegue alcuna operazione sui componenti spyware/
grayware rilevati, ma registra il rilevamento di spyware/grayware. Questa
azione può essere utilizzata solo durante Scansione manuale, Scansione
pianificata ed Esegui scansione. Durante Scansione in tempo reale,
l'azione è "Impedisci l'accesso".
OfficeScan non esegue azioni se lo spyware/grayware rilevato non è
incluso nell'elenco approvato. Per informazioni, vedere Elenco Approvati
spyware/grayware a pagina 7-51.
Impedisci
l'accesso
OfficeScan nega all'utente l'accesso (per copia e apertura) ai componenti
grayware e spyware rilevati. Questa azione può essere eseguita solo
durante Scansione in tempo reale. Durante Scansione manuale,
Scansione pianificata ed Esegui scansione, l'azione è "Ignora".
Mostra notifica al rilevamento di spyware/grayware
Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale e
Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di
notifica per informare l'utente del rilevamento.
Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu a
discesa Tipo in Amministrazione > Notifiche > Agente.
Elenco Approvati spyware/grayware
OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file e
le applicazioni che non devono essere considerati spyware o grayware. Quando uno
spyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco
7-51
Guida per l'amministratore di OfficeScan™ 11.0
approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non esegue
alcuna azione.
Applicare l'elenco approvati a uno o più agenti e domini oppure a tutti gli agenti gestiti
dal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso
elenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale,
Scansione pianificata ed Esegui scansione.
Aggiunta di spyware/grayware già rilevato all'elenco
approvati Approvati
Procedura
1.
Accedere a una delle seguenti sezioni:
•
Agenti > Gestione agente
•
Registri > Agenti > Rischi per la sicurezza
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >
Registri di spyware/grayware.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Selezionare i registri e fare clic su Aggiungi all'elenco Approvati.
6.
Applicare gli spyware/grayware approvati solo ai computer agente selezionati o a
determinati domini.
7.
Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il server
OfficeScan aggiunge gli spyware/grayware all'elenco Approvati che si trova in
Agenti > Gestione agente > Impostazioni > Elenco Approvati spyware/
grayware.
7-52
) per includere
Analisi dei rischi per la sicurezza
Nota
OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elenco
approvati.
Gestione dell'elenco approvati spyware/grayware
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Elenco Approvati spyware/grayware.
4.
Nella tabella Nome spyware/grayware selezionare il nome dello spyware/
grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante la
selezione.
•
5.
) per includere
Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca.
OfficeScan aggiorna la tabella con i nomi che corrispondono alla parola
chiave.
Fare clic su Aggiungi.
Il nome viene aggiunto alla tabella Elenco approvati.
6.
Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic su
Rimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante la
selezione.
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
7-53
Guida per l'amministratore di OfficeScan™ 11.0
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Ripristino spyware/grayware
Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguono
il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono
considerati innocui. Scegliere i dati spyware/grayware da ripristinare basandosi
sull'orario di backup.
Nota
Gli utenti degli agenti OfficeScan non possono avviare il ripristino di spyware/grayware e
non ricevono la notifica sui dati di backup che l'agente ha ripristinato.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, aprire un dominio e selezionare un agente.
Nota
Gli spyware/grayware possono essere ripristinati solo da un agente alla volta.
3.
Fare clic su Operazioni > Ripristino spyware/grayware.
4.
Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic su
Visualizza.
Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fare
clic su Indietro.
5.
Selezionare i segmenti di dati che si desidera ripristinare.
6.
Fare clic sul pulsante Ripristina.
7-54
Analisi dei rischi per la sicurezza
OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo,
consultare i registri di ripristino spyware/grayware. Per informazioni, vedere
Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-103.
Privilegi scansione e altre impostazioni
Gli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file nei
propri computer. I privilegi di scansione consentono agli utenti o all'agente OfficeScan
di effettuare le attività seguenti:
•
Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione in
tempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansione
a pagina 7-55.
•
Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per i
dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-58.
•
Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevare
virus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altre
impostazioni a pagina 7-64.
•
L'agente OfficeScan può usare le impostazioni delle cache per migliorare le proprie
prestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni a
pagina 7-66.
Privilegi tipo di scansione
Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione in
tempo reale e Scansione pianificata.
Concessione dei privilegi tipo di scansione
Procedura
1.
Accedere a Agenti > Gestione agente.
7-55
Guida per l'amministratore di OfficeScan™ 11.0
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
) per includere
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Privilegi scansione.
5.
Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Configurazione delle impostazioni di scansione per l'agente
OfficeScan
Procedura
1.
Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella
barra delle applicazioni e selezionare Apri console agente OfficeScan.
2.
Fare clic su Impostazioni > {Tipo di scansione}.
7-56
Analisi dei rischi per la sicurezza
FIGURA 7-1. Impostazioni di scansione nella console dell'agente OfficeScan
3.
Configurare le impostazioni riportate di seguito:
•
Impostazioni scansione in tempo reale: Attività utente sui file, File da
esaminare, Impostazioni di scansione, Esclusioni scansione, Azioni di
scansione
•
Impostazioni scansione manuale: File da esaminare, Impostazioni di
scansione, Uso CPU, Esclusioni scansione, Azioni di scansione
•
Impostazioni scansione pianificata: Pianificazione, File da esaminare,
Impostazioni di scansione, Uso CPU, Esclusioni scansione, Azioni di
scansione
7-57
Guida per l'amministratore di OfficeScan™ 11.0
4.
Fare clic su OK.
Privilegi scansione pianificata e altre impostazioni
Se è impostata per l'esecuzione sull'agente, gli utenti possono rimandare, ignorare o
interrompere la Scansione pianificata.
Rimanda scansione pianificata
Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono
eseguire le seguenti operazioni:
•
Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la
durata del ritardo. La scansione pianificata può essere postposta una sola volta.
•
Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la
scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve
intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in
precedenza vengono di nuovo sottoposti a scansione. È possibile interrompere e
riavviare la scansione pianificata una sola volta.
Nota
Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15
minuti. Il periodo di tempo massimo è 12 ore e 45 minuti, che è possibile ridurre andando
su Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansione
pianificata, modificare l'impostazione Rimanda scansione pianificata fino a __ ore e
__ minuti.
Salta e interrompi scansione pianificata
Questo privilegio consente agli utenti di eseguire le operazioni seguenti:
•
Salta scansione pianificata prima che venga eseguita
•
Interrompi scansione pianificata mentre è in corso
7-58
Analisi dei rischi per la sicurezza
Nota
Gli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anche
dopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivo
orario di pianificazione.
Notifica di privilegio Scansione pianificata
Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibile
ricordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notifica
prima dell'esecuzione di Scansione pianificata.
Concessione privilegi scansione pianificata e
visualizzazione notifica dei privilegi
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Privilegi scansione pianificata.
5.
Selezionare le seguenti opzioni:
•
Rimanda scansione pianificata
•
Salta e interrompi scansione pianificata
) per includere
6.
Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni
scansione pianificata.
7.
Selezionare Visualizza una notifica prima dell'esecuzione della scansione
pianificata.
Quando questa opzione è attivata, nell'dispositivo agente viene visualizzato un
messaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata.
7-59
Guida per l'amministratore di OfficeScan™ 11.0
Gli utenti vengono informati della pianificazione della scansione (data e ora) e dei
loro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare o
interrompere la scansione pianificata.
Nota
È possibile configurare il numero di minuti. Per configurare il numero di minuti,
accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioni
scansione pianificata, modificare l'impostazione Ricorda agli utenti la scansione
pianificata __ minuti prima dell'esecuzione.
8.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Rinviare, ignorare e arrestare la Scansione pianificata
sull'agente
Procedura
•
Se la scansione pianificata non è stata avviata:
a.
7-60
Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan
nella barra delle applicazioni e selezionare Impostazioni scansione
pianificata avanzata.
Analisi dei rischi per la sicurezza
FIGURA 7-2. Opzione Impostazioni avanzate della scansione
Nota
Se il messaggio di notifica è attivato ed è impostato in modo da essere
visualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non è
necessario che gli utenti eseguano questo passaggio. Per ulteriori informazioni
sul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina
7-59.
b.
Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni
seguenti:
•
Postponi scansione di __ ore e __ minuti.
•
Salta questa scansione pianificata. La prossima Scansione
pianificata verrà eseguita il <data> alle <ora>..
7-61
Guida per l'amministratore di OfficeScan™ 11.0
FIGURA 7-3. Privilegi di Scansione pianificata nell'dispositivo agente
OfficeScan
•
7-62
Se la scansione pianificata è in corso:
a.
Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan
nella barra delle applicazioni e selezionare Impostazioni avanzate della
scansione pianificata.
b.
Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni
seguenti:
•
Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti.
•
Interrompi scansione. La prossima Scansione pianificata verrà
eseguita il <data> alle <ora>..
Analisi dei rischi per la sicurezza
FIGURA 7-4. Privilegi di Scansione pianificata nell'dispositivo agente
OfficeScan
7-63
Guida per l'amministratore di OfficeScan™ 11.0
Privilegi scansione e-mail e altre impostazioni
Quando gli agenti dispongono dei privilegi di scansione e-mail, l'opzione Scansione email viene visualizzata nella console dell'agente OfficeScan. L'opzione Scansione email visualizza Scansione e-mail POP3.
FIGURA 7-5. Impostazioni di scansione e-mail nella console dell'agente OfficeScan
La seguente tabella indica il programma di scansione e-mail POP3.
7-64
Analisi dei rischi per la sicurezza
TABELLA 7-18. Programmi di scansione e-mail.
DETTAGLI
DESCRIZIONE
Scopo
Esegue la scansione dei messaggi e-mail POP3 per rilevare
virus o minacce informatiche.
Prerequisiti
•
Prima che gli utenti possano utilizzarlo, gli amministratori
devono attivarlo dalla console Web.
Nota
Per abilitare la scansione e-mail POP3, vedere
Concessione dei privilegi scansione e-mail e
attivazione di POP3 Mail Scan a pagina 7-65.
•
Tipi di scansione
supportati
Risultati scansione
Altri dettagli
È possibile configurare azioni per contrastare virus e
minacce informatiche dalla console dell'agente
OfficeScan, ma non dalla console Web.
Scansione in tempo reale
La scansione viene eseguita quando i messaggi e-mail
vengono scaricati dal server di posta POP3.
•
Informazioni sui rischi per sicurezza rilevati disponibili
dopo il completamento della scansione.
•
Risultati di scansione non registrati nella schermata
Registri della console dell'agente OfficeScan
•
Risultati di scansione non inviati al server.
Condivide OfficeScan NT Proxy Service (TMProxy.exe) con la
funzione di reputazione Web.
Concessione dei privilegi scansione e-mail e attivazione di
POP3 Mail Scan
Procedura
1.
Accedere a Agenti > Gestione agente.
7-65
Guida per l'amministratore di OfficeScan™ 11.0
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
) per includere
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, accedere alla sezione Scansione e-mail.
5.
Selezionare Visualizza la scheda Scansione e-mail nella console dell'agente.
6.
Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni
Scansione e-mail POP3..
7.
Selezionare Analizza i messaggi e-mail POP3.
8.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Impostazioni cache per le scansioni
Per migliorare le proprie prestazioni di scansione, l'agente OfficeScan è in grado di
creare la firma digitale e i file di cache per la scansione su richiesta. Quando viene
eseguita una scansione su richiesta, l'agente OfficeScan verifica innanzitutto il file di
cache della firma digitale e successivamente il file di cache per la scansione su richiesta
per individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti se
dalla scansione viene escluso un elevato numero di file.
7-66
Analisi dei rischi per la sicurezza
Cache della firma digitale
Il file di cache della firma digitale viene utilizzato durante Scansione manuale, Scansione
pianificata ed Esegui scansione. Gli agenti non effettuano la scansione dei file le cui
firme sono state aggiunte al file di cache delle firme digitali.
L'agente OfficeScan impiega lo stesso Digital Signature Pattern utilizzato da
Monitoraggio del comportamento per creare il file di cache della firma digitale. Il Digital
Signature Pattern contiene un elenco di file che Trend Micro considera affidabili e che
pertanto è possibile escludere dalle scansioni.
Nota
Monitoraggio del comportamento viene disattivato automaticamente sulle piattaforme
server Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vista
senza SP1 non è disponibile). Se la cache della firma digitale è attivata, gli agenti OfficeScan
presenti su queste piattaforme scaricano Digital Signature Pattern per utilizzarlo nella
cache, senza scaricare gli altri componenti di Monitoraggio del comportamento.
Gli agenti creano il file di cache della firma digitale in base a una pianificazione,
configurabile dalla console Web. Gli agenti eseguono questa operazione per:
•
Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il file
di cache è stato creato
•
Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema
Durante il processo di creazione della cache, gli agenti eseguono un controllo sulle
seguenti cartelle per individuare i file affidabili, quindi aggiungono le firme di questi file
al file di cache delle firme digitali:
•
%PROGRAMFILES%
•
%WINDIR%
Il processo di creazione della cache non influisce sulle prestazioni dell'dispositivo perché
gli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sono
anche in grado di riprendere l'attività di creazione della cache che per qualche motivo era
stata interrotta, ad esempio quando una macchina host viene spenta oppure quando un
adattatore dell'dispositivo wireless viene scollegato dall'alimentazione.
7-67
Guida per l'amministratore di OfficeScan™ 11.0
Impostazione cache scansione su richiesta
Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale,
Scansione pianificata ed Esegui scansione. Gli agenti OfficeScan non effettuano la
scansione dei file le cui cache sono state aggiunte al file di cache della scansione su
richiesta.
Ogni qualvolta si esegue una scansione, l'agente OfficeScan verifica le proprietà dei file
privi di minacce. Se un file privo di minacce non è stato modificato per un certo periodo
di tempo, (è possibile configurare il periodo di tempo), l'agente OfficeScan aggiunge la
cache del file al file di cache della scansione su richiesta. Quando viene eseguita la
scansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta.
La cache di un file privo di minacce scade entro un determinato numero di giorni (è
possibile configurare anche il periodo di tempo). Quando si esegue una scansione
durante o dopo la scadenza della cache, l'agente OfficeScan rimuove la cache scaduta ed
esegue la scansione del file per verificare la presenza di minacce. Se il file è privo di
minacce e non viene modificato, la cache del file viene aggiunta nuovamente al file di
cache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato di
recente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione la
volta successiva.
La cache per il file privo di minacce scade per impedire di escludere dalla scansione i file
infetti, così come illustrato nei seguenti esempi:
•
È possibile che un file di pattern estremamente obsoleto possa aver considerato un
file infetto non modificato come file privo di minacce. Se la cache non è scaduta, il
file infetto resta nel sistema fino a quando non viene modificato e rilevato da
Scansione in tempo reale.
•
Se un file memorizzato nella cache è stato modificato e Scansione in tempo reale
non è operativa durante la modifica del file, la cache deve scadere in modo che il
file modificato possa essere sottoposto alla scansione per le minacce.
Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipo
di scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minore
se l'agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti
nell'dispositivo durante Scansione manuale.
Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache della
scansione su richiesta riduce significativamente il tempo di scansione. In un'operazione
7-68
Analisi dei rischi per la sicurezza
di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12
minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deve
rimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni.
Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, al
file di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza più
estesa, ciò significa che dalla scansione vengono esclusi più file.
Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare la
cache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguita
la scansione successiva.
Configurazione impostazioni cache per le scansioni
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni
cache per le scansioni.
5.
Configurare le impostazioni per la cache della firma digitale.
6.
) per includere
a.
Selezionare Attiva cache firma digitale.
b.
In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agente
dovrà creare la cache.
Configurare le impostazioni per la cache della scansione su richiesta.
a.
Selezionare Attiva cache scansione su richiesta.
b.
In Aggiungi la cache per i file sicuri non modificati per __ giorni,
specificare il numero di giorni per i quali un file deve restare inalterato prima
di essere memorizzato nella cache.
7-69
Guida per l'amministratore di OfficeScan™ 11.0
c.
In La cache per ogni file sicuro scade tra __ giorni, specificare il numero
massimo di giorni in cui una cache deve restare nel file di cache.
Nota
Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lo
stesso giorno, le cache scadono in modo casuale nell'arco del numero massimo
di giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono state
aggiunte 500 cache ed il numero massimo di giorni specificato è 10, una parte
delle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Il
decimo giorno, tutte le cache rimaste scadranno.
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Impostazioni globali di scansione
Le impostazioni globali di scansione possono essere applicate agli agenti in vari modi.
•
Un'impostazione di scansione particolare può essere applicata a tutti gli agenti
gestiti dal server o solo agli agenti con determinati privilegi di scansione. Ad
esempio, se si è configurato di rinviare la durata di Scansione pianificata, solo gli
agenti con tale privilegio utilizzeranno questa impostazione.
•
Un'impostazione di scansione particolare può essere applicata a tutti i tipi di
scansione o a uno in particolare. Ad esempio, negli dispositivo in cui sono installati
sia il server OfficeScan sia l'agente OfficeScan, è possibile escludere il database del
7-70
Analisi dei rischi per la sicurezza
server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solo
durante Scansione in tempo reale.
•
Un'impostazione di scansione particolare può essere applicata alla scansione per
rilevare virus/minacce informatiche o a quella per rilevare spyware/grayware
oppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durante
la scansione per rilevare spyware/grayware.
Configurazione delle impostazioni di scansione globali
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili.
3.
•
Sezione impostazioni di scansione a pagina 7-71
•
Sezione Impostazioni scansione pianificata a pagina 7-78
•
Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche a
pagina 7-81
Fare clic su Salva.
Sezione impostazioni di scansione
La sezione Impostazioni di scansione delle Impostazioni globali agente consente
agli amministratori di configurare quanto segue:
•
Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan a
pagina 7-72
•
Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina
7-72
•
Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-73
•
Attiva Scansione differita in operazioni su file a pagina 7-73
7-71
Guida per l'amministratore di OfficeScan™ 11.0
•
Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-74
•
Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-74
•
Attiva modalità di valutazione a pagina 7-77
•
Esegui scansione cookie a pagina 7-78
Aggiungere Scansione manuale al menu dei collegamenti di
Windows negli agenti OfficeScan
Quando questa impostazione è attivata, in tutti gli agenti OfficeScan gestiti dal server
viene aggiunta l'opzione Esegui scansione con OfficeScan al menu di scelta rapida in
Esplora risorse. Quando gli utenti fanno clic con il pulsante destro del mouse su un file
o una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione,
Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacce
informatiche e spyware/grayware.
FIGURA 7-6. Opzione Esegui scansione con OfficeScan
Escludi la cartella del database del server OfficeScan dalla
scansione in tempo reale
Se l'agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, con
Scansione in tempo reale l'agente OfficeScan non eseguirà la scansione del database del
server per rilevare virus/minacce informatiche e spyware/grayware.
7-72
Analisi dei rischi per la sicurezza
Suggerimento
Attivare questa impostazione per impedire il verificarsi di eventuali danni al database
durante la scansione.
Escludi cartelle e file del server Microsoft Exchange dalla
scansione
Se l'agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nello
stesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenti
cartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/
grayware.
•
Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp e
BadMail
•
.\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb,
pub1.stm e pub1.edb
•
.\Exchsrvr\Gruppo di archiviazione
Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunte
all'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulle
esclusioni dalla scansione, visitare il sito Web riportato di seguito:
http://technet.microsoft.com/en-us/library/bb332342.aspx
Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione,
vedere Esclusioni scansione a pagina 7-32.
Attiva Scansione differita in operazioni su file
Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file.
OfficeScan consente all'utente di copiare i file effettuando la scansione dopo il
completamento del processo di copia. Tale scansione differita migliora le prestazioni dei
processi di copia e scansione.
7-73
Guida per l'amministratore di OfficeScan™ 11.0
Nota
La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713
o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedere
Aggiornamento manuale del server OfficeScan a pagina 6-28.
Configurare le impostazioni di scansione per file compressi
di grandi dimensioni
Durante la scansione dei file compressi per rilevare virus/minacce informatiche e
spyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione, tutti gli agenti OfficeScan gestiti dal server controllano
le impostazioni seguenti:
•
Configura le impostazioni di scansione per file compressi di grandi
dimensioni: selezionare questa opzione per attivare la gestione dei file compressi.
•
Configurare le impostazioni seguenti separatamente per Scansione in tempo reale e
per gli altri tipi di scansione (Scansione manuale, Scansione pianificata ed Esegui
scansione):
•
Non esaminare i file presenti in file compressi se la dimensione supera
i __ MB: OfficeScan non esegue la scansione dei file che superano questo
limite.
•
Nei file compressi, esamina solo i primi __ file: dopo aver decompresso
un file compresso, OfficeScan esegue la scansione del numero di file
specificato e ignora gli altri file.
Disinfetta/Elimina file infetti all'interno dei file compressi
Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'interno
dei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione
pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i file
infetti vengono disinfettati o eliminati dagli agenti.
•
7-74
"Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Per
verificare l'azione che OfficeScan esegue sui file infetti, accedere alla scheda Agenti
Analisi dei rischi per la sicurezza
> Gestione agente > Impostazioni > Impostazioni scansione > {Tipo di
scansione} > Azione.
•
Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo delle
risorse dell'dispositivo durante la scansione potrebbe aumentare e la scansione
potrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan deve
decomprimere il file compresso, disinfettare/eliminare i file infetti all'interno del
file compresso e infine comprimere di nuovo il file.
•
Il formato file compresso è supportato. OfficeScan supporta solo alcuni formati
file compressi, tra cui ZIP e Office Open XML, che utilizza tecnologie di
compressione ZIP. Office Open XML è il formato predefinito per le applicazioni
Microsoft Office 2007 come Excel, PowerPoint e Word.
Nota
Per un elenco completo dei formati file compressi supportati, contattare l'assistenza
tecnica.
Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus.
Quando Scansione in tempo reale decomprime un file compresso denominato abc.zip
e rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc e
comprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essere
aperto.
La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta.
7-75
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 7-19. Scenari e risultati dei file compressi
STATO DI
"DISINFETTA/
ELIMINA FILE
INFETTI
ALL'INTERNO DEI
FILE
OPERAZIONE
CHE
FORMATO FILE
OFFICESCAN
COMPRESSO
RISULTATO
DEVE ESEGUIRE
COMPRESSI"
Attivato
Disattivato
Disinfetta o
elimina
Non supportato
Disinfetta o
elimina
Supportato/Non
supportato
Esempio: def.rar
contiene un file
infetto 123.doc.
Esempio: abc.zip
contiene un file
infetto 123.doc.
7-76
OfficeScan codifica def.rar ma
non disinfetta, elimina o esegue
altre operazioni su 123.doc.
OfficeScan non disinfetta, elimina
o esegue altre operazioni su
abc.zip e 123.doc.
Analisi dei rischi per la sicurezza
STATO DI
"DISINFETTA/
ELIMINA FILE
INFETTI
ALL'INTERNO DEI
FILE
OPERAZIONE
CHE
FORMATO FILE
OFFICESCAN
COMPRESSO
RISULTATO
DEVE ESEGUIRE
COMPRESSI"
Attivato/
Disattivato
Non
disinfettare o
eliminare (in
altre parole,
una delle
seguenti:
Rinomina,
Metti in
quarantena,
Impedisci
l'accesso o
Ignora)
Supportato/Non
supportato
Esempio: abc.zip
contiene un file
infetto 123.doc.
OfficeScan esegue l'operazione
configurata (Rinomina, Metti in
quarantena, Impedisci l'accesso o
Ignora) su abc.zip, non su
123.doc.
Se l'operazione è:
Rinomina: OfficeScan rinomina
abc.zip in abc.vir, ma non
rinomina 123.doc.
Quarantena: OfficeScan mette in
quarantena abc.zip (123.doc e
tutti i file non infetti vengono
messi in quarantena).
Ignora: OfficeScan non esegue
alcuna operazione su abc.zip e
123.doc ma registra il
rilevamento del virus.
Impedisci l'accesso: OfficeScan
impedisce l'accesso a abc.zip
quando è aperto (123.doc e tutti i
file non infetti non possono
essere aperti).
Attiva modalità di valutazione
Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spyware
e grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata,
Scansione in tempo reale ed Esegui scansione ma i componenti spyware e grayware non
verranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookie
e collegamenti.
7-77
Guida per l'amministratore di OfficeScan™ 11.0
La modalità di valutazione di Trend Micro consente di valutare gli elementi che Trend
Micro considera spyware/grayware e di prendere provvedimenti in base alla valutazione.
Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per la
sicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati.
In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione:
•
Ignora: Durante l'utilizzo di Scansione manuale, Scansione pianificata ed Esegui
scansione
•
Impedisci l'accesso: Durante l'utilizzo di Scansione in tempo reale
Nota
La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configurate
dall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansione
durante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è in
modalità di valutazione.
Esegui scansione cookie
Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per la
sicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno la
scansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansione
pianificata, Scansione in tempo reale ed Esegui scansione.
Sezione Impostazioni scansione pianificata
Le impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agenti
impostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado di
rilevare virus/minacce informatiche e spyware/grayware.
La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansione
consente agli amministratori di configurare quanto segue:
•
Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-79
•
Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-79
7-78
Analisi dei rischi per la sicurezza
•
Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __
minuti a pagina 7-80
•
Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è
inferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-80
•
Riprendi una scansione pianificata non effettuata a pagina 7-80
Ricorda agli utenti la scansione pianificata __ minuti prima
dell'esecuzione
OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansione
pianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e per
ricordargli i privilegi della scansione pianificata concessi.
Il messaggio di notifica può essere attivato/disattivato dalla scheda Agenti > Gestione
agente > Impostazioni > Privilegi e altre impostazioni > Altre impostazioni >
Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria non
viene visualizzato.
Rimanda scansione pianificata fino a __ ore e __ minuti
Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono
eseguire le operazioni riportate di seguito:
•
Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la
durata del ritardo.
•
Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la
scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve
intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in
precedenza vengono di nuovo sottoposti a scansione.
La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di
12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negli
appositi campi.
7-79
Guida per l'amministratore di OfficeScan™ 11.0
Interrompi automaticamente la scansione pianificata
quando l'operazione dura più di __ ore e __ minuti
Quando viene superato il periodo di tempo massimo specificato e la scansione non è
ancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agli
utenti i rischi per la sicurezza rilevati durante la scansione.
Saltare la scansione pianificata quando la durata residua
della batteria dell'dispositivo wireless è inferiore a __ % e
l'adattatore è scollegato dall'alimentazione
Se viene rilevato che la durata residua della batteria dell'dispositivo wireless si sta
esaurendo e l'adattatore non è collegato all'alimentazione, all'avvio di Scansione
pianificata OfficeScan ignora immediatamente la scansione. Se la durata residua della
batteria è limitata ma l'adattatore è collegato all'alimentazione, la scansione prosegue.
Riprendi una scansione pianificata non effettuata
Quando la Scansione pianificata non viene avviata perché OfficeScan non è in
esecuzione nel giorno e all'ora specificati per la Scansione pianificata, è possibile
specificare quando OfficeScan riprenderà la scansione:
•
Stessa ora giorno successivo: se OfficeScan viene eseguito alla stessa ora del
giorno successivo, la scansione riprende.
•
__ minuti dopo l'avvio dell'dispositivo: OfficeScan riprende la scansione
qualche minuto dopo l'accensione dell'dispositivo. Il numero di minuti è compreso
tra 10 e 120.
Nota
Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongono
dei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altre
impostazioni a pagina 7-58.
7-80
Analisi dei rischi per la sicurezza
Sezione impostazioni della larghezza di banda del registro
virus/minacce informatiche
La sezione delle Impostazioni di banda del registro virus/minacce informatiche delle
Impostazioni globali di scansione consente agli amministratori di configurare:
Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i
rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 7-81
Consentire agli agenti OfficeScan di creare una sola voce
sul registro di virus/minacce informatiche per i rilevamenti
ricorrenti dello stesso virus/minaccia informatica in un'ora
OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioni
derivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo di
tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica più
volte compilando rapidamente il registro relativo a virus/minacce informatiche e
consumando larghezza di banda quando l'agente OfficeScan invia le informazioni del
registro al server. L'attivazione di questa funzione consente di ridurre il numero di voci
di registro relative a virus/minacce informatiche e la quantità di larghezza di banda
utilizzata dagli agenti OfficeScan quando segnalano le informazioni del registro dei virus
al server.
Sezione Servizio certificato Safe Software
La sezione Servizio Certified Safe Software di Impostazioni globali di scansione
consente agli amministratori di configurare:
Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le
scansioni antivirus a pagina 7-81
Attivazione del servizio certificato Safe Software per il
monitoraggio del comportamento, il firewall e le scansioni
antivirus
Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la
sicurezza di un programma rilevato da Blocco del comportamento malware,
7-81
Guida per l'amministratore di OfficeScan™ 11.0
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified
Safe Software per ridurre la possibilità di falsi allarmi.
Nota
Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per maggiori
dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di attivare il
Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme a una connessione
Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend
Micro. Di conseguenza, i programmi controllati non rispondono.
Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai
datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP,
ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di collegarsi ai
datacenter Trend Micro.
Notifiche sui Rischi per la sicurezza
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente,
altri amministratori OfficeScan e gli utenti agente OfficeScan sui rischi per la sicurezza
rilevati.
Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche dei
rischi per la sicurezza per gli amministratori a pagina 7-82.
Per ulteriori informazioni sulle notifiche inviate agli utenti agente OfficeScan, vedere
Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-87.
Notifiche dei rischi per la sicurezza per gli amministratori
Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori di
OfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quando
l'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto,
l'intervento dell'utente.
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile
7-82
Analisi dei rischi per la sicurezza
modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle
proprie esigenze.
TABELLA 7-20. Tipi di notifiche sui rischi per la sicurezza
TIPO
RIFERIMENTO
Virus/minacce
informatiche
Configurazione delle notifiche dei rischi per la sicurezza per gli
amministratori a pagina 7-83
Spyware/Grayware
Configurazione delle notifiche dei rischi per la sicurezza per gli
amministratori a pagina 7-83
Trasmissioni di risorse
digitali
Configurazione delle notifiche di Prevenzione perdita di dati
per gli amministratori a pagina 10-50
Callback C&C
Configurazione delle notifiche di callback C&C per gli
amministratori a pagina 11-18
Nota
OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di
Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica
attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-31.
Configurazione delle notifiche dei rischi per la sicurezza per
gli amministratori
Procedura
1.
Accedere a Amministrazione > Notifiche > Amministratore.
2.
Nella scheda Criteri:
3.
a.
Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware.
b.
Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/
minacce informatiche e spyware/grayware o solo quando l'azione eseguita
contro i rischi per la sicurezza non è riuscita.
Nella scheda E-mail:
7-83
Guida per l'amministratore di OfficeScan™ 11.0
a.
Andare alle sezioni Virus e minacce informatiche e Rilevamenti di
spyware/grayware.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Selezionare Invia notifiche agli utenti con autorizzazioni per i domini
della struttura agente.
È possibile usare l'RBA (Role-based Administration) per assegnare agli utenti
autorizzazioni al dominio della struttura agente. Se un rilevamento si verifica
in un agente OfficeScan appartenente a un dominio specifico, il messaggio email viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il
dominio. La tabella seguente illustra alcuni esempi:
TABELLA 7-21. Autorizzazioni e domini della struttura agente
DOMINIO DELLA
STRUTTURA AGENTE
Dominio A
Dominio B
RUOLI CON
AUTORIZZAZIONI
PER IL DOMINIO
ACCOUNT UTENTE
CON IL RUOLO
INDIRIZZO E-MAIL
DELL'ACCOUNT
UTENTE
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Se un agente OfficeScan appartenente al Dominio A rileva un virus, il
messaggio e-mail viene inviato a [email protected], [email protected] e
[email protected]
Se un agente OfficeScan appartenente al Dominio B rileva uno spyware, il
messaggio e-mail viene inviato a [email protected] e [email protected]
7-84
Analisi dei rischi per la sicurezza
Nota
Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio
devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica
non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi email sono configurati da Amministrazione > Gestione account > Account
utente.
d.
Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli
indirizzi e-mail.
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È
possibile utilizzare solo variabili token per rappresentare i dati nel campo
Oggetto e Messaggio.
TABELLA 7-22. Variabili token per notifiche dei rischi per la sicurezza
VARIABILE
DESCRIZIONE
Rilevamenti di virus/minacce informatiche
%v
Nome virus/minaccia informatica
%s
Dispositivo con virus/minaccia informatica
%i
Indirizzo IP dell'dispositivo
%c
Indirizzo MAC dell'dispositivo
%m
Dominio dell'dispositivo
%p
Posizione di virus/minaccia informatica
%y
Data e ora del rilevamento virus/minaccia informatica
%e
Versione motore di scansione virus
%r
Versione del pattern dei virus
%a
Azione eseguita per contrastare il rischio per la sicurezza
%n
Nome dell'utente che ha effettuato l'accesso nell'dispositivo
infetto
Rilevamenti di spyware/grayware
7-85
Guida per l'amministratore di OfficeScan™ 11.0
VARIABILE
4.
5.
6.
7-86
DESCRIZIONE
%s
Dispositivo con spyware/grayware
%i
Indirizzo IP dell'dispositivo
%m
Dominio dell'dispositivo
%y
Data e ora del rilevamento di spyware/grayware
%n
Nome dell'utente collegato all'dispositivo infetto al momento
del rilevamento
%T
Risultato della scansione e presenza di spyware e grayware
Fare clic sulla scheda Trap SNMP:
a.
Andare alle sezioni Virus e minacce informatiche e Rilevamenti di
spyware/grayware.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 per
ulteriori dettagli.
Nella scheda Registro eventi NT:
a.
Andare alle sezioni Virus e minacce informatiche e Rilevamenti di
spyware/grayware.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 per
ulteriori dettagli.
Fare clic su Salva.
Analisi dei rischi per la sicurezza
Notifiche dei rischi per la sicurezza per gli utenti
dell'agente OfficeScan
OfficeScan è in grado di visualizzare i messaggi di notifica sull'dispositivo agente
OfficeScan:
•
Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/
minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se lo
si desidera, modificarne il contenuto.
•
Se il riavvio di un dispositivo agente è necessario per completare la disinfezione dei
file infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo la
scansione di un rischio per la sicurezza specifico. Con Scansione manuale,
Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una volta
e solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni della
scansione.
TABELLA 7-23. Tipi di notifiche agente sui rischi per la sicurezza
TIPO
RIFERIMENTO
Virus/minacce
informatiche
Configurazione delle notifiche di virus/minacce informatiche a
pagina 7-89
Spyware/Grayware
Configurazione delle notifiche di spyware/grayware a pagina
7-89
Violazioni del firewall
Modifica del contenuto del messaggio di notifica del firewall a
pagina 12-29
Violazioni della
reputazione Web
Modifica delle notifiche di minacce Web a pagina 11-17
Violazioni del controllo
dispositivo
Modifica delle notifiche di controllo dispositivo a pagina 9-18
Violazione ai criteri di
monitoraggio del
comportamento
Modifica del contenuto del messaggio di notifica a pagina
8-14
Trasmissioni di risorse
digitali
Configurazione delle notifiche di Prevenzione perdita di dati
per gli agenti a pagina 10-53
7-87
Guida per l'amministratore di OfficeScan™ 11.0
TIPO
Callback C&C
RIFERIMENTO
Modifica delle notifiche di minacce Web a pagina 11-17
Notifica agli utenti del rilevamento di spyware/grayware e
virus/minacce informatiche
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni
scansione in tempo reale o su Impostazioni > Impostazioni di scansione >
Impostazioni scansione pianificata.
4.
Fare clic sulla scheda Operazione.
5.
Selezionare le seguenti opzioni:
6.
•
Visualizza un messaggio di notifica sull'dispositivo agente al
rilevamento di virus/minacce informatiche
•
Visualizza un messaggio di notifica sull'dispositivo agente al
rilevamento di probabili virus/minacce informatiche
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
7-88
) per includere
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
Analisi dei rischi per la sicurezza
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Configurazione delle notifiche di virus/minacce informatiche
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Virus/minacce informatiche
3.
Configurare le impostazioni di rilevamento.
a.
b.
4.
Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacce
informatiche o separare le notifiche in base ai seguenti livelli di gravità:
•
Alto: l'agente OfficeScan non è stato in grado di gestire una minaccia
informatica grave
•
Medio: l'agente OfficeScan non è stato in grado di gestire una minaccia
informatica
•
Basso: l'agente OfficeScan ha risolto tutte le minacce
Accettare o modificare i messaggi predefiniti.
Fare clic su Salva.
Configurazione delle notifiche di spyware/grayware
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Spyware/grayware.
3.
Accettare o modificare il messaggio predefinito.
7-89
Guida per l'amministratore di OfficeScan™ 11.0
4.
Fare clic su Salva.
Notifica agli agenti del riavvio per completare la
disinfezione dei file infetti
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica.
5.
Selezionare Visualizza un messaggio di notifica se è necessario un riavvio
dell'dispositivo per completare la disinfezione dei file infetti.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
) per includere
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Registri dei rischi per la sicurezza
OfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/grayware
e quando ripristina spyware/grayware.
7-90
Analisi dei rischi per la sicurezza
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di virus/minacce informatiche
Quando rileva virus e minacce informatiche, l'agente OfficeScan genera i registri e li
invia al server.
Procedura
1.
Accedere a una delle seguenti sezioni:
•
Registri > Agenti > Rischi per la sicurezza
•
Agenti > Gestione agente
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri virus/minacce o su Visualizza registri >
Registri virus/minacce.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
) per includere
•
Data e ora del rilevamento virus/minaccia informatica
•
Dispositivo
•
Minacce alla sicurezza
•
Origine dell'infezione
•
File o oggetto infetto
•
Tipo di scansione che ha rilevato il virus o la minaccia informatica
•
Risultati scansione
7-91
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Per ulteriori informazioni sui risultati della scansione, vedere Risultati della
scansione antivirus/minacce informatiche a pagina 7-92.
6.
•
Indirizzo IP
•
Indirizzo MAC
•
Dettagli registro (per vedere i dettagli, fare clic su Visualizza)
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Il file CSV contiene le seguenti informazioni:
•
Tutte le informazioni dei registri
•
Il nome dell'utente collegato all'dispositivo al momento del rilevamento
Risultati della scansione antivirus/minacce informatiche
I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacce
informatiche:
TABELLA 7-24. Risultati scansione
RISULTATO
Eliminati
In quarantena
Disinfettati
7-92
DESCRIZIONE
•
La prima azione è “Elimina” e il file infetto è stato eliminato.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Elimina” e il file infetto è stato
eliminato.
•
La prima azione è “Metti in quarantena” e il file infetto è stato
messo in quarantena.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Metti in quarantena” e il file
infetto è stato messo in quarantena.
È stato disinfettato un file infetto.
Analisi dei rischi per la sicurezza
RISULTATO
Rinominati
Accesso negato
Ignorati
Ignorato un
potenziale rischio
per la sicurezza
DESCRIZIONE
•
La prima azione è “Rinomina” e il file infetto è stato
rinominato.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Rinomina” e il file infetto è
stato rinominato.
•
La prima azione è “Impedisci l'accesso” e l'accesso al file
infetto è stato impedito quando l'utente ha tentato di aprire il
file.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Impedisci l'accesso” e
l'accesso al file infetto è stato impedito quando l'utente ha
tentato di aprire il file.
•
Probabile virus/minaccia informatica individuato durante
Scansione in tempo reale.
•
La scansione in tempo reale impedisce l'accesso ai file che
sono stati infettati da virus boot anche nel caso in cui l'azione
di scansione sia impostata su “Disinfetta” (prima azione) e
“Metti in quarantena” (seconda azione). Ciò è dovuto al fatto
che il tentativo di disinfettare il virus potrebbe danneggiare il
Master Boot Record (MBR) dell'dispositivo infetto. eseguire la
scansione manuale per permettere a OfficeScan di
disinfettare o mettere in quarantena il file.
•
La prima azione è “Ignora”. OfficeScan non ha eseguito
alcuna azione sul file infetto.
•
La prima azione è “Disinfetta”, ma la disinfezione non è
riuscita. La seconda azione è “Ignora”, quindi OfficeScan non
ha eseguito alcuna azione sul file infetto.
Questo risultato di scansione viene visualizzato quando
OfficeScan individua un "probabile virus/minaccia informatica"
durante Scansione manuale, Scansione pianificata ed Esegui
scansione. Per informazioni su probabili virus/minacce
informatiche e su come inviare file sospetti a Trend Micro per
l'analisi, fare riferimento all'Enciclopedia dei virus online di Trend
Micro disponibile alla pagina seguente.
7-93
Guida per l'amministratore di OfficeScan™ 11.0
RISULTATO
DESCRIZIONE
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?
VName=POSSIBLE_VIRUS&VSect=Sn
Impossibile
disinfettare o
mettere in
quarantena il file
“Disinfetta” è la prima azione. “Metti in quarantena” è la seconda
azione e non è stato possibile effettuare nessuna delle due azioni.
Impossibile
disinfettare o
eliminare il file
“Disinfetta” è la prima azione. “Elimina” è la seconda azione e non
è stato possibile effettuare nessuna delle due azioni.
Impossibile
disinfettare o
rinominare il file
“Disinfetta” è la prima azione. “Rinomina” è la seconda azione e
non è stato possibile effettuare nessuna delle due azioni.
Impossibile
mettere in
quarantena il file/
Impossibile
rinominare il file
Spiegazione 1.
Soluzione: consultare Impossibile mettere in quarantena il file/
Impossibile rinominare il file a pagina 7-94.
Soluzione: consultare Impossibile eliminare il file a pagina 7-94.
Soluzione: consultare Impossibile mettere in quarantena il file/
Impossibile rinominare il file a pagina 7-94.
Il file infetto potrebbe essere bloccato da un'altra applicazione,
potrebbe essere in esecuzione oppure essere contenuto in un
CD. Non appena l'applicazione avrà rilasciato il file o non appena
questo non sarà più in esecuzione, OfficeScan potrà metterlo in
quarantena/rinominarlo.
Soluzione
Per i file infetti contenuti in un CD, si consiglia di non utilizzare più
il CD in questione in quanto il virus potrebbe infettare altri
computer della rete.
Spiegazione 2.
Il file infetto si trova nella cartella dei file Internet temporanei
dell'dispositivo agente. Poiché l'dispositivo scarica i file durante
l'accesso ai siti Web, è possibile che il browser abbia bloccato il
file infetto. Non appena il browser Web avrà rilasciato il file,
OfficeScan potrà metterlo in quarantena o rinominarlo.
Soluzione: nessuna
Impossibile
eliminare il file
7-94
Spiegazione 1.
Analisi dei rischi per la sicurezza
RISULTATO
DESCRIZIONE
Il file infetto potrebbe trovarsi all'interno di un file compresso e
l'impostazione Disinfetta/Elimina file infetti all'interno dei file
compressi in Agenti > Impostazioni globali agente è
disattivata.
Soluzione
Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei
file compressi. Quando questa opzione è attivata, OfficeScan
decomprime un file compresso, disinfetta/elimina i file infetti nel
file compresso e lo comprime di nuovo.
Nota
Se si attiva questa impostazione, l'utilizzo delle risorse
dell'dispositivo durante la scansione potrebbe aumentare e
la scansione potrebbe richiedere più tempo.
Spiegazione 2.
Il file infetto potrebbe essere bloccato da un'altra applicazione,
potrebbe essere in esecuzione oppure essere contenuto in un
CD. Non appena l'applicazione avrà rilasciato il file o non appena
questo non sarà più in esecuzione, OfficeScan potrà eliminarlo.
Soluzione
Per i file infetti contenuti in un CD, si consiglia di non utilizzare più
il CD in questione in quanto il virus potrebbe infettare altri
computer della rete.
Spiegazione 3.
Il file infetto si trova nella cartella dei file Internet temporanei
dell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica i
file durante l'accesso ai siti Web, è possibile che il browser abbia
bloccato il file infetto. Non appena il browser Web avrà rilasciato il
file, OfficeScan potrà eliminarlo.
Soluzione: Nessuna
Impossibile inviare
il file da mettere in
quarantena alla
cartella di
Anche se OfficeScan ha messo correttamente in quarantena un
file nella cartella \Suspect dell'dispositivo agente OfficeScan, non
riesce a inviare il file alla directory di quarantena designata.
7-95
Guida per l'amministratore di OfficeScan™ 11.0
RISULTATO
quarantena
specificata
DESCRIZIONE
Soluzione
Determinare quale tipo di scansione (Scansione manuale,
Scansione in tempo reale o Scansione pianificata) ha rilevato il
virus/minaccia informatica e quindi fare clic sulla directory di
quarantena specificata nella scheda Agenti > Gestione agente >
Impostazioni > {Tipo di scansione} > Azione.
Se la directory di quarantena di trova nel computer server
OfficeScan o in un altro computer server OfficeScan:
1.
Verificare che l'agente sia in grado di collegarsi al server.
2.
Se per indicare la directory di quarantena si utilizza il formato
URL:
a.
Assicurarsi che il nome dell'dispositivo specificato dopo
http:// sia corretto.
3.
b.
Controllare la dimensione del file infetto. Se questa
supera la dimensione massima per i file specificata in
Amministrazione > Impostazioni > Gestione della
quarantena, modificare l'impostazione adattandola al
file. È anche possibile decidere di compiere altri azioni
come eliminare il file.
c.
Verificare la dimensione della directory di quarantena e
determinare se ha superato la capacità di cartella
specificata in Amministrazione > Impostazioni >
Gestione della quarantena. Modificare la capacità della
cartella o eliminare manualmente dei file nella directory
di quarantena.
Se si utilizza il percorso UNC, assicurarsi che la directory di
quarantena sia condivisa per il gruppo “Tutti” e che tutti i
membri del gruppo abbiano i permessi di lettura e scrittura.
Verificare inoltre che la directory di quarantena esista e che il
percorso UNC sia corretto.
Se la directory di quarantena si trova su un altro dispositivo della
rete (per questo scenario è consentito solo il percorso UNC):
1.
7-96
Verificare che l'agente OfficeScan sia in grado di collegarsi
all'dispositivo.
Analisi dei rischi per la sicurezza
RISULTATO
DESCRIZIONE
2.
Assicurarsi che la directory di quarantena sia condivisa per
tutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano i
permessi di lettura e scrittura.
3.
Verificare che la directory di quarantena esista.
4.
Verificare che il percorso UNC sia corretto.
Se la directory di quarantena si trova in una directory diversa
dell'dispositivo agente OfficeScan (per questo scenario è
consentito solo il percorso assoluto), verificare che la cartella
della directory di quarantena esista.
Impossibile
disinfettare il file
Spiegazione 1.
Il file infetto potrebbe trovarsi all'interno di un file compresso e
l'impostazione “Disinfetta/Elimina” file infetti all'interno dei file
compressi in Agenti > Impostazioni globali agente è disattivata.
Soluzione
Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei
file compressi. Quando questa opzione è attivata, OfficeScan
decomprime un file compresso, disinfetta/elimina i file infetti nel
file compresso e lo comprime di nuovo.
Nota
Se si attiva questa impostazione, l'utilizzo delle risorse
dell'dispositivo durante la scansione potrebbe aumentare e
la scansione potrebbe richiedere più tempo.
Spiegazione 2.
Il file infetto si trova nella cartella dei file Internet temporanei
dell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica i
file durante l'accesso ai siti Web, è possibile che il browser abbia
bloccato il file infetto. Non appena il browser Web avrà rilasciato il
file, OfficeScan potrà disinfettarlo.
Soluzione: Nessuna
Spiegazione 3.
7-97
Guida per l'amministratore di OfficeScan™ 11.0
RISULTATO
DESCRIZIONE
Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni,
vedere File non disinfettabili a pagina E-16.
Operazione
richiesta
OfficeScan non riesce a completare l'operazione configurata nel
file infetto senza l'intervento dell'utente. Passare il puntatore del
mouse sulla colonna Operazione richiesta per visualizzare le
seguenti informazioni.
•
“Operazione richiesta: contattare il supporto per maggiori
dettagli sulla rimozione di questa minaccia con lo strumento
"Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilità
di OfficeScan”
•
“Operazione richiesta: contattare l'assistenza per maggiori
dettagli sulla rimozione di questa minaccia con lo strumento
"Disco di ripristino" di Anti-Threat Tool Kit in Strumenti di
utilità di OfficeScan”
•
“Operazione richiesta: contattare l'assistenza per maggiori
dettagli sulla rimozione di questa minaccia con lo strumento
"Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità di
OfficeScan”
•
“Operazione richiesta: OfficeScan rileva una minaccia in un
agente infetto. Riavviare l'dispositivo per completare la
disinfezione delle minacce alla sicurezza”
•
“Operazione richiesta: eseguire una scansione completa del
sistema”
Visualizzazione dei registri di ripristino files in quarantena
Dopo la disinfezione delle minacce informatiche, gli agenti OfficeScan effettuano il
backup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare i
dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati
di backup ripristinati delle minacce informatiche, sull'dispositivo interessato e sui risultati
del ripristino.
Procedura
1.
7-98
Accedere a Registri > Agenti > Ripristino Files in Quarantena.
Analisi dei rischi per la sicurezza
2.
Selezionare le colonne Completato, Operazione non riuscita e In sospeso per
verificare se OfficeScan ha ripristinato correttamente i dati della quarantena.
3.
Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate su
ciascun dispositivo interessato.
Nota
Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare di
nuovo il file nella schermata Dettagli ripristino files in quarantena facendo clic su
Ripristina tutto.
4.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Visualizzazione dei registri di spyware/grayware
Quando rileva spyware e grayware, l'agente OfficeScan genera i registri e li invia al
server.
Procedura
1.
Accedere a una delle seguenti sezioni:
•
Registri > Agenti > Rischi per la sicurezza
•
Agenti > Gestione agente
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri >
Registri di spyware/grayware.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
•
) per includere
Data e ora del rilevamento di spyware/grayware
7-99
Guida per l'amministratore di OfficeScan™ 11.0
•
Dispositivo interessato
•
Nome spyware/grayware
•
Tipo di scansione che ha rilevato il programma spyware/grayware
•
Dettagli su risultati della scansione spyware/grayware (se l'azione di scansione
è riuscita o meno). Per informazioni, vedere Risultati della scansione spyware/
grayware a pagina 7-100.
•
Indirizzo IP
•
Indirizzo MAC
•
Dettagli registro (per vedere i dettagli, fare clic su Visualizza)
6.
Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/
grayware.
7.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Il file CSV contiene le seguenti informazioni:
•
Tutte le informazioni dei registri
•
Il nome dell'utente collegato all'dispositivo al momento del rilevamento
Risultati della scansione spyware/grayware
I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware:
TABELLA 7-25. Risultati della scansione spyware/grayware di primo livello
RISULTATO
DESCRIZIONE
Operazione riuscita,
non sono
necessarie azioni
Questo è il risultato di primo livello se l'azioni di scansione è stata
completata correttamente. Il risultato di secondo livello può essere
uno dei seguenti:
7-100
•
Disinfettati
•
Accesso negato
Analisi dei rischi per la sicurezza
RISULTATO
Richieste ulteriori
azioni
DESCRIZIONE
Questo è il risultato di primo livello se l'azioni di scansione non è
stata completata correttamente. I risultati di secondo livello
conterranno almeno uno dei seguenti messaggi:
•
Ignorati
•
Disinf. spyware/grayware non sicura
•
La scansione di spyware/grayware è stata interrotta
manualmente. Effettuare una scansione completa
•
Spyware/grayware disinfettato. È necessario riavviare il
computer. Riavviare il computer
•
Impossibile disinfettare spyware/grayware
•
Risultati scansione spyware/grayware non identificati.
Contattare l'assistenza tecnica di Trend Micro
TABELLA 7-26. Risultati della scansione spyware/grayware di secondo livello
RISULTATO
DESCRIZIONE
SOLUZIONE
Disinfettati
OfficeScan interrompe i processi o elimina
registri, file, cookie e collegamenti.
N.D.
Accesso negato
OfficeScan ha negato all'utente l'accesso
(per copia e apertura) ai componenti
grayware e spyware rilevati.
N.D.
Ignorati
OfficeScan non ha eseguito alcuna
operazione, ma ha registrato il rilevamento
di spyware e grayware per successive
valutazioni.
aggiungere
spyware/grayware
considerati innocui
all'Elenco Approvati
spyware/grayware.
7-101
Guida per l'amministratore di OfficeScan™ 11.0
RISULTATO
DESCRIZIONE
SOLUZIONE
Disinf. spyware/
grayware non sicura
: questo messaggio viene visualizzato nel
caso in cui il motore di scansione spyware
tenti di disinfettare ogni singola cartella e
siano rispettati i criteri di seguito riportati.
Contattare il
provider del
supporto per
ricevere assistenza.
•
Gli elementi da disinfettare superano i
250 MB.
•
Il sistema operativo utilizza i file
contenuti nella cartella. La cartella
potrebbe essere necessaria per il
normale funzionamento del sistema.
•
La cartella è una directory principale
(come C: o F:)
La scansione di
spyware/grayware è
stata interrotta
manualmente.
Effettuare una
scansione completa
un utente interrompe la scansione prima
del completamento.
eseguire una
scansione manuale
e attenderne la
conclusione.
Spyware/grayware
disinfettato. È
necessario riavviare
il computer.
Riavviare il
computer
OfficeScan ha disinfettato i componenti
spyware/grayware, ma per completare
l'attività è necessario riavviare l'dispositivo.
Riavviare
immediatamente
l'dispositivo.
Impossibile
disinfettare
spyware/grayware
Sono stati rilevati spyware/grayware su un
CD-ROM o un'unità di rete. OfficeScan
disinfetta solo spyware/grayware rilevati in
queste posizioni.
rimuovere
manualmente il file
infetto
Risultati scansione
spyware/grayware
non identificati.
Contattare
l'assistenza tecnica
di Trend Micro
una nuova versione del motore di
scansione spyware fornisce un nuovo
risultato della scansione che la
configurazione di OfficeScan non è in
grado di gestire.
contattare
l'assistenza tecnica
per capire come
determinare il nuovo
risultato della
scansione.
7-102
Analisi dei rischi per la sicurezza
Visualizzazione dei registri di ripristino spyware/grayware
Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguono
il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono
considerati innocui. I registri contengono le informazioni sui dati di backup di spyware/
grayware ripristinati, sull'dispositivo interessato e sui risultati del ripristino.
Procedura
1.
Accedere a Registri > Agenti > Ripristino spyware/grayware.
2.
Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinato
correttamente i dati di spyware e grayware.
3.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta
in CSV. Aprire il file o salvarlo in una posizione specifica.
Registri di scansione
Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione,
l'agente OfficeScan crea un registro della scansione che contiene informazioni sulla
scansione. È possibile visualizzare il registro della scansione accedendo alla console
dell'agente OfficeScan. Gli agenti non inviano il registro della scansione al server.
I registri della scansione mostrano le seguenti informazioni:
•
Data e ora di inizio della scansione di OfficeScan
•
Data e ora di fine della scansione di OfficeScan
•
Stato della scansione
•
Completato: la scansione è stata completata correttamente.
•
Operazione interrotta: la scansione è stata interrotta dall'utente prima del
completamento.
•
Operazione interrotta in modo imprevisto: la scansione è stata interrotta
dall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio
7-103
Guida per l'amministratore di OfficeScan™ 11.0
Scansione in tempo reale di OfficeScan potrebbe essersi interrotto in modo
imprevisto oppure l'utente ha forzato il riavvio dell'agente.
•
Tipo di scansione
•
Numero di oggetti esaminati
•
Numero di file infetti
•
Numero di azioni non riuscite
•
Numero di azioni riuscite
•
Versione di Smart Scan Agent Pattern
•
Versione del pattern dei virus
•
Versione del pattern spyware
Rischi per la sicurezza
Un rischio per la sicurezza si presenta quando i rilevamenti di virus/minacce
informatiche, spyware/grayware e le sessioni di cartelle condivise superano una
determinata soglia in un determinato intervallo di tempo. Esistono vari modi per reagire
e contenere un'infezione nella rete, tra i quali:
•
Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attività
sospette
•
Blocco di porte e cartelle dell'dispositivo agente principale
•
lnvio di messaggi di avviso di infezione agli agenti
•
Disinfezione degli dispositivi infetti
Notifiche e criteri dei rischi per la sicurezza
Configurare OfficeScan per inviare una notifica all'utente e agli amministratori di
OfficeScan quando si verificano i seguenti eventi:
7-104
Analisi dei rischi per la sicurezza
TABELLA 7-27. Tipi di notifiche di infezione sui rischi per la sicurezza
TIPO
•
Virus/minacce
informatiche
•
Spyware/Grayware
•
Sessione di
condivisione delle
cartelle
RIFERIMENTO
Configurazione delle notifiche e dei criteri dei rischi per la
sicurezza a pagina 7-106
Violazioni del firewall
Configurazione delle notifiche e dei criteri di infezione da
violazione del firewall a pagina 12-31
Callback C&C
Configurazione delle notifiche e dei criteri delle infezioni dei
callback C&C a pagina 11-21
•
Infezioni di virus/minacce informatiche
•
Infezioni di spyware/grayware
•
Infezioni da violazioni del firewall
•
Infezioni di sessioni di condivisione delle cartelle
Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo di
rilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamenti
nel periodo di rilevamento stabilito.
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan della presenza di un'infezione. È possibile
modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle
proprie esigenze.
Nota
OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezza
tramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessioni
di cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare le
impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i
dettagli, consultare Impostazioni notifica amministratore a pagina 13-31.
7-105
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle notifiche e dei criteri dei rischi per la
sicurezza
Procedura
1.
Accedere a Amministrazione > Notifiche > Infezione.
2.
Nella scheda Criteri:
a.
Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware:
b.
Specificare il numero di origini uniche dei rilevamenti.
c.
Specificare il numero di rilevamenti e il periodo di rilevamento per ogni
rischio per la sicurezza.
Suggerimento
Trend Micro consiglia di accettare i valori predefiniti di questa schermata.
OfficeScan invia un messaggio di notifica quando il numero di rilevamenti fissato
viene superato. Ad esempio, nella sezione Virus e minacce informatiche, se
vengono specificate 10 origini univoche, 100 rilevamenti e un periodo di tempo di
5 ore, OfficeScan invia la notifica quando 10 diversi agenti hanno segnalato un
totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se tutte le istanze sono state
rilevate nello stesso agente nell'arco di 5 ore, OfficeScan non invia la notifica.
3.
7-106
Nella scheda Criteri:
a.
Andare alla sezione Sessioni di condivisione delle cartelle.
b.
Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete.
c.
In Sessioni di condivisione cartelle registrate, fare clic sul collegamento
del numero per visualizzare i computer con cartelle condivise e i computer
con accesso alle cartelle condivise.
d.
Specificare il numero di sessioni di condivisione cartelle e il periodo di
rilevamento.
Analisi dei rischi per la sicurezza
OfficeScan invia un messaggio di notifica quando il numero di sessioni di
condivisione cartelle fissato viene superato.
4.
Nella scheda E-mail:
a.
Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni di
spyware/grayware e Infezioni delle sessioni di condivisione delle
cartelle.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Specificare i destinatari del messaggio e-mail.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel
campo Oggetto e Messaggio.
TABELLA 7-28. Variabili token per le notifiche dei rischi per la sicurezza
VARIABILE
DESCRIZIONE
Infezioni di virus/minacce informatiche
%CV
Numero totale di virus/minacce informatiche rilevati
%CC
Numero totale di computer con virus/minacce informatiche
Infezioni di spyware/grayware
%CV
Numero totale di spyware/grayware rilevati
%CC
Numero totale di computer con spyware/grayware
Infezioni delle sessioni di condivisione delle cartelle
e.
%S
Numero di sessioni di condivisione delle cartelle
%T
Totale periodo di durata delle sessioni di condivisione delle
cartelle
%M
Periodo di tempo in minuti
Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/
grayware da includere nel messaggio e-mail. È possibile includere il nome
dell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora del
rilevamento, il file infetto e il percorso e il risultato della scansione.
7-107
Guida per l'amministratore di OfficeScan™ 11.0
f.
5.
6.
7.
Accettare o modificare i messaggi di notifica predefiniti.
Fare clic sulla scheda Trap SNMP:
a.
Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni
di spyware/grayware.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Per
informazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per la
sicurezza a pagina 7-107.
Nella scheda Registro eventi NT:
a.
Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni
di spyware/grayware.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Per
informazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per la
sicurezza a pagina 7-107.
Fare clic su Salva.
Configurazione della prevenzione dei rischi per la
sicurezza
Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misure
di prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delle
impostazioni di prevenzione, poiché eventuali errori di configurazione possono
provocare problemi imprevisti nella rete.
Procedura
1.
7-108
Accedere a Agenti > Prevenzione delle infezioni.
Analisi dei rischi per la sicurezza
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
) per includere
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurare
le impostazioni per il criterio:
•
Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110
•
Blocco delle porte vulnerabili a pagina 7-111
•
Divieto di accesso in scrittura a file e cartelle a pagina 7-113
•
Divieto di accesso ai file compressi eseguibili a pagina 7-115
•
Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a
pagina 7-114
5.
Selezionare i criteri da applicare.
6.
Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Il
valore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni di
rete prima che il periodo di prevenzione delle infezioni scada.
AVVERTENZA!
Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Per
bloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo di
tempo indeterminato, anziché utilizzare OfficeScan si consiglia di modificare
direttamente le impostazioni dell'dispositivo e della rete.
7.
Accettare o modificare il messaggio di notifica dell'agente predefinito.
Nota
Per configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere a
Amministrazione > Notifiche > Infezione.
8.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
7-109
Guida per l'amministratore di OfficeScan™ 11.0
9.
Nella struttura agente Prevenzione delle infezioni, selezionare la colonna
Prevenzione delle infezioni.
Accanto ai computer a cui vengono applicate le misure di prevenzione delle
infezioni viene visualizzato un segno di spunta.
OfficeScan registra i seguenti eventi nei registri eventi di sistema:
•
Eventi server (avvio della prevenzione delle infezioni e notifica agli agenti per
l'attivazione della prevenzione delle infezioni)
•
Evento agente OfficeScan (attivazione della prevenzione delle infezioni)
Criteri per la prevenzione delle infezioni
Quando si verificano le infezioni, implementare i seguenti criteri:
•
Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110
•
Blocco delle porte vulnerabili a pagina 7-111
•
Divieto di accesso in scrittura a file e cartelle a pagina 7-113
•
Divieto di accesso ai file compressi eseguibili a pagina 7-115
•
Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina
7-114
Limitazione/Negazione dell'accesso alle cartelle condivise
Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivise
della rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartelle
condivise.
Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle,
ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisare
gli utenti di non condividere le cartelle durante un'infezione oppure implementare di
nuovo il criterio per applicarlo alle nuove cartelle condivise.
7-110
Analisi dei rischi per la sicurezza
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su Limita/impedisci l'accesso alle cartelle condivise.
5.
Selezionare una delle opzioni seguenti:
) per includere
•
Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise
•
Impedisci accesso completo
Nota
l'impostazione di accesso in sola lettura non si applica alle cartelle condivise già
configurate per impedire l'accesso completo.
6.
Fare clic su Salva.
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
7.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
Blocco delle porte vulnerabili
Durante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacce
informatiche potrebbero utilizzare per accedere ai computer dell'agente OfficeScan.
7-111
Guida per l'amministratore di OfficeScan™ 11.0
AVVERTENZA!
Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione.
Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili.
Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare con
l'agente per tutta la durata dell'infezione.
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su Blocco delle porte.
5.
Decidere se selezionare l'opzione Blocca porta affidabile.
6.
Selezionare le porte da bloccare nella colonna Porte bloccate.
a.
7-112
) per includere
Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata che
si apre, selezionare le porte da bloccare e fare clic su Salva.
•
Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quella
affidabile. Se si desidera bloccare anche la porta affidabile, selezionare la
casella di controllo Blocca porta affidabile nella schermata precedente.
•
Porte comunemente usate: selezionare almeno un numero di porta da
salvare nelle impostazioni per il blocco delle porte di OfficeScan.
•
Porte dei cavalli di Troia: blocca le porte normalmente utilizzate dai
programmi cavalli di Troia. Per informazioni, vedere Porta dei cavalli di
Troia a pagina E-14.
•
Un numero o intervallo di porte: è possibile specificare la direzione del
traffico da bloccare e alcuni commenti, come il motivo per cui devono
essere bloccate le porte specificate.
•
Protocollo ping (respingi ICMP): fare clic su questa opzione se si
desidera soltanto bloccare i pacchetti ICMP, come ad esempio le
richieste ping.
Analisi dei rischi per la sicurezza
7.
b.
Per modificare le impostazioni per le porte bloccate, fare clic sul numero di
porta.
c.
Nella schermata che si apre, modificare le impostazioni e fare clic su Salva.
d.
Per rimuovere una porta dall'elenco, selezionare la casella di controllo accanto
al numero di porta e fare clic su Elimina.
Fare clic su Salva.
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
8.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
Divieto di accesso in scrittura a file e cartelle
I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartelle
sui computer host. Durante un'infezione è possibile configurare OfficeScan per
impedire a virus e minacce informatiche di modificare o eliminare file e cartelle sui
computer agente OfficeScan.
AVVERTENZA!
OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate.
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su Impedisci accesso alla scrittura di file e cartelle.
) per includere
7-113
Guida per l'amministratore di OfficeScan™ 11.0
5.
Inserire il percorso directory. Dopo avere digitato il percorso directory da
proteggere, fare clic su Aggiungi.
Nota
Digitare il percorso assoluto (non quello virtuale) della directory.
6.
Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i file
con determinate estensioni. Per le estensioni dei file, per specificare un'estensione
non compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi.
7.
Per proteggere file specifici, in File da proteggere, inserire il nome file completo e
fare clic su Aggiungi.
8.
Fare clic su Salva.
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
9.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
Creazione del trattamento di esclusione reciproca sui file/
processi di minacce informatiche
È possibile configurare Prevenzione delle infezioni virali, come protezione contro le
minacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorse
richieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delle
infezioni virali crea esclusioni reciproche su file e processi relazionati alle minacce
informatiche note, prevenendone l'accesso a queste risorse.
Suggerimento
Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di una
soluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutex
corretti da proteggere durante un'infezione.
7-114
Analisi dei rischi per la sicurezza
Nota
Il trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche non
autorizzate e supporta solo le piattaforme a 32 bit.
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/
processi malware.
5.
Digitare il nome mutex come protezione contro il campo del testo fornito.
) per includere
Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -.
Nota
Prevenzione delle infezioni virali supporta il trattamento di esclusione reciproca per
un massimo di sei minacce mutex.
6.
Fare clic su Salva.
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
7.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
Divieto di accesso ai file compressi eseguibili
Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire la
diffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere.
7-115
Guida per l'amministratore di OfficeScan™ 11.0
È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packer
eseguibili supportati.
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Avvia Prevenzione delle infezioni.
4.
Fare clic su Impedisci l'accesso a file compressi eseguibili.
5.
Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic su
Aggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmi
packer.
) per includere
Nota
È possibile approvare solo l'uso dei file compressi creati dai programmi packer
nell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tutti
gli altri formati di file compressi eseguibili.
6.
Fare clic su Salva.
Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle
infezioni.
7.
Fare clic su Avvia Prevenzione delle infezioni.
Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una
nuova finestra.
Disattivazione della prevenzione delle infezioni
Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati o
messi in quarantena da OfficeScan, ripristinare le normali impostazioni di rete
disattivando la funzione di prevenzione delle infezioni.
7-116
Analisi dei rischi per la sicurezza
Procedura
1.
Accedere a Agenti > Prevenzione delle infezioni.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Ripristina impostazioni.
4.
Per informare gli utenti che l'infezione è terminata, selezionare Invia una notifica
agli utenti dopo il ripristino delle impostazioni originali.
5.
Accettare o modificare il messaggio di notifica dell'agente predefinito.
6.
Fare clic su Ripristina impostazioni.
) per includere
Nota
Se non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristina
automaticamente trascorso il numero di ore specificato in Ripristina
automaticamente le normali impostazioni di rete dopo __ ore nella schermata
Impostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore.
OfficeScan registra i seguenti eventi nei registri eventi di sistema:
7.
•
Eventi server (avvio della prevenzione delle infezioni e notifica agli agenti
OfficeScan per l'attivazione della prevenzione delle infezioni)
•
Evento agente OfficeScan (attivazione della prevenzione delle infezioni)
Dopo aver disattivato la prevenzione dalle infezioni, effettuare la scansione dei
computer di rete per contrastare eventuali rischi per la prevenzione.
7-117
Capitolo 8
Uso di Monitoraggio del
comportamento
Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzando
la funzione di Monitoraggio del comportamento.
Di seguito sono riportati gli argomenti trattati:
•
Monitoraggio del comportamento a pagina 8-2
•
Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-8
•
Privilegi di monitoraggio del comportamento a pagina 8-10
•
Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina
8-13
•
Registri di Monitoraggio del comportamento a pagina 8-14
8-1
Guida per l'amministratore di OfficeScan™ 11.0
Monitoraggio del comportamento
Il Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricerca
di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del
comportamento protegge gli dispositivo con il Blocco del comportamento malware e
il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di
eccezioni configurato dall'utente e il servizio Certified Safe software.
Importante
•
Il Monitoraggio del comportamento non supporta le piattaforme Windows XP o
Windows 2003 a 64 bit.
•
Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bit
con SP1 o versioni successive.
•
Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tutte
le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012.
Prima di attivare il Monitoraggio del comportamento su queste piattaforme server,
leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a
pagina 14-7.
Blocco del comportamento malware
Il Blocco del comportamento malware offre uno strato necessario di protezione
aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso.
Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono
varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i
comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa
funzione per garantire un livello più alto di protezione contro le minacce nuove,
sconosciute ed emergenti.
Monitoraggio del comportamento malware fornisce le tre opzioni di scansione a livello
di minaccia seguenti:
8-2
•
Minacce note: blocca i comportamenti associati alle minacce informatiche
conosciute
•
Minacce note e potenziali: blocca il comportamento associato alle minacce
conosciute e intraprende azioni sul comportamento potenzialmente dannoso
Uso di Monitoraggio del comportamento
Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza
una notifica sull'dispositivo agente OfficeScan. Per ulteriori informazioni sulle notifiche,
vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina
8-13.
Monitoraggio degli eventi
Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi
software e malware non autorizzati. Controlla le aree di sistema alla ricerca di
determinati eventi, consentendo agli amministratori di regolare i programmi che attivano
questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione
del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento
malware.
La tabella seguente contiene l'elenco degli eventi di sistema monitorati.
TABELLA 8-1. Eventi di sistema controllati
EVENTI
DESCRIZIONE
Duplicazione dei file
di sistema
Molti programmi dannosi creano copie di sé stessi o di altri
programmi dannosi servendosi dei nomi utilizzati dai file di
sistema di Windows. Lo scopo è generalmente quello di avere la
precedenza o di sostituirsi ai file di sistema, di evitare il
rilevamento o di disincentivare gli utenti dall'eliminare i file
dannosi.
Modifica del file
Hosts
Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti
programmi dannosi modificano il file Hosts e fanno in modo che il
browser Web venga reindirizzato verso siti Web infetti, inesistenti
o falsificati.
Comportamento
sospetto
Il comportamento sospetto può essere rappresentato da
un'operazione specifica o una serie di operazioni raramente
svolte da programmi legittimi. I programmi che rivelano un
comportamento sospetto devono essere utilizzati con cautela.
Nuovo plug-in per
Internet Explorer
I programmi spyware/grayware spesso installano dei plug-in non
richiesti per Internet Explorer, come barre degli strumenti e oggetti
BHO (Browser Helper Object).
8-3
Guida per l'amministratore di OfficeScan™ 11.0
EVENTI
8-4
DESCRIZIONE
Modifica delle
impostazioni di
Internet Explorer
Molti virus/minacce informatiche modificano le impostazioni di
Internet Explorer, comprese quelle relative a home page, siti Web
affidabili, impostazioni del server proxy ed estensioni dei menu.
Modifica dei criteri
di protezione
Le modifiche ai criteri di protezione di Windows possono
consentire alle applicazioni indesiderate di essere eseguite e di
modificare le impostazioni di sistema.
Caricamento di
librerie di
programma
Molti programmi dannosi configurano Windows in modo che tutte
le applicazioni carichino automaticamente una libreria di
programma (DLL). Questo causa l'esecuzione delle routine
dannose nelle DLL ad ogni avvio dell'applicazione.
Modifica della shell
Molti programmi dannosi modificano le impostazioni della shell di
Windows per associare sé stessi a determinati tipi di file. Questa
routine consente ai programmi dannosi di venire avviati
automaticamente quando l'utente apre i file ad essi associati in
Esplora risorse. Le modifiche alle impostazioni della shell di
Windows sono anche in grado di consentire ai programmi dannosi
di rilevare i programmi utilizzati dall'utente e vengono avviati
insieme alle applicazioni legittime.
Nuovo servizio
I servizi di Windows sono processi con funzioni speciali e in
genere rimangono in esecuzione costante in background con
accesso amministrativo completo. I programmi dannosi spesso si
installano come servizi, in modo da rimanere nascosti.
Modifica dei file di
sistema
Alcuni file di sistema di Windows determinano il comportamento
del sistema, compresi i programmi di avvio e le impostazioni del
salvaschermo. Molti programmi dannosi modificano i file di
sistema per poter essere avviati automaticamente all'avvio e
controllare il comportamento del sistema.
Modifica dei criteri
del firewall
I criteri di Windows Firewall determinano quali applicazioni hanno
accesso alla rete, quali porte sono aperte per la comunicazione e
quali indirizzi IP possono comunicare con il computer dell'utente.
Molti programmi dannosi modificano i criteri per aprirsi un varco
nella rete e in Internet.
Modifica dei
processi di sistema
Molti programmi dannosi eseguono varie operazioni sui processi
integrati di Windows. Esempi di tali operazioni sono l'interruzione
o la modifica dei processi in esecuzione.
Uso di Monitoraggio del comportamento
EVENTI
Nuovo programma
di avvio
DESCRIZIONE
Le applicazioni dannose solitamente aggiungono o modificano
voci di avvio automatiche nel registro Windows che vengono
avviate automaticamente ogni volta che il computer viene acceso.
Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione
configurata per l'evento.
La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventi
di sistema monitorati.
TABELLA 8-2. Azioni per eventi di sistema controllati
AZIONE
Valuta
DESCRIZIONE
OfficeScan autorizza sempre i programmi associati a un evento
ma tiene traccia dell'operazione nei registri ai fini della valutazione.
Questa è l'azione predefinita per tutti gli eventi di sistema
controllati.
Nota
Questa opzione non è supportata per il Caricamento di
librerie di programma sui sistemi a 64 bit.
Consenti
OfficeScan autorizza sempre i programmi associati a un evento.
8-5
Guida per l'amministratore di OfficeScan™ 11.0
AZIONE
Chiedi se
necessario
DESCRIZIONE
OfficeScan chiede agli utenti se consentire o negare i programmi
associati a un evento e aggiungere i programmi all'elenco di
eccezioni
Se l'utente non risponde entro un determinato periodo di tempo,
OfficeScan autorizza automaticamente l'esecuzione del
programma. Il periodo di tempo predefinito è 30 secondi. Per
modificare il periodo di tempo, vedere Configurazione delle
impostazioni del monitoraggio del comportamento globale a pagina
8-8.
Nota
Questa opzione non è supportata per il Caricamento di
librerie di programma sui sistemi a 64 bit.
Impedisci
OfficeScan blocca sempre i programmi associati a un evento e
tiene traccia dell'operazione nei registri.
Quando un programma viene bloccato e le notifiche sono attivate,
OfficeScan visualizza una notifica sul computer OfficeScan. Per
ulteriori informazioni sulle notifiche, vedere Notifiche di
Monitoraggio del comportamento per gli utenti degli agenti
OfficeScan a pagina 8-13.
Elenco eccezioni Monitoraggio del comportamento
L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che non
vengono controllati da Monitoraggio del comportamento.
•
Programmi approvati: i programmi contenuti in questo elenco possono essere
eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di
OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione.
•
Programmi bloccati: non è possibile avviare i programmi inclusi in questo elenco.
Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi.
Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agli
utenti il privilegio di configurare il proprio elenco di eccezioni dalla console agente
8-6
Uso di Monitoraggio del comportamento
OfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina
8-10.
Configurazione del Blocco del comportamento malware, del
Monitoraggio degli eventi e dell'Elenco di Eccezione
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni del monitoraggio del
comportamento.
4.
Selezionare Attiva il Blocco del comportamento malware per minacce note e
potenziali e una delle opzioni seguenti:
5.
6.
) per includere
•
Minacce note: blocca i comportamenti associati alle minacce informatiche
conosciute
•
Minacce note e potenziali: blocca il comportamento associato alle minacce
conosciute e intraprende azioni sul comportamento potenzialmente dannoso
Configurare le impostazioni del monitoraggio degli eventi.
a.
Selezionare Attiva Monitoraggio degli eventi.
b.
Scegliere gli eventi di sistema da controllare e selezionare un'azione per
ciascuno degli eventi selezionati. Per informazioni sugli eventi di sistema
controllati e le azioni, vedere Monitoraggio degli eventi a pagina 8-3.
Configurare gli elenchi delle eccezioni.
a.
In Digitare il percorso completo del programma, digitare l'intero percorso
del programma da approvare o da bloccare. Separare le diverse voci con un
punto e virgola (;).
b.
Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco
Bloccati.
8-7
Guida per l'amministratore di OfficeScan™ 11.0
c.
Per eliminare dall'elenco un programma bloccato o approvato, fare clic
sull'icona del cestino ( ) accanto al programma.
Nota
OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi
bloccati.
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Configurazione delle impostazioni del
monitoraggio del comportamento globale
OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti con
determinati privilegi.
Procedura
8-8
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Passare alla sezione Impostazioni del monitoraggio del comportamento .
3.
Configurare le seguenti impostazioni, in base alle necessità:
Uso di Monitoraggio del comportamento
OPZIONE
DESCRIZIONE
Autorizza
automaticamente
il programma se
l'utente non
risponde entro __
secondi
Questa impostazione funziona solo se è attivato il
Monitoraggio degli eventi e l'azione per un evento di sistema
controllato è "Chiedi se necessario". Questa azione chiede
all'utente se consentire o negare i programmi associati
all'evento. Se l'utente non risponde entro un determinato
periodo di tempo, OfficeScan autorizza automaticamente
l'esecuzione del programma. Per i dettagli, consultare
Monitoraggio degli eventi a pagina 8-3.
Chiedi all'utente
prima di eseguire
nuovi programmi
scaricati tramite
HTTP o
applicazioni email (escluse
piattaforme
server)
Il Monitoraggio del comportamento, insieme ai Servizi di
reputazione Web, verifica la prevalenza di file scaricati tramite
le applicazioni e-mail o i canali HTTP. Dopo aver rilevato un
file "nuovo", gli amministratori possono scegliere di chiedere
conferma agli utenti prima di eseguire il file. Trend Micro
classifica un programma come nuovo in base al numero di
rilevamenti del file o all'età storica del file determinata da
Smart Protection Network.
Monitoraggio del comportamento effettua la scansione dei tipi
di file seguenti per ciascun canale:
•
HTTP: esegue la scansione dei file .exe.
•
Applicazioni e-mail: esegue la scansione dei file .exe e
dei file .exe compressi nei file .zip e .rar non
crittografati.
Nota
•
Gli amministratori devono attivare Servizi di
reputazione Web sull'agente per consentire a
OfficeScan di effettuare la scansione del traffico
HTTP prima che venga visualizzata la richiesta.
•
Per i sistemi Windows 7, Vista e XP, questo
prompt supporta solo le porte 80, 81 e 8080.
•
OfficeScan abbina i nomi dei file scaricati tramite
applicazioni e-mail durante il processo di
esecuzione. Se il nome del file è stato modificato,
l'utente non riceve alcun prompt.
8-9
Guida per l'amministratore di OfficeScan™ 11.0
4.
Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare
il Servizio certificato Safe Software, come necessario.
Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la
sicurezza di un programma rilevato da Blocco del comportamento malware,
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio
Certified Safe Software per ridurre la possibilità di falsi allarmi.
Nota
Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per
maggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di
attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme a
una connessione Internet intermittente, possono provocare ritardi o mancate risposte
dai datacenter Trend Micro. Di conseguenza, i programmi controllati non
rispondono.
Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai
datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi
IP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di
collegarsi ai datacenter Trend Micro.
5.
Fare clic su Salva.
Privilegi di monitoraggio del comportamento
Se gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzione
Monitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella
8-10
Uso di Monitoraggio del comportamento
console dell'agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco di
eccezioni.
FIGURA 8-1. Opzione Monitoraggio del comportamento nella console dell'agente
OfficeScan
8-11
Guida per l'amministratore di OfficeScan™ 11.0
Concessione dei privilegi di monitoraggio del
comportamento
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio del
comportamento.
5.
Selezionare Visualizza le impostazioni Monitoraggio del comportamento
nella console agente OfficeScan.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
8-12
) per includere
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Uso di Monitoraggio del comportamento
Notifiche di Monitoraggio del comportamento
per gli utenti degli agenti OfficeScan
OfficeScan può visualizzare un messaggio di notifica sul computer agente OfficeScan
subito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivare
l'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio.
Attivazione dell'invio di messaggi di notifica
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni del
monitoraggio del comportamento .
5.
Selezionare Visualizza una notifica quando un programma viene bloccato.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
) per includere
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
8-13
Guida per l'amministratore di OfficeScan™ 11.0
Modifica del contenuto del messaggio di notifica
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio del
comportamento.
3.
Modificare il messaggio predefinito nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri di Monitoraggio del comportamento
Gli agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi e
inviano i registri al server. Un agente OfficeScan che è sempre in esecuzione raccoglie i
registri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di Monitoraggio del
comportamento
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
8-14
) per includere
Uso di Monitoraggio del comportamento
3.
Fare clic su Registri > Registri di Monitoraggio del comportamento oppure
Visualizza registri > Registri di Monitoraggio del comportamento.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
6.
•
Data/Ora di rilevamento del processo non autorizzato
•
Dispositivo in cui il processo non autorizzato è stato rilevato
•
Dominio dell'dispositivo
•
Violazione, ossia la regola di monitoraggio dell'evento violata dal processo
•
Azione eseguita al rilevamento della violazione
•
Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso
•
Livello di rischio del programma non autorizzato
•
Programma, ossia il programma non autorizzato
•
Operazione, ossia l'azione eseguita dal programma non autorizzato
•
Destinazione, ossia il processo al quale è stato eseguito l'accesso
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Configurazione della pianificazione dell'invio dei registri
di Monitoraggio del comportamento:
Procedura
1.
Accedere a <Cartella di installazione del server>\PCCSRV.
2.
Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini.
3.
Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto ad
essa.
8-15
Guida per l'amministratore di OfficeScan™ 11.0
Il valore predefinito è 3600 secondi e la stringa completa è
SendBMLogPeriod=3600.
4.
Specificare il valore in secondi.
Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in
7200.
5.
Salvare il file.
6.
Accedere a Agenti > Impostazioni globali agente.
7.
Fare clic su Salva senza cambiare le impostazioni.
8.
Riavviare l'agente.
8-16
Capitolo 9
Utilizzo di Controllo dispositivo
Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza
utilizzando la funzione di Controllo dispositivo.
Di seguito sono riportati gli argomenti trattati:
•
Controllo dispositivo a pagina 9-2
•
Autorizzazioni per dispositivi di archiviazione a pagina 9-4
•
Autorizzazioni per dispositivi non di archiviazione a pagina 9-11
•
Modifica delle notifiche di controllo dispositivo a pagina 9-18
•
Registri di controllo dispositivo a pagina 9-18
9-1
Guida per l'amministratore di OfficeScan™ 11.0
Controllo dispositivo
Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse
di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la
dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi
per la sicurezza.
È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni.
Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agenti
esterni.
I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile
applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare
un singolo criterio a tutti gli agenti.
Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti
nella schermata Località computer (vedere Posizione dispositivo a pagina 14-2) per
determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta
che cambia la posizione.
Importante
•
9-2
Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte le versioni
di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di
attivare il Controllo dispositivo su queste piattaforme server, leggere le linee guida e le
migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7.
Utilizzo di Controllo dispositivo
Importante
•
I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono
dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso
in licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulteriori
informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina
3-4.
TABELLA 9-1. Tipi di dispositivo
PROTEZIONE DATI
PROTEZIONE DATI NON
ATTIVATA
ATTIVATA
Dispositivi mobili
Dispositivi mobili
Monitorato
Non monitorato
CD/DVD
Monitorato
Monitorato
Dischi floppy
Monitorato
Monitorato
Unità di rete
Monitorato
Monitorato
Dispositivi USB di
archiviazione
Monitorato
Monitorato
Dispositivi di archiviazione
Dispositivi non di archiviazione
•
Adattatori Bluetooth
Monitorato
Non monitorato
Porte COM e LPT
Monitorato
Non monitorato
Interfaccia IEEE 1394
Monitorato
Non monitorato
Dispositivi per
l'acquisizione di
immagini
Monitorato
Non monitorato
Dispositivi a infrarossi
Monitorato
Non monitorato
Modem
Monitorato
Non monitorato
Scheda PCMCIA
Monitorato
Non monitorato
Tasto Stamp
Monitorato
Non monitorato
Schede NIC wireless:
Monitorato
Non monitorato
Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione dati
9-3
su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Guida per l'amministratore di OfficeScan™ 11.0
Autorizzazioni per dispositivi di archiviazione
Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono
utilizzate per:
•
Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e
unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare
il livello di accesso.
•
Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo
dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione,
ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile
consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.
La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi di
archiviazione.
TABELLA 9-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione
AUTORIZZAZIONI
Accesso completo
Modifica
FILE NEL DISPOSITIVO
FILE IN ENTRATA
Operazioni consentite: copia,
spostamento, apertura,
salvataggio, eliminazione,
esecuzione
Operazioni consentite:
salvataggio, spostamento, copia
Operazioni consentite: copia,
spostamento, apertura,
salvataggio, eliminazione
Operazioni consentite:
salvataggio, spostamento, copia
Ciò significa che un file può
essere salvato, spostato e
copiato nel dispositivo.
Operazioni non consentite:
esecuzione
Lettura ed
esecuzione
Operazioni consentite: copia,
apertura, esecuzione
Operazioni non consentite:
salvataggio, spostamento,
eliminazione
9-4
Operazioni non consentite:
salvataggio, spostamento, copia
Utilizzo di Controllo dispositivo
AUTORIZZAZIONI
Lettura
FILE NEL DISPOSITIVO
Operazioni consentite: copia,
apertura
FILE IN ENTRATA
Operazioni non consentite:
salvataggio, spostamento, copia
Operazioni non consentite:
salvataggio, spostamento,
eliminazione, esecuzione
Elenca solo
contenuto
dispositivo
Blocca
(disponibile dopo
l'attivazione della
Protezione dati)
Operazioni non consentite: tutte
le operazioni
Operazioni non consentite:
salvataggio, spostamento, copia
Il dispositivo e i file che contiene
sono visibili all'utente (ad
esempio, da Esplora risorse di
Windows).
Operazioni non consentite: tutte
le operazioni
Operazioni non consentite:
salvataggio, spostamento, copia
Il dispositivo e i file che contiene
non sono visibili all'utente (ad
esempio, da Esplora risorse di
Windows).
La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e
può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file,
ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene
eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se
l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia,
l'azione di scansione è Elimina, il file viene eliminato.
Suggerimento
Il controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per il
monitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati da
OfficeScan, impostare l'autorizzazione dei dispositivi su Blocca per limitare l'accesso a tali
dispositivi.
9-5
Guida per l'amministratore di OfficeScan™ 11.0
Autorizzazioni avanzate per i dispositivi di archiviazione
Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per
la maggior parte dei dispositivi di archiviazione. È possibile applicare una delle
autorizzazioni seguenti:
•
Modifica
•
Lettura ed esecuzione
•
Lettura
•
Elenca solo contenuto dispositivo
È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuni
programmi sui dispositivi di archiviazione e sull'dispositivo locale.
Per definire i programmi, configurare gli elenchi di programmi seguenti.
9-6
Utilizzo di Controllo dispositivo
TABELLA 9-3. Elenchi di programmi
ELENCO DI
DESCRIZIONE
VALORI VALIDI
Questo elenco contiene i programmi locali e
i programmi dei dispositivi di archiviazione
che hanno accesso in lettura e scrittura ai
dispositivi.
Nome e percorso del
programma
PROGRAMMI
Programmi con
accesso in lettura
e scrittura ai
dispositivi
Un esempio di programma locale è
Microsoft Word (winword.exe), di solito
installato in C:\\Programmi\\Microsoft
Office\\Office. Se l'autorizzazione per i
dispositivi di archiviazione USB è "Elenca
solo contenuto dispositivo", ma "C:\
Per i dettagli,
consultare Specifica
di nome e percorso
del programma a
pagina 9-9.
\Programmi\\Microsoft Office\\Office
\\winword.exe" è incluso nell'elenco:
Programmi su
dispositivi a cui è
consentito
eseguire
•
L'utente avrà accesso in lettura e
scrittura a tutti i file del dispositivo di
archiviazione USB a cui Microsoft Word
ha accesso.
•
L'utente può salvare, spostare o
copiare un file Microsoft Word sul
dispositivo di archiviazione USB.
Questo elenco contiene i programmi dei
dispositivi di archiviazione che possono
essere eseguiti dagli utenti o dal sistema.
Ad esempio, per consentire agli utenti di
installare il software da un CD, aggiungere
a questo elenco il nome e il percorso del
programma di installazione, ad esempio "E:
\Installer\Setup.exe",
Nome e percorso del
programma o
provider della firma
digitale
Per ulteriori dettagli,
vedere Specifica di
nome e percorso del
programma a pagina
9-9 o Specifica di un
provider della firma
digitale a pagina
9-8.
In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi.
Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se
attivato, richiede agli utenti di specificare un nome utente e una password validi prima
9-7
Guida per l'amministratore di OfficeScan™ 11.0
che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un
programma del dispositivo denominato "Password.exe", che è necessario autorizzare
affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere
accesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificare
il nome utente o la password.
Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100
programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario
aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per
istruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Aggiunta di
programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini a pagina 9-16.
AVVERTENZA!
I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio root e
sovrascrivono i programmi nei singoli domini e negli agenti.
Specifica di un provider della firma digitale
Specificare un provider di firma digitale se si ritengono affidabili i programmi del
provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile
9-8
Utilizzo di Controllo dispositivo
conoscere il provider della firma digitale verificando le proprietà di un programma (ad
esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).
FIGURA 9-1. Provider della firma digitale per il programma agente OfficeScan
(PccNTMon.exe)
Specifica di nome e percorso del programma
Il nome e il percorso di un programma devono essere composti da un massimo di 259
caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile
specificare solo il nome del programma.
È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei
programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo,
come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere
multiplo, come un nome di un programma.
9-9
Guida per l'amministratore di OfficeScan™ 11.0
Nota
I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario
specificare il nome esatto di una cartella.
Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:
TABELLA 9-4. Uso corretto dei caratteri jolly
ESEMPIO
DATI CORRISPONDENTI
?:\Password.exe
Il file "Password.exe" si trova direttamente sotto una
qualsiasi unità
C:\Programmi\Microsoft\*.exe
Qualsiasi file in C:\Programmi che abbia
un'estensione di file
C:\Programmi\*.*
Qualsiasi file in C:\Programmi che abbia
un'estensione di file
C:\Programmi\a?c.exe
Qualsiasi file .exe in C:\Programmi composto da 3
caratteri che inizi con la lettera "a" e termini con la
lettera "c"
C:\*
Qualsiasi file che si trovi direttamente sotto l'unità C:
\Programmi con o senza un'estensione di file
Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:
TABELLA 9-5. Uso scorretto dei caratteri jolly
ESEMPIO
??:\Buffalo\Password.exe
?? rappresenta due caratteri, mentre le lettere delle
unità sono costituite da un solo carattere alfabetico.
*:\Buffalo\Password.exe
* rappresenta dati con più caratteri, mentre le lettere
delle unità sono costituite da un solo carattere
alfabetico.
C:\*\Password.exe
I caratteri jolly non possono essere usati per
rappresentare nomi di cartelle. È necessario
specificare il nome esatto di una cartella.
C:\?\Password.exe
9-10
MOTIVO
Utilizzo di Controllo dispositivo
Autorizzazioni per dispositivi non di
archiviazione
L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per
questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.
Gestione dell'accesso ai dispositivi esterni (Protezione
dati attivata)
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
4.
Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti
esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agenti
interni.
5.
Selezionare Attiva controllo dispositivo.
6.
Applicare le impostazioni come indicato di seguito:
) per includere
•
Nella scheda Agenti esterni è possibile applicare le impostazioni agli agenti
interni selezionando Applica impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioni
agli agenti esterni selezionando Applica impostazioni agli agenti esterni.
7.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un
dispositivo di archiviazione USB.
8.
Configurare le impostazioni per i dispositivi di archiviazione.
9-11
Guida per l'amministratore di OfficeScan™ 11.0
9.
a.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per
ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di
archiviazione a pagina 9-4.
b.
Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca,
configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a
questi dispositivi e possono controllare il livello di accesso usando le
autorizzazioni. Consultare Configurazione di un elenco Approvati per i dispositivi
USB a pagina 9-13.
Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.
10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Configurazione delle autorizzazioni avanzate
Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato
dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni
vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che
facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si
definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.
Nota
Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i
programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di
archiviazione a pagina 9-6.
9-12
Utilizzo di Controllo dispositivo
Procedura
1.
Fare clic su Notifiche e autorizzazioni avanzate.
Viene visualizzata una nuova schermata.
2.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il
percorso ed il nome file del programma e fare clic su Aggiungi.
Il provider della firma digitale non viene accettato.
3.
Sotto Programmi su dispositivi di archiviazione di cui è consentita
l'esecuzione:, digitare il percorso ed il nome file del programma oppure il provider
della firma digitale e fare clic su Aggiungi.
4.
Selezionare Visualizza un messaggio di notifica sull'dispositivo quando
OfficeScan rileva un accesso non autorizzato ai dispositivi.
5.
•
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul
dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli
utenti non potranno salvare, spostare, eliminare o eseguire un file sul
dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle
autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4.
•
È possibile modificare il messaggio di notifica. Per i dettagli, consultare
Modifica delle notifiche di controllo dispositivo a pagina 9-18.
Fare clic su Indietro.
Configurazione di un elenco Approvati per i dispositivi USB
L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere
jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che
soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi
USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco
approvati.
Procedura
1.
Fare clic su Dispositivi approvati.
9-13
Guida per l'amministratore di OfficeScan™ 11.0
2.
Immettere il fornitore del dispositivo.
3.
Immettere il modello e l'ID di serie del dispositivo.
Suggerimento
Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli
dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun
dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.
4.
Selezionare l'autorizzazione per ciascun dispositivo.
Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni per dispositivi di
archiviazione a pagina 9-4.
5.
Per aggiungere altri dispositivi, fare clic sull'icona (+).
6.
Fare clic su < Indietro.
Strumento elenco dispositivi
Eseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo per
eseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza un
dispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni sul
dispositivo in una finestra del browser. Tali informazioni possono quindi essere
utilizzate durante la configurazione delle impostazioni dei dispositivi per la Prevenzione
perdita di dati e il Controllo dispositivo.
Esecuzione dello Strumento elenco dispositivi
Procedura
1.
Nel computer server OfficeScan, accedere a \PCCSRV\Admin\Utility
\ListDeviceInfo.
2.
Copiare listDeviceInfo.exe nell'dispositivo di destinazione.
3.
Sull'dispositivo, eseguire listDeviceInfo.exe.
9-14
Utilizzo di Controllo dispositivo
4.
Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. La
Prevenzione predita di dati e il Controllo dispositivo utilizzano le seguenti
informazioni:
•
Fornitore (obbligatorio)
•
Modello (facoltativo)
•
ID di serie (facoltativo)
Gestione dell'accesso ai dispositivi esterni (Protezione
dati non attivata)
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
4.
Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti
esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agenti
interni.
5.
Selezionare Attiva controllo dispositivo.
6.
Applicare le impostazioni come indicato di seguito:
7.
) per includere
•
Nella scheda Agenti esterni è possibile applicare le impostazioni agli agenti
interni selezionando Applica impostazioni agli agenti interni.
•
Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioni
agli agenti esterni selezionando Applica impostazioni agli agenti esterni.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un
dispositivo di archiviazione USB.
9-15
Guida per l'amministratore di OfficeScan™ 11.0
8.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulteriori
informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a
pagina 9-4.
9.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il
dispositivo di archiviazione è una delle seguenti: Modifica, Lettura ed
esecuzione, Lettura o Elenca solo contenuto dispositivo. Consultare
Configurazione delle autorizzazioni avanzate a pagina 9-12.
10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Aggiunta di programmi agli elenchi di controllo dispositivo
con ofcscan.ini
Nota
Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che
possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di
archiviazione a pagina 9-6.
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV.
2.
9-16
Aprire il file ofcscan.ini usando un editor di testo.
Utilizzo di Controllo dispositivo
3.
Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di
archiviazione:
a.
Individuare le righe seguenti:
[DAC_APPROVED_LIST]
Count=x
b.
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
c.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<numero>=<nome e percorso del programma o provider
della firma digitale>
Ad esempio:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
4.
Per aggiungere i programmi su dispositivi di archiviazione di cui è consentita
l'esecuzione:
a.
Individuare le righe seguenti:
[DAC_EXECUTABLE_LIST]
Count=x
b.
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
c.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<numero>=<nome e percorso del programma o provider
della firma digitale>
Ad esempio:
9-17
Guida per l'amministratore di OfficeScan™ 11.0
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
5.
Salvare e chiudere il file ofcscan.ini .
6.
Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globali
agente.
7.
Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti.
Modifica delle notifiche di controllo dispositivo
I messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazioni
del Controllo dispositivo. Se necessario, gli amministratori possono modificare il
messaggio di notifica predefinito.
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo
3.
Modificare i messaggi predefiniti nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri di controllo dispositivo
Gli agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi e
inviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registri
9-18
Utilizzo di Controllo dispositivo
e li invia dopo 1 ore. Qualsiasi agente che è stato riavviato controlla l'ultima volta che i
registri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente invia
i registri immediatamente.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di controllo dispositivo
Nota
I dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi di
archiviazione. Gli agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi non
di archiviazione come da configurazione ma non registrano l'operazione.
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri di controllo dispositivo oppure Visualizza
registri > Registri di controllo dispositivo.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
) per includere
•
Data/Ora di rilevamento dell'accesso non autorizzato
•
Dispositivo al quale è connesso un dispositivo esterno o è mappata una
risorsa di rete
•
Dominio dell'dispositivo al quale è connesso un dispositivo esterno o è
mappata una risorsa di rete
•
Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso
9-19
Guida per l'amministratore di OfficeScan™ 11.0
6.
9-20
•
Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui è
stato eseguito l'accesso
•
Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso
•
Autorizzazioni impostate per la destinazione
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Capitolo 10
Utilizzo di Prevenzione perdita di dati
In questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzione
perdita di dati
Di seguito sono riportati gli argomenti trattati:
•
Informazioni sulla Prevenzione perdita di dati a pagina 10-2
•
Criteri di Prevenzione perdita di dati a pagina 10-3
•
Tipi di identificatore di dati a pagina 10-5
•
Modelli di Prevenzione perdita di dati a pagina 10-20
•
Canali DLP a pagina 10-25
•
Azioni di Prevenzione perdita di dati a pagina 10-37
•
Eccezioni di Prevenzione perdita di dati a pagina 10-38
•
Configurazione dei criteri Prevenzione perdita di dati a pagina 10-44
•
Notifiche di Prevenzione perdita di dati a pagina 10-49
•
Registri di Prevenzione perdita di dati a pagina 10-53
10-1
Guida per l'amministratore di OfficeScan™ 11.0
Informazioni sulla Prevenzione perdita di dati
Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esterne
di raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metà
della storia. Le violazioni dei dati sono diventate di ordinaria amministrazione ed
espongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – a
persone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito a
errori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti,
oppure attacchi maligni.
Le violazioni dei dati possono:
•
Danneggiare la reputazione del marchio.
•
Minare la fiducia del cliente nell'azienda.
•
Causare spese superflue a copertura dei rimedi e delle multe per violazione della
normativa in materia di conformità.
•
Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furto
della proprietà intellettuale.
Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggi
la protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura di
sicurezza.
Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite
accidentali o intenzionali. Prevenzione perdita di dati consente di:
•
Identificare le informazioni sensibili che devono essere protette utilizzando gli
identificatori di dati.
•
Creare criteri che limitano o impediscono la trasmissione delle risorse digitali
attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi
esterni.
•
Implementare la conformità alle norme vigenti sulla privacy
Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessario
essere in grado di rispondere alle domande seguenti:
•
10-2
Quali dati è necessario proteggere dagli utenti non autorizzati?
Utilizzo di Prevenzione perdita di dati
•
Dove risiedono i dati sensibili?
•
Come sono trasmessi i dati sensibili?
•
Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili?
•
Quale azione deve essere intrapresa se si verifica una violazione della sicurezza?
Queste importanti domande, in genere, riguardano diversi reparti e impiegati che
utilizzano i dati sensibili nell'ambito dell'organizzazione.
Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibile
iniziare a definire gli identificatori di dati e i criteri aziendali.
Criteri di Prevenzione perdita di dati
OfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. I
criteri determinano quali file e dati richiedono una protezione dalla trasmissione non
autorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione.
Nota
OfficeScan non monitora le trasmissioni di dati tra il server e gli agenti OfficeScan.
OfficeScan consente agli amministratori di configurare i criteri per gli agenti OfficeScan
interni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agenti
esterni.
Essi hanno la facoltà di far applicare criteri specifici a gruppi di agenti o a singoli agenti.
Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella
schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2la Guida
dell'amministratore di OfficeScan) per determinare le impostazioni di posizione corretta e il
criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione.
10-3
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione dei criteri
Definire i criteri DLP configurando le seguenti impostazioni e implementandole negli
agenti selezionati:
TABELLA 10-1. Impostazioni per la definizione di un criterio DLP
IMPOSTAZIONI
Regole
DESCRIZIONE
Una regola DLP è composta da azioni, canali e modelli multipli.
Ciascuna regola è un sottoinsieme del criterio DLP che la include.
Nota
Modelli e regole dei processi di Prevenzione perdita di dati in
base alla priorità. Se una regola è impostata su “Ignora”,
Prevenzione perdita di dati elabora la regola successiva
dell'elenco. Se una regola è impostata su “Blocca” o su
“Giustificazione utente”, Prevenzione perdita di dati blocca o
accetta l'operazione dell'utente e non elabora ulteriormente
tale regola/modello.
Modelli
I modelli DLP combinano identificatori di dati e operatori logici (E,
O, Eccetto) per formare istruzioni condizionali. La regola DLP viene
applicata solo ai file o ai dati che soddisfano una determinata
istruzione condizionale.
Prevenzione perdita di dati comprende una serie di modelli
predefiniti e consente agli amministratori di creare modelli
personalizzati.
Una regola DLP può contenere uno o più modelli. Prevenzione
perdita di dati utilizza la prima regola corrispondente quando
verifica i modelli. Questo significa che se un file o dei dati
corrispondono agli identificatori di dati in un modello, Prevenzione
perdita di dati non esegue la verifica in altri modelli.
Canali
10-4
I canali sono entità che trasmettono le informazioni sensibili.
Prevenzione perdita di dati supporta i comuni canali di
trasmissione, come la posta elettronica, i dispositivi di archiviazione
rimovibili e le applicazioni di messaggistica istantanea.
Utilizzo di Prevenzione perdita di dati
IMPOSTAZIONI
DESCRIZIONE
Azioni
Prevenzione perdita di dati esegue una o più azioni quando rileva
un tentativo di trasmissione di informazioni sensibili attraverso uno
dei canali.
Eccezioni
Le eccezioni adottano azioni di sovrascrittura nei confronti delle
regole DLP configurate. Configurare le eccezioni per gestire
destinazioni non monitorate, destinazioni monitorate e scansioni di
file compressi.
identificatore di
dati
Prevenzione perdita di dati utilizza gli identificatori di dati per
identificare le informazioni sensibili. Gli identificatori di dati
includono espressioni, attributi di file e parole chiave che agiscono
come elementi di costruzione per i modelli DLP.
Tipi di identificatore di dati
Le risorse digitali sono i file e i dati che un'organizzazione deve proteggere da
trasmissione non autorizzata. È possibile definire le risorse digitali utilizzando i seguenti
identificatori di dati:
•
Espressioni: dati con una determinata struttura. Per i dettagli, consultare
Espressioni a pagina 10-6.
•
Attributi di file: proprietà dei file, come il tipo e le dimensioni dei file. Per i
dettagli, consultare Attributi di file a pagina 10-11.
•
Elenco di parole chiave: un elenco di parole o frasi speciali. Per i dettagli,
consultare Parole chiave a pagina 10-14.
Nota
Non è possibile eliminare un identificatore di dati utilizzato da un modello DLP. Eliminare
il modello prima di eliminare l'identificatore di dati.
10-5
Guida per l'amministratore di OfficeScan™ 11.0
Espressioni
Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle carte
di credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnnnnnn", e questo li rende idonei per il rilevamento basato su espressioni.
È possibile usare espressioni predefinite e personalizzate. Per ulteriori dettagli, vedere
Espressioni predefinite a pagina 10-6 e Espressioni personalizzate a pagina 10-7.
Espressioni predefinite
In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Queste
espressioni non possono essere modificate o eliminate.
Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche e
associazioni dei pattern. Quando Prevenzione perdita di dati individua possibili dati
corrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche.
Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione dati
su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx.
Visualizzazione delle impostazioni per le espressioni predefinite
Nota
Le espressioni predefinite non possono essere modificate o eliminate.
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda espressione.
3.
Fare clic sul nome dell'espressione.
4.
Viene visualizzata la schermata delle impostazioni.
10-6
Utilizzo di Prevenzione perdita di dati
Espressioni personalizzate
Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa le
proprie esigenze.
Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creare
espressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassi
errata possono avere un impatto negativo sulle prestazioni.
Durante la creazione delle espressioni:
•
Fare riferimento alle espressioni predefinite per ottenere esempi di espressioni
valide. Ad esempio, se si crea un'espressione con una data, fare riferimento alle
espressioni con il prefisso "Data".
•
Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti in
PCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE,
visitare il seguente sito Web:
http://www.pcre.org/
•
Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmi
o perfezionarle per migliorare i rilevamenti.
Sono disponibili vari criteri per la creazione di espressioni. Un'espressione deve
soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi ad essa un
criterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri, vedere Criteri
per le espressioni personalizzate a pagina 10-7.
Criteri per le espressioni personalizzate
TABELLA 10-2. Opzioni dei criteri per le espressioni personalizzate
CRITERI
Nessuna
REGOLA
Nessuna
ESEMPIO
Tutti - Nomi provenienti dall'US
Census Bureau (Ufficio del
censimento degli Stati Uniti)
•
Espressione: [^\w]([A-Z][a-z]{1,12}
(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]
{1,12})[^\w]
10-7
Guida per l'amministratore di OfficeScan™ 11.0
CRITERI
Caratteri specifici
REGOLA
Un'espressione deve
comprendere i caratteri
specificati.
Inoltre il numero dei
caratteri dell'espressione
deve essere compreso
entro il numero minimo e
massimo.
Suffisso
Il suffisso si riferisce
all'ultimo segmento di
un'espressione. Un suffisso
deve comprendere i
caratteri specificati e
contenere un certo numero
di caratteri.
Inoltre il numero dei
caratteri dell'espressione
deve essere compreso
entro il numero minimo e
massimo.
10-8
ESEMPIO
Stati Uniti - Numero di registrazione
ABA
•
Espressione: [^\d]([0123678]\d{8})
[^\d]
•
Caratteri: 0123456789
•
Numero minimo di caratteri: 9
•
Numero massimo di caratteri: 9
Tutti - Indirizzo abitazione
•
Espressione: \D(\d+\s[a-z.]+\s([az]+\s){0,2} (lane|ln|street|st|
avenue|ave| road|rd|place|pl|
drive|dr|circle| cr|court|ct|
boulevard|blvd)\.? [0-9a-z,#\s\.]
{0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?)
[^\d-]
•
Caratteri suffisso: 0123456789-
•
Numero di caratteri: 5
•
Numero minimo di caratteri
nell'espressione: 25
•
Numero massimo di caratteri
nell'espressione: 80
Utilizzo di Prevenzione perdita di dati
CRITERI
REGOLA
ESEMPIO
Separatore a
carattere singolo
Un'espressione deve avere
due segmenti separati da
un carattere. La lunghezza
del carattere deve essere 1
byte.
Tutti - Indirizzo e-mail
•
Espressione: [^\w.]([\w\.]
{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}
[a-z\.]{0,10})[^\w.]
Inoltre il numero dei
caratteri a sinistra del
separatore deve essere
compreso entro il numero
minimo e massimo. Il
numero di caratteri a destra
del separatore non deve
superare il numero
massimo.
•
Separatore: @
•
Numero minimo di caratteri a
sinistra: 3
•
Numero massimo di caratteri a
sinistra: 15
•
Numero massimo di caratteri a
destra: 30
Creazione di un'espressione personalizzata
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda espressione.
3.
Fare clic su Aggiungi.
Viene visualizzata una nuova schermata.
4.
Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100
byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
Immettere una descrizione la cui lunghezza non superi i 256 byte.
6.
Immettere l'espressione e specificare se applicare la distinzione tra maiuscole e
minuscole.
7.
Immettere i dati visualizzati.
10-9
Guida per l'amministratore di OfficeScan™ 11.0
Ad esempio, se si crea un'espressione per i numeri di documenti di identità,
immettere un numero di esempio. Questi dati vengono utilizzati solo per
riferimento e non vengono visualizzati nel prodotto.
8.
9.
Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i
parametri scelti (vedere Criteri per le espressioni personalizzate a pagina 10-7):
•
Nessuna
•
Caratteri specifici
•
Suffisso
•
Separatore a carattere singolo
Provare l'espressione su dati effettivi.
Ad esempio, se l'espressione si riferisce a un documento di identità, digitare un
numero del documento di identità nella casella di testo Dati di prova, fare clic su
Prova e verificare i risultati.
10. Se i risultati sono soddisfacenti, fare clic su Salva.
Nota
Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado di
rilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effetto
negativo sulle prestazioni.
11. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli
agenti. Fare clic su Chiudi.
12. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli
agenti.
Importazione di espressioni personalizzate
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene
le espressioni. È possibile generare il file esportando le espressioni dal server a cui si sta
accedendo o da un altro server.
10-10
Utilizzo di Prevenzione perdita di dati
Nota
I file di espressioni .dat generati da questa versione di Prevenzione perdita di dati non
sono compatibili con le versioni precedenti.
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda espressione.
3.
Fare clic su Importa e individuare il file .dat che contiene le espressioni.
4.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se
un'espressione da importare esiste già, viene ignorata.
5.
Fare clic su Applica a tutti gli agenti.
Attributi di file
Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributi
di file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensioni
dei file. Ad esempio, una società di sviluppo software potrebbe voler limitare la
condivisione del programma di installazione del software della società al reparto di
ricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software.
In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare la
trasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti
ad eccezione di quello di ricerca e sviluppo.
Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nel
contesto dell'esempio precedente, anche i programmi di installazione del software di
terze parti condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare
gli attributi di file insieme ad altri identificatori di file DLP per rilevare in modo più
preciso i file rilevanti.
10-11
Guida per l'amministratore di OfficeScan™ 11.0
Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati su
http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx.
Creazione di un elenco di attributi di file
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda attributo di file.
3.
Fare clic su Aggiungi.
Viene visualizzata una nuova schermata.
4.
Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non deve
superare 100 byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
Immettere una descrizione la cui lunghezza non superi i 256 byte.
6.
Selezionare i tipi di file effettivi preferiti.
7.
Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file e
digitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file con
l'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida per
specificare le estensioni dei file:
•
Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.)
e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta un
nome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol e
test.pol.
•
Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un punto
interrogativo (?) per indicare un carattere singolo e un asterisco (*) per
indicare due o più caratteri. Vedere gli esempi seguenti:
- *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm
- *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr
10-12
Utilizzo di Prevenzione perdita di dati
- *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp
•
Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensione
in quanto corrispondere a una parte del nome del file o di un'estensione non
correlata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg e
abc.donor12.pdf.
•
Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessario
aggiungere uno spazio dopo il punto e virgola.
8.
Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensioni
del file devono corrispondere a numeri interi maggiori di zero.
9.
Fare clic su Salva.
10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli
agenti. Fare clic su Chiudi.
11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli
agenti.
Importazione di un elenco di attributi di file
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene
gli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributi
di file dal server a cui si sta accedo o da un altro server.
Nota
I file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati non
sono compatibili con le versioni precedenti.
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda attributo di file.
3.
Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributi
di file.
10-13
Guida per l'amministratore di OfficeScan™ 11.0
4.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un
elenco di attributi di file da importare esiste già, viene ignorato.
5.
Fare clic su Applica a tutti gli agenti.
Parole chiave
Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiave
correlate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi",
"gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono essere
presenti in un certificato medico. Per impedire la trasmissione di file contenti certificati
medici, è possibile usare queste parole chiave in un criterio DLP e configurare
Prevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave.
È possibile combinare parole di uso comune in modo da formare parole chiave
significative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo da
formare parole chiave che si trovano nei codici sorgente, come "END-IF", "ENDREAD" e "AT END".
È possibile usare parole chiave predefinite e personalizzate. Per ulteriori dettagli, vedere
Elenchi parole chiave predefinite a pagina 10-14 e Elenchi parole chiave personalizzate a pagina
10-16.
Elenchi parole chiave predefinite
In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite.
Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascun
elenco ha delle condizioni incorporate che determinano se il modello deve innescare una
violazione dei criteri
Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita di
dati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/enus/enterprise/data-protection-reference-documents.aspx.
10-14
Utilizzo di Prevenzione perdita di dati
Funzionamento degli elenchi di parole chiave
Condizione del numero di parole chiave
Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di un
determinato numero di parole chiave in un documento prima che l'elenco attivi una
violazione.
La condizione del numero di parole chiave contiene i seguenti valori:
•
Tutti: tutte le parole chiave dell'elenco devono essere presenti nel documento.
•
Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente nel
documento.
•
Numero specifico: nel documento, deve essere presente almeno il numero di
parole chiave specificato. Se nel documento è presente un numero di parole
superiore a quello specificato, Prevenzione perdita di dati attiva una violazione.
Condizione di distanza
Alcuni elenchi contengono una condizione di “distanza” per determinare se è presente
una violazione. la “distanza” indica il numero di caratteri tra il primo carattere di una
parola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voce
seguente:
First Name:_John_ Last Name:_Smith_
La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) e
i campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente,
Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nel
campo First Name and e "L" nel campo Last Name è uguale diciotto (18).
Di seguito viene riportato un esempio che non costituisce una violazione:
The first name of our new employee from Switzerland is John. His last name is
Smith.
10-15
Guida per l'amministratore di OfficeScan™ 11.0
In questo esempio, il numero di caratteri tra “f” nel campo “first name” e “l” nel campo
“last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza e
non si verifica una violazione.
Elenchi parole chiave personalizzate
Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiave
predefiniti soddisfa le proprie esigenze.
Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elenco
deve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco ad
un criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti:
•
Qualsiasi parola chiave
•
Tutte le parole chiave
•
Tutte le parole chiave comprese tra <x> caratteri
•
Il punteggio combinato per le parole chiave supera la soglia
Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzate
a pagina 10-16.
Elenchi di parole chiave personalizzate
TABELLA 10-3. Criteri per un elenco di parole chiave
CRITERI
REGOLA
Qualsiasi
parola chiave
Un file deve contenere almeno una parola chiave dell'elenco di parole
chiave.
Tutte le parole
chiave
Un file deve contenere tutte le parole chiave dell'elenco di parole
chiave.
10-16
Utilizzo di Prevenzione perdita di dati
CRITERI
REGOLA
Tutte le parole
chiave
comprese tra
<x> caratteri
Un file deve contenere tutte le parole chiave dell'elenco di parole
chiave. Inoltre ogni coppia di parole chiave deve essere separata da un
massimo di <x> caratteri.
Ad esempio, si supponga che le tre parole chiave siano WEB, DISK e
USB e che il numero di caratteri specificato sia 20.
Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordine
DISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (in
WEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20
caratteri.
I dati seguenti soddisfano i criteri: DISK####WEB############USB
I dati seguenti non soddisfano i criteri:
DISK*******************WEB****USB (23 caratteri tra "D" e "W")
Quando si determina il numero dei caratteri, si tenga presente che un
numero basso, quale 10, consente di ottenere tempi di scansione ridotti
ma copre un'area relativamente piccola. Ciò riduce le probabilità di
rilevamento di dati sensibili, in particolare nei file di grandi dimensioni.
A un numero maggiore corrisponde un'area maggiore, ma i tempi di
scansione potrebbero essere maggiori.
Il punteggio
combinato per
le parole
chiave supera
la soglia
Un file deve contenere una o più parole chiave dell'elenco di parole
chiave. Se viene rilevata solo una parola chiave, il punteggio deve
essere maggiore della soglia. Se esistono più parole chiave, il
punteggio combinato deve essere maggiore della soglia.
Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Una
parola o frase riservata, quale "aumento di stipendio" per il reparto
Risorse umane, deve avere un punteggio relativamente alto. Parole o
frasi che non sono molto rilevanti possono avere un punteggio minore.
Quando viene configurata la soglia, occorre considerare i punteggi
assegnati alle parole chiave. Ad esempio, se esistono cinque parole
chiave e tre hanno una priorità alta, la soglia può essere uguale o
minore del punteggio combinato delle tre parole chiave di priorità alta.
Ciò significa che il rilevamento di queste tre parole chiave è sufficiente
a considerare il file come sensibile.
10-17
Guida per l'amministratore di OfficeScan™ 11.0
Creazione di un elenco di parole chiave
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda parola chiave.
3.
Fare clic su Aggiungi.
Viene visualizzata una nuova schermata.
4.
Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non deve
superare 100 byte e il nome non deve contenere i seguenti caratteri:
•
><*^|&?\/
5.
Immettere una descrizione la cui lunghezza non superi i 256 byte.
6.
Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i
criteri scelti:
7.
8.
•
Qualsiasi parola chiave
•
Tutte le parole chiave
•
Tutte le parole chiave comprese tra <x> caratteri
•
Il punteggio combinato per le parole chiave supera la soglia
Per aggiungere parole chiave all'elenco in modo manuale:
a.
Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte e
specificare se si applica la distinzione tra maiuscole e minuscole.
b.
Fare clic su Aggiungi.
Per aggiungere parole chiave con l'opzione "importa":
Nota
Utilizzare questa opzione se è disponibile un file .csv in formato corretto che
contiene le parole chiave. È possibile generare il file esportando le parole chiave dal
server a cui si sta accedendo o da un altro server.
10-18
Utilizzo di Prevenzione perdita di dati
a.
Fare clic su Importa e individuare il file .csv che contiene le parole chiave.
b.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se
una parola chiave da importare esiste già nell'elenco, viene ignorata.
9.
Per eliminare le parole chiave, selezionarle e fare clic su Elimina.
10. Per esportare le parole chiave:
Nota
Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppure
per importarle su un altro server. Saranno esportate le parole chiave presenti
nell'elenco. Non è possibile esportare singole parole chiave.
a.
Fare clic sul pulsante Esporta.
b.
Salvare il file .csv risultante nel percorso desiderato.
11. Fare clic su Salva.
12. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli
agenti. Fare clic su Chiudi.
13. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli
agenti.
Importazione di un elenco di parole chiave
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene
gli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parole
chiave dal server a cui si sta accedendo o da un altro server.
Nota
I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perdita
di dati non sono compatibili con le versioni precedenti.
10-19
Guida per l'amministratore di OfficeScan™ 11.0
Procedura
1.
Accedere a Prevenzione perdita di dati > Identificatori di dati.
2.
Fare clic sulla scheda parola chiave.
3.
Fare clic su Importa e individuare il file .dat che contiene le parole chiave.
4.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un
elenco di parole chiave da importare esiste già, viene ignorato.
5.
Fare clic su Applica a tutti gli agenti.
Modelli di Prevenzione perdita di dati
I modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto)
per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati che
soddisfano una determinata istruzione condizionale.
Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E deve
contenere determinati termini legali (parole chiave) E deve contenere numeri ID
(espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterio
consente al personale delle Risorse umane di trasmettere il file stampandolo in modo
che la copia stampata possa essere firmata da un dipendente. La trasmissione attraverso
tutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata.
Se sono stati configurati degli identificatori di dati DLP, è possibile creare i propri
modelli. È possibile inoltre usare i modelli predefiniti. Per ulteriori dettagli, vedere
Modelli DLP personalizzati a pagina 10-21 e Modelli DLP predefiniti a pagina 10-21.
Nota
Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modello
dal criterio prima di eliminarlo.
10-20
Utilizzo di Prevenzione perdita di dati
Modelli DLP predefiniti
Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possono
essere utilizzati per conformarsi ai diversi standard normativi. Questi modelli non
possono essere modificati o eliminati.
•
GLBA: Gramm-Leach-Billey Act
•
HIPAA: Health Insurance Portability and Accountability Act
•
PCI-DSS: Payment Card Industry Data Security Standard
•
SB-1386: US Senate Bill 1386
•
US PII: United States Personally Identifiable Information
Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengono
protetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/
enterprise/data-protection-reference-documents.aspx.
Modelli DLP personalizzati
Creare modelli personalizzati se sono stati configurati identificatori di dati. I modelli
combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni
condizionali.
Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici,
vedere Istruzioni condizionali e operatori logici a pagina 10-21.
Istruzioni condizionali e operatori logici
Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestare
attenzione all'uso degli operatori logici durante la configurazione delle istruzioni
condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può
produrre risultati imprevisti.
Vedere alcuni esempi nella tabella seguente.
10-21
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 10-4. Esempi di istruzioni condizionali
ISTRUZIONE CONDIZIONALE
[Identificatore di dati 1] E
[Identificatore di dati 2]
Eccetto [Identificatore di
dati 3]
INTERPRETAZIONE ED ESEMPIO
Un file deve soddisfare [Identificatore di dati 1] e
[Identificatore di dati 2] ma non [Identificatore di dati 3].
Ad esempio:
Un file deve essere [un documento Adobe PDF] e deve
contenere [un indirizzo e-mail] ma non deve contenere
[tutte le parole chiave dell'elenco di parole chiave].
[Identificatore di dati 1] O
[Identificatore di dati 2]
Il file deve soddisfare la [Identificatore di dati 1] o
[Identificatore di dati 2].
Ad esempio:
Il file deve essere [un documento Adobe PDF] o [un
documento Microsoft Word].
Eccetto [Identificatore di
dati 1]
Un file non deve soddisfare [Identificatore di dati 1].
Ad esempio:
Un file non deve essere [un file multimediale].
Come indicato nell'ultimo esempio della tabella, il primo identificatore di dati
nell'istruzione condizionale può avere l'operatore "Eccetto" se un file non deve
soddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte dei
casi, tuttavia, il primo identificatore di dati non ha un operatore.
Creazione di un modello
Procedura
1.
Accedere a Prevenzione perdita di dati > Modelli DLP.
2.
Fare clic su Aggiungi.
Viene visualizzata una nuova schermata.
3.
10-22
Inserire un nome per il modello. La lunghezza del nome non deve superare 100
byte e il nome non deve contenere i seguenti caratteri:
Utilizzo di Prevenzione perdita di dati
•
><*^|&?\/
4.
Immettere una descrizione la cui lunghezza non superi i 256 byte.
5.
Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi".
Durante la selezione delle definizioni:
•
Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionare
gli identificatori di dati.
•
Utilizzare la funzionalità di ricerca per cercare una definizione specifica. È
possibile immettere il nome completo o una parte del nome dell'identificatore
di dati.
•
Ogni modello può comprende al massimo 40 identificatori di dati.
6.
Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiungi
nuova espressione. Configurare le impostazioni dell'espressione nella schermata
visualizzata.
7.
Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi su
Aggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco di
attributi di file nella schermata visualizzata.
8.
Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi su
Aggiungere nuova parola chiave. Configurare le impostazioni per l'elenco delle
keyword nella schermata visualizzata.
9.
Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde al
numero di volte che un'espressione deve ricorrere prima che Prevenzione perdita di
dati la applichi a un criterio.
10. Scegliere un operatore logico per ciascuna definizione.
Nota
Prestare attenzione all'uso degli operatori logici durante la configurazione delle
istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non
corretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedere
Istruzioni condizionali e operatori logici a pagina 10-21.
10-23
Guida per l'amministratore di OfficeScan™ 11.0
11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fare
clic sull'icona del cestino.
12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se non
corrisponde all'istruzione desiderata.
13. Fare clic su Salva.
14. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli
agenti. Fare clic su Chiudi.
15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti.
Importazione di modelli
Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene
i modelli. È possibile generare il file esportando i modelli dal server a cui si sta
accedendo o da un altro server.
Nota
Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di dati
associati (precedentemente denominati Definizioni). Prevenzione perdita di dati non può
importare i modelli che non dispongono dei relativi identificatori di dati associati.
Procedura
1.
Accedere a Prevenzione perdita di dati > Modelli DLP.
2.
Fare clic su Importa e individuare il file .dat che contiene i modelli.
3.
Fare clic sul pulsante Apri.
Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un
modello da importare esiste già, viene ignorato.
4.
10-24
Fare clic su Applica a tutti gli agenti.
Utilizzo di Prevenzione perdita di dati
Canali DLP
Gli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScan
può monitorare i seguenti canali:
•
Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocolli
di rete, come HTTP e FTP.
•
Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesse
utilizzando le periferiche e le applicazioni di un dispositivo locale.
Canali di rete
OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete:
•
Client di posta elettronica
•
FTP
•
HTTP e HTTPS
•
Applicazioni di messaggistica istantanea
•
Protocollo SMB
•
Webmail
Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito della
trasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato,
OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori della
rete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedere
Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29.
Client di posta elettronica
OfficeScan controlla la posta elettronica trasmessa attraverso vari agenti di posta.
OfficeScan controlla l'oggetto, il corpo del messaggio e gli allegati per identificare
eventuali identificatori di dati. Per un elenco degli agenti di posta elettronica supportati,
consultare il documento Elenchi di protezione dati su:
10-25
Guida per l'amministratore di OfficeScan™ 11.0
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di posta
elettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppure
blocca il messaggio e-mail.
È possibile definire i domini di posta elettronica interni monitorati e non monitorati.
•
Domini di posta elettronica monitorati: quando OfficeScan rileva posta
elettronica trasmessa a un dominio monitorato, verifica l'azione per il criterio. In
base all'azione, la trasmissione viene consentita o bloccata.
Nota
Se si selezionano agenti di posta elettronica come canali monitorati, affinché un
messaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Al
contrario, un messaggio e-mail inviato a un dominio di posta elettronica monitorato
viene automaticamente monitorato, anche se non corrisponde ad un criterio.
•
Domini di posta elettronica non monitorati: OfficeScan consente
immediatamente la trasmissione dei messaggi e-mail inviati ai domini non
monitorati.
Nota
Le trasmissioni di dati ai domini di posta elettronica monitorati e non monitorati in
cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita.
La sola differenza è che, per i domini di posta elettronica non monitorati, OfficeScan
non registra la trasmissione, mentre per i domini di posta elettronica monitorati, la
trasmissione viene sempre registrata.
Specificare i domini usando i seguenti formati; usare la virgola per separare più domini:
•
Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina
•
Domini di posta elettronica, come example.com
Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il server
SMTP di destinazione è presente negli elenchi seguenti:
1.
Destinazioni monitorate
2.
Destinazioni non monitorate
10-26
Utilizzo di Prevenzione perdita di dati
Nota
Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultare
Definizione di destinazioni non monitorate e monitorate a pagina 10-38.
3.
Domini di posta elettronica monitorati
4.
Domini di posta elettronica non monitorati
Questo significa che se un messaggio e-mail viene inviato a un server SMTP presente
nell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se il
server SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScan
verifica gli altri elenchi.
Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchi
seguenti:
1.
Domini di posta elettronica monitorati
2.
Domini di posta elettronica non monitorati
FTP
Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP,
controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è stato
caricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca il
caricamento.
Se si configura un criterio che blocca l'upload di file, ricordare quanto segue:
•
Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare di
nuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire che
carichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato
chiuso il client FTP. Informare gli utenti di questa situazione quando vengono
implementati i criteri DLP.
•
Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTP
potrebbe essere eliminato.
Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su:
10-27
Guida per l'amministratore di OfficeScan™ 11.0
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
HTTP e HTTPS
OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS,
OfficeScan controlla i dati prima che vengano crittografati e trasmessi.
Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezione
dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Applicazioni di messaggistica istantanea
OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni di
messaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengono
controllati.
Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchi
di protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Quando OfficeScan blocca un messaggio o un file inviato tramite AOL Instant
Messenger, MSN, Windows Messenger o Windows Live Messenger, chiude anche
l'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non risponde
e gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessuna
notifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazione
quando vengono implementati i criteri DLP.
Protocollo SMB
OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server Message
Block (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire,
salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file è
o contiene identificatori di dati e poi autorizza oppure blocca l'operazione.
10-28
Utilizzo di Prevenzione perdita di dati
Nota
L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad
esempio, Controllo dispositivo non consente lo spostamento di file su unità di rete
mappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza. Per
ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per
dispositivi di archiviazione a pagina 9-4.
Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi,
consultare gli elenchi di protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Webmail
I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. Se
OfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere se
contengono identificatori di dati.
Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione dati
su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Ambito e destinazioni della trasmissione per i canali di
rete
L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canali
di rete che OfficeScan deve monitorare. Per le trasmissioni che devono essere
monitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire o
bloccare la trasmissione. Per le trasmissioni che non devono essere monitorate,
OfficeScan non verifica la presenza di identificatori di dati e consente subito la
trasmissione.
Ambito trasmissione: Tutte le trasmissioni
OfficeScan esegue il monitoraggio dei dati trasmessi all'esterno del computer host.
10-29
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Trend Micro consiglia di scegliere questo ambito per gli agenti esterni.
Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterne
al computer host, definire quanto segue:
•
Destinazioni non monitorate: OfficeScan non monitora i dati trasmessi a queste
destinazioni.
Nota
Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è
"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola
differenza è che, per le destinazioni non monitorate, OfficeScan non registra la
trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre
registrata.
•
Destinazioni monitorate: destinazioni specifiche nell'ambito delle destinazioni
non monitorate che devono essere monitorate. Le destinazioni monitorate sono:
•
Facoltative, se sono state definite destinazioni non monitorate.
•
Non configurabili se non sono state definite le destinazioni non monitorate.
Ad esempio:
Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda:
•
da 10.201.168.1 a 10.201.168.25
Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tutti
gli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, è
necessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi:
Opzione 1:
1.
Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate.
2.
Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alle
destinazioni monitorate. Si assuma che siano disponibili 3 indirizzi IP,
10.201.168.21-10.201.168.23.
10-30
Utilizzo di Prevenzione perdita di dati
Opzione 2:
Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alle
destinazioni non monitorate:
•
10.201.168.1-10.201.168.20
•
10.201.168.24-10.201.168.25
Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,
consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38.
Ambito trasmissione: Solo trasmissioni esterne alla LAN
(Local Area Network)
OfficeScan monitora i dati trasmessi a qualsiasi destinazione esterna alla LAN (Local
Area Network).
Nota
Trend Micro consiglia di scegliere questo ambito per gli agenti interni.
Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale
(indirizzo IP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard:
•
Classe A: da 10.0.0.0 a 10.255.255.255
•
Classe B: da 172.16.0.0 a 172.31.255.255
•
Classe C: da 192.168.0.0 a 192.168.255.255
Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue:
•
Destinazioni non monitorate: definire destinazioni esterne alla LAN considerate
sicure e che non devono essere monitorate.
10-31
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è
"Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola
differenza è che, per le destinazioni non monitorate, OfficeScan non registra la
trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre
registrata.
•
Destinazioni monitorate: definire le destinazioni della LAN da monitorare.
Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate,
consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38.
Risoluzione dei conflitti
Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e le
destinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità,
in ordine decrescente:
•
Destinazioni monitorate
•
Destinazioni non monitorate
•
Ambito trasmissione
Canali di applicazioni e sistemi
OfficeScan può monitorare i seguenti canali di applicazioni e sistemi:
•
Archiviazione cloud
•
Supporti di registrazione dati (CD/DVD)
•
Applicazioni peer-to-peer
•
Crittografia PGP
•
Stampante
•
Dispositivi di archiviazione rimovibili
•
Software di sincronizzazione (ActiveSync)
10-32
Utilizzo di Prevenzione perdita di dati
•
Appunti di Windows
Archiviazione cloud
OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando le
origini di archiviazione cloud. Per un elenco delle origini di archiviazione cloud
supportate, consultare il documento Elenchi di protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Supporti di registrazione dati (CD/DVD)
OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e di
dispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi o
software supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione è
Blocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati.
Se OfficeScan rileva almeno un identificatore di dati, tutti i file, compresi quelli che non
sono né contengono identificatori di dati, non verranno registrati. OfficeScan può anche
impedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utenti
che devono riavviare il processo del software o il dispositivo.
OfficeScan implementa altre regole di registrazione di CD/DVD:
•
Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file:
.bud
.dll
.gif
.gpd
.htm
.ico
.jpg
.lnk
.sys
.ttf
.url
.xml
.ini
•
Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) non
vengono controllati per aumentare le prestazioni.
•
OfficeScan non controlla i file nelle seguenti directory:
*:\autoexec.bat
*:\Windows
10-33
Guida per l'amministratore di OfficeScan™ 11.0
..\Dati applicazioni
..\Cookies
..\Impostazioni locali
..\ProgramData
..\Programmi
..\Users\*\AppData
..\WINNT
•
Le immagini ISO create dalle unità e dal software non vengono controllate.
Applicazioni peer-to-peer
OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer.
Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezione
dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Crittografia PGP
OfficeScan controlla i dati che devono essere crittografati dal software di crittografia
PGP. OfficeScan controlla i dati prima della crittografia.
Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi di
protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Stampante
OfficeScan controlla le operazioni della stampante avviate da varie applicazioni.
OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono stati
salvati perché a questo punto le informazioni di stampa sono solo state salvate in
memoria.
Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultare
gli elenchi di protezione dati su:
10-34
Utilizzo di Prevenzione perdita di dati
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Dispositivi di archiviazione rimovibili
OfficeScan controlla la trasmissione dei dati su o all'interno dei dispositivi di
archiviazione rimovibili. Attività correlate alla trasmissione dei dati comprendono:
•
Creazione di un file nel dispositivo
•
Copia di un file dal computer host al dispositivo
•
Chiusura di un file modificato nel dispositivo
•
Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo
Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppure
autorizza la trasmissione.
Nota
L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad
esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo di
archiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguita
anche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo,
vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4.
Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitano
le attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è un
processo semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Word
potrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il quale
l'utente salva il file). Se il file contiene un identificatore di dati che non deve essere
trasmesso, OfficeScan impedisce il salvataggio del file.
Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue prima il backup
del file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent
\temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato la
trasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il file
10-35
Guida per l'amministratore di OfficeScan™ 11.0
possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia il
file di backup nella cartella che contiene il file originale.
OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissione
dei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base ai
fornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi.
Suggerimento
Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli
dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun
dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.
Software di sincronizzazione (ActiveSync)
OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software di
sincronizzazione.
Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi di
protezione dati su:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso la
porta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i dati
sono identificatori di dati prima di autorizzarne o bloccarne la trasmissione.
Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque essere
creato un file con lo stesso nome contenente caratteri in formato non corretto nella
cartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono state
copiate sul dispositivo prima che OfficeScan bloccasse la trasmissione.
Appunti di Windows
OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirne
o bloccarne la trasmissione.
OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktop
remoto. Il monitoraggio avviene sull'entità con l'agente OfficeScan. L'agente OfficeScan
10-36
Utilizzo di Prevenzione perdita di dati
su una macchina virtuale VMware, ad esempio, può impedire la trasmissione dei dati
degli appunti della macchina virtuale al computer host. Allo stesso modo, un computer
host con l'agente OfficeScan non può copiare i dati degli appunti su un dispositivo a cui
si accede da desktop remoto.
Azioni di Prevenzione perdita di dati
Quando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati,
controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azione
configurata per il criterio.
Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati.
TABELLA 10-5. Azioni di Prevenzione perdita di dati
AZIONE
DESCRIZIONE
Azioni
Ignora
Prevenzione perdita di dati consente e registra la
trasmissione.
Blocca
Prevenzione perdita di dati blocca e registra la
trasmissione.
Ulteriori azioni
Notifica all'utente agente
Prevenzione perdita di dati visualizza un messaggio di
notifica per informare l'utente della trasmissione di dati e
se tale operazione è stata bloccata o consentita.
Registra dati
Indipendentemente dall'azione primaria, Prevenzione
perdita di dati registra le informazioni sensibili nella
<Cartella di installazione del client>\DLPLite
\Forensic. Selezionare questa azione per valutare le
informazioni sensibili da contrassegnate da Prevenzione
perdita di dati.
Le informazioni sensibili registrate possono utilizzare
troppo spazio su disco. Quindi, Trend Micro consiglia
vivamente di scegliere questa opzione solo per
informazioni particolarmente sensibili.
10-37
Guida per l'amministratore di OfficeScan™ 11.0
AZIONE
Giustificazione utente
Nota
Questa opzione è
disponibile solo dopo
aver selezionato
l'azione Blocca.
DESCRIZIONE
Prevenzione perdita di dati chiede conferma all'utente
prima di eseguire l'azione “Blocca”. L'utente può scegliere
di sovrascrivere l'azione “Blocca” fornendo una
spiegazione del perché sia sicuro ignorare i dati sensibili.
Le giustificazioni disponibili sono le seguenti:
•
Si tratta di un processo aziendale definito.
•
Il responsabile ha approvato il trasferimento dei
dati.
•
I dati di questo file non sono riservati.
•
L'utente non sapeva che il trasferimento dei dati
fosse vietato.
•
Altro: Gli utenti forniscono una spiegazione
alternativa nel campo del testo disponibile.
Eccezioni di Prevenzione perdita di dati
Le eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'interno
del criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte le
trasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrisponde
a una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente la
trasmissione o la scansione, in base al tipo di eccezione.
Definizione di destinazioni non monitorate e monitorate
Definire le destinazioni non monitorate e monitorate in base all'ambito di trasmissione
nella scheda Canale. Per ulteriori informazioni su come definire le destinazioni non
monitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte le
trasmissioni a pagina 10-29. Per ulteriori informazioni su come definire le destinazioni non
monitorate e monitorate per Solo trasmissioni esterne alla LAN (Local Area
Network), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area
Network) a pagina 10-31.
10-38
Utilizzo di Prevenzione perdita di dati
Seguire queste istruzioni quando si definiscono le destinazioni monitorate e non
monitorate:
1.
Definire ciascuna destinazione secondo:
•
Indirizzo IP
•
Nome host
•
FQDN
•
Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32
Nota
Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR
(Classless Inter-Domain Routing). Questo significa che si dovrà immettere
semplicemente un numero come 32 invece di 255.255.255.0.
2.
Per utilizzare come destinazione canali specifici, includere i numeri di porta
predefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, la
porta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e la
porta 443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dai
numeri di porta.
3.
È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorare
l'intervallo di porte.
Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta e
intervalli di porte:
4.
•
10.1.1.1:80
•
host:5-20
•
host.domain.com:20
•
10.1.1.1/32:20
Separare le destinazioni con delle virgole.
10-39
Guida per l'amministratore di OfficeScan™ 11.0
Regole di decompressione
I file inclusi all'interno di file compressi possono essere sottoposti a scansione per
individuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzione
perdita di dati applica le seguenti regole a un file compresso:
•
Le dimensioni del file decompresso superano: __ MB (1-512MB)
•
I livelli di compressione superano: __ (1-20)
•
Il numero di file da analizzare supera: __ (1-2000)
Regola 1: Dimensioni massime di un file decompresso
Un file compresso, una volta decompresso, deve soddisfare il limite specificato.
Esempio: il limite è impostato a 20 MB.
Scenario 1: se le dimensioni di archive.zip dopo la decompressioni sono di 30 MB,
nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole non
vengono verificate.
Scenario 2: se le dimensioni di my_archive.zip dopo la decompressioni sono di 10
MB:
•
Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 e
procede con la Regola 3.
•
Se my_archive.zip contiene file compressi, le dimensioni di tutti i file
decompressi devono essere entro il limite. Ad esempio, se my_archive.zip
contiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip:
= 10 MB dopo la decompressione
my_archive.z
ip
10-40
\AAA.rar
= 25 MB dopo la decompressione
\BBB.zip
= 3 MB dopo la decompressione
\EEE.zip
= 1 MB dopo la decompressione
Utilizzo di Prevenzione perdita di dati
\222.zi
p
= 2 MB dopo la decompressione
my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in base
alla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20
MB. AAA.rar viene ignorato.
Regola 2: Numero massimo di livelli di compressione
I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione.
Ad esempio:
my_archive.zip
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Se il limite è impostato su due livelli:
•
OfficeScan ignora 333.txt perchè si trova al terzo livello.
•
OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3:
•
DDD.txt (nel primo livello)
•
CCC.xls (nel secondo livello)
•
111.pdf (nel secondo livello)
Regola 3: Numero massimo di file da sottoporre a scansione
OfficeScan esegue la scansione dei file fino al limite specificato. OfficeScan esegue la
scansione di file e cartelle prima in ordine numerico e poi alfabetico.
Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziati
per la scansione:
10-41
Guida per l'amministratore di OfficeScan™ 11.0
my_archive.zip
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non viene
controllata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In tal
modo, il numero totale di file da anlizzare diventa 5, come indicato di seguito:
my_archive.zip
\7Folder
\FFF.doc
\7Folder
\GGG.ppt
\BBB.zip
\CCC.xls
\DDD.txt
\EEE.zip
\111.pdf
\222.zip
\333.txt
Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file:
•
FFF.doc
•
GGG.ppt
•
CCC.xls
•
DDD.txt
10-42
Utilizzo di Prevenzione perdita di dati
Nota
Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati.
Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i file
incorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file.
Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i file
incorporati (ad esempio, abc.exe) vengono contati come file separati.
Eventi che innescano le regole di decompressione
I seguenti eventi innescano le regole di decompressione:
TABELLA 10-6. Eventi che innescano le regole di decompressione
Un file compresso che deve essere
trasmesso corrisponde a un criterio e
l'azione per il file compresso è Ignora
(trasmetti il file).
Ad esempio, per monitorare i file .ZIP
trasmessi dagli utenti, è stato definito un
attributo di file (.ZIP) e aggiunto a un
modello, quindi il modello è stato usato in
un criterio e l'azione è stata impostata su
Ignora.
Nota
Se l'azione è Blocca, l'intero file
compresso non viene trasmesso e,
quindi, non è necessario eseguire la
scansione dei file che questo
contiene.
Un file compresso che deve essere
trasmesso non corrisponde a un criterio.
In questo caso, OfficeScan applica
comunque le regole di decompressione al
file compresso per determinare quali file in
esso contenuti devono essere sottoposti a
scansione per verificare la presenza di
risorse digitali e stabilire se l'intero file
compresso deve essere trasmesso o
meno.
Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un file
compresso:
10-43
Guida per l'amministratore di OfficeScan™ 11.0
•
Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissione
dell'intero file compresso.
•
Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole.
OfficeScan consente la trasmissione dell'intero file compresso se:
•
Tutti i file sottoposti a scansione non corrispondono a un criterio.
•
Tutti i file sottoposti a scansione corrispondono a un criterio e l'azione
Ignora.
La trasmissione dell'intero file compresso viene bloccata se almeno uno dei
file sottoposti a scansione corrisponde a un criterio e l'azione è Blocca.
Configurazione dei criteri Prevenzione perdita
di dati
È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configurato
gli identificatori di dati e averli organizzati in modelli.
Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessario
configurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri di
Prevenzione perdita di dati a pagina 10-3.
Creazione di un criterio di Prevenzione perdita di dati
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni DLP.
4.
Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti
esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti
interni.
10-44
) per includere
Utilizzo di Prevenzione perdita di dati
Nota
Configurare le impostazioni della posizione agente se non sono state già configurate.
Gli agenti utilizzeranno tali impostazioni per determinare il corretto criterio di
Prevenzione perdita di dati da applicare. Per maggiori dettagli, consultare la Posizione
dispositivo a pagina 14-2.
5.
Selezionare Attiva Prevenzione perdita di dati.
6.
Scegliere una delle seguenti opzioni:
7.
•
Nella scheda Agenti esterni è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le
impostazioni agli agenti interni.
•
Nella scheda Agenti interni è possibile applicare tutte le impostazioni di
Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le
impostazioni agli agenti esterni.
Nella scheda Regole, fare clic su Aggiungi.
Un criterio può contenere un massimo di 40 regole.
8.
Configurare le impostazioni delle regole.
Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole di
Prevenzione perdita di dati a pagina 10-46.
9.
Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezione
necessarie.
Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedere
Eccezioni di Prevenzione perdita di dati a pagina 10-38.
10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
10-45
Guida per l'amministratore di OfficeScan™ 11.0
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Creazione di regole di Prevenzione perdita di dati
Nota
Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una
regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva
dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”,
Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora
ulteriormente tale regola/modello.
Procedura
1.
Selezionare Attiva questa regola.
2.
Specificare un nome per la regola.
Configurare le impostazioni dei modelli:
3.
Fare clic sulla scheda Modello.
4.
Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi.
Quando si selezionano i modelli:
•
Selezionare più voci facendo clic sui nomi dei modelli che evidenziano il
nome.
•
Usare la funzione di ricerca se si pensa a un modello specifico. È possibile
digitare il nome del modello per intero o parziale.
Nota
Ogni regola può comprendere un massimo di 200 modelli.
5.
10-46
Se il modello che si preferisce utilizzare non si trova nell'elenco Modelli
disponibili:
Utilizzo di Prevenzione perdita di dati
a.
Fare clic su Aggiungi nuovo modello.
Viene visualizzata la schermata Modelli di Prevenzione perdita di dati.
Per istruzioni su come aggiungere i modelli nella schermata Modelli di
Prevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 10-20.
b.
Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi.
Nota
OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo
significa che se un file o dei dati corrispondono alla definizione di un modello,
OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine dei
modelli nell'elenco.
Configurare le impostazioni dei canali:
6.
Fare clic sulla scheda Canale.
7.
Selezionare i canali per la regola.
Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 10-25 e Canali di
applicazioni e sistemi a pagina 10-32.
8.
Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione:
•
Tutte le trasmissioni
•
Solo trasmissioni esterne alla LAN (Local Area Network)
Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29 per
maggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazioni
dipendono dall'ambito della trasmissione e su come definire le destinazioni
correttamente.
9.
Se si seleziona Client di posta elettronica:
a.
Fare clic su Eccezioni.
b.
Specificare domini di posta elettronica interni monitorati e non monitorati.
Per maggiori dettagli sui domini di posta elettronica monitorati e non
monitorati, vedere Client di posta elettronica a pagina 10-25.
10-47
Guida per l'amministratore di OfficeScan™ 11.0
10. Se si seleziona Dispositivi di archiviazione rimovibili:
a.
Fare clic su Eccezioni.
b.
Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarli
in base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi.
L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come
carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i
dispositivi che soddisfano gli altri campi.
Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del
fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco
approvati.
c.
Per aggiungere altri dispositivi, fare clic sull'icona (+).
Suggerimento
Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli
dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun
dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14.
Configurare le impostazioni delle azioni:
11. Fare clic sulla scheda Operazione.
12. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulteriori
informazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a pagina 10-37.
13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic su
Salva.
Importazione, esportazione e copia delle regole DLP
Gli amministratori possono importare le regole precedentemente definite, contenute in
un file .dat adeguatamente formattato, o esportare l'elenco delle regole DLP
configurate. Con la copia di una regola DLP, l'amministratore può modificare i
contenuti di una regola precedentemente definita per risparmiare tempo.
La seguente tabella descrive in che modo opera una funzione.
10-48
Utilizzo di Prevenzione perdita di dati
TABELLA 10-7. Funzioni di importazione, esportazione e copia per le regole DLP
FUNZIONE
DESCRIZIONE
Importa
L'importazione di un elenco di regole aggiunge regole non esistenti
all'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora le
regole che esistono già nell'elenco di destinazione. Prevenzione perdita
di dati gestisce tutte le impostazioni preconfigurate per ciascuna regola,
incluso lo stato di attivato o disattivato.
Esporta
L'esportazione di un elenco di regole esporta tutto l'elenco in un
file .dat che gli amministratori possono importare e implementare in
altri domini o agenti. Prevenzione perdita di dati salva tutte le
impostazioni delle regole sulla base della configurazione corrente.
Nota
Copia
•
Gli amministratori devono salvare o applicare eventuali
regole nuove o modificate prima di esportare l'elenco.
•
Prevenzione perdita di dati non esporta nessuna eccezione
configurata per il criterio ma solo le impostazioni configurate
per ciascuna regola.
Con la copia di una regola viene creata una replica esatta delle
impostazioni di configurazione correnti per la regola. Gli amministratori
devono digitare un nuovo nome per la regola e possono effettuare
modifiche di configurazione necessarie per la nuova regola.
Notifiche di Prevenzione perdita di dati
OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare
gli amministratori di OfficeScan e gli utenti agente sulle trasmissioni di risorse digitali.
Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche di
Prevenzione perdita di dati per gli amministratori a pagina 10-50.
Per ulteriori informazioni sulle notifiche inviate agli utenti agente, vedere Notifiche di
Prevenzione perdita di dati per gli utenti agente a pagina 10-53.
10-49
Guida per l'amministratore di OfficeScan™ 11.0
Notifiche di Prevenzione perdita di dati per gli
amministratori
Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notifica
quando viene rilevata la trasmissione di risorse digitali o quando la trasmissione viene
bloccata.
OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare
gli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggi
di notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali.
Nota
OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di
Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica
attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-31.
Configurazione delle notifiche di Prevenzione perdita di dati
per gli amministratori
Procedura
1.
Accedere a Amministrazione > Notifiche > Amministratore.
2.
Sulla scheda Criteri:
3.
10-50
a.
Fare clic sulla sezione Trasmissioni di risorse digitali.
b.
Specificare se inviare le notifiche per il rilevamento della trasmissione delle
risorse digitali o solo quando la trasmissione è bloccata.
Sulla scheda E-mail:
a.
Fare clic sulla sezione Trasmissioni di risorse digitali.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Selezionare Invia notifiche agli utenti con autorizzazioni per i domini
della struttura agente.
Utilizzo di Prevenzione perdita di dati
Utilizzare il Role-based Administration (RBA) per assegnare agli utenti
autorizzazioni al dominio della struttura agente. Se la trasmissione avviene in
un agente appartenente ad un dominio specifico, il messaggio e-mail viene
inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La
tabella seguente illustra alcuni esempi:
TABELLA 10-8. Autorizzazioni e domini della struttura agente
DOMINIO DELLA
STRUTTURA AGENTE
Dominio A
Dominio B
RUOLI CON
AUTORIZZAZIONI
PER IL DOMINIO
ACCOUNT UTENTE
CON IL RUOLO
INDIRIZZO E-MAIL
DELL'ACCOUNT
UTENTE
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Se qualsiasi agente OfficeScan appartenente al Dominio A rileva una
trasmissione di risorse digitali, il messaggio e-mail viene inviato a
[email protected], [email protected] e [email protected]
Se qualsiasi agente OfficeScan appartenente al Dominio B rileva la
trasmissione, il messaggio e-mail viene inviato a [email protected] e
[email protected]
Nota
Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il
dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail
di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli
indirizzi e-mail sono configurati da Amministrazione > Gestione account >
Account utente.
d.
Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli
indirizzi e-mail.
10-51
Guida per l'amministratore di OfficeScan™ 11.0
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.
Usare solo variabili token per rappresentare i dati nei campi Oggetto e
Messaggio.
TABELLA 10-9. Variabili token per le notifiche di Prevenzione perdita di dati
VARIABILE
4.
5.
10-52
DESCRIZIONE
%USER%
L'utente che accede all'dispositivo quando la
trasmissione viene rilevata
%COMPUTER%
Dispositivo in cui è stata rilevata la trasmissione
%DOMAIN%
Dominio dell'dispositivo
%DATETIME%
Data e ora di rilevamento della trasmissione
%CHANNEL%
Il canale attraverso il quale viene rilevata la trasmissione
%TEMPLATE%
Il modello di risorse digitali che ha avviato il rilevamento
%RULE%
Il nome della regola che ha attivato l'incidente.
Sulla scheda Trap SNMP:
a.
Fare clic sulla sezione Trasmissioni di risorse digitali.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. Utilizzare variabili token per
rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili
token per le notifiche di Prevenzione perdita di dati a pagina 10-52 per ulteriori
dettagli.
Sulla scheda Registro eventi NT:
a.
Fare clic sulla sezione Trasmissioni di risorse digitali.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina
10-52 per ulteriori dettagli.
Utilizzo di Prevenzione perdita di dati
6.
Fare clic su Salva.
Notifiche di Prevenzione perdita di dati per gli utenti
agente
OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agente
immediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali.
Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata o
consentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio di
Prevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazione
dei criteri Prevenzione perdita di dati a pagina 10-44.
Configurazione delle notifiche di Prevenzione perdita di dati
per gli agenti
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali
3.
Accettare o modificare il messaggio predefinito.
4.
Fare clic su Salva.
Registri di Prevenzione perdita di dati
Gli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e inviano
immediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprova
dopo 5 minuti.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
10-53
Guida per l'amministratore di OfficeScan™ 11.0
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di Prevenzione perdita di dati
Procedura
1.
Accedere a Agenti > Gestione agente oppure Registri > Agenti > Rischi per
la sicurezza.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizza
registri > Registri DLP.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri.
) per includere
I registri contengono le seguenti informazioni:
TABELLA 10-10. Informazioni del registro Prevenzione perdita di dati
COLONNA
10-54
DESCRIZIONE
Data/Ora
La data e l'ora in cui Prevenzione perdita di dati ha registrato
l'incidente
Utente
Il nome utente che ha effettuato l'accesso all'dispositivo
Dispositivo
Il nome dell'dispositivo in cui Prevenzione perdita di dati ha
rilevato la trasmissione
Dominio
Il dominio dell'dispositivo
IP
L'indirizzo IP dell'dispositivo
Utilizzo di Prevenzione perdita di dati
COLONNA
Nome regola
DESCRIZIONE
I nomi delle regole che hanno generato l'incidente.
Nota
I criteri creati in una versione precedente di OfficeScan
visualizzano come nome predefinito
LEGACY_DLP_Policy.
Canale
Il canale attraverso il quale si è verificata la trasmissione
Processo
Il processo che ha facilitato la trasmissione di una risorsa
digitale (il processo dipende dal canale)
Per i dettagli, consultare Processi per canale a pagina
10-55.
Origine
L'origine del file contenente la risorsa digitale o il canale (se
non è presente alcuna risorsa disponibile)
Destinazione
La destinazione designata del file contenente la risorsa
digitale o il canale (se non è disponibile alcuna risorsa )
Azione
L'azione eseguita sulla trasmissione
Dettagli
Un collegamento che include ulteriori informazioni sulla
trasmissione
Per i dettagli, consultare Dettagli del registro per Prevenzione
della perdita di dati a pagina 10-58.
6.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Processi per canale
La tabella seguente contiene un elenco dei processi che vengono visualizzati nella
colonna Processo dei registri di Prevenzione perdita di dati.
10-55
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 10-11. Processi per canale
CANALE
Software di
sincronizzazione
(ActiveSync)
PROCESSO
Il percorso completo e il nome del processo del software di
sincronizzazione.
Esempio:
C:\Windows\system32\WUDFHost.exe
Supporto di
registrazione dati
(CD/DVD)
Percorso completo e nome di processo del supporto di
registrazione dati
Esempio:
C:\Windows\Explorer.exe
Appunti di
Windows
Non pertinente
Client di posta
elettronica - Lotus
Notes
Percorso completo e nome di processo di Lotus Notes
Esempio:
C:\Program Files\IBM\Lotus\Notes\nlnotes.exe
Client di posta
elettronica Microsoft Outlook
Percorso completo e nome di processo di Microsoft Outlook
Esempio:
C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
Client di posta
elettronica - Tutti i
client che usano il
protocollo SMTP
Percorso completo e nome di processo del client di posta
elettronica
Esempio:
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
Dispositivi di
archiviazione
rimovibili
Nome di processo dell'applicazione che ha trasmesso i dati al
dispositivo di archiviazione oppure all'interno dello stesso
Esempio:
explorer.exe
10-56
Utilizzo di Prevenzione perdita di dati
CANALE
FTP
PROCESSO
Percorso completo e nome di processo del client FTP
Esempio:
D:\Programmi\FileZilla FTP Client\filezilla.exe
HTTP
"Applicazione HTTP"
HTTPS
Percorso completo e nome di processo del browser o
dell'applicazione
Esempio:
C:\Programmi\Internet Explorer\iexplore.exe
Applicazione IM
Percorso completo e nome di processo dell'applicazione di
messaggistica istantanea
Esempio:
C:\Program Files\Skype\Phone\Skype.exe
Applicazione di
messaggistica
istantanea - MSN
•
Percorso completo e nome di processo di MSN
Esempio:
C:\Programmi\Windows Live\Messenger\ msnmsgr.exe
•
Applicazione peerto-peer
"Applicazione HTTP" se i dati sono trasmessi da una finestra
di chat
Percorso completo e nome di processo dell'applicazione peer-topeer
Esempio:
D:\Program Files\BitTorrent\bittorrent.exe
Crittografia PGP
Percorso completo e nome di processo del software di crittografia
PGP
Esempio:
C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe
10-57
Guida per l'amministratore di OfficeScan™ 11.0
CANALE
Stampante
PROCESSO
Percorso completo e nome di processo dell'applicazione che ha
avviato un'operazione della stampante
Esempio:
C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE
Protocollo SMB
Percorso completo e nome di processo dell'applicazione da cui è
stato effettuato l'accesso ai file condivisi (copia o creazione di un
nuovo file)
Esempio:
C:\Windows\Explorer.exe
Webmail (modalità
HTTP)
"Applicazione HTTP"
Webmail (modalità
HTTPS)
Percorso completo e nome di processo del browser o
dell'applicazione
Esempio:
C:\Programmi\Mozilla Firefox\firefox.exe
Dettagli del registro per Prevenzione della perdita di dati
La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza dati
aggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano in
base al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente.
Nella seguente tabella sono riporta i dati che vengono visualizzati.
TABELLA 10-12. Dettagli del registro per Prevenzione della perdita di dati
DETTAGLI
DESCRIZIONE
Data/Ora
La data e l'ora in cui Prevenzione perdita di dati ha registrato
l'incidente
ID violazione
L'ID univoco dell'incidente
Utente
Il nome utente che ha effettuato l'accesso all'dispositivo
10-58
Utilizzo di Prevenzione perdita di dati
DETTAGLI
DESCRIZIONE
Dispositivo
Il nome dell'dispositivo in cui Prevenzione perdita di dati ha
rilevato la trasmissione
Dominio
Il dominio dell'dispositivo
IP
L'indirizzo IP dell'dispositivo
Canale
Il canale attraverso il quale si è verificata la trasmissione
Processo
Il processo che ha facilitato la trasmissione di una risorsa digitale
(il processo dipende dal canale)
Per i dettagli, consultare Processi per canale a pagina 10-55.
Origine
L'origine del file contenente la risorsa digitale o il canale (se non è
presente alcuna risorsa disponibile)
Mittente e-mail
L'indirizzo e-mail dal quale la trasmissione proviene
Oggetto e-mail
La riga dell'oggetto del messaggio e-mail contenente la risorsa
digitale
Destinatario e-mail
Gli indirizzi e-mail di destinazione del messaggio e-mail
URL
L'URL di un sito Web o di una pagina Web
Utente FTP
Il nome utente usato per accedere al server FTP
Classe file
Il tipo di file nel quale Prevenzione perdita di dati ha rilevato la
risorsa digitale
Regola/Modello
Un elenco di nomi di regole e modelli esatti che hanno attivato il
rilevamento
Nota
Ciascuna regola contiene modelli multipli che hanno
generato l'incidente. I nomi dei modelli multipli sono
separati dalle virgole.
Azione
L'azione eseguita sulla trasmissione
10-59
Guida per l'amministratore di OfficeScan™ 11.0
DETTAGLI
Motivo
giustificazione
utente
DESCRIZIONE
Il motivo fornito dall'utente per il trasferimento continuo di dati
sensibili
Attivazione del registro di debug per il modulo Protezione
dati
Procedura
1.
Richiedere il file logger.cfg all'assistenza tecnica.
2.
Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
\PC-cillinNTCorp\DlpLite:
•
Tipo: Stringa
•
Nome: debugcfg
•
Valore: C:\Log\logger.cfg
3.
Creare una cartella denominata “Log” nella directory C:\
4.
Copiare logger.cfg nella cartella “Log”.
5.
Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivo
della console Web per avviare la raccolta dei registri.
Nota
Per disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nella
chiave di registro e riavviare l'dispositivo.
10-60
Capitolo 11
Protezione dei computer dalle
minacce Web
In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan per
proteggere la rete e i computer dalle minacce Web.
Di seguito sono riportati gli argomenti trattati:
•
Minacce Web a pagina 11-2
•
Servizi di avvisi contatti Command & Control a pagina 11-2
•
Reputazione Web a pagina 11-4
•
Criteri di reputazione Web a pagina 11-5
•
Notifiche di minacce Web per utenti agente a pagina 11-16
•
Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-18
•
Infezioni dei callback C&C a pagina 11-21
•
Registri delle minacce Web a pagina 11-23
11-1
Guida per l'amministratore di OfficeScan™ 11.0
Minacce Web
Le minacce Web comprendono un'ampia gamma di minacce che hanno origine su
Internet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano una
combinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori di
minacce Web modificano, ad esempio, in modo continuo la versione o la variante di una
minaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Web
anziché sull'dispositivo infetto, l'autore della minaccia modifica continuamente il suo
codice affinché non venga rilevata.
Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spyware
sono noti come criminali informatici. Le minacce Web consentono a questi individui di
perseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo di
lucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità.
L'dispositivo infettato può essere utilizzato per un attacco di phishing o per altre attività
volte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima di
insicurezza generale nei confronti delle transazioni via Internet e la conseguente perdita
di fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo è
impossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro.
Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchi
Denial-of-Service distribuiti o abuso di annunci "pay-per-click".
Servizi di avvisi contatti Command & Control
I servizi di avvisi contatti Trend Micro Command & Control (C&C) forniscono
funzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minacce
costanti e avanzate e attacchi mirati. I servizi di avvisi contatti C&C sono integrati con i
Servizi di reputazione Web che determinano l'azione da compiere sugli indirizzi di
callback rilevati in base al livello di sicurezza di Reputazione Web.
L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando il
Motore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasi
canale di rete.
Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web,
consultare Configurazione dei Criteri di reputazione Web a pagina 11-5.
11-2
Protezione dei computer dalle minacce Web
TABELLA 11-1. Funzioni dei servizi di avvisi contatti C&C
FUNZIONE
DESCRIZIONE
Elenco Global
Intelligence
Trend Micro Smart Protection Network compila l'elenco Global
Intelligence da origini di tutto il mondo e verifica e valuta il livello di
rischio di ciascun indirizzo di callback C&C. I servizi di reputazione
Web utilizzano l'elenco Global Intelligence insieme ai punteggi di
reputazione per i siti Web dannosi al fine di fornire una maggiore
sicurezza dalle minacce avanzate. Il livello di sicurezza della
reputazione Web determina l'azione eseguita sui siti Web dannosi o
sui server C&C in base ai livelli di rischio assegnati.
Integrazione di
Deep Discovery
Advisor e
dell'elenco
Virtual Analyzer
Gli Smart Protection Server possono essere integrati con Deep
Discovery Advisor per ottenere l'elenco di server Virtual Analyzer
C&C. Virtual Analyzer di Deep Discovery Advisor valuta i potenziali
rischi in un ambiente protetto e, utilizzando euristica avanzata e
metodi di verifica dei comportamenti, assegna un livello di rischio alle
minacce analizzate. Virtual Analyzer popola l'elenco Virtual Analyzer
con le minacce che tentano di connettersi a un possibile server C&C.
L'elenco Virtual Analyzer è altamente specifico per ciascuna azienda e
offre una difesa più personalizzata dagli attacchi mirati.
Gli Smart Protection Server recuperano l'elenco da Deep Discovery
Advisor e sono in grado di valutare tutte le possibili minacce C&C sia
attraverso l'elenco Global Intelligence sia attraverso l'elenco Virtual
Analyzer locale.
Per maggiori dettagli sulla connessione dello Smart Protection Server
integrato a Deep Discovery Advisor, consultare Configurazione delle
impostazioni di Integrated Smart Protection Server a pagina 4-23.
Servizio di
connessione
sospetta
Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali
e definiti dall'utente e monitora il comportamento delle connessioni che
gli dispositivo stabiliscono con i potenziali server C&C.
Per i dettagli, consultare Servizio di connessione sospetta a pagina
11-12.
Notifiche
amministratore
Gli amministratori possono scegliere di ricevere notifiche dettagliate e
personalizzabili una volta rilevato un callback C&C.
Per i dettagli, consultare Configurazione delle notifiche di callback
C&C per gli amministratori a pagina 11-18.
11-3
Guida per l'amministratore di OfficeScan™ 11.0
FUNZIONE
Notifiche
dispositivo
DESCRIZIONE
Gli amministratori possono scegliere di inviare notifiche dettagliate e
personalizzabili agli utenti finali una volta rilevato un callback C&C in
un dispositivo.
Per i dettagli, consultare Attivazione del messaggio di notifica di
minacce Web a pagina 11-16.
Notifiche di
infezione
Gli amministratori possono personalizzare le notifiche di infezione
specifiche degli eventi di callback C&C e specificare se l'infezione
avviene in un solo dispositivo o nell'intera rete.
Per i dettagli, consultare Infezioni dei callback C&C a pagina 11-21.
Registri dei
callback C&C
I registri forniscono informazioni dettagliate relative a tutti gli eventi di
callback C&C.
Per i dettagli, consultare Visualizzazione dei registri dei callback C&C
a pagina 11-25.
Reputazione Web
La tecnologia di reputazione Web tiene traccia della credibilità dei domini Web
assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i
cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi
del comportamento delle minacce informatiche. I siti sono continuamente sottoposti a
scansione e l'accesso ai siti infetti viene bloccato.
Gli agenti OfficeScan inviano query alle origini Smart Protection per determinare la
reputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sito
Web è correlata al criterio di reputazione Web specifico applicato sull'dispositivo. A
seconda del criterio utilizzato, l'agente OfficeScan blocca o consente l'accesso a un sito
Web.
Nota
Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini Smart
Protection a pagina 4-25.
11-4
Protezione dei computer dalle minacce Web
Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri o
pericolosi. Quando un agente OfficeScan rileva un accesso a tali siti Web, consente o
blocca automaticamente l'accesso e non invia altre query alle origini Smart Protection.
Criteri di reputazione Web
I criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a un
sito Web.
È possibile configurare i criteri per gli agenti esterni e interni. Gli amministratori
OfficeScan in genere configurano criteri più rigidi per gli agenti esterni.
I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile
applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare
un singolo criterio a tutti gli agenti.
Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti
nella schermata Posizione dispositivo (vedere Posizione dispositivo a pagina 14-2) per
determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta
che cambia la posizione.
Configurazione dei Criteri di reputazione Web
Informazioni preliminari
Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed è
necessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali per
l'autenticazione del server proxy.
Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per gli
agenti OfficeScan a pagina 14-51.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Selezionare le destinazioni nella struttura agente.
11-5
Guida per l'amministratore di OfficeScan™ 11.0
•
Per configurare un criterio per gli agenti con Windows XP, Vista 7, 8 o 8.1,
selezionare l'icona del dominio root ( ) oppure specificare domini o agenti
specifici.
Nota
Quando si seleziona un dominio root o domini specifici, l'impostazione sarà
applicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazione
non sarà applicata agli agenti che eseguono Windows Server 2003, Windows
Server 2008 o Windows Server 2012 anche se fanno parte dei domini.
•
Per configurare un criterio per gli agenti con Windows Server 2003, Windows
Server 2008 o Windows Server 2012, selezionare un agente specifico.
3.
Fare clic su Impostazioni > Impostazioni di reputazione Web.
4.
Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti
esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti
interni.
Suggerimento
Configurare le impostazioni della posizione agente se non sono state già configurate.
Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi e
applicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizione
dispositivo a pagina 14-2.
5.
Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. I
sistemi operativi elencati nella schermata variano in base alle destinazioni
selezionate nel passaggio 1.
Suggerimento
Trend Micro consiglia di disattivare la reputazione Web per gli agenti interni nel caso
in cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazione
Web, come InterScan Web Security Virtual Appliance.
Quando un criterio di reputazione Web è attivato:
•
11-6
Gli agenti esterni inviano query di reputazione Web a Smart Protection
Network.
Protezione dei computer dalle minacce Web
•
6.
Gli agenti interni inviano query di reputazione Web a:
•
Gli Smart Protection Server se l'opzione Invia query a Smart
Protection Server è attivata. Per ulteriori informazioni su questa
opzione, vedere il passaggio 7.
•
Gli Smart Protection Network se l'opzione Invia query a Smart
Protection Server è attivata.
Selezionare Attiva valutazione.
Nota
In modalità di valutazione, gli agenti consentono l'accesso a tutti i siti Web, ma
registrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazione
fosse disattivata. La modalità di valutazione fornita da Trend Micro consente di
valutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, ad
esempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati.
7.
Selezionare Verifica URL HTTPS.
Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web.
Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro,
accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siti
compromessi, anche quelli con certificati validi, possono ospitare minacce
informatiche e sottrarre informazioni personali. Inoltre, i certificati sono
relativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione di
server Web dannosi che utilizzano HTTPS.
Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi
o dannosi che usano l'HTTPS. OfficeScan è in grado di monitorare il traffico
HTTPS sui seguenti browser:
11-7
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 11-2. Browser supportati per il traffico HTTPS
BROWSER
Microsoft Internet Explorer
VERSIONE
•
6 con SP2 o successivo
•
7.x
•
8.x
•
9.x
•
10.x
•
11.x
Mozilla Firefox
3.5 o versioni successive
Chrome
N.D.
Importante
•
La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1 o
Windows 2012 in modalità desktop.
•
Dopo aver attivato la scansione HTTPS per la prima volta sugli agenti
OfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare il
componente aggiuntivo TmIEPlugInBHO Class nella finestra di popup del
browser prima che la scansione HTTPS sia operativa.
Per informazioni sulla configurazione delle impostazioni di Internet Explorer
per la reputazione Web, consultare il seguente articolo della Knowledge Base:
•
http://esupport.trendmicro.com/solution/en-us/1060643.aspx
8.
Selezionare Esegui scansione solo delle porte HTTP comuni per limitare la
scansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Per
impostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tutte
le porte.
9.
Selezionare Invia query a Smart Protection Server se si desidera che gli agenti
interni inviino query di reputazione Web agli Smart Protection Server.
•
Se si attiva questa opzione:
•
11-8
Gli agenti fanno riferimento all'elenco delle origini Smart Protection per
determinare a quale Smart Protection Server connettersi. Per ulteriori
Protezione dei computer dalle minacce Web
informazioni sull'elenco delle origini Smart Protection, consultare Elenco
delle origini Smart Protection a pagina 4-25.
•
•
Accertarsi che gli Smart Protection Server siano disponibili. Se nessuno
Smart Protection Server è disponibile, gli agenti non inviano query a
Smart Protection Network. Le sole origini rimanenti di dati di
reputazione Web per gli agenti sono gli elenchi di URL approvati e
bloccati (configurati nel passaggio 10).
•
Se si desidera che gli agenti si connettano agli Smart Protection Server
tramite un server proxy, specificare le impostazioni del proxy nella
scheda Amministrazione > Impostazioni > Proxy > Proxy interno.
•
Aggiornare gli Smart Protection Server regolarmente in modo da
mantenere aggiornata la protezione.
•
Gli agenti non bloccano i siti Web non testati. Gli Smart Protection
Server non memorizzano i dati di reputazione Web per questi siti Web.
Se si disattiva questa opzione:
•
Gli agenti inviano query di reputazione Web a Smart Protection
Network. I computer agente devono essere dotati di una connessione
Internet per poter inviare query correttamente.
•
Se la connessione a Smart Protection Network richiede l'autenticazione
del server proxy, specificare le credenziali di autenticazione nella scheda
Amministrazione > Impostazioni > Proxy > scheda Proxy esterno
> Aggiornamenti server OfficeScan.
•
Gli agenti bloccheranno i siti Web non testati se si seleziona Blocca le
pagine che non sono state testate da Trend Micro nel passaggio 9.
10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto,
Medio o Basso
11-9
Guida per l'amministratore di OfficeScan™ 11.0
Nota
I livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a un
URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan blocca
solo gli URL considerati come minaccia Web. Impostando il livello di sicurezza più
elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità di
falsi allarmi.
11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nel
passaggio 7, è possibile selezionare Blocca le pagine che non sono state testate
da Trend Micro.
Nota
Anche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza,
gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove o
poco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma si
impedisce anche l'accesso alle pagine sicure.
12. Selezionare Blocca le pagine che contengono script dannosi per identificare
vulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minacce
comprometta il browser Web.
OfficeScan utilizza sia il pattern Prevenzione minaccia browser sia il pattern Script
Analyzer, per identificare e bloccare le pagine Web prima di esporre il sistema.
TABELLA 11-3. Browser supportati per Prevenzione minaccia browser
BROWSER
Microsoft Internet Explorer
11-10
VERSIONE
•
7.x
•
8.x
•
9.x
•
10.x
•
11.x
Protezione dei computer dalle minacce Web
Importante
La funzione Prevenzione minaccia browser richiede che venga attivato il Servizio di
protezione avanzata (accedere a Agenti > Gestione agenti, fare clic su click
Impostazioni > Impostazioni aggiuntive del servizio).
13. Configurare gli elenchi approvati e bloccati.
Nota
L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.
Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenti
consentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degli
URL bloccati.
a.
Selezionare Attiva elenco approvati/bloccati.
b.
Immettere un URL.
È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL.
Ad esempio:
•
Se si immette www.trendmicro.com/*, tutte le pagine del sito Web
Trend Micro saranno approvate.
•
Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasi
sottodominio di trendmicro.com saranno approvate.
È possibile immettere URL che contengono indirizzi IP. Se un URL contiene
un indirizzo IPv6, racchiudere l'indirizzo tra parentesi.
c.
Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco
Bloccati.
d.
Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su
Salva.
e.
Se l'elenco è stato esportato da un altro server e occorre importarlo in questa
schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene
importato nella schermata.
11-11
Guida per l'amministratore di OfficeScan™ 11.0
Importante
Reputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchi
Approvati e Bloccati.
14. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito in
Valuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di query
della reputazione Web di Trend Micro.
15. Selezionare se consentire che l'agente OfficeScan invii i registri di reputazione Web
al server. Se si desidera analizzare gli URL che vengono bloccati da OfficeScan ed
eseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso,
consentire agli agenti di inviare i registri.
16. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Servizio di connessione sospetta
Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti
dall'utente e monitora il comportamento delle connessioni che gli dispositivo
stabiliscono con i potenziali server C&C.
•
11-12
Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono un
ulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IP
specifici. Configurare questi elenchi quando si desidera consentire l'accesso a un
indirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a un
indirizzo che può rappresentare un rischio per la sicurezza.
Protezione dei computer dalle minacce Web
Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali
definiti dall'utente a pagina 11-13.
•
L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete
(Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i
server C&C confermati da Trend Micro. Il motore NCIE rileva il contatto del
server C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospetta
registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globale
per una valutazione.
Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, vedere
Configurazione delle impostazioni di connessione sospetta a pagina 11-14.
•
Dopo aver rilevato la minaccia informatica sugli dispositivo tramite il pattern regola
di pertinenza corrispondente sui pacchetti di rete, il Servizio di connessione
sospetta può effettuare ulteriori ricerche sul comportamento della connessione, per
determinare se si è verificato un callback C&C. Dopo aver individuato un callback
C&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettare
l'origine della connessione utilizzando la tecnologia GeneriClean.
Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta,
vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14.
Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4.
Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntive
del servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli,
consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8.
Configurazione impostazioni degli elenchi di indirizzii IP
globali definiti dall'utente
Gli amministratori possono configurare OfficeScan per consentire, bloccare o registrare
tutte le connessioni tra agenti e indirizzi IP C&C definiti dall'utente.
Nota
Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4.
11-13
Guida per l'amministratore di OfficeScan™ 11.0
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Accedere alla sezione Impostazioni connessione sospetta.
3.
Fare clic su Modifica elenco IP definito dall'utente.
4.
Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gli
indirizzi IP che si desidera monitorare.
Suggerimento
È possibile configurare OfficeScan solo per registrare le connessioni effettuate verso
gli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo le
connessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definito
dall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14.
a.
Fare clic su Aggiungi.
b.
Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP,
l'intervallo dell'indirizzo IP o l'indirizzo IPv4 e la subnet mask per
l'OfficeScan da monitorare.
c.
Fare clic su Salva.
5.
Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accanto
all'indirizzo e fare clic su Elimina.
6.
Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermata
Impostazioni globali agente.
Configurazione delle impostazioni di connessione
sospetta
OfficeScan è in grado di registrare tutte le connessioni effettuate tra agenti e indirizzi
nell'elenco IP C&C globale. La schermata impostazioni di connessione sospetta
consente effettivamente la registrazione ma permette ancora di accedere agli indirizzi IP
configurati nell'elenco di indirizzi IP bloccati definito dall'utente
11-14
Protezione dei computer dalle minacce Web
OfficeScan è inoltre in grado di monitorare le connessioni che possono essere risultato
di un botnet o di un'altra minaccia informatica. Dopo aver rilevato una minaccia
informatica, OfficeScan può tentare di eliminare l'infezione.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Impostazioni di connessione sospetta.
) per includere
Viene visualizzata la schermata Impostazioni di connessione sospetta.
4.
Attivare l'impostazione Registra connessioni di rete effettuate agli indirizzi
nell'elenco IP C&C globali per monitorare le connessioni effettuate sui server
C&C confermati di Trend Micro. Per ulteriori informazioni sull'elenco IP C&C
globale, consultare Servizio di connessione sospetta a pagina 11-12.
•
Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IP
bloccati definito dall'utente, attivare l'impostazione Registra e consenti
l'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente.
Nota
È necessario attivare il registro della connessione di rete prima che OfficeScan
consenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente.
5.
Attivare l'impostazione Registra connessioni mediante l’impronta di rete della
minaccia per eseguire la corrispondenza di pattern sulle intestazioni dei pacchetti.
OfficeScan registra tutte le connessioni effettuate dai pacchetti con le intestazioni
che corrispondono alle minacce informatiche con l'uso del pattern regola di
pertinenza.
•
Per consentire a OfficeScan di disinfettare le connessioni effettuate sui server
C&C, attivare l'impostazione Disinfetta connessioni sospette quando
viene rilevato un callback C&C. OfficeScan usa GeneriClean per
disinfettare le minacce informatiche e interrompere la connessione al server
C&C.
11-15
Guida per l'amministratore di OfficeScan™ 11.0
Nota
È necessario attivare Registra connessioni mediante l’impronta di rete della
minaccia prima che OfficeScan tenti di disinfettare le connessioni effettuate sui
server C&C rilevate dalla corrispondenza della struttura dei pacchetti.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Notifiche di minacce Web per utenti agente
OfficeScan può visualizzare un messaggio di notifica sull'dispositivo agente OfficeScan
subito dopo aver bloccato un URL che viola un criterio di reputazione Web. È
necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto di
tale messaggio.
Attivazione del messaggio di notifica di minacce Web
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
11-16
) per includere
Protezione dei computer dalle minacce Web
4.
Fare clic sulla scheda Altre impostazioni.
5.
Nella sezione Impostazioni di reputazione Web, selezionare Visualizza una
notifica quando un sito Web viene bloccato.
6.
Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica
quando un callback C&C viene rilevato.
7.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Modifica delle notifiche di minacce Web
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web da
modificare:
•
Violazioni della reputazione Web
•
Callback C&C
3.
Modificare il messaggio predefinito nella casella di testo disponibile.
4.
Fare clic su Salva.
11-17
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle notifiche di callback C&C
per gli amministratori
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibile
modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle
proprie esigenze.
Procedura
1.
Accedere a Amministrazione > Notifiche > Amministratore.
2.
Sulla scheda Criteri:
3.
a.
Andare alla sezione Callback C&C.
b.
Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C
(l'azione può essere bloccata o registrata) o solo quando il livello di rischio
dell'indirizzo di callback è Alto.
Sulla scheda E-mail:
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Selezionare Invia notifiche agli utenti con autorizzazioni per i domini
della struttura agente.
Utilizzare il Role-based Administration (RBA) per assegnare agli utenti
autorizzazioni al dominio della struttura agente. Se la trasmissione avviene in
un agente appartenente ad un dominio specifico, il messaggio e-mail viene
inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La
tabella seguente illustra alcuni esempi:
11-18
Protezione dei computer dalle minacce Web
TABELLA 11-4. Autorizzazioni e domini della struttura agente
DOMINIO DELLA
STRUTTURA AGENTE
Dominio A
Dominio B
RUOLI CON
AUTORIZZAZIONI
PER IL DOMINIO
ACCOUNT UTENTE
CON IL RUOLO
INDIRIZZO E-MAIL
DELL'ACCOUNT
UTENTE
Amministratore
(integrato)
root
[email protected]
Role_01
admin_john
[email protected]
admin_chris
[email protected]
Amministratore
(integrato)
root
[email protected]
Role_02
admin_jane
[email protected]
Se un agente OfficeScan appartenente al Dominio A rileva un callback C&C,
il messaggio e-mail viene inviato a [email protected], [email protected] e
[email protected]
Se qualsiasi agente OfficeScan appartenente al Dominio B rileva il callback
C&C, il messaggio e-mail viene inviato a [email protected] e [email protected]
Nota
Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il
dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail
di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli
indirizzi e-mail sono configurati da Amministrazione > Gestione account >
Account utente.
d.
Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli
indirizzi e-mail.
e.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio.
Utilizzare le variabili token per rappresentare i dati nei campi Oggetto e
Messaggio.
11-19
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 11-5. Variabili token per notifiche dei callback C&C
VARIABILE
4.
5.
11-20
DESCRIZIONE
%CLIENTCOMPU
TER%
Dispositivo di destinazione che ha inviato il callback
%IP%
Indirizzo IP dell'dispositivo di destinazione
%DOMAIN%
Dominio del computer
%DATETIME%
Data e ora di rilevamento della trasmissione
%CALLBACKADD
RESS%
Indirizzo di callback del server C&C
%CNCRISKLEVE
L%
Livello di rischio del server C&C
%CNCLISTSOUR
CE%
Indica l'elenco di origine C&C
%ACTION%
Operazione eseguita
Sulla scheda Trap SNMP:
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. Utilizzare variabili token per
rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili
token per notifiche dei callback C&C a pagina 11-20 per ulteriori dettagli.
Sulla scheda Registro eventi NT:
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 11-5: Variabili token per notifiche dei callback C&C a pagina 11-20 per
ulteriori dettagli.
Protezione dei computer dalle minacce Web
6.
Fare clic su Salva.
Notifiche di avvisi contatti C&C per gli utenti
degli agenti
OfficeScan può visualizzare un messaggio di notifica sui computer agente OfficeScan
subito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio di
notifica e, se lo si desidera, modificare il contenuto del messaggio
Infezioni dei callback C&C
Definire un'infezione dei callback C&C per numero, origine e livello di rischio dei
callback.
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan della presenza di un'infezione. È possibile
modificare i messaggi di notifica in base alle diverse esigenze.
Nota
OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite posta
elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a
OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica
amministratore a pagina 13-31.
Configurazione delle notifiche e dei criteri delle infezioni dei
callback C&C
Procedura
1.
Accedere a Amministrazione > Notifiche > Infezione.
2.
Nella scheda Criteri, configurare le opzioni riportate di seguito:
11-21
Guida per l'amministratore di OfficeScan™ 11.0
OPZIONE
DESCRIZIONE
Stesso host
compromesso
Selezionare per definire un'infezione basata sui
rilevamenti di callback per dispositivo
Livello di rischio C&C
Specificare se generare un'infezione in tutti i callback
C&C o solo sulle origini ad alto rischio
Azione
Selezionare tra Qualsiasi azione, Registrata o
Bloccata
Rilevamenti
Indicare il numero di rilevamenti richiesto che definisce
un'infezione
Periodo di tempo
Indicare il numero di ore entro il quale deve avvenire il
numero di rilevamenti
Suggerimento
Trend Micro consiglia di accettare i valori predefiniti di questa schermata.
3.
Nella scheda E-mail:
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Specificare i destinatari del messaggio e-mail.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare variabili token per rappresentare i dati nel campo
Oggetto e Messaggio.
TABELLA 11-6. Variabili token per notifiche delle infezioni dei callback C&C
VARIABILE
e.
4.
11-22
DESCRIZIONE
%C
Numero di registri dei callback C&C
%T
Periodo di tempo di accumulo dei registri dei callback C&C
Selezionare le informazioni aggiuntive disponibili sui callback C&C da
includere nel messaggio e-mail.
Fare clic sulla scheda Trap SNMP:
Protezione dei computer dalle minacce Web
5.
6.
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante trap SNMP.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina
11-22 per ulteriori dettagli.
Nella scheda Registro eventi NT:
a.
Andare alla sezione Callback C&C.
b.
Selezionare Attiva notifica mediante registro eventi NT.
c.
Accettare o modificare il messaggio predefinito. È possibile utilizzare solo
variabili token per rappresentare i dati nel campo Messaggio. Consultare
Tabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina
11-22 per ulteriori dettagli.
Fare clic su Salva.
Registri delle minacce Web
Configurare gli agenti esterni e interni in modo che inviino i registri di reputazione Web
al server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioni
appropriate per gli URL considerati sicuri, consentire tale operazione.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
11-23
Guida per l'amministratore di OfficeScan™ 11.0
Visualizzazione dei registri di reputazione Web
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Visualizza registri > Registri reputazione Web o su Registri >
Registri reputazione Web.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
ELEMENTO
) per includere
DESCRIZIONE
Data/Ora
Ora del rilevamento
Dispositivo
L'dispositivo su cui si è verificato il rilevamento
Dominio
Il dominio dell'dispositivo oggetto del rilevamento
URL
L'URL bloccato dai servizi di reputazione Web
Livello di rischio
Il livello di rischio dell'URL
Descrizione
Una descrizione della minaccia per la sicurezza
Processo
Il processo tramite il quale è stato tentato il contatto
(path\application_name)
6.
Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungi
all'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati.
7.
Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file
o salvarlo in una posizione specifica.
11-24
Protezione dei computer dalle minacce Web
Visualizzazione dei registri dei callback C&C
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Visualizza registri > Registri dei callback C&C o Registri >
Registri dei callback C&C.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
ELEMENTO
) per includere
DESCRIZIONE
Data/Ora
Ora del rilevamento
Utente
L'utente ha effettuato l'accesso all'ora del rilevamento
Host compromesso
L'dispositivo origine del callback
Indirizzo IP
L'indirizzo IP dell'host compromesso
Dominio
Il dominio dell'dispositivo oggetto del rilevamento
Indirizzo di callback
L'indirizzo a cui l'dispositivo ha inviato il callback
Origine elenco C&C
L'origine dell'elenco C&C che ha identificato il server
C&C
Livello di rischio C&C
Il livello di rischio del server C&C
Protocollo
Il protocollo Internet usato per la trasmissione
Processo
Il processo che ha avviato la trasmissione (path
\application_name)
Azione
L'azione eseguita sul callback
11-25
Guida per l'amministratore di OfficeScan™ 11.0
6.
Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clic
sul pulsante Aggiungi a elenco reputazione Web approvati per aggiungere
l'indirizzo all'elenco reputazione Web approvati.
Nota
OfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per i
rilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&C
Virtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvati
C&C definito dall'utente.
Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali
definiti dall'utente a pagina 11-13.
7.
Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file
o salvarlo in una posizione specifica.
Visualizzazione dei registri delle connessioni sospette
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Visualizza registri > Registri delle connessioni sospette oppure
Registri > Registri delle connessioni sospette.
4.
Specificare i parametri del registro e fare clic su Visualizza registri.
5.
Visualizzare i registri. I registri contengono le seguenti informazioni:
ELEMENTO
11-26
) per includere
DESCRIZIONE
Data/Ora
Ora del rilevamento
Dispositivo
L'dispositivo su cui si è verificato il rilevamento
Protezione dei computer dalle minacce Web
ELEMENTO
6.
DESCRIZIONE
Dominio
Il dominio dell'dispositivo oggetto del rilevamento
Processo
Il processo che ha avviato la trasmissione (path
\application_name)
IP locale e porta
L'indirizzo IP e il numero di porta dell'dispositivo di
origine
IP remoto e porta
L'indirizzo IP e il numero di porta dell'dispositivo di
destinazione
Risultato
Il risultato dell'azione effettuata
Rilevato da
L'origine dell'elenco C&C che ha identificato il server
C&C
Direzione del traffico
La direzione della trasmissione
Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file
o salvarlo in una posizione specifica.
11-27
Capitolo 12
Utilizzo del firewall di OfficeScan
In questo capitolo vengono descritte le configurazioni e le funzioni del firewall
OfficeScan.
Di seguito sono riportati gli argomenti trattati:
•
Informazioni sul Firewall di OfficeScan a pagina 12-2
•
Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6
•
Criteri e profili del firewall a pagina 12-8
•
Privilegi firewall a pagina 12-23
•
Impostazioni firewall globali a pagina 12-25
•
Notifiche di violazione del firewall per utenti agente OfficeScan a pagina 12-28
•
Registri del firewall a pagina 12-29
•
Infezioni da violazione del firewall a pagina 12-31
•
Test del firewall OfficeScan a pagina 12-32
12-1
Guida per l'amministratore di OfficeScan™ 11.0
Informazioni sul Firewall di OfficeScan
Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di
"stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. Con la
console di gestione centrale, è possibile creare regole per filtrare le connessioni per
applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a
gruppi diversi di utenti.
Nota
È possibile attivare, configurare e utilizzare il firewall di OfficeScan su dispositivo Windows
XP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessario
gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere
risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare la
documentazione Microsoft.
Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:
•
Filtraggio del traffico a pagina 12-2
•
Filtro di applicazioni a pagina 12-3
•
Elenco software sicuro certificato a pagina 12-3
•
Scansione dei virus di rete a pagina 12-4
•
Profili e criteri personalizzabili a pagina 12-4
•
Stateful Inspection a pagina 12-4
•
Sistema di prevenzione intrusioni a pagina 12-4
•
Monitoraggio delle infezioni di violazione del firewall a pagina 12-6
•
Privilegi del firewall dell'agente OfficeScan a pagina 12-6
Filtraggio del traffico
Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di
bloccare alcuni tipi di traffico in base ai seguenti criteri:
12-2
Utilizzo del firewall di OfficeScan
•
Direzione (in entrata/in uscita)
•
Protocollo (TCP/UDP/ICMP/ICMPv6)
•
Porte di destinazione
•
Dispositivo di origine e destinazione
Filtro di applicazioni
Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni,
consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai
criteri impostati dall'amministratore.
Nota
OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8,
Windows 8.1 e Windows Server 2012. OfficeScan consente o impedisce il traffico di tutte
le applicazioni sui computer con tali piattaforme.
Elenco software sicuro certificato
L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono
evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su
Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete.
Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un
elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro.
Nota
Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare
l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio
prevenzione modifiche non autorizzate e il Servizio Certified Safe Software.
12-3
Guida per l'amministratore di OfficeScan™ 11.0
Scansione dei virus di rete
Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per i
dettagli, consultare Virus e minacce informatiche a pagina 7-2.
Profili e criteri personalizzabili
Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o
consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili,
che poi potranno essere implementati negli agenti OfficeScan specificati. Questo
costituisce un metodo molto personalizzabile per l'organizzazione e la configurazione
delle impostazioni di firewall per gli agenti.
Stateful Inspection
Il firewall di OfficeScan è di tipo Stateful Inspection: ovvero, monitora tutte le
connessioni dell'agente OfficeScan e archivia tutti gli stati di connessione. È in grado di
identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno
e individuare le interruzioni in una connessione normale. L'uso efficace del firewall,
quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle
connessioni e il filtro dei pacchetti che passano attraverso il firewall.
Sistema di prevenzione intrusioni
Il firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS).
Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete che
possono indicare un attacco all'agente OfficeScan. Il firewall di OfficeScan consente di
prevenire le seguenti intrusioni note:
INTRUSIONE
Frammento troppo
grande
12-4
DESCRIZIONE
Attacco DoS (Denial of Service) in cui un hacker dirige un
pacchetto TCP/UDP di dimensioni eccessive sull'dispositivo di
destinazione. Un'operazione di questo tipo può comportare
l'overflow del buffer sull'dispositivo, causandone il blocco o il
riavvio.
Utilizzo del firewall di OfficeScan
INTRUSIONE
DESCRIZIONE
Ping of Death
Attacco DoS (Denial of Service) in cui un hacker dirige un
pacchetto ICMP/ICMPv6 di dimensioni eccessive sull'dispositivo
di destinazione. Un'operazione di questo tipo può comportare
l'overflow del buffer sull'dispositivo, causandone il blocco o il
riavvio.
Conflitto ARP
Tipo di attacco in cui un hacker invia una richiesta ARP (Address
Resolution Protocol) a un dispositivo utilizzando lo stesso
indirizzo IP come origine e come destinazione. Il computer
oggetto dell'attacco, quindi, invia continuamente una risposta
ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco
del sistema.
Flooding SYN
Attacco DoS (Denial of Service) in cui un programma invia a un
dispositivo dei pacchetti di sincronizzazione (SYN) TCP multipli,
causando un invio continuo di risposte di riconoscimento (SYN/
ACK) da parte dell'dispositivo. Questi invii possono provocare
l'esaurimento della memoria dell'dispositivo con conseguente
blocco del sistema.
Frammenti
sovrapposti
Questo attacco DoS (Denial of Service) simile al teardrop, invia a
un dispositivo dei frammenti TCP sovrapposti. Questo causa la
sovrascrittura delle informazioni di intestazione del primo
frammento TCP che potrebbe così oltrepassare un firewall. Il
firewall quindi potrebbe consentire l'accesso ai successivi
frammenti contenenti il codice dannoso, permettendo loro di
raggiungere l'dispositivo di destinazione.
Teardrop
questo attacco DoS (Denial of Service) simile all'attacco a
frammenti sovrapposti, utilizza dei frammenti IP. Un valore di
offset errato all'interno del secondo o di altri frammenti IP può
causare il blocco del sistema operativo dell'dispositivo ricevente
nel momento in cui tenta di riassemblare i frammenti.
Attacco
frammento
minuscolo
tipo di attacco in cui un frammento TCP di dimensioni minime
forza le informazioni di intestazione del primo pacchetto TCP
all'interno del frammento successivo. I router che filtrano il traffico
ignorano pertanto il frammento successivo, che potrebbe invece
contenere dati maligni.
12-5
Guida per l'amministratore di OfficeScan™ 11.0
INTRUSIONE
DESCRIZIONE
IGMP frammentato
Attacco DoS (Denial of Service) che invia pacchetti IGMP
frammentati a un dispositivo di destinazione che non riesce a
elaborarli correttamente, con conseguente rallentamento o blocco
dell'dispositivo.
Attacco LAND
Tipo di attacco che invia a un dispositivo dei pacchetti di
sincronizzazione (SYN) IP contenenti lo stesso indirizzo di origine
e di destinazione; l'dispositivo invia pertanto la risposta di
riconoscimento (SYN/ACK) a se stesso, con conseguente
rallentamento o blocco dell'dispositivo.
Monitoraggio delle infezioni di violazione del firewall
Quando le violazioni del firewall superano determinate soglie che potrebbero far pensare
a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a
specifici destinatari.
Privilegi del firewall dell'agente OfficeScan
È possibile concedere agli utenti agente OfficeScan le autorizzazioni necessarie per
visualizzare le impostazioni del firewall sulla console dell'agente OfficeScan, nonché
quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il
messaggio di notifica della violazione del firewall.
Attivazione o disattivazione del Frewall di
OfficeScan
Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare o
disattivare il firewall OfficeScan.
Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulle
prestazioni, in particolare sulle piattaforme del server (Windows Server 2003, Windows
Server 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall.
12-6
Utilizzo del firewall di OfficeScan
Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo per
proteggere gli agenti da intrusioni, leggere prima le linee guida e le istruzioni in Servizi
dell'agente OfficeScan a pagina 14-7.
È possibile attivare o disattivare il firewall su tutti gli dispositivo agente OfficeScan o
solo su alcuni.
Attivazione o disattivazione del firewall di OfficeScan
sugli dispositivo selezionati
Per attivare o disattivare il firewall, usare uno dei metodi seguenti.
METODO
PROCEDURA
Creare un nuovo
criterio e applicarlo
agli agenti
OfficeScan
1.
Creare un nuovo criterio per attivare o disattivare il firewall.
Per istruzioni sulla creazione di un nuovo criterio, vedere
Aggiunta o modifica di un criterio firewall a pagina 12-11.
2.
Applicare il criterio agli agenti OfficeScan.
Attivare o disattivare
il servizio e il driver
del firewall
1.
Attivare o disattivare il driver del firewall.
2.
Attivare o disattivare
il servizio del
firewall dalla
console Web.
a.
Aprire le Proprietà delle Connessioni di rete
Windows.
b.
Selezionare o deselezionare la casella di controllo
Driver comune Firewall Trend Micro nella scheda di
rete.
Attivare o disattivare il servizio del firewall.
a.
Aprire il prompt dei comandi e digitare services.msc.
b.
Avviare o interrompere OfficeScan NT Firewall da
Microsoft Management Console (MMC).
Per la procedura dettagliata, vedere Servizi dell'agente
OfficeScan a pagina 14-7.
12-7
Guida per l'amministratore di OfficeScan™ 11.0
Attivazione o disattivazione del firewall di OfficeScan su
tutti gli dispositivo
Procedura
1.
Accedere a Amministrazione > Impostazioni > Licenza del prodotto.
2.
Andare alla sezione Servizi aggiuntivi.
3.
Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fare
clic su Attiva o Disattiva.
Criteri e profili del firewall
Il firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodi
di protezione degli dispositivo collegati in rete.
Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,
amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può
creare, configurare o eliminare i criteri e i profili di domini specifici.
Suggerimento
Installazioni di firewall diversi sullo stesso dispositivo possono produrre risultati inaspettati.
Prima di implementare e attivare il firewall di OfficeScan è opportuno disinstallare altri
firewall basati su software presenti sugli agenti OfficeScan.
Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguenti
operazioni:
1.
Creare un criterio. Il criterio consente di selezionare un livello di sicurezza che
blocca o consente il traffico sugli dispositivo collegati in rete e attiva le funzioni del
firewall.
2.
Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli agenti
OfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, è
possibile specificare gli agenti e consentire o bloccare determinati tipi di traffico
12-8
Utilizzo del firewall di OfficeScan
indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. È
possibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agenti
tramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modo
che gli agenti possano accedere al server Web.
3.
Creare e assegnare dei profili agli agenti OfficeScan. Un profilo di firewall
comprende una serie di attributi agente ed è associato a un criterio. Quando un
agente corrisponde agli attributi specificati nel profilo, il criterio a esso associato
viene attivato.
Criteri firewall
I criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete non
specificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewall
vengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall.
OfficeScan comprende una serie di criteri predefiniti che è possibile modificare o
eliminare.
Grazie all'integrazione con Active Directory e a Role-based Administration (RBA,
amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può
creare, configurare o eliminare i criteri di domini specifici.
Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall.
TABELLA 12-1. Criteri del firewall predefiniti
LIVELLO
NOME CRITERIO
IMPOSTAZI
DI
ONI
SICUREZZA
AGENTE
ECCEZIONI
USO CONSIGLIATO
Tutti i tipi di
accesso
Basso
Attiva
firewall
Nessuna
Da utilizzare per
consentire agli agenti
un accesso illimitato
alla rete
Porte di
comunicazione
per Trend Micro
Control Manager
Basso
Attiva
firewall
Permette tutto il
traffico TCP/UDP in
entrata e in uscita
tramite le porte 80 e
10319
Da utilizzare per gli
agenti che sui quali è
installato un MCP
Agent
12-9
Guida per l'amministratore di OfficeScan™ 11.0
LIVELLO
NOME CRITERIO
IMPOSTAZI
DI
ONI
SICUREZZA
AGENTE
ECCEZIONI
USO CONSIGLIATO
Console
ScanMail per
Microsoft
Exchange
Basso
Attiva
firewall
Permette tutto il
traffico TCP in
entrata e in uscita
tramite la porta
16372
Da utilizzare quando
gli agenti devono
accedere alla console
ScanMail
Console
InterScan
Messaging
Security Suite
(IMSS)
Basso
Attiva
firewall
Permette tutto il
traffico TCP in
entrata e in uscita
tramite la porta 80
Da utilizzare quando
gli agenti devono
accedere alla console
IMSS
Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, creare
nuovi criteri.
Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri del
firewall nella console Web.
Configurazione dell'elenco dei criteri del firewall
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Per aggiungere un nuovo criterio, fare clic su Aggiungi.
Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterio
esistente, selezionare il criterio esistente e fare clic su Copia. Per modificare un
criterio esistente, fare clic sul nome del criterio.
Viene visualizzata la schermata per la configurazione del criterio. Per ulteriori
informazioni, consultare Aggiunta o modifica di un criterio firewall a pagina 12-11.
3.
Per eliminare un criterio esistente, selezionare la casella di controllo accanto al
criterio e fare clic su Elimina.
4.
Per modificare il modello di eccezione del firewall, fare clic su Modifica modello
di eccezione.
12-10
Utilizzo del firewall di OfficeScan
Per ulteriori informazioni, consultare Modifica del modello di eccezione del firewall a pagina
12-14.
Viene visualizzato l'editor del modello di eccezione.
Aggiunta o modifica di un criterio firewall
Per ciascun criterio, configurare le impostazioni riportate di seguito:
•
Livello di sicurezza: impostazione generale che blocca o consente tutto il traffico
in entrata e/o in uscita nell'dispositivo agente OfficeScan.
•
Caratteristiche del firewall: specificare se attivare o disattivare il firewall di
OfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica di
violazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema di
prevenzione intrusioni a pagina 12-4.
•
Elenco software sicuro certificato: specificare se consentire alle applicazioni
sicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato a
pagina 12-3 per ulteriori informazioni su Elenco software sicuro certificato.
•
Elenco eccezioni al criterio: elenco di eccezioni configurabili che consentono di
bloccare o consentire vari tipi di traffico di rete.
Aggiunta di un criterio del firewall
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Per aggiungere un nuovo criterio, fare clic su Aggiungi.
Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente,
selezionare il criterio esistente e fare clic su Copia.
3.
Inserire un nome per il criterio.
4.
Selezionare un livello di sicurezza.
12-11
Guida per l'amministratore di OfficeScan™ 11.0
Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametri
delle eccezioni ai criteri del firewall.
5.
Selezionare le funzioni del firewall da utilizzare per il criterio.
•
Quando il firewall blocca un pacchetto in uscita, viene visualizzato un
messaggio di notifica di violazione del firewall. Per modificare il messaggio,
vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 12-29.
•
L'attivazione di tutte le funzioni del firewall consente agli utenti agente
OfficeScan di attivare/disattivare le funzioni e modificare le impostazioni del
firewall nella console dell'agente OfficeScan.
AVVERTENZA!
Non è possibile utilizzare la console Web OfficeScan per sovrascrivere le
impostazioni della console dell'agente OfficeScan configurate dall'utente.
6.
•
Se non si attivano queste funzioni, le impostazioni del firewall configurate
dalla console Web OfficeScan vengono visualizzate in Elenco schede di rete
nella console dell'agente OfficeScan.
•
Le informazioni che si trovano in Impostazioni nella scheda Firewall della
console dell'agente OfficeScan corrispondono sempre alle impostazioni
configurate nella console del'agente OfficeScan, non a quelle della console
Web del server.
Attiva l'elenco software sicuro certificato globale o locale.
Nota
Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzione
modifiche non autorizzate e il Servizio Certified Safe Software.
7.
In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteri
qui incluse si basano sul modello di eccezione del firewall. Per informazioni, vedere
Modifica del modello di eccezione del firewall a pagina 12-14.
•
12-12
Per modificare un'eccezione ai criteri esistente fare clic sul nome
dell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata.
Utilizzo del firewall di OfficeScan
Nota
L'eccezione modificata si applica solo al criterio da creare. Se si desidera rendere
permanente la modifica all'eccezione, è necessario apportare la stessa modifica
all'eccezione nel modello di eccezione del firewall.
•
Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le
impostazioni nella pagina che si apre.
Nota
Anche l'eccezione ai criteri si applica solo al criterio da creare. Per applicare
questa eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elenco
delle eccezioni criteri nel modello di eccezione del firewall.
8.
Fare clic su Salva.
Modifica di di un criterio del firewall esistente
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Fare clic su un criterio.
3.
Modificare gli elementi riportati di seguito:
•
Nome criterio
•
Livello di sicurezza
•
Funzioni firewall da utilizzare per il criterio
•
Stato dell'elenco Servizio Certified Safe Software
•
Eccezioni ai criteri del firewall da includere nei criteri
•
Modificare un'eccezione esistente (fare clic sul nome dell'eccezione e
modificare le impostazioni nella pagina che si apre)
•
Fare clic su Aggiungi per creare una nuova eccezione ai criteri.
Specificare le impostazioni nella pagina che si apre.
12-13
Guida per l'amministratore di OfficeScan™ 11.0
4.
Fare clic su Salva per applicare le modifiche ai criteri esistenti.
Modifica del modello di eccezione del firewall
Il modello di eccezioni del firewall contiene eccezioni ai criteri che possono essere
configurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di
porta degli dispositivo agente OfficeScan e agli indirizzi IP. Una volta creata
un'eccezione ai criteri, modificare i criteri a cui si applica l'eccezione.
Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione:
•
Restrittiva
Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentono
tutto il traffico di rete. Un esempio di utilizzo di eccezione dei criteri restrittiva è il
blocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio le
porte utilizzate in genere dai cavalli di Troia.
•
Permissiva
Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccano
tutto il traffico di rete. Ad esempio, è possibile consentire agli agenti OfficeScan di
accedere solo al server OfficeScan e a un server Web. In questo caso, è necessario
consentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con il
server OfficeScan) e dalla porta che l'agente OfficeScan utilizza per la
comunicazione HTTP.
Porta di ascolto dell'agente OfficeScan: Agenti > Gestione agente > Stato. Il
numero di porta è reperibile in Informazioni di base.
Porta di ascolto del server: Amministrazione > Impostazioni > Connessione
agente. Il numero di porta è reperibile in Impostazioni connessione agente.
OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che è
possibile modificare o eliminare.
12-14
Utilizzo del firewall di OfficeScan
TABELLA 12-2. Eccezioni predefinite ai criteri del firewall
NOME
ECCEZIONE
AZIONE
PROTOCOLLO
PORTA
DIREZIONE
DNS
Consenti
TCP/UDP
53
In entrata e in uscita
NetBIOS
Consenti
TCP/UDP
137, 138,
139, 445
In entrata e in uscita
HTTPS
Consenti
TCP
443
In entrata e in uscita
HTTP
Consenti
TCP
80
In entrata e in uscita
Telnet
Consenti
TCP
23
In entrata e in uscita
SMTP
Consenti
TCP
25
In entrata e in uscita
FTP
Consenti
TCP
21
In entrata e in uscita
POP3
Consenti
TCP
110
In entrata e in uscita
LDAP
Consenti
TCP/UDP
389
In entrata e in uscita
Nota
Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezione
predefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IP
degli agenti.
L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versione
precedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni,
aggiungerla manualmente.
Aggiunta di un'eccezione dei criteri del firewall
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Fare clic su Modifica modello di eccezione.
3.
Fare clic su Aggiungi.
12-15
Guida per l'amministratore di OfficeScan™ 11.0
4.
Digitare un nome per l'eccezione ai criteri.
5.
Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazioni
oppure specificare il percorso o le chiavi del registro di sistema delle applicazioni.
Nota
Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione non
supporta i caratteri jolly.
6.
Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare o
consentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione del
traffico (traffico di rete in entrata o in uscita sull'dispositivo agente OfficeScan).
7.
Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6.
8.
Specificare le porte dell'dispositivo agente OfficeScan sulle quali effettuare l'azione.
9.
Selezionare gli indirizzi IP degli dispositivo agente OfficeScan da includere
nell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in
entrata e in uscita) e si immette l'indirizzo IP di un singolo dispositivo della rete,
qualsiasi agente OfficeScan con questa eccezione tra i criteri non potrà inviare o
ricevere dati da quell'indirizzo IP.
•
Tutti gli indirizzi IP: include tutti gli indirizzi IP
•
Indirizzo IP singolo: immettere un nome host o un indirizzo IPv4 o IPv6.
•
Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 o
IPv6.
•
Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzo
IPv6.
•
Maschera subnet: immettere un indirizzo IPv4 e la relativa subnet mask.
10. Fare clic su Salva.
12-16
Utilizzo del firewall di OfficeScan
Modifica di un'eccezione dei criteri del firewall
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Fare clic su Modifica modello di eccezione.
3.
Fare clic su un criterio di eccezione.
4.
Modificare gli elementi riportati di seguito:
5.
•
Nome eccezione ai criteri
•
Tipo, nome o percorso dell'applicazione
•
Operazione che OfficeScan deve effettuare su traffico di rete e direzione del
traffico
•
Tipo di protocollo di rete
•
Numeri di porta relativi all'eccezione
•
Indirizzi IP dell'dispositivo agente OfficeScan
Fare clic su Salva.
Salvataggio delle impostazioni dell'elenco eccezioni al criterio
Procedura
1.
Accedere a Agenti > Firewall > Criteri.
2.
Fare clic su Modifica modello di eccezione.
3.
Fare clic su una delle opzioni di salvataggio riportate di seguito:
•
Salva modifiche al modello: salva il modello eccezioni con le eccezioni e le
impostazioni correnti. Questa opzione applica il modello solo ai criteri creati
in futuro, non a quelli esistenti.
12-17
Guida per l'amministratore di OfficeScan™ 11.0
•
Salva e applica ai criteri esistenti: salva il modello eccezioni con le
eccezioni e le impostazioni correnti. Questa opzione applica il modello a
criteri esistenti e futuri.
Profili firewall
I profili firewall sono flessibili in quanto consentono di scegliere quali attributi un agente
o un gruppo di agenti deve avere affinché il criterio venga applicato. Creare ruoli utente
che permettano di creare, configurare o eliminare i profili di specifici domini.
Gli utenti con account di amministratore predefinito o con le autorizzazioni per la
gestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezza
dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo agente
OfficeScan con le impostazioni del server.
I profili comprendono i seguenti elementi:
•
Criterio associato: ogni profilo utilizza un singolo criterio.
•
Attributi dell'agente: il criterio associato viene applicato agli agenti OfficeScan
che dispongono di almeno uno degli attributi riportati di seguito:
12-18
•
Indirizzo IP: un indirizzo IP specifico dell'agente OfficeScan, un indirizzo IP
compreso in un determinato intervallo di indirizzi IP o indirizzo IP
appartenente a una subnet specifica
•
Dominio: dominio specifico di OfficeScan al quale l'agente OfficeScan
appartiene
•
Dispositivo: l'agente OfficeScan con un nome di dispositivo specifico
•
Piattaforma: piattaforma specifica utilizzata da qualsiasi agente OfficeScan
•
Nome accesso: dispositivo agente OfficeScan a cui utenti specifici hanno
effettuato l'accesso
•
Descrizione NIC: un dispositivo agente OfficeScan con una descrizione
NIC corrispondente
•
Stato connessione agente: indica lo stato online o offline dell'agente
OfficeScan
Utilizzo del firewall di OfficeScan
Nota
L'agente OfficeScan è online se è in grado di connettersi al server OfficeScan o
a un server di riferimento, mentre è offline se non è in grado di connettersi ad
alcun server.
OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" che
utilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo
profilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall
predefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato
attuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella console
Web. Gestire l'elenco dei profili e implementare tutti i profili sugli agenti OfficeScan. Gli
agenti OfficeScan archiviano tutti i profili del firewall nell'dispositivo agente.
Configurazione dell'elenco profili del firewall
Procedura
1.
Accedere a Agenti > Firewall > Profili.
2.
Gli utenti che utilizzano l'account di amministratore predefinito o gli utenti con le
autorizzazioni per la gestione completa, facoltativamente possono attivare l'opzione
Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per
sostituire le impostazioni del profilo agente OfficeScan con le impostazioni del
server.
3.
Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profilo
esistente, selezionare il nome del profilo.
Viene visualizzata la schermata per la configurazione del profilo. Per ulteriori
informazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 12-21.
4.
Per eliminare un criterio esistente, selezionare la casella di controllo accanto al
criterio e fare clic su Elimina.
5.
Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controllo
accanto al profilo da spostare e fare clic su Sposta su o Sposta giù.
OfficeScan applica i profili firewall agli agenti OfficeScan nell'ordine in cui i profili
compaiono nell'elenco dei profili. Ad esempio, se un agente corrisponde al primo
12-19
Guida per l'amministratore di OfficeScan™ 11.0
profilo, OfficeScan applica all'agente le operazioni configurate per quel profilo. Per
quell'agente OfficeScan ignora gli altri profili configurati.
Suggerimento
Più esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare il
criterio creato per un unico agente in cima all'elenco, seguito da quelli relativi a un
intervallo di agenti, a un dominio di rete e a tutti gli agenti.
6.
Per gestire i server di riferimento, fare clic su Modifica elenco server di
riferimento. Quando si applicano i profili firewall, i server di riferimento sono
dispositivo che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivo
della rete può fungere da server di riferimento (per ulteriori informazioni,
consultare Server di riferimento a pagina 13-29). Quando si attivano i server di
riferimento, OfficeScan parte dai seguenti presupposti:
•
Gli agenti OfficeScan collegati a server di riferimento sono online, anche se
non possono comunicare con il server OfficeScan.
•
I profili firewall applicati agli agenti OfficeScan online si applicano anche agli
agenti OfficeScan collegati a server di riferimento.
Nota
Solo gli utenti con account di amministratore predefinito o quelli con autorizzazioni
di gestione completa possono visualizzare e configurare l'elenco dei server di
riferimento.
7.
8.
Per salvare le impostazioni correnti e assegnare i profili agli agenti OfficeScan:
a.
Decidere se attivare l'opzione Sovrascrivi il livello di sicurezza
dell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte le
impostazioni del firewall configurate dall'utente.
b.
Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profili
dell'elenco dei profili a tutti gli agenti OfficeScan.
Per verificare di aver assegnato i profili agli agenti OfficeScan:
a.
12-20
Accedere a Agenti > Gestione agente. Nell'elenco a discesa disponibile nella
visualizzazione della struttura agente, selezionare Visualizzazione firewall.
Utilizzo del firewall di OfficeScan
b.
Verificare che sia presente un segno di spunta verde nella colonna Firewall
della struttura agente. Se i criteri associati al profilo consentono di utilizzare il
sistema IDS (Intrusion Detection System), è presente un segno di spunta
verde anche nella colonna IDS.
c.
Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri
sono visualizzati nella colonna Criteri del firewall della struttura agente.
Aggiunta e modifica di un profilo firewall
Gli dispositivo agente OfficeScan possono richiedere livelli diversi di protezione. I
profili del Firewall consentono di specificare gli dispositivo agente ai quali si applica un
criterio associato. In linea di massima, per ogni criterio in uso è necessario un profilo.
Aggiunta di un profilo di firewall
Procedura
1.
Accedere a Agenti > Firewall > Profili.
2.
Fare clic su Aggiungi.
3.
Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il
profilo sugli agenti OfficeScan.
4.
Inserire un nome per identificare il profilo e una descrizione opzionale.
5.
Specificare un criterio per questo profilo.
6.
Specificare gli dispositivo agente a cui OfficeScan deve applicare il criterio.
Selezionare gli dispositivo in base ai seguenti parametri:
•
Indirizzo IP
•
Dominio: fare clic sul pulsante per aprire e selezionare i domini dalla struttura
agente.
Nota
Solo gli utenti con autorizzazioni complete per i domini possono selezionarli.
12-21
Guida per l'amministratore di OfficeScan™ 11.0
•
Nome Dispositivo: fare clic sul pulsante per aprire e selezionare gli dispositivo
agente OfficeScan dalla struttura agente.
•
Piattaforma
•
Nome accesso
•
Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri
jolly.
Suggerimento
Trend Micro consiglia di immettere il prodottore della scheda NIC perché le
descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se
si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si
digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le
descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a
questo criterio.
•
7.
Stato connessione agente
Fare clic su Salva.
Modifica di un profilo di firewall
Procedura
1.
Accedere a Agenti > Firewall > Profili.
2.
Fare clic su un profilo.
3.
Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il
profilo sugli agenti OfficeScan. Modificare gli elementi riportati di seguito:
•
Nome profilo e descrizione
•
Criterio assegnato al profilo
•
Dispositivo agente OfficeScan, in base ai seguenti criteri:
•
12-22
Indirizzo IP
Utilizzo del firewall di OfficeScan
•
Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare
i domini.
•
Nome Dispositivo: fare clic sul pulsante per aprire la struttura agente e
selezionare gli dispositivo agente.
•
Piattaforma
•
Nome accesso
•
Descrizione NIC: immettere una descrizione totale o parziale, senza
caratteri jolly.
Suggerimento
Trend Micro consiglia di immettere il prodottore della scheda NIC perché
le descrizioni NIC in genere iniziano con il nome del produttore. Ad
esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo
criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R)
Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100"
corrisponderanno a questo criterio.
•
4.
Stato connessione agente
Fare clic su Salva.
Privilegi firewall
Consentono agli utenti di configurare le proprie impostazioni del firewall. Le
impostazioni configurate dagli utenti hanno la precedenza sulle impostazioni
implementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistema
rilevamento anti-intrusione (IDS, Intrusion Detection System) e nel server OfficeScan
esso viene attivato, IDS rimane disattivato nell'dispositivo agente OfficeScan.
Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall:
•
Visualizza le impostazioni del firewall nella console agente OfficeScan
L'opzione Firewall visualizza tutte le impostazioni del firewall nell'agente
OfficeScan.
12-23
Guida per l'amministratore di OfficeScan™ 11.0
•
Consenti agli utenti di attivare/disattivare il firewall, il sistema di
rilevamento anti-intrusione e il messaggio di notifica di violazione del
firewall
Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di
"stateful inspection", alla scansione antivirus della rete ad elevate prestazioni e
all'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare il
firewall e le relative funzioni, è necessario avvertirli di non disattivare il firewall per
un periodo di tempo prolungato per evitare di esporre l'dispositivo a intrusioni e
attacchi di hacker.
Se non si concedono agli utenti tali privilegi, le impostazioni del firewall configurate
dalla console Web del server OfficeScan vengono visualizzate in Elenco schede di
rete nella console dell'agente OfficeScan.
•
Consenti agli agenti di inviare i registri di firewall al server OfficeScan
Selezionare questa opzione per analizzare il traffico bloccato e consentito dal
firewall OfficeScan. Per ulteriori informazioni sui registri del firewall, consultare
Registri del firewall a pagina 12-29.
Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro in
Agenti > Impostazioni globali agente. Andare alla sezione Impostazioni
firewall. La pianificazione si applica solamente agli agenti dotati di privilegio di
invio del registro. Per le istruzioni, vedere Impostazioni firewall globali a pagina 12-25.
Concessione dei privilegi firewall
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Privilegi firewall.
5.
Selezionare le seguenti opzioni:
12-24
) per includere
Utilizzo del firewall di OfficeScan
6.
•
Visualizza la scheda Firewall nella console agente OfficeScan a pagina 12-23
•
Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento antiintrusione e il messaggio di notifica di violazione del firewall a pagina 12-24
•
Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina
12-24
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Impostazioni firewall globali
Le impostazioni globali del firewall possono essere applicate agli agenti OfficeScan in
diversi modi.
•
Una determinata impostazione del firewall può essere applicata a tutti gli agenti
gestiti dal server.
•
Un'impostazione può essere applicata solo agli agenti OfficeScan con determinati
privilegi firewall. Ad esempio, la pianificazione di invio del registro del firewall si
applica solo agli agenti OfficeScan che hanno il privilegio di inviare registri al
server.
Attivare le impostazioni globali seguenti, in base alle necessità.
•
Invia i registri del firewall al server
È possibile assegnare a determinati agenti OfficeScan il privilegio di inviare registri
firewall al server OfficeScan. Configurare la pianificazione per l'invio del registro.
12-25
Guida per l'amministratore di OfficeScan™ 11.0
Solo gli agenti con privilegi per inviare registri firewall potranno usare questa
pianificazione.
Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati,
vedere Privilegi firewall a pagina 12-23.
•
Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema
Attivare l'agente OfficeScan per aggiornare il Driver comune Firewall solo dopo il
riavvio dell'dispositivo agente OfficeScan. Attivare questa opzione per impedire
che si verifichino interruzioni (ad esempio la disconnessione temporanea dalla rete)
per gli dispositivo agente durante gli aggiornamenti di Driver comune Firewall
durante l'aggiornamento dell'agente.
Nota
Questa funzione supporta solo gli agenti aggiornati da OfficeScan 8.0 SP1 e versioni
successive.
•
Invia le informazioni del registro firewall al server OfficeScan ogni ora per
rilevare possibili violazioni del firewall
Quando viene attivata questa opzione gli agenti OfficeScan inviano i conteggi del
registro del firewall al server OfficeScan a intervalli di un'ora. Per ulteriori
informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-29.
OfficeScan utilizza i conteggi del registro e i criteri delle infezioni da violazione del
firewall per determinare la possibilità di un'infezione da violazione del firewall.
OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan se
si verifica un'infezione.
•
Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare
il Servizio certificato Safe Software, come necessario.
Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la
sicurezza di un programma rilevato da Blocco del comportamento malware,
Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio
Certified Safe Software per ridurre la possibilità di falsi allarmi.
12-26
Utilizzo del firewall di OfficeScan
Nota
Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per
maggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima
di attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme
a una connessione Internet intermittente, possono provocare ritardi o mancate
risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non
rispondono.
Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai
datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi
IP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di
collegarsi ai datacenter Trend Micro.
Configurazione delle impostazioni firewall globali
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Andare alla sezione seguente e configurare le impostazioni:
TABELLA 12-3. Impostazioni firewall globali
SEZIONE
3.
IMPOSTAZIONI
Impostazioni del
firewall
•
Invia i registri del firewall al server a pagina 12-25
•
Aggiorna il driver del firewall OfficeScan solo dopo
aver riavviato il sistema a pagina 12-26
Conteggio registro
firewall
Invia le informazioni del registro firewall al server
OfficeScan ogni ora per rilevare possibili violazioni del
firewall a pagina 12-26
Impostazioni di
Certified Safe
Software
Attiva il servizio Certified Safe Software per il monitoraggio
del comportamento, il firewall e le scansioni antivirus a
pagina 12-26
Fare clic su Salva.
12-27
Guida per l'amministratore di OfficeScan™ 11.0
Notifiche di violazione del firewall per utenti
agente OfficeScan
OfficeScan può visualizzare un messaggio di notifica sugli agenti subito dopo che il
firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall.
Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica.
Nota
È anche possibile attivare la notifica quando si configura un particolare criterio del firewall.
Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina
12-11.
Concessione agli utenti del privilegio di attivare/
disattivare il messaggio di notifica
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, andare alla sezione Privilegi firewall.
5.
Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema di
rilevamento anti-intrusione e il messaggio di notifica di violazione del
firewall.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
12-28
) per includere
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
Utilizzo del firewall di OfficeScan
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Modifica del contenuto del messaggio di notifica del
firewall
Procedura
1.
Accedere a Amministrazione > Notifiche > Agente.
2.
Dal menu a discesa Tipo, selezionare Violazioni del firewall
3.
Modificare i messaggi predefiniti nella casella di testo disponibile.
4.
Fare clic su Salva.
Registri del firewall
I registri del firewall disponibili nel server vengono inviati dagli agenti OfficeScan che
dispongono dei privilegi per tale invio. Per monitorare e analizzare il traffico negli
dispositivo che il firewall di OfficeScan blocca, è possibile concedere questo privilegio
ad alcuni agenti specifici.
Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 12-23.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
12-29
Guida per l'amministratore di OfficeScan™ 11.0
Visualizzazione dei registri firewall
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti >
Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Registri > Registri del firewall o su Visualizza registri > Registri
del firewall.
4.
Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agli
agenti. Prima di procedere al passaggio successivo, attendere il tempo necessario
per consentire agli agenti di inviare i registri del firewall.
5.
Specificare i parametri del registro e fare clic su Visualizza registri.
6.
Visualizzare i registri. I registri contengono le seguenti informazioni:
12-30
) per includere
•
Data e ora del rilevamento della violazione del firewall
•
Dispositivo in cui si è verificata la violazione del firewall
•
Dominio dell'dispositivo in cui si è verificata la violazione del firewall
•
Indirizzo IP host remoto
•
Indirizzo IP host locale
•
Protocollo
•
Numero di porta
•
Direzione: indica se la violazione dei criteri del firewall è stata effettuata dal
traffico in entrata (ricezione) o in uscita (invio)
•
Processo: il programma eseguibile o il servizio in esecuzione sull'dispositivo
che ha causato la violazione del firewall
•
Descrizione: specifica il rischio alla protezione reale (quali virus di rete o
attacchi IDS) o la violazione dei criteri del firewall
Utilizzo del firewall di OfficeScan
7.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Infezioni da violazione del firewall
Definire i parametri di un'infezione da violazione del firewall in base al numero di
violazioni del firewall e al periodo di rilevamento.
OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente
e altri amministratori di OfficeScan della presenza di un'infezione. È possibile
modificare i messaggi di notifica in base alle diverse esigenze.
Nota
OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica.
Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di
inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina
13-31.
Configurazione delle notifiche e dei criteri di infezione da
violazione del firewall
Procedura
1.
Accedere a Amministrazione > Notifiche > Infezione.
2.
Nella scheda Criteri:
a.
Andare alla sezione Violazioni del firewall.
b.
Selezionare Controlla le violazioni del firewall negli agenti OfficeScan.
c.
Specificare il numero dei registri di IDS, dei registri di firewall e dei registri dei
virus di rete.
d.
Specificare un periodo di rilevamento.
12-31
Guida per l'amministratore di OfficeScan™ 11.0
Suggerimento
Trend Micro consiglia di accettare i valori predefiniti di questa schermata.
OfficeScan invia un messaggio di notifica quando il numero di registri viene
superato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall,
100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia la
notifica quando il server riceve 301 registri in 3 ore.
3.
Nella scheda E-mail:
a.
Andare alla sezione Infezioni da violazioni del firewall.
b.
Selezionare Attiva notifica mediante e-mail.
c.
Specificare i destinatari del messaggio e-mail.
d.
Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel
campo Oggetto e Messaggio.
TABELLA 12-4. Variabili token per notifiche di infezione da violazione del
firewall
VARIABILE
4.
DESCRIZIONE
%A
Tipo di registro superato
%C
Numero di registri di violazione del firewall
%T
Totale periodo di durata dei registri di violazione del firewall
Fare clic su Salva.
Test del firewall OfficeScan
Per avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un
test su un agente OfficeScan o un gruppo di agenti OfficeScan.
12-32
Utilizzo del firewall di OfficeScan
AVVERTENZA!
Eseguire il test delle impostazioni del programma agente OfficeScan solo in un ambiente
controllato. Non eseguire test su dispositivo collegati alla rete o a Internet. Questa
operazione potrebbe esporre gli dispositivo agente OfficeScan a virus, attacchi di hacker e
altri rischi.
Procedura
1.
Creare e salvare un criterio per il test. Configurare le impostazioni affinché vengano
bloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire la
connessione dell'agente OfficeScan a Internet, effettuare le operazioni riportate di
seguito:
a.
Impostare il livello di sicurezza su Basso (per consentire tutto il traffico in
entrata e in uscita).
b.
Selezionare Invia una notifica agli utenti quando si verifica una
violazione del firewall.
c.
Creare un'eccezione che blocchi il traffico HTTP (o HTTPS).
2.
Creare e salvare un profilo per il test, selezionando gli agenti su cui si desiderano
controllare le funzioni del firewall. Associare i criteri del test al profilo del test.
3.
Fare clic su Assegna profilo agli utenti.
4.
Verificare l'implementazione.
a.
Fare clic su Agenti > Gestione agente.
b.
Selezionare il dominio a cui appartiene l'agente.
c.
Selezionare Visualizzazione firewall dalla visualizzazione della struttura
agente.
d.
Verificare che sia presente un segno di spunta verde nella colonna Firewall
della struttura agente. Se è stato attivato il sistema IDS (Intrusion Detection
System) per l'agente, verificare che sia presente un segno di spunta verde
anche nella colonna IDS.
e.
Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri
sono visualizzati nella colonna Criteri del firewall della struttura agente.
12-33
Guida per l'amministratore di OfficeScan™ 11.0
5.
Eseguire il test del firewall nell'dispositivo agente tentando di inviare o ricevere il
tipo di traffico configurato nei criteri.
6.
Per eseguire il test di un criterio configurato per evitare che l'agente acceda a
Internet, aprire un browser Web sull'dispositivo agente. Se OfficeScan è stato
configurato per visualizzare un messaggio di notifica per le violazioni del firewall, il
messaggio viene visualizzato sull'dispositivo agente quando si verifica una
violazione del traffico in uscita.
12-34
Parte III
Gestione degli agenti e del
server OfficeScan
Capitolo 13
Gestione del server OfficeScan
In questo capitolo vengono descritte le configurazioni e la gestione del server
OfficeScan.
Di seguito sono riportati gli argomenti trattati:
•
Role-based Administration (RBA) a pagina 13-2
•
Server di riferimento a pagina 13-29
•
Impostazioni notifica amministratore a pagina 13-31
•
Registri eventi di sistema a pagina 13-33
•
Gestione dei registri a pagina 13-34
•
OfficeScan Database Backup a pagina 13-41
•
Strumento di migrazione SQL Server a pagina 13-42
•
Impostazioni connessione agente/server Web OfficeScan a pagina 13-47
•
Password della console Web a pagina 13-48
•
Server Tuner a pagina 13-55
•
Smart Feedback a pagina 13-58
13-1
Guida per l'amministratore di OfficeScan™ 11.0
Role-based Administration (RBA)
Utilizzare la Role-based Administration per garantire e controllare l'accesso alla console
Web OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propria
organizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegi
di console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioni
necessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accesso
alla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibile
concedere ai non amministratori l'accesso alla console Web in modalità "sola lettura".
A ciascun utente (amministratore o non amministratore) viene assegnato un ruolo
specifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono alla
console Web utilizzando gli account utente personalizzati o gli account Active Directory.
Role-based Administration comprende le operazioni riportate di seguito:
1.
Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 13-2.
2.
Configurare gli account utente e assegnare un ruolo particolare a ciascun account
utente. Per maggiori dettagli, consultare Account utente a pagina 13-12.
Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema.
Vengono registrate le attività riportate di seguito:
•
Accesso alla console Web
•
Modifica della password
•
Disconnessione dalla console
•
Timeout di sessione (l'utente viene disconnesso automaticamente)
Ruoli utente
Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruolo
viene assegnata un'autorizzazione per ciascuna voce di menu.
Assegnare le autorizzazioni per i seguenti elementi:
•
13-2
Autorizzazioni per le voci di menu a pagina 13-3
Gestione del server OfficeScan
•
Tipi di voci di menu a pagina 13-3
•
Voci di menu per server e agenti a pagina 13-4
•
Voci menu per domini gestiti a pagina 13-6
Autorizzazioni per le voci di menu
Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu.
L'autorizzazione per una voce di menu può essere:
•
Configura: consente l'accesso completo a una voce di menu. Gli utenti sono in
grado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzare
i dati di una voce di menu.
•
Visualizza: consente agli utenti di visualizzare soltanto le impostazioni, le
operazioni e i dati di una voce di menu.
•
Nessun accesso: la voce di menu viene nascosta.
Tipi di voci di menu
Sono disponibili due tipi di voci di menu configurabili per i ruoli utenti OfficeScan.
TABELLA 13-1. Tipi di voci di menu
TIPO
Voci menu per
server/agenti
AMBITO
•
Dati, operazioni e impostazioni del server
•
Dati, operazioni e impostazioni globali dell'agente
Per un elenco completo delle voci di menu disponibili, vedere Voci
di menu per server e agenti a pagina 13-4.
Voci menu per
domini gestiti
Dati, operazioni e impostazioni granulari dell'agente disponibili al
di fuori della struttura agente
Per un elenco completo delle voci di menu disponibili, vedere Voci
menu per domini gestiti a pagina 13-6.
13-3
Guida per l'amministratore di OfficeScan™ 11.0
Voci di menu per server e agenti
Nella seguente tabella sono riportate le voci di menu per server/agenti.
Nota
Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non
viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programma
plug-in aggiuntivo viene visualizzato nella voce di menu Plug-in.
Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu
Plug-in.
TABELLA 13-2. Voci menu Agenti
VOCE DI MENU DI PRIMO LIVELLO
Agenti
VOCE DI MENU
•
Gestione agente
•
Raggruppamento agenti
•
Impostazioni globali agente
•
Posizione dispositivo
•
Verifica connessione
•
Prevenzione delle infezioni virali
TABELLA 13-3. Voci menu Registri
VOCE DI MENU DI PRIMO LIVELLO
Registri
13-4
VOCE DI MENU
•
Agenti
•
Rischi per la sicurezza
•
Aggiornamento dei componenti
•
Aggiornamenti server
•
Eventi di sistema
•
Manutenzione registri
Gestione del server OfficeScan
TABELLA 13-4. Voci menu Aggiornamenti
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Aggiornamenti
Server
Agenti
Rollback
VOCE DI MENU SECONDARIO
•
Aggiornamento pianificato
•
Aggiornamento manuale
•
Origine aggiornamenti
•
Aggiornamento automatico
•
Origine aggiornamenti
N.D.
TABELLA 13-5. Voci menu Amministrazione
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Amministrazion
e
Gestione account
VOCE DI MENU SECONDARIO
•
Account utente
•
Ruoli utente
Nota
Solo gli utenti che
utilizzano l'account di
amministratore integrato
possono accedere ad
Account utente e Ruoli
utente.
Smart Protection
Active Directory
Notifiche
•
Origini Smart Protection
•
Server integrato
•
Smart Feedback
•
Active Directory Integration
•
Sincronizzazione pianificata
•
Impostazioni generali
•
Infezione
13-5
Guida per l'amministratore di OfficeScan™ 11.0
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Impostazioni
Strumenti
VOCE DI MENU SECONDARIO
•
Agente
•
Impostazioni proxy
•
Impostazioni connessione
agente
•
Agenti inattivi
•
Gestore della quarantena
•
Licenza del prodotto
•
Impostazioni Control
Manager
•
Impostazioni della console
Web
•
Database Backup
•
Strumenti amministrativi
•
Strumenti agente
Voci menu per domini gestiti
Nella seguente tabella sono riportate le voci di menu per i domini gestiti.
TABELLA 13-6. Voce di menu Dashboard
VOCE DI MENU PRINCIPALE
Dashboard
Nota
Tutti gli utenti possono accedere a questa
pagina, indipendentemente
dall'autorizzazione.
13-6
VOCE DI MENU
N.D.
Gestione del server OfficeScan
TABELLA 13-7. Voci menu Valutazione
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Valutazione
Conformità sicurezza
Dispositivo non gestiti
VOCE DI MENU SECONDARIO
•
Segnalazione manuale
•
Segnalazione pianificata
N.D.
TABELLA 13-8. Voci menu Agenti
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Agenti
Firewall
Installazione agente
VOCE DI MENU SECONDARIO
•
Criteri
•
Profili
•
Basato su browser
•
Remota
TABELLA 13-9. Voci menu Registri
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Registri
Agenti
VOCE DI MENU SECONDARIO
•
Verifica connessione
•
Ripristino Files in
Quarantena
•
Ripristino spyware/grayware
TABELLA 13-10. Voci menu Aggiornamenti
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Aggiornamenti
VOCE DI MENU SECONDARIO
Riepilogo
N.D.
Agenti
Aggiornamento manuale
13-7
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 13-11. Voci menu Amministrazione
VOCE DI MENU DI
VOCE DI MENU
PRIMO LIVELLO
Amministrazion
e
Notifiche
VOCE DI MENU SECONDARIO
Amministratore
Ruoli utente integrati
OfficeScan comprende una serie di ruoli utente integrati che non possono essere
modificati o eliminati. I ruoli integrati sono riportati di seguito:
TABELLA 13-12. Ruoli utente integrati
NOME RUOLO
Amministratore
DESCRIZIONE
È possibile concedere questo ruolo agli utenti o amministratori di
OfficeScan che hanno una buona conoscenza di OfficeScan.
Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tutte
le voci di menu.
Nota
Solo gli utenti con il ruolo “Amministratore (integrato)”
hanno accesso alla voce di menu Plug-in.
Utente ospite
È possibile concedere questo ruolo agli utenti che desiderano
visualizzare la console Web per riferimento.
•
•
13-8
Gli utenti con questo ruolo non hanno accesso alle voci di
menu seguenti:
•
Plug-in
•
Amministrazione > Gestione account > Ruoli utente
•
Amministrazione > Gestione account > Account
utente
Gli utenti con accesso di visualizzazione a tutte le altre voci di
menu.
Gestione del server OfficeScan
NOME RUOLO
DESCRIZIONE
Utente esperto
Trend
Questo ruolo è disponibile solamente se si esegue
l'aggiornamento della versione da OfficeScan 10.
(ruolo solo
aggiornamento)
Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" in
OfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione
"Configura" per tutti i domini della struttura agente, ma non hanno
accesso alle nuove funzioni di questa versione.
Ruoli personalizzati
Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruoli
personalizzati.
Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzano
l'account principale (root) creato durante l'installazione di OfficeScan possono creare
ruoli utente personalizzati ed assegnare tali ruoli agli account utente.
Aggiunta di una regola personalizzata
Procedura
1.
Accedere a Amministrazione > Gestione account > Ruoli utente.
2.
Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruolo
esistente, selezionare il ruolo esistente e fare clic su Copia.
Viene visualizzata una nuova schermata.
3.
Immettere il nome del ruolo e, se lo si desidera, una descrizione.
4.
Fare clic su Voci menu per server/agenti e specificare l'autorizzazione per
ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,
vedere Voci di menu per server e agenti a pagina 13-4.
5.
Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione per
ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili,
vedere Voci menu per domini gestiti a pagina 13-6.
13-9
Guida per l'amministratore di OfficeScan™ 11.0
6.
Fare clic su Salva.
Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente.
Modifica di una regola personalizzata
Procedura
1.
Accedere a Amministrazione > Gestione account > Ruoli utente.
2.
Fare clic sul nome del ruolo.
Viene visualizzata una nuova schermata.
3.
4.
Modificare una delle voci riportate di seguito:
•
Descrizione
•
Autorizzazioni ruolo
•
Voci menu per server/agenti
•
Voci menu per domini gestiti
Fare clic su Salva.
Eliminazione di una regola personalizzata
Procedura
1.
Accedere a Amministrazione > Gestione account > Ruoli utente.
2.
Selezionare la casella di controllo accanto al ruolo.
3.
Fare clic su Elimina.
13-10
Gestione del server OfficeScan
Nota
Non è possibile eliminare un ruolo se è assegnato ad almeno un account utente.
Importazione o esportazione di regole personalizzate
Procedura
1.
Accedere a Amministrazione > Gestione account > Ruoli utente.
2.
Per esportare i ruoli personalizzati in un file .dat:
a.
Selezionare i ruoli e fare clic su Esporta.
b.
Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare il
file .dat per importare i ruoli personalizzati in quel server.
Nota
È possibile esportare i ruoli solo tra server con la stessa versione.
3.
4.
Per esportare i ruoli personalizzati in un file .csv:
a.
Selezionare i ruoli e fare clic su Esporta impostazioni ruolo.
b.
Salvare il file .csv. Utilizzare questo file per verificare le informazioni e le
autorizzazioni per i ruoli selezionati.
Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e si
desidera importarli nel server OfficeScan attuale, fare clic su Importa e individuare
il file .dat contenente i ruoli personalizzati.
•
Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa un
ruolo con lo stesso nome.
•
È possibile importare i ruoli solo tra server con la stessa versione.
•
Ruolo importato da un altro server OfficeScan:
•
Conserva le autorizzazioni per le voci di menu per server/agenti e le voci
di menu per i domini gestiti.
13-11
Guida per l'amministratore di OfficeScan™ 11.0
•
Applica le autorizzazioni predefinite per le voci di menu di gestione degli
agenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci di
menu di gestione dell'agente, quindi riapplicarle al ruolo che è stato
importato.
Account utente
Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruolo
utente determina le voci di menu della console Web che un utente può visualizzare o
configurare.
Durante l'installazione del server OfficeScan, il programma di installazione crea un
account integrato denominato "root" (account principale). Gli utenti che accedono
utilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non è
consentito eliminare l'account principale (root) ma è possibile modificare i dettagli
dell'account quali la password e il nome completo oppure la descrizione dell'account.
Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenza
tecnica per reimpostarla.
Aggiungere account personalizzati o account Active Directory. Tutti gli account utente
vengono visualizzati nell'elenco Account utente della console Web.
Assegnare le autorizzazioni agli account utenti per visualizzare o configurare per gli
agenti dati, operazioni e impostazioni dettagliate che sono disponibili nella struttura
agente. Per un elenco completo delle voci di menu della struttura agente disponibili,
vedere Voci menu Gestione agente a pagina 13-12.
Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On".
Il Single Sign-On consente agli utenti di accedere alla console Web OfficeScan dalla
console di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedura
riportata di seguito.
Voci menu Gestione agente
La seguente tabella elenca le voci di menu di Gestione agente:
13-12
Gestione del server OfficeScan
Nota
Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non
viene visualizzata alcuna voce di menu per Prevenzione perdita di dati.
TABELLA 13-13. Voci menu Gestione agente
VOCE DI MENU
MENU SECONDARI
PRINCIPALE
Stato
N.D.
Operazioni
•
Esegui scansione
•
Disinstallazione dell'agente
•
Ripristino Files in Quarantena
•
Ripristino spyware/grayware
13-13
Guida per l'amministratore di OfficeScan™ 11.0
VOCE DI MENU
MENU SECONDARI
PRINCIPALE
Impostazioni
13-14
•
Impostazioni di scansione
•
Metodi di scansione
•
Impostazioni scansione manuale
•
Impostazioni scansione in tempo reale
•
Impostazioni scansione pianificata
•
Impostazioni funzione Esegui scansione
•
Impostazioni di reputazione Web
•
Impostazioni connessione sospetta
•
Impostazione del monitoraggio del comportamento
•
Impostazioni di controllo dispositivo
•
Impostazioni DLP
•
Impostazioni Update Agent
•
Privilegi e altre impostazioni
•
Impostazioni aggiuntive del servizio
•
Elenco Approvati spyware/grayware
•
Esporta impostazioni
•
Importa impostazioni
Gestione del server OfficeScan
VOCE DI MENU
MENU SECONDARI
PRINCIPALE
Registri
Gestione struttura
agente
Esporta
•
Registri di virus/minacce informatiche
•
Registri di spyware/grayware
•
Registri del firewall
•
Registri di reputazione Web
•
Registri delle connessioni sospette
•
Registri di Monitoraggio del comportamento
•
Registri di controllo dispositivo
•
Registri di Prevenzione perdita di dati
•
Elimina registri
•
Aggiungi dominio
•
Rinomina dominio
•
Sposta agente
•
Rimuovi dominio/agente
Nessuna
Aggiunta di un account personalizzato
Procedura
1.
Accedere a Amministrazione > Gestione account > Account utente.
2.
Fare clic su Aggiungi.
Viene visualizzata la schermata Fase 1 Informazioni utente.
3.
Selezionare Attiva questo account.
4.
Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.
Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a
pagina 13-9.
13-15
Guida per l'amministratore di OfficeScan™ 11.0
5.
Digitare il nome utente, la descrizione, la password e la password di conferma.
6.
Digitare un indirizzo e-mail per l'account.
Nota
OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano il
destinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorse
digitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per la
sicurezza per gli amministratori a pagina 7-82.
7.
Fare clic su Avanti.
Viene visualizzata la schermata Fase 2 Controllo dominio agente.
8.
Definire l'ambito della struttura agente selezionando il dominio root oppure uno o
più domini nella struttura agente.
A questo punto sono stati definiti solo i domini. Il livello di accesso ai domini
selezionati viene definito nella Fase 10.
9.
Fare clic su Avanti.
Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.
10. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile. Per un elenco delle voci di menu
disponibili, vedere Voci menu Gestione agente a pagina 13-12.
L'ambito della struttura agente configurato nella fase 8 determina il livello di
autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione.
L'ambito della struttura agente può essere il dominio root (tutti gli agenti) oppure i
domini specifici della struttura agente.
TABELLA 13-14. Voci di menu gestione agente e ambito della struttura agente
CRITERI
Autorizzazione
per le voci di
menu
13-16
AMBITO DELLA STRUTTURA AGENTE
DOMINIO ROOT
DOMINI SPECIFICI
Configura, Visualizza o Nessun
accesso
Configura, Visualizza o Nessun
accesso
Gestione del server OfficeScan
CRITERI
Destinazione
AMBITO DELLA STRUTTURA AGENTE
DOMINIO ROOT
Dominio root (tutti gli agenti) o
domini specifici
È, ad esempio, possibile
concedere ad un ruolo
l'autorizzazione "Configura" per
la voce di menu "Operazioni"
della struttura agente. Se la
destinazione è il dominio root,
l'utente può avviare le
operazioni su tutti gli agenti. Se
le destinazioni sono i domini A
e B, le operazioni possono
essere avviate soltanto sugli
agenti dei domini A e B.
DOMINI SPECIFICI
Solo domini selezionati
È, ad esempio, possibile
concedere a un ruolo
l'autorizzazione "Configura" per
la voce di menu "Impostazioni"
della struttura agente. Ciò
significa che l'utente può
implementare le impostazioni,
ma solo verso gli agenti nei
domini selezionati.
La struttura agente verrà visualizzata solo se l'autorizzazione alla
voce di menu Gestione agente in "Voci menu per server/agenti" è
"Visualizza".
•
Se viene selezionata la casella di controllo in Configura, la casella di controllo
in Visualizza viene configurata automaticamente.
•
Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun
accesso".
•
Se si configurano autorizzazioni per un dominio specifico, è possibile copiare
le autorizzazioni su altri domini facendo clic su Copiare le impostazioni del
dominio selezionato negli altri domini.
11. Fare clic su Fine.
12. Inviare i dettagli dell'account all'utente.
Definizione delle autorizzazioni per i domini
Quando si definiscono le autorizzazioni per i domini, OfficeScan applica
automaticamente le autorizzazioni di un dominio principale a tutti i sottodomini che
13-17
Guida per l'amministratore di OfficeScan™ 11.0
gestisce. Un sottodominio non può avere meno autorizzazioni del suo dominio
principale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione per
visualizzare e configurare tutti gli agenti gestiti da OfficeScan (il dominio “Server
OfficeScan”), le autorizzazioni per i sottodomini devono consentire all'amministratore di
sistema di accedere a queste funzioni di configurazione. Se si rimuove un'autorizzazione
da un sottodominio, l'amministratore di sistema non avrà le autorizzazioni complete per
la configurazione di tutti gli agenti.
Per la procedura seguente, la struttura del dominio è come segue:
Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare e
configurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltanto
l'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire la
procedura seguente.
TABELLA 13-15. Autorizzazioni per l'account utente “Chris”
DOMINIO
AUTORIZZAZIONI DESIDERATE
Server OfficeScan
Nessuna autorizzazione particolare
Manager
Visualizza registri
Dipendenti
Visualizza e configura operazioni
Visualizza e configura registri
Visualizza impostazioni:
Vendite
13-18
Nessuna autorizzazione particolare
Gestione del server OfficeScan
Procedura
1.
Accedere alla schermata Account utente: Passaggio 3 Definire l'ambito della
struttura agente.
2.
Fare clic sul dominio “Server OfficeScan”.
3.
Deselezionare tutte le caselle di controllo Visualizza e Configura.
Nota
Il dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti i
relativi sottodomini nella schermata Account utente: Passaggio 2 Controllo
dominio agente
4.
Fare clic sul dominio “Vendite”.
5.
Deselezionare tutte le caselle di controllo Visualizza e Configura.
Nota
Il dominio “Vendite” viene visualizzato solo se viene selezionato nella schermata
Account utente: Passaggio 2 Controllo dominio agente
6.
Fare clic sul dominio “Manager”.
7.
Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controllo
Visualizza e Configura.
8.
Fare clic sul dominio “Dipendenti”.
9.
Selezionare una delle seguenti voci di menu per Chris:
•
Operazioni: visualizza e configura
•
Registri: visualizza e configura
•
Impostazioni: Visualizza
Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio
“Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”.
13-19
Guida per l'amministratore di OfficeScan™ 11.0
Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”,
OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio
“Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoi
sottodomini.
Modifica di un account personalizzato
Procedura
1.
Accedere a Amministrazione > Gestione account > Account utente.
2.
Fare sull'account dell'utente.
3.
Attivare o disattivare l'account utilizzando la relativa casella di controllo.
4.
Modificare gli elementi riportati di seguito:
•
Ruolo
•
Descrizione
•
Password
•
Indirizzo e-mail
5.
Fare clic su Avanti.
6.
Definire l'ambito della struttura agente.
7.
Fare clic su Avanti.
8.
Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile.
Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina
13-12.
9.
Fare clic su Fine.
10. Inviare i dettagli del nuovo account all'utente.
13-20
Gestione del server OfficeScan
Aggiunta di gruppi o account Active Directory
Procedura
1.
Accedere a Amministrazione > Gestione account > Account utente.
2.
Fare clic su Aggiungi.
Viene visualizzata la schermata Fase 1 Informazioni utente.
3.
Selezionare Attiva questo account.
4.
Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo.
Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a
pagina 13-9.
5.
Selezionare Utente o gruppo Active Directory.
6.
Cercare un account (nome utente o gruppo) specificando il nome utente e il
dominio di appartenenza.
Nota
Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly,
specificare il nome di account completo. OfficeScan non restituisce alcun risultato se
i nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti di
domini".
7.
Quando OfficeScan trova un account valido, il nome dell'account viene
visualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostare
l'account in Utenti e gruppi selezionati.
Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a un
gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno
due gruppi e i ruoli dei due gruppi sono diversi:
•
Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura
un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a
tale impostazione, viene applicata l'autorizzazione di livello più alto.
13-21
Guida per l'amministratore di OfficeScan™ 11.0
•
8.
Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad
esempio l'utente Mario Rossi accede con i ruoli seguenti: Amministratore,
Utente esperto".
Fare clic su Avanti.
Viene visualizzata la schermata Fase 2 Controllo dominio agente.
9.
Definire l'ambito della struttura agente.
10. Fare clic su Avanti.
Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente.
11. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione
per ciascuna voce di menu disponibile.
Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina
13-12.
12. Fare clic su Fine.
13. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome di
dominio e password.
Trend Micro Control Manager
Trend Micro Control Manager™ è una console di gestione centralizzata che consente di
gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di file
e di desktop aziendale. La console di gestione basata su Web di Control Manager
costituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete.
Control Manager consente agli amministratori di sistema di monitorare ed emettere
rapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus.
Gli amministratori di sistema possono scaricare e implementare i componenti attraverso
la rete e così essere sicuri di disporre di una protezione coerente e aggiornata. Control
Manager consente aggiornamenti manuali e pianificati e inoltre la possibilità di
configurare e amministrare i prodotti individualmente o a gruppi per una maggiore
flessibilità.
13-22
Gestione del server OfficeScan
Integrazione di Control Manager in questa versione di
OfficeScan
Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione di
OfficeScan per la gestione dei server OfficeScan da Control Manager.
•
Creare, gestire e implementare criteri Antivirus, di Prevenzione perdita di dati e
Controllo dispositivo per OfficeScan e assegnare i privilegi direttamente agli agenti
OfficeScan dalla console di Control Manager.
La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0.
TABELLA 13-16. Tipi di gestione dei criteri OfficeScan in Control Manager
TIPO DI CRITERIO
Impostazioni dell'agente e antivirus
OfficeScan
CARATTERISTICHE
•
Impostazioni aggiuntive del servizio
•
Impostazione del monitoraggio del
comportamento
•
Impostazioni di controllo dispositivo
•
Impostazioni scansione manuale
•
Privilegi e altre impostazioni
•
Impostazioni scansione in tempo
reale
•
Elenco Approvati spyware/grayware
•
Metodi di scansione
•
Impostazioni funzione Esegui
scansione
•
Impostazioni scansione pianificata
•
Impostazioni connessione sospetta
•
Impostazioni Update Agent
•
Impostazioni di reputazione Web
13-23
Guida per l'amministratore di OfficeScan™ 11.0
TIPO DI CRITERIO
CARATTERISTICHE
Protezione dati
Impostazioni dei criteri Prevenzione
perdita di dati
Nota
Gestione delle autorizzazioni di
Controllo dispositivo per la
Protezione dati nei criteri degli
agenti OfficeScan.
•
Replicare le impostazioni riportate di seguito da un server OfficeScan a un altro
utilizzando la console di Control Manager:
•
Tipi di identificatore di dati a pagina 10-5
•
Modelli di Prevenzione perdita di dati a pagina 10-20
Nota
Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata la
licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione della
licenza.
Versioni di Control Manager supportate
Questa versione di OfficeScan supporta le seguenti versioni di Control Manager.
TABELLA 13-17. Versioni di Control Manager supportate
VERSIONE DI CONTROL MANAGER
SERVER OFFICESCAN
6.0 SP1
6.0
5.5 SP1
Dual-stack
Sì
Sì
Sì
IPv4 puro
Sì
Sì
Sì
IPv6 puro
Sì
Sì
No
13-24
Gestione del server OfficeScan
Nota
Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1.
Per dettagli sugli indirizzi IP che il server OfficeScan e gli agenti OfficeScan segnalano a
Control Manager, vedere Schermate che visualizzano gli indirizzi IP a pagina A-7.
Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Manager
per consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix
più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Micro
all'indirizzo seguente:
http://downloadcenter.trendmicro.com/index.php?regs=it
Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurare
le impostazioni per OfficeScan nella console di gestione di Control Manager. Per
informazioni sulla gestione dei server OfficeScan, consultare la documentazione di Control
Manager.
Registrazione di OfficeScan al servizio Control Manager
Procedura
1.
Accedere a Amministrazione > Impostazioni > Control Manager.
2.
Specificare il nome di entità visualizzato, che corrisponde al nome del server
OfficeScan visualizzato in Control Manager.
Per impostazione predefinita il nome di entità visualizzato comprende il nome host
del computer server e il nome di questo prodotto (ad esempio, Server01_OSCE).
Nota
In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite Control
Manager vengono definiti "entità".
3.
Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numero
di porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi in
modo più sicuro con HTTPS.
13-25
Guida per l'amministratore di OfficeScan™ 11.0
•
Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager o
l'indirizzo IP (IPv4 o IPv6, se disponibile).
•
Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Manager
o l'indirizzo IPv4.
•
Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Manager
o l'indirizzo IPv6.
Nota
Solo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6.
4.
Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nome
utente e password.
5.
Se si utilizza un server proxy per collegarsi al server Control Manager, specificare le
seguenti impostazioni proxy:
•
Protocollo proxy
•
FQDN del server o porta e indirizzo IPv4/IPv6
•
ID utente e password per l'autenticazione del server proxy
6.
Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali o
bidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta.
7.
Per verificare che OfficeScan si colleghi al server Control Manager in base alle
impostazioni specificate, fare clic su Test di connessione.
Se il tentativo di connessione è riuscito, fare clic su Registra.
8.
Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzato
un messaggio che chiede all'utente di usare il server Control Manager come origini
aggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OK
per usare il server Control Manager come origine aggiornamenti di Integrated
Smart Protection Server o Annulla per continuare a usare l'origine aggiornamenti
corrente (per impostazione predefinita, il server ActiveUpdate).
9.
Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clic
su Impostazioni di aggiornamento dopo aver modificato le impostazioni per
notificare le modifiche al server Control Manager.
13-26
Gestione del server OfficeScan
10. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clic
su Annulla registrazione.
Verifica dello stato di OfficeScan nella console di
gestione Control Manager
Procedura
1.
Aprire la console di gestione Control Manager.
Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire un
browser Web e immettere:
https://<nome server Control Manager>/Webapp/login.aspx
dove <nome server Control Manager> è l'indirizzo IP o il nome host del
server Control Manager
2.
Nel menu principale fare clic su Directory > Prodotti.
3.
Controllare che venga visualizzata l'icona del server OfficeScan.
Strumento di esportazione dei criteri
Lo Strumento di esportazione dei criteri del server OfficeScan di Trend Micro consente
agli amministratori di esportare le impostazioni dei criteri OfficeScan supportati da
Control Manager 6.0 o versioni successive. Gli amministratori inoltre si servono dello
strumento di importazione di Control Manager per importare i criteri. Lo strumento di
esportazione dei criteri supporta OfficeScan 10.6 Service Pack 1 e versioni successive.
•
Impostazioni scansione in tempo reale
•
Impostazione del monitoraggio del
comportamento
•
Impostazioni scansione pianificata
•
Impostazioni di controllo dispositivo
•
Impostazioni scansione manuale
•
Impostazioni di Prevenzione perdita di
dati
13-27
Guida per l'amministratore di OfficeScan™ 11.0
•
Impostazioni funzione Esegui
scansione
•
Privilegi e altre impostazioni
•
Impostazioni Update Agent
•
Impostazioni aggiuntive del servizio
•
Impostazioni di reputazione Web
•
Elenco approvati spyware/grayware
•
Impostazioni connessione sospetta
•
Metodo di scansione
Utilizzo dello strumento di esportazione dei criteri
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\PolicyExportTool.
2.
Fare doppio clic su PolicyExportTool.exe per avviare lo Strumento di
esportazione dei criteri.
Viene aperta una schermata CLI (Command Line Interface, interfaccia della linea di
comando) e lo Strumento di esportazione dei criteri avvia l'esportazione delle
impostazioni. Lo strumento crea due cartelle (PolicyClient e PolicyDLP)
nella cartella PolicyExportTool che contiene le impostazioni esportate.
3.
Copiare le due cartelle nella cartella di installazione di Control Manager.
4.
Eseguire lo Strumento di importazione dei criteri nel server Control Manager.
Per ulteriori informazioni riguardanti lo Strumento di importazione dei criteri,
vedere il Readme dello Strumento di importazione dei criteri.
Nota
Lo Strumento di esportazione dei criteri non esporta gli identificatori di dati o i
modelli DLP personalizzati. Gli amministratori che necessitano di esportare gli
identificatori di dati personalizzati e dei modelli DLP possono eseguire l'esportazione
manuale dalla console OfficeScan, quindi importare manualmente il file utilizzando la
console Control Manager.
13-28
Gestione del server OfficeScan
Server di riferimento
Uno dei modi con cui l'agente OfficeScan determina quale criterio o profilo utilizzare
consiste nella verifica dello stato della connessione con il server OfficeScan. Se un
agente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersi con
il server, lo stato dell'agente diventa offline. L'agente quindi applica un criterio o un
profilo destinato agli agenti esterni. I server di riferimento risolvono questo problema.
Un agente OfficeScan che perde la connessione con il server OfficeScan proverà a
collegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con un
server di riferimento, applica il profilo o il criterio per gli agenti interni.
Criteri e profili gestiti dai server di riferimento includono:
•
Profili firewall
•
Criteri di reputazione Web
•
Criteri di protezione dati
•
Criteri di controllo dispositivo
È necessario ricordare quanto segue:
•
Assegnare come server di riferimento computer con funzionalità server, come un
server Web, un server SQL o un server FTP. È possibile specificare un massimo di
32 server di riferimento.
•
Gli agenti OfficeScan si collegano al primo server dell'elenco dei server di
riferimento. Se il collegamento non riesce, l'agente prova a collegarsi al server
successivo dell'elenco.
•
Gli agenti OfficeScan utilizzano i server di riferimento per determinare le
impostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio del
comportamento, Controllo dispositivo, profili di firewall, criterio di reputazione
Web). I server di riferimento non gestiscono gli agenti né implementano
aggiornamenti e impostazioni agenti. Il server OfficeScan esegue queste operazioni.
•
Un agente OfficeScan non è in grado di inviare registri ai server di riferimento o
utilizzare i server come origini aggiornamenti
13-29
Guida per l'amministratore di OfficeScan™ 11.0
Gestione dell'elenco server di riferimento
Procedura
1.
Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo.
2.
In base alla schermata visualizzata, attenersi alle seguenti istruzioni.
•
Sulla schermata Profili firewall per agenti, fare clic su Modifica elenco
server di riferimento.
•
Sulla schermata Posizione dispositivo, fare clic su Elenco server di
riferimento.
3.
Selezionare Attiva l'elenco server di riferimento.
4.
Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi.
a.
b.
Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully Qualified
Domain Name) dell'dispositivo, ad esempio:
•
computer.nomerete
•
12.10.10.10
•
ilmiocomputer.dominio.com
Inserire la porta attraverso la quale gli agenti comunicano con l'dispositivo.
Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul server
di riferimento.
Nota
Per specificare un altro numero di porta per lo stesso server di riferimento,
ripetere i passaggi 2a e 2b. L'agente OfficeScan utilizza il primo numero di porta
dell'elenco e, se la connessione non riesce, passa al numero di porta successivo.
c.
5.
13-30
Fare clic su Salva.
Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nome
dell'dispositivo. Modificare il nome o la porta dell'dispositivo e fare clic su Salva.
Gestione del server OfficeScan
6.
Per rimuovere un dispositivo dall'elenco, selezionare la casella di controllo accanto
al nome dell'dispositivo e fare clic su Elimina.
7.
Per consentire agli dispositivo di agire come server di riferimento, fare clic su
Assegna agli agenti.
Impostazioni notifica amministratore
Configurare le impostazioni di notifica per l'amministratore per consentire a OfficeScan
di inviare notifiche mediante messaggio e-mail e trap SNMP. OfficeScan è anche in
grado di inviare notifiche tramite il registro eventi di Windows NT, ma per questo canale
di notifica non sono configurate impostazioni.
OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quando
rileva:
TABELLA 13-18. Rilevamenti che determinano l'invio di notifiche all'amministratore
CANALI DI NOTIFICA
RILEVAMENTI
E-MAIL
TRAP SNMP
REGISTRI EVENTI DI
WINDOWS NT
Virus e minacce
informatiche
Sì
Sì
Sì
Spyware e grayware
Sì
Sì
Sì
Trasmissioni di risorse
digitali
Sì
Sì
Sì
Callback C&C
Sì
Sì
Sì
Infezioni da spyware e
minacce informatiche
Sì
Sì
Sì
Infezioni da spyware e
grayware
Sì
Sì
Sì
Infezioni da violazione del
firewall
Sì
No
No
13-31
Guida per l'amministratore di OfficeScan™ 11.0
CANALI DI NOTIFICA
RILEVAMENTI
Infezioni delle sessioni di
condivisione delle cartelle
E-MAIL
Sì
TRAP SNMP
No
REGISTRI EVENTI DI
WINDOWS NT
No
Configurazione delle impostazioni di notifica generali
Procedura
1.
Accedere a Amministrazione > Notifiche > Impostazioni generali.
2.
Configurare le impostazioni di notifica e-mail
a.
Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campo Server
SMTP.
b.
Specificare un numero di porta compreso tra 1 e 65535.
c.
Specificare un nome o un indirizzo e-mail.
Se si desidera attivare l'ESMTP nel passaggio successivo, specificare un
indirizzo e-mail valido.
13-32
d.
Facoltativamente, attivare ESMTP.
e.
Specificare il nome utente e la password per l'indirizzo e-mail specificato nel
campo Da.
f.
Scegliere un metodo per autenticare l'agente sul server:
•
Accesso: la funzione di accesso è una vecchia versione di Mail User
Agent. Il server e l'agente usano entrambi BASE64 per l'autenticazione
del nome utente e della password.
•
Testo semplice: il testo semplice è il più facile, ma anche il meno sicuro
perché il nome utente e la password vengono inviati come una stringa e
codificati come BASE64 prima di essere inviati tramite Internet.
Gestione del server OfficeScan
•
3.
4.
CRAM-MD5: CRAM-MD5 utilizza una combinazione di un
meccanismo di autenticazione con risposta e di un algoritmo Message
Digest 5 crittografato per scambiare e autenticare le informazioni.
Configurare le impostazioni di notifica mediante trap SNMP.
a.
Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campo
Indirizzo IP del server.
b.
Specificare un nome community difficile da indovinare.
Fare clic su Salva.
Registri eventi di sistema
OfficeScan trascrive nei registri gli eventi correlati al programma server, come ad
esempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i servizi
OfficeScan funzionino correttamente.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri degli eventi di sistema
Procedura
1.
Accedere a Registri > Eventi di sistema.
2.
Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScan
registra i seguenti eventi:
13-33
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 13-19. Registri eventi di sistema
TIPO DI REGISTRO
Servizio principale
OfficeScan e server
database
Prevenzione delle
infezioni virali
Database backup
Accesso alla console
Web basato sui ruoli
Autenticazione del
server
3.
EVENTI
•
Servizio principale avviato
•
Servizio principale interrotto correttamente
•
Servizio principale interrotto correttamente
•
Prevenzione delle infezioni attivata
•
Prevenzione delle infezioni disattivata
•
Numero di sessioni di cartelle condivise negli ultimi
<numero di minuti>
•
Backup del database riuscito
•
Backup del database non riuscito
•
Accesso alla console Web
•
Modifica della password
•
Disconnessione dalla console
•
Timeout di sessione (utente automaticamente
disconnesso)
•
L'agente OfficeScan ha ricevuto comandi non validi
dal server
•
Certificato di autenticazione non valido o scaduto
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Gestione dei registri
OfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per la
sicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare i
criteri di protezione della propria organizzazione e di identificare gli agenti OfficeScan
esposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di
13-34
Gestione del server OfficeScan
controllare la connessione agente-server e di verificare che gli aggiornamenti dei
componenti siano stati completati.
OfficeScan inoltre utilizza un meccanismo centralizzato di verifica dell'orario per
garantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previene
le incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale che
possono generare confusione nell'analisi dei registri.
Nota
OfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degli
aggiornamenti del server e degli eventi di sistema.
Il server OfficeScan riceve i seguenti registri dagli agenti OfficeScan:
•
Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91
•
Visualizzazione dei registri di spyware/grayware a pagina 7-99
•
Visualizzazione dei registri delle connessioni sospette a pagina 11-26
•
Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-103
•
Visualizzazione dei registri firewall a pagina 12-30
•
Visualizzazione dei registri di reputazione Web a pagina 11-24
•
Visualizzazione dei registri dei callback C&C a pagina 11-25
•
Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14
•
Visualizzazione dei registri di controllo dispositivo a pagina 9-19
•
Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54
•
Visualizzazione dei registri dei aggiornamento dell'agente OfficeScan a pagina 6-55
•
Visualizzazione dei registri di verifica connessione a pagina 14-45
Il server OfficeScan genera i seguenti registri:
•
Registri di aggiornamento del server OfficeScan a pagina 6-29
•
Registri eventi di sistema a pagina 13-33
13-35
Guida per l'amministratore di OfficeScan™ 11.0
I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli agenti
OfficeScan:
•
Registri eventi di Windows a pagina 16-23
•
Registri del server OfficeScan a pagina 16-3
•
Registri dell'agente OfficeScan a pagina 16-15
Manutenzione registri
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli
dalla console Web.
Eliminazione dei registri in base alla pianificazione
Procedura
1.
Accedere a Registri > Manutenzione registri.
2.
Selezionare Attiva eliminazione pianificata dei registri.
3.
Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, ad
eccezione dei registri di debug, possono essere eliminati in base ad una
pianificazione. Per i registri di debug, disattivare la registrazione di debug per
interrompere la raccolta dei registri.
Nota
Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da
alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e
grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori
informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.
4.
Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli
precedenti a un certo numero di giorni.
5.
Specificare la frequenza e l'ora di eliminazione dei registri.
13-36
Gestione del server OfficeScan
6.
Fare clic su Salva.
Eliminazione manuale dei registri
Procedura
1.
Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione
agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Eseguire una delle operazioni riportate di seguito.
4.
) per includere
•
Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic su
Elimina registri .
•
Se si accede alla schermata Gestione agente, fare clic Registri > Elimina
registri.
Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo i
seguenti registri:
•
Registri di virus/minacce informatiche
•
Registri di spyware/grayware
•
Registri del firewall
•
Registri di reputazione Web
•
Registri delle connessioni sospette
•
Registri dei callback C&C
•
Registri di Monitoraggio del comportamento
•
Registri di controllo dispositivo
•
Registri di Prevenzione perdita di dati
13-37
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da
alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e
grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori
informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15.
5.
Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli
precedenti a un certo numero di giorni.
6.
Fare clic su Elimina.
Licenze
Tramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenza
OfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte del
servizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni.
Nota
Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto Virtual
Desktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate e
gestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza di
Protezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 14-78.
Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazione
online Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScan
di connettersi al server per la registrazione, è necessario un server proxy dual-stack in grado
di convertire gli indirizzi IP, come ad esempio DeleGate.
Visualizzazione delle informazioni sulla Licenza del
prodotto
Procedura
1.
13-38
Accedere a Amministrazione > Impostazioni > Licenza del prodotto.
Gestione del server OfficeScan
2.
Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore della
schermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze:
TABELLA 13-20. Promemoria per le licenze
TIPO DI LICENZA
Versione
completa
Versione di prova
3.
PROMEMORIA
•
Durante il periodo di proroga per il prodotto. La durata del
periodo di proroga varia a seconda dell'area geografica.
Verificare il periodo di proroga con il rappresentante Trend
Micro.
•
Alla scadenza della licenza e al termine del periodo di
proroga. In questo periodo non sarà possibile ottenere
l'assistenza tecnica o effettuare l'aggiornamento dei
componenti. I motori di scansione continueranno a
effettuare l'analisi dei computer, ma con componenti non
aggiornati. Tali componenti obsoleti potrebbero non
proteggere in maniera completa dai più recenti rischi per
la sicurezza.
Alla scadenza della licenza. In questo periodo OfficeScan
disattiva l'aggiornamento dei componenti, la scansione e tutte
le funzionalità dell'agente OfficeScan.
Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenza
contiene le seguenti informazioni:
•
Servizi: comprende tutti i servizi di licenza OfficeScan
•
Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periodo
di proroga". Se un servizio prevede diverse licenze e almeno una di queste è
ancora attiva, lo stato di tale servizio sarà "Attivato".
•
Versione: Indica se la versione è "Completa" o se si tratta di una "Versione di
prova". Se si dispone sia della versione completa sia della versione di prova, la
versione indicata sarà "Completa".
•
Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzata
l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007
e 30/06/2008, verrà visualizzata la data 30/06/2008.
13-39
Guida per l'amministratore di OfficeScan™ 11.0
Nota
Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà
"N.D.".
4.
OfficeScan consente di attivare diverse licenze per un servizio di licenza. Per
visualizzare tutte le licenze relative a un servizio (sia quelle attive che quelle
scadute), fare clic sul nome del servizio stesso.
Attivazione o rinnovo della licenza
Procedura
1.
Accedere a Amministrazione > Impostazioni > Licenza del prodotto.
2.
Fare clic sul nome del servizio di licenza.
3.
Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic su
Nuovo codice di attivazione.
4.
Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su
Salva.
Nota
Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sulla
chiave di registrazione e sul codice di attivazione, contattare un rappresentante Trend
Micro.
5.
13-40
Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiorna
informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il
nuovo stato del servizio. Questa schermata contiene anche un collegamento al sito
Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla
propria licenza.
Gestione del server OfficeScan
OfficeScan Database Backup
Il database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese le
impostazioni e i privilegi di scansione. Qualora il database del server dovesse subire un
danno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manuale
del database in qualsiasi momento oppure configurare una pianificazione per il backup.
Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alla
deframmentazione del database e ripara eventuali danni al file dell'indice.
Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Per
ulteriori informazioni, consultare Registri eventi di sistema a pagina 13-33.
Suggerimento
Trend Micro consiglia di configurare una pianificazione per il backup automatico. Si
consiglia di effettuare il backup del database durante ore non di punta quando il traffico del
server è ridotto.
AVVERTENZA!
Non eseguire il backup con altri strumenti o software. Configurare il backup del database
solo dalla console Web OfficeScan.
Backup del database di OfficeScan
Procedura
1.
Accedere a Amministrazione > Impostazioni > Database Backup.
2.
Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste,
selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completo
della directory, ad esempio C:\OfficeScan\DatabaseBackup.
Per impostazione predefinita, OfficeScan salva la copia di backup nella seguente
directory: <Cartella di installazione del server>\DBBackup
13-41
Guida per l'amministratore di OfficeScan™ 11.0
Nota
OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartella
indica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS.
OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente le
cartelle precedenti.
3.
Se il percorso di backup è su un computer remoto (con un percorso UNC), inserire
un nome account adeguato e la password corrispondente. Accertarsi che l'account
disponga dei privilegi di scrittura sul computer.
4.
Per configurare una pianificazione per il backup:
a.
Selezionare Attiva pianificazione di Database Backup.
b.
Specificare la frequenza e l'orario del backup.
c.
Per eseguire il backup del database e salvare le modifiche apportate, fare clic
su Esegui backup. Per salvare soltanto senza eseguire il backup del database,
fare clic su Salva.
Ripristino dei file di backup database
Procedura
1.
2.
Interrompere il servizio principale OfficeScan.
Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV
\HTTPDB con i file di backup.
3.
Riavviare il servizio principale OfficeScan.
Strumento di migrazione SQL Server
Gli amministratori possono eseguire la migrazione del database OfficeScan esistente
dallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento di
13-42
Gestione del server OfficeScan
migrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta le
seguenti migrazioni di database:
•
Database OfficeScan CodeBase al nuovo database SQL Server Express
•
Database OfficeScan CodeBase al database SQL Server preesistente
•
Database OfficeScan SQL (precedentemente migrato) che è stato spostato in
un'altra posizione
Utilizzo dello strumento di migrazione SQL Server
Lo Strumento di migrazione SQL Server esegue la migrazione del database CodeBase
esistente al database SQL utilizzando SQL Server 2008 R2 SP2 Express.
Suggerimento
Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server il
database SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo lo
Strumento di migrazione SQL Server e selezionare Passare a un database OfficeScan
SQL esistente per usare l'altro SQL Server.
Importante
Prima di eseguire lo Strumento di migrazione SQL Server su Windows Server 2008 o
versioni successive con le credenziali di autenticazione Windows dell'utente del dominio:
•
Controllo dell'accesso degli utenti deve essere attivato
•
Non è possibile eseguire il Servizio principale OfficeScan utilizzando l'account utente
del dominio utilizzato per accedere a SQL Server
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\SQL.
2.
Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.
La console di Strumento di migrazione del server SLQ viene aperta.
13-43
Guida per l'amministratore di OfficeScan™ 11.0
3.
Scegliere il tipo di migrazione:
OPZIONE
Installare un nuovo SQL
Server 2008 R2 SP2
Express ed eseguire la
migrazione del database
OfficeScan
DESCRIZIONE
Installa automaticamente SQL Server 2008 R2 SP2
Express ed esegue la migrazione del database
OfficeScan esistente su un nuovo database SQL
Nota
OfficeScan assegna automaticamente la porta 1433 a
SQL Server.
4.
Eseguire la migrazione
del database OfficeScan
su un SQL Server
esistente
Esegue la migrazione del database OfficeScan
esistente su un nuovo database SQL, su un SQL
Server esistente
Passare a un database
OfficeScan SQL
esistente
Modifica le impostazioni di configurazione OfficeScan
per selezionare un database SQL OfficeScan esistente
su un SQL Server esistente
Specificare il nome server nel modo seguente:
•
Per le nuove installazioni SQL: <nome host o indirizzo IP di SQL Server>
\<nome istanza>
•
Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQL
Server>,<numero_porta>\<nome istanza>
•
Quando si passa a un database OfficeScan SQL esistente: <nome host o
indirizzo IP di SQL Server>,<numero_porta>\<nome istanza>
Importante
OfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQL
Server si installa. Quando viene effettuata la migrazione verso un database o un SQL
Server esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan su
SQL Server.
5.
13-44
Fornire le credenziali di autenticazione per il database SQL Server.
Gestione del server OfficeScan
Importante
Quando si usa l'Account Windows per accedere al server:
•
•
6.
Per un account di amministratore di dominio predefinito:
•
Formato nome utente: nome_dominio\amministratore
•
I requisiti per l'account sono i seguenti:
•
Gruppi: “gruppo di amministratori”
•
Ruoli utente: “Accedi come servizio” e “Accedi come processo
batch”
•
Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”
Per un account utente di dominio:
•
Formato nome utente: nome_dominio\nome_utente
•
I requisiti per l'account sono i seguenti:
•
Gruppi: “gruppo di amministratori” e “amministratori di dominio”
•
Ruoli utente: “Accedi come servizio” e “Accedi come processo
batch”
•
Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner”
Per le installazioni SQL Server nuove, digitare una nuova password e confermare.
Nota
Le password devono soddisfare i requisiti minimi di complessità elencati di seguito:
7.
a.
Lunghezza minima: 6 caratteri
b.
Devono contenere almeno 3 dei seguenti elementi:
•
Lettere maiuscole: A - Z
•
Lettere minuscole: a - z
•
Numeri: 0 - 9
•
Caratteri speciali: !@#$^*?_~-();.+:
Specificare il Nome database OfficeScan su SQL Server.
13-45
Guida per l'amministratore di OfficeScan™ 11.0
Quando viene effettuata la migrazione del database CodeBase OfficeScan verso un
nuovo database SQL, OfficeScan crea automaticamente il nuovo database, con il
nome.
8.
9.
Eseguire, facoltativamente, le operazioni riportate di seguito:
•
Fare clic su Test di connessione per verificare le credenziali di
autenticazione per l'SQL Server o il database esistente.
•
Fare clic su Avviso non disponibile database SQL… per configurare le
impostazioni di notifica del database SQL. Per i dettagli, consultare
Configurazione di Avviso non disponibile database SQL a pagina 13-46.
Per applicare le modifiche della configurazione, fare clic su Avvia.
Configurazione di Avviso non disponibile database SQL
OfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventa
non disponibile.
AVVERTENZA!
OfficeScan interrompe automaticamente tutti i servizi quando il database diventa non
disponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, a
eseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile.
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\SQL.
2.
Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe.
La console di Strumento di migrazione del server SLQ viene aperta.
3.
Fare clic su Avviso non disponibile database SQL….
La schermata di Avviso non disponibile per SQL Server viene aperta.
4.
13-46
Digitare gli indirizzi e-mail dei destinatari dell'avviso.
Gestione del server OfficeScan
Separare le diverse voci con un punto e virgola (;).
5.
Modificare Oggetto e Messaggio in base alle esigenze.
OfficeScan offre le seguenti variabili token:
TABELLA 13-21. Token di Avviso non disponibile database SQL
VARIAB
DESCRIZIONE
ILE
6.
%x
Il nome dell'istanza SQL Server OfficeScan
%s
Il nome del server OfficeScan infetto
Fare clic su OK.
Impostazioni connessione agente/server Web
OfficeScan
Nel corso dell'installazione del server OfficeScan, il programma di installazione imposta
automaticamente un server Web (server IIS o Apache Web) che consente ai computer
della rete di collegarsi al server OfficeScan. Configurare il server Web a cui si
collegheranno gli agenti dispositivo collegati in rete.
Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla console
di gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modifica
manualmente l'indirizzo IP del server per i computer in rete o se si assegna al server un
indirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative al
server.
AVVERTENZA!
La modifica delle impostazioni di connessione può determinare la perdita permanente della
connessione tra il server e gli agenti e rende necessaria una nuova implementazione degli
agenti OfficeScan.
13-47
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle impostazioni di connessione
Procedura
1.
Accedere a Amministrazione > Impostazioni > Connessione agente.
2.
Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta del
server Web.
Nota
Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza per
comunicare con gli agenti OfficeScan.
3.
Fare clic su Salva.
Password della console Web
La schermata per la gestione della password della console Web (o la password per
l'account principale (root) creato durante l'installazione del server OfficeScan) è
disponibile solo se il computer server non dispone delle risorse necessarie per utilizzare
l'RBA (Role-based Administration). Ad esempio se sul computer server è installato
Windows Server 2003 e Authorization Manager Runtime non è installato, la schermata
non è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata e
la password può essere gestita modificando l'account principale (root) nella schermata
Account utente.
Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica per
ottenere istruzioni su come accedere alla console Web.
Autenticazione delle comunicazioni avviate dal
server
OfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che il
server OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il server
13-48
Gestione del server OfficeScan
detiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agenti
usano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dal
server e siano valide. Gli agenti rispondono se la verifica è corretta.
Nota
OfficeScan non autentica le comunicazioni che gli agenti avviano nel server.
Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durante
l'installazione del server OfficeScan, il programma di installazione ripristina il certificato
nell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication Certificate
Manager per gestire le chiavi e i certificati Trend Micro.
Quando si decide di usare una singola chiave di autenticazione per tutti i server
OfficeScan, tenere presente quanto segue:
•
L'implementazione di un singolo certificato è una prassi comune per tutti i livelli di
sicurezza standard. Questo approccio compensa il livello di sicurezza di
un'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi.
•
L'implementazione di più certificati sui server OfficeScan fornisce il livello di
sicurezza massimo. Questo approccio aumenta la gestione necessaria quando le
chiavi dei certificati scadono e devono essere ridistribuite sui server.
Importante
Prima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per il
certificato esistente. Una volta completata la nuova installazione, importare la copia del
certificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan e
gli agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificato durante
l'installazione del server, gli agenti OfficeScan non riescono ad autenticare le comunicazioni
del server perché utilizzano ancora il vecchio certificato, che non esiste più.
Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione e
dell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina
13-50.
13-49
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione dell'autenticazione delle comunicazioni
avviate dal server
Procedura
1.
2.
Sul server OfficeScan, accedere a <Cartella_installazione_server
\PCCSRV e aprire ofcscan.ini con un editor di testo.
Aggiungere o modificare la stringa di testo SGNF nella sezione [Global
Settings].
Per attivare l'autenticazione: SGNF=1
Per disattivare l'autenticazione: SGNF=0
Nota
OfficeScan attivare l'autenticazione per impostazione predefinita. Aggiungere la
chiave SGNF al file ofcscan.ini solo se si desidera disattivare questa funzione.
3.
Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clic
su Salva per implementare le impostazioni su tutti gli agenti.
Uso di Authentication Certificate Manager
Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubbliche
scadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per un
periodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agenti
eseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificato
scaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il server
quindi implementa la chiave pubblica più recente sugli agenti.
Quando vengono configurati i certificati, ricordare quanto segue:
•
Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate.
•
Scegliere una password complessa e registrarla per riferimenti futuri.
13-50
Gestione del server OfficeScan
Importante
Quando si usa lo strumento Authentication Certificate Manager, sono necessari i seguenti
requisiti:
•
L'utente deve avere i privilegi di amministratore
•
Lo strumento è in grado di gestire solo i certificati che si trovano sull'dispositivo locale
Procedura
1.
Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in
<Cartella di installazione del server>\PCCSRV\Admin\Utility
\CertificateManager.
2.
Eseguire uno dei seguenti comandi:
COMANDO
ESEMPIO
DESCRIZIONE
CertificateMana
ger.exe -c
[Password_Backu
p]
CertificateMana
ger.exe -c
strongpassword
Genera un nuovo certificato Trend Micro
e sostituisce il certificato esistente
CertificateMana
ger.exe -b
[Password]
[Percorso
certificato]
CertificateMana
ger.exe -b
strongpassword
D:\Test
\TrendMicro.zip
Nota
Il certificato
è in formato
ZIP.
Effettuare questa operazione se il
certificato esistente è scaduto o se è
passato a parti non autorizzate.
Esegue il backup di tutti i certificati
Trend Micro emessi dal server
OfficeScan corrente
Effettuare il backup per ripristinare il
certificato su un server OfficeScan.
Nota
Effettuando il backup dei certificati
del server OfficeScan consente di
usarli se è necessario reinstallare
il server OfficeScan.
13-51
Guida per l'amministratore di OfficeScan™ 11.0
COMANDO
ESEMPIO
DESCRIZIONE
CertificateMana
ger.exe -r
[Password]
[Percorso
certificato]
CertificateMana
ger.exe -r
strongpassword
D:\Test
\TrendMicro.zip
Ripristina tutti i certificati Trend Micro sul
server
CertificateMana
ger.exe -e
<Cartella_insta
llazione_agente
>\OfcNTCer.dat
Esporta la chiave pubblica associata
all'agente OfficeScan attualmente
utilizzato
Effettuare tale operazione per
ripristinare il certificato su un server
OfficeScan reinstallato.
Nota
Il certificato
è in formato
ZIP.
CertificateMana
ger.exe -e
[Percorso
certificato]
Effettuare tale operazione se la chiave
pubblica utilizzata dagli agenti viene
danneggiata. Copiare il file .dat nella
cartella principale dell'agente,
sovrascrivendo il file esistente.
Importante
Il percorso del file del certificato
nell'agente OfficeScan deve
essere:
<Cartella_installazione_agen
te>\OfcNTCer.dat
13-52
Gestione del server OfficeScan
COMANDO
ESEMPIO
DESCRIZIONE
CertificateMana
ger.exe -i
[Password]
[Percorso
certificato]
CertificateMana
ger.exe -i
strongpassword
D:\Test
\OfcNTCer.pfx
Importa un certificato Trend Micro
nell'archivio dei certificati
CertificateMana
ger.exe -l D:
\Test
\MismatchedAgen
tList.csv
Elenca gli agenti (in formato CSV) che
stanno usando un certificato non
corrispondente
Nota
Il nome
predefinito
del file del
certificato è:
OfcNTCer.p
fx
CertificateMana
ger.exe -l
[Percorso CSV]
Impostazioni della console Web
Utilizzare la schermata Impostazioni della console Web per effettuare le operazioni
riportate di seguito:
•
Configurare il server OfficeScan per l'aggiornamento periodico della dashboard
Riepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30
secondi. Il numero di secondi deve essere compreso tra 10 e 300.
•
Specificare le impostazioni di timeout della console Web. Per impostazione
predefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30
minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e
60.
13-53
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle impostazioni della console Web
Procedura
1.
Accedere a Amministrazione > Impostazioni > Console Web.
2.
Selezionare Attiva aggiornamento automatico e selezionare l'intervallo di
aggiornamento.
3.
Selezionare Attiva disconnessione automatica dalla console Web e selezionare
l'intervallo di timeout.
4.
Fare clic su Salva.
Gestore della quarantena
Quando l'agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è la
messa in quarantena, il file infetto viene crittografato, spostato nella cartella di
quarantena locale in <Cartella di installazione dell'agente>\SUSPECT.
Dopo aver spostato il file nella directory di quarantena locale, l'agente OfficeScan lo
invia alla directory di quarantena designata. Specificare la directory in Agenti >
Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > Azione. I
file nella directory di quarantena vengono crittografati per evitare che infettino altri file.
Per ulteriori informazioni, consultare Directory di quarantena a pagina 7-41.
Se la directory di quarantena designata si trova nel computer server OfficeScan,
modificare le impostazioni della directory di quarantena dalla console Web. Il server
memorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV
\Virus.
Nota
Se per qualche motivo (come ad esempio un problema di connessione), l'agente OfficeScan
non è in grado di inviare il file crittografato al server OfficeScan, il file crittografato rimane
nella cartella di quarantena dell'agente OfficeScan. L'agente OfficeScan tenta un nuovo
invio del file al successivo collegamento al server OfficeScan.
13-54
Gestione del server OfficeScan
Configurazione delle impostazioni della directory di
quarantena
Procedura
1.
Accedere a Amministrazione > Impostazioni > Gestore della quarantena.
2.
Accettare o modificare la capacità predefinita della cartella di quarantena e le
dimensioni massime di un file infetto che OfficeScan è in grado di mettere in
quarantena.
In questa schermata vengono visualizzati i valori predefiniti.
3.
Fare clic su Salva impostazioni di quarantena.
4.
Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Elimina
tutti i file in quarantena.
Server Tuner
Server Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando dei
parametri per le seguenti problematiche prestazionali relative al server:
•
Download
Quando il numero di agenti OfficeScan (compresi gli Update Agent) che
richiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sul
server, il server sposta la richiesta di aggiornamento degli agenti in una coda ed
elabora le richieste quando le risorse diventano disponibili. Dopo il corretto
aggiornamento dei componenti dal server OfficeScan, l'agente notifica al server il
completamento dell'aggiornamento. Impostare il numero massimo di minuti per i
quali il server OfficeScan deve attendere la notifica di aggiornamento dall'agente.
Impostare anche il numero massimo di tentativi che il server deve effettuare per
richiedere all'agente di eseguire un aggiornamento e di applicare le nuove
impostazioni di configurazione. Il server effettua nuovi tentativi soltanto se non
riceve notifiche dall'agente.
•
Buffer
13-55
Guida per l'amministratore di OfficeScan™ 11.0
Quando il server OfficeScan riceve più richieste dall'agente OfficeScan come, ad
esempio, la richiesta di eseguire un aggiornamento, il server elabora il numero
massimo di richieste possibili, spostando le richieste restanti in un buffer. Il server
elabora quindi le richieste salvate nel buffer una per volta, man mano che si
rendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, ad
esempio, le richieste di aggiornamento degli agenti, e per i report dei registri degli
agenti.
•
Traffico di rete
La quantità di traffico della rete varia nel corso della giornata. Per controllare il
flusso del traffico di rete verso il server OfficeScan e verso altre origini
aggiornamenti, specificare il numero di agenti OfficeScan che possono essere
aggiornati contemporaneamente in un determinato orario.
Server Tuner richiede il seguente file: SvrTune.exe
Esecuzione di Server Tuner
Procedura
1.
Nel computer server OfficeScan, accedere a <Cartella di installazione del server>
\PCCSRV\Admin\Utility\SvrTune.
2.
Fare doppio clic su SvrTune.exe per avviare Server Tuner.
Si apre la console di Server Tuner.
3.
13-56
Nella sezione Download modificare le seguenti impostazioni:
•
Timeout per client: Digitare il numero di minuti per i quali il server
OfficeScan deve attendere una risposta di aggiornamento dagli agenti. Se
l'agente non risponde entro questo intervallo, il server OfficeScan non
considera l'agente come dotato di componenti aggiornati. Quando si verifica il
timeout su un agente notificato, si rende disponibile lo spazio per un altro
agente in attesa di notifica.
•
Timeout per Update Agent: digitare il numero di minuti per i quali il server
OfficeScan deve attendere una risposta di aggiornamento da un Update
Gestione del server OfficeScan
Agent. Quando si verifica il timeout su un agente notificato, si rende
disponibile lo spazio per un altro agente in attesa di notifica.
4.
•
Numero tentativi: Digitare il numero massimo di tentativi che il server
OfficeScan deve effettuare per richiedere a un agente di eseguire un
aggiornamento o di applicare nuove impostazioni di configurazione.
•
Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScan
deve attendere tra un tentativo di notifica e quello successivo.
Nella sezione Buffer, modificare le seguenti impostazioni:
•
Buffer eventi: Digitare il numero massimo di segnalazioni di eventi di agenti
inviati al server (ad esempio l'aggiornamento dei componenti) che OfficeScan
deve conservare nel buffer. Mentre la richiesta dell'agente resta in attesa nel
buffer, la connessione con l'agente viene interrotta. OfficeScan stabilisce una
connessione con un agente quando elabora la segnalazione dell'agente e lo
rimuove dal buffer.
•
Buffer registro: Digitare il numero massimo di segnalazioni informative sui
registri degli agenti inviati al server che OfficeScan deve conservare nel buffer.
Mentre la richiesta dell'agente resta in attesa nel buffer, la connessione con
l'agente viene interrotta. OfficeScan stabilisce una connessione con un agente
quando elabora la segnalazione dell'agente e lo rimuove dal buffer.
Nota
Se il numero degli agenti che inviano segnalazioni al server è elevato, aumentare
le dimensioni del buffer. Tuttavia, maggiori dimensioni del buffer comportano
un maggiore utilizzo di memoria sul server.
5.
Nella sezione Traffico di rete, modificare le seguenti impostazioni:
•
Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentano
le ore del giorno in cui il traffico di rete è considerato normale.
•
Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentano
le ore del giorno in cui il traffico di rete è considerato minimo.
•
Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano le
ore del giorno in cui il traffico di rete è considerato massimo.
13-57
Guida per l'amministratore di OfficeScan™ 11.0
•
6.
Numero massimo connessioni client: digitare il numero massimo di client
che possono simultaneamente aggiornare i componenti da "altra origine
aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di client
per ciascuno dei periodi di tempo. Quando viene raggiunto il numero
massimo di connessioni, gli OfficeScan possono aggiornare i componenti
soltanto dopo la chiusura di una connessione in corso dell'agente (a causa del
completamento dell'aggiornamento o del fatto che la risposta dell'agente ha
raggiunto il valore di timeout specificato nel campo Timeout per client o
Timeout per Update Agent).
Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principale
OfficeScan.
Nota
Viene riavviato soltanto il servizio, non il computer.
7.
Selezionare una delle opzioni di riavvio seguenti:
•
fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio.
Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio.
•
Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare il
servizio. Per fare in modo che le impostazioni abbiano effetto, riavviare il
servizio principale OfficeScan o riavviare il computer su cui è installato il
server OfficeScan.
Smart Feedback
Trend Micro Smart Feedback condivide le informazioni su minacce anonime con Smart
Protection Network, consentendo a Trend Micro di identificare e trattare rapidamente le
nuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramite
questa console.
13-58
Gestione del server OfficeScan
Partecipazione al programma Smart Feedback
Procedura
1.
Accedere a Amministrazione > Smart Protection > Smart Feedback.
2.
Fare clic su Attiva Trend Micro Smart Feedback.
3.
Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare un
valore nel campo Settore.
4.
Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degli
agenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file di
programma sospetti.
Nota
I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati solo
per eseguire le analisi delle minacce.
5.
Per configurare i criteri per l'invio del feedback, selezionare il numero di
rilevamenti effettuati nel periodo di tempo specificato che generano il feedback.
6.
Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan per
inviare feedback e ridurre le interruzioni della rete.
7.
Fare clic su Salva.
13-59
Capitolo 14
Gestione dell'agente OfficeScan
In questo capitolo vengono descritte le configurazioni e la gestione dell'agente
OfficeScan.
Di seguito sono riportati gli argomenti trattati:
•
Posizione dispositivo a pagina 14-2
•
Gestione del programma agente OfficeScan a pagina 14-6
•
Connessione agente-server a pagina 14-26
•
Impostazioni proxy agente OfficeScan a pagina 14-50
•
Visualizzazione delle informazioni dettagliate sull'agente OfficeScan a pagina 14-55
•
Importazione ed esportazione delle impostazioni degli agenti a pagina 14-55
•
Conformità sicurezza a pagina 14-57
•
Supporto Trend Micro Virtual Desktop a pagina 14-75
•
Impostazioni globali agente a pagina 14-89
•
Configurazione dei privilegi dell'agente e altre impostazioni a pagina 14-90
14-1
Guida per l'amministratore di OfficeScan™ 11.0
Posizione dispositivo
OfficeScan fornisce una funzione di Location Awareness in grado di determinare se la
posizione dell'agente OfficeScan è interna o esterna. Location Awareness viene utilizzata
nelle seguenti funzioni e servizi di OfficeScan:
TABELLA 14-1. Funzioni e servizi che usano Location Awareness
FUNZIONE/SERVIZIO
Servizi di
reputazione Web
DESCRIZIONE
La posizione dell'agente OfficeScan determina il criterio di
reputazione Web che sarà applicato dall'agente OfficeScan. Gli
amministratori in genere applicano criteri più rigidi per gli agenti
esterni.
Per ulteriori informazioni sui criteri di reputazione Web, vedere
Criteri di reputazione Web a pagina 11-5.
Servizi di
reputazione file
Per gli agenti che usano Smart Scan, la posizione dell'agente
OfficeScan stabilisce l'origine Smart Protection a cui gli agenti
inviano query di scansione.
Gli agenti OfficeScan esterni inviano query di scansione a Smart
Protection Network mentre gli agenti interni inviano le query alle
origini definite nell'elenco delle origini Smart Protection.
Per ulteriori informazioni sulle origini Smart Protection, vedere
Origini Smart Protection a pagina 4-6.
Prevenzione
perdita di dati
La posizione dell'agente OfficeScan determina il criterio di
Prevenzione perdita di dati applicato dall'agente. Gli amministratori
in genere applicano criteri più rigidi per gli agenti esterni.
Per ulteriori informazioni sui criteri Prevenzione perdita di dati,
vedere Criteri di Prevenzione perdita di dati a pagina 10-3.
Controllo
dispositivo
La posizione dell'agente OfficeScan determina il criterio di Controllo
dispositivo applicato dall'agente. Gli amministratori in genere
applicano criteri più rigidi per gli agenti esterni.
Per ulteriori informazioni sui criteri di Controllo dispositivo, vedere
Controllo dispositivo a pagina 9-2.
14-2
Gestione dell'agente OfficeScan
Criteri di località
Specificare se il percorso si basa sull'indirizzo IP del gateway dell'dispositivo agente
OfficeScan o sullo stato della connessione dell'agente OfficeScan con il server
OfficeScan o un server di riferimento.
•
Stato connessione agente: Se l'agente OfficeScan può collegarsi al server
OfficeScan o a uno dei server di riferimento della intranet, la posizione
dell'dispositivo è interna. Inoltre se un dispositivo al di fuori della rete aziendale è
in grado di stabilire una connessione al server OfficeScan o al server di riferimento,
anche quella posizione è interna. Se non si applica nessuna di queste condizioni, la
posizione dell'dispositivo è esterna.
•
Indirizzo MAC e IP gateway: se l'indirizzo IP del gateway dell'dispositivo agente
OfficeScan corrisponde a uno degli indirizzi IP del gateway specificati nella
schermata Posizione dispositivo, la posizione del computer è interna. Altrimenti
la posizione dell'dispositivo è esterna.
Configurazione delle impostazioni della località
Procedura
1.
Accedere a Agenti > Posizione dispositivo.
2.
Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IP
e MAC del gateway.
3.
Se si sceglie Stato della connessione agente, occorre decidere se utilizzare un
server di riferimento.
Per informazioni, vedere Server di riferimento a pagina 13-29.
a.
Se non viene specificato un server di riferimento, l'agente OfficeScan verifica
lo stato della connessione con il server OfficeScan se si verificano gli eventi
seguenti:
•
L'agente OfficeScan passa dalla modalità roaming a quella normale
(online/offline) e viceversa.
14-3
Guida per l'amministratore di OfficeScan™ 11.0
b.
4.
•
L'agente OfficeScan passa da un metodo di scansione a un altro. Per
informazioni, vedere Tipi di metodi di scansione a pagina 7-8.
•
L'agente OfficeScan rileva una variazione di indirizzo IP nell'dispositivo.
•
L'agente OfficeScan viene riavviato.
•
Il server avvia una verifica della connessione. Per informazioni, vedere
Icone dell'agente OfficeScan a pagina 14-26.
•
I parametri della località di reputazione Web vengono modificati durante
l'applicazione delle impostazioni globali
•
I criteri di difesa dalle infezioni non vengono più applicati e vengono
ripristinate le impostazioni precedenti all'infezione.
Se si specifica un server di riferimento, l'agente OfficeScan verifica lo stato
della connessione prima con il server OfficeScan, poi con il server di
riferimento se la connessione al server OfficeScan non riesce. L'agente
OfficeScan verifica lo stato della connessione ogni ora e quando si verificano
gli eventi sopra citati.
Se si seleziona l'indirizzo IP e MAC del gateway:
a.
Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo.
b.
Inserire l'indirizzo MAC.
c.
Fare clic su Aggiungi.
Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizzi
MAC appartenenti all'indirizzo IP specificato.
d.
Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway che
si desidera aggiungere.
e.
Utilizzare lo strumento Utilità di importazione impostazioni gateway per
importare un elenco delle impostazioni del gateway.
Per informazioni, vedere Utilità di importazione impostazioni gateway a pagina
14-5.
14-4
Gestione dell'agente OfficeScan
5.
Fare clic su Salva.
Utilità di importazione impostazioni gateway
OfficeScan verifica la posizione dell'dispositivo per determinare il criterio di reputazione
Web da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con
cui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gateway
dell'dispositivo.
Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppure
utilizzare l'Utilità di importazione impostazioni gateway per importare un elenco delle
impostazioni gateway nella schermata Posizione dispositivo.
Uso dell'utilità di importazione impostazioni gateway
Procedura
1.
Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway.
In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo).
Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096.
Ad esempio:
10.1.111.222,00:17:31:06:e6:e7
2001:0db7:85a3:0000:0000:8a2e:0370:7334
10.1.111.224,00:17:31:06:e6:e7
2.
Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin
\Utility\GatewaySettingsImporter e fare doppio clic su
GSImporter.exe.
Nota
Non è possibile eseguire lo strumento Utilità di importazione impostazioni gateway
dai servizi terminal.
14-5
Guida per l'amministratore di OfficeScan™ 11.0
3.
Nella schermata Utilità di importazione impostazioni gateway, trovare il file
creato al passaggio 1 e fare clic su Importa.
4.
Fare clic su OK.
Le impostazioni del gateway vengono visualizzate nella schermata Posizione
dispositivo e il server OfficeScan implementa le impostazioni negli agenti
OfficeScan.
5.
Per eliminare tutte le voci, fare clic su Cancella tutto.
Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizione
dispositivo.
6.
Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare il
nome e il tipo di file.
Gestione del programma agente OfficeScan
I seguenti argomenti illustrano modi per gestire e proteggere il programma agente
OfficeScan:
•
Servizi dell'agente OfficeScan a pagina 14-7
•
Riavvio dei servizi dell'agente OfficeScan a pagina 14-12
•
Protezione automatica dell'agente OfficeScan a pagina 14-13
•
Sicurezza agente OfficeScan a pagina 14-17
•
Restrizione di accesso console agente OfficeScan a pagina 14-18
•
Rimozione e sblocco dell'agente OfficeScan a pagina 14-19
•
Privilegio di roaming dell'agente OfficeScan a pagina 14-20
•
Agent Mover a pagina 14-23
•
Agenti OfficeScan inattivi a pagina 14-25
14-6
Gestione dell'agente OfficeScan
Servizi dell'agente OfficeScan
L'agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibile
visualizzare lo stato di questi servizi da Microsoft Management Console.
TABELLA 14-2. Servizi dell'agente OfficeScan
SERVIZIO
Servizio prevenzione
modifiche non autorizzate
di Trend Micro
(TMBMSRV.exe)
FUNZIONI CONTROLLATE
•
Monitoraggio del comportamento
•
Controllo dispositivo
•
Servizio Certified Safe Software
OfficeScan NT Firewall
(TmPfw.exe)
Firewall di OfficeScan
Servizio Protezione dati
OfficeScan (dsagent.exe)
•
Prevenzione perdita di dati
•
Controllo dispositivo
OfficeScan NT Listener
(tmlisten.exe)
Comunicazione tra l'agente OfficeScan e il server
OfficeScan
OfficeScan NT Proxy
Service (TmProxy.exe)
•
Reputazione Web
•
Scansione e-mail POP3
Scansione in tempo reale
OfficeScanNT
(ntrtscan.exe)
•
Scansione in tempo reale
•
Scansione pianificata
•
Scansione manuale/Esegui scansione
Framework soluzione client
comune OfficeScan
(TmCCSF.exe)
Servizio di protezione avanzata
•
Prevenzione minaccia browser
•
Scansione memoria
I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllo
possono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguono
applicazioni a elevato utilizzo delle risorse del sistema:
•
Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)
•
OfficeScan NT Firewall (TmPfw.exe)
14-7
Guida per l'amministratore di OfficeScan™ 11.0
•
Servizio Protezione dati OfficeScan (dsagent.exe)
Per questo motivo, per impostazione predefinita questi servizi sono disattivati sulle
piattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server
2012). Se si desidera attivare questi servizi:
•
Tenere costantemente sotto controllo le prestazioni del sistema e prendere gli
opportuni provvedimenti se si nota un calo delle prestazioni.
•
Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni a
elevato utilizzo delle risorse del sistema dai criteri di monitoraggio del
comportamento. È possibile utilizzare uno strumento di ottimizzazione delle
prestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema.
Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 14-10.
Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delle
prestazioni.
Attivazione o disattivazione dei servizi dell'agente dalla
console Web
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Per gli agenti OfficeScan con sistemi operativi Windows XP, Vista, 7, 8 o 8.1:
a.
Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per
includere tutti gli agenti oppure selezionare domini o agenti specifici.
Nota
Quando si seleziona un dominio root o domini specifici, l'impostazione sarà
applicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazione
non sarà applicata agli agenti che eseguono piattaforme Windows Server anche
se fanno parte dei domini.
14-8
b.
Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.
c.
Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:
Gestione dell'agente OfficeScan
d.
3.
•
Servizio prevenzione modifiche non autorizzate
•
Servizio firewall
•
Servizio di connessione sospetta
•
Servizio Protezione dati
•
Servizio di protezione avanzata
Fare clic su Salva per applicare le impostazioni ai domini. Se è stata
selezionata l'icona del dominio principale, scegliere una delle opzioni riportate
di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti
Windows XP/Vista/7/8/8.1 esistenti e a qualsiasi nuovo agente
aggiunto a un dominio esistente o futuro. I domini futuri sono i domini
non ancora creati al momento della configurazione delle impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli
agenti Windows XP/Vista/7/8/8.1 aggiunti ai domini futuri. Questa
opzione non applica le impostazioni ai nuovi agenti aggiunti a un
dominio esistente.
Per gli agenti OfficeScan con Windows Server 2003, Windows Server 2008 o
Windows Server 2012:
a.
Selezionare un singolo dominio nella struttura agente.
b.
Fare clic su Impostazioni > Impostazioni aggiuntive del servizio.
c.
Selezionare o deselezionare la casella di controllo nelle seguenti sezioni:
•
Servizio prevenzione modifiche non autorizzate
•
Servizio firewall
•
Servizio di connessione sospetta
•
Servizio Protezione dati
•
Servizio di protezione avanzata
14-9
Guida per l'amministratore di OfficeScan™ 11.0
d.
Fare clic su Salva.
Uso di Trend Micro Performance Tuning Tool
Procedura
1.
Scaricare Trend Micro Performance Tuning Tool da:
http://esupport.trendmicro.com/solution/en-us/1056425.aspx
2.
Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe.
3.
Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nella
stessa cartella di TMBMCLI.dll.
4.
Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionare
Esegui come amministratore.
5.
Leggere e accettare il contratto per l'utente finale e fare clic su OK.
6.
Fare clic su Analizza.
14-10
Gestione dell'agente OfficeScan
FIGURA 14-1. Processo a elevato utilizzo delle risorse del sistema evidenziato
Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. I
processi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso.
7.
Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sul
).
pulsante Aggiungi a elenco eccezioni (consenti) (
8.
Controllare se le prestazioni del sistema o dell'applicazione migliorano.
9.
Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsante
Rimuovi da elenco eccezioni (
).
10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito:
a.
Prendere nota del nome dell'applicazione.
b.
Fare clic su Interrompi.
c.
Fare clic sul pulsante Genera segnalazione (
) e salvare il file .xml.
14-11
Guida per l'amministratore di OfficeScan™ 11.0
d.
Esaminare le applicazioni identificate come in conflitto e aggiungerle
all'elenco eccezioni del monitoraggio del comportamento.
Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina
8-6.
Riavvio dei servizi dell'agente OfficeScan
OfficeScan riavvia i servizi degli agenti OfficeScan che improvvisamente non
rispondono senza essere stati interrotti da un processo di sistema normale. Per ulteriori
informazioni sui servizi degli agenti, vedere Servizi dell'agente OfficeScan a pagina 14-7.
Configurare le impostazioni necessarie per consentire il riavvio dei servizi degli agenti
OfficeScan.
Configurazione delle impostazioni del servizio di riavvio
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Passare alla sezione Riavvia Servizio OfficeScan.
3.
Selezionare Riavvia automaticamente il servizio agente OfficeScan se viene
interrotto in modo imprevisto.
4.
Configurare gli elementi riportati di seguito.
14-12
•
Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti)
che deve trascorrere prima che OfficeScan riavvii un servizio.
•
Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte:
specificare il numero massimo di tentativi di riavviare il servizio. Se un
servizio rimane interrotto dopo il numero massimo di tentativi di riavvio,
riavviarlo manualmente.
•
Azzera il conteggio dei riavvii non riusciti dopo __ ore: se un servizio
rimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScan
attende alcune ore prima di azzerare il conteggio dei riavvii non riusciti. Se un
Gestione dell'agente OfficeScan
servizio rimane interrotto dopo il numero di ore specificato, OfficeScan
riavvia il servizio.
Protezione automatica dell'agente OfficeScan
La protezione automatica dell'agente OfficeScan consente all'agente OfficeScan di
proteggere i processi e le altre risorse necessarie per il corretto funzionamento. La
protezione automatica dell'agente contribuisce a impedire i tentativi di programmi o di
utenti di disattivare la protezione contro le minacce informatiche.
La protezione automatica dell'agente OfficeScan fornisce le seguenti opzioni:
•
Proteggi i servizi dell'agente OfficeScan a pagina 14-14
•
Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15
•
Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16
•
Proteggi i processi dell'agente OfficeScan a pagina 14-16
Configurazione delle impostazioni di protezione automatica
dell'agente OfficeScan
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezione
automatica dell'agente OfficeScan.
5.
Attivare le seguenti opzioni:
) per includere
•
Proteggi i servizi dell'agente OfficeScan a pagina 14-14
•
Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15
14-13
Guida per l'amministratore di OfficeScan™ 11.0
6.
•
Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16
•
Proteggi i processi dell'agente OfficeScan a pagina 14-16
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Proteggi i servizi dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di interrompere i servizi dell'agente OfficeScan
riportati di seguito:
•
OfficeScan NT Listener (TmListen.exe)
•
Scansione in tempo reale OfficeScanNT (NTRtScan.exe)
•
OfficeScan NT Proxy Service (TmProxy.exe)
•
OfficeScan NT Firewall (TmPfw.exe)
•
Servizio Protezione dati OfficeScan (dsagent.exe)
•
Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe)
Nota
Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti di
terzi sugli dispositivo. Se si verifica questo problema, è possibile disattivare
temporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi.
•
14-14
Framework soluzione client comune Trend Micro (TmCCSF.exe)
Gestione dell'agente OfficeScan
Proteggi i file nella cartella d'installazione dell'agente
OfficeScan
Per impedire ad altri programmi e anche all'utente di modificare o eliminare i file
dell'agente OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione
dell'agente> principale:
•
Tutti i file con firma digitale con estensione .exe, .dll e .sys
•
Alcuni file senza firma digitale, compresi i seguenti:
•
bspatch.exe
•
bzip2.exe
•
INETWH32.dll
•
libcurl.dll
•
libeay32.dll
•
libMsgUtilExt.mt.dll
•
msvcm80.dll
•
MSVCP60.DLL
•
msvcp80.dll
•
msvcr80.dll
•
OfceSCV.dll
•
OFCESCVPack.exe
•
patchbld.dll
•
patchw32.dll
•
patchw64.dll
•
PiReg.exe
•
ssleay32.dll
14-15
Guida per l'amministratore di OfficeScan™ 11.0
•
Tmeng.dll
•
TMNotify.dll
•
zlibwapi.dll
Proteggi le chiavi di registro dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nelle
chiavi e sottochiavi di registro riportate di seguito:
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
\CurrentVersion
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey
•
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP
Proteggi i processi dell'agente OfficeScan
OfficeScan blocca tutti i tentativi di terminare i processi riportati di seguito:
•
TmListen.exe: Riceve comandi e notifiche dal server OfficeScan e facilita la
comunicazione dall'agente OfficeScan al server
•
NTRtScan.exe: esegue la scansione in tempo reale, pianificata e manuale sugli
agenti OfficeScan
•
TmProxy.exe: esegue la scansione del traffico di rete prima di passarlo
all'applicazione di destinazione
•
TmPfw.exe: fornisce funzioni di firewall a livello di pacchetti, scansione di virus di
rete e rilevamento intrusioni
•
TMBMSRV.exe: regola l'accesso ai dispositivi di memorizzazione esterni e
impedisce le modiche non autorizzate alle chiavi di registro e ai processi
•
DSAgent.exe: effettua il monitoraggio della trasmissione dei dati sensibili e
controlla l'accesso ai dispositivi
14-16
Gestione dell'agente OfficeScan
•
PccNTMon.exe: Questo processo è responsabile dell'avvio della console
dell'agente OfficeScan
•
TmCCSF.exe: esegue Prevenzione minaccia browser e la scansione della memoria
Sicurezza agente OfficeScan
Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utenti
alla directory di installazione dell'agente OfficeScan e alle impostazioni di registro.
Controllo dell'accesso alla directory di installazione
dell'agente OfficeScan e alle chiavi di registro
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Impostazioni di
sicurezza agente.
5.
Selezionare una delle autorizzazioni di accesso riportate di seguito:
) per includere
•
Alto: la directory di installazione dell'agente OfficeScan eredita i diritti della
cartella Programmi e le voci di registro dell'agente OfficeScan ereditano le
autorizzazioni della chiave HKLM\Software. Per la maggior parte delle
configurazioni Active Directory, questo limita automaticamente gli utenti
"normali" (senza privilegi di amministratore) all'accesso in sola lettura.
•
Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti
"Tutti") tutti i diritti alla directory del programma agente OfficeScan e alle
voci di registro dell'agente OfficeScan.
14-17
Guida per l'amministratore di OfficeScan™ 11.0
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Restrizione di accesso console agente OfficeScan
Questa impostazione disattiva l'accesso alla console dell'agente OfficeScan dalla barra
delle applicazioni o dal menu Start di Windows. Gli utenti possono accedere alla console
dell'agente OfficeScan soltanto facendo clic su PccNTMon.exe dalla <Cartella di
installazione dell'agente>. Dopo aver configurato questa impostazione, caricare di nuovo
l'agente OfficeScan per applicarla.
Questa impostazione non disattiva l'agente OfficeScan. L'agente OfficeScan è attivo in
background e continua a fornire protezione contro i rischi per la sicurezza.
Restrizione dell'accesso alla console dell'agente OfficeScan
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione di
accesso agente OfficeScan.
14-18
) per includere
Gestione dell'agente OfficeScan
5.
Selezionare Impedisce agli utenti di accedere alla console agente OfficeScan
dalla barra delle applicazioni o dal menu Start di Windows.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Rimozione e sblocco dell'agente OfficeScan
Il privilegio di rimozione e sblocco dell'agente OfficeScan consente agli utenti di
interrompere l'agente OfficeScan o di accedere alle funzioni avanzate della console Web
con o senza password.
Concessione del privilegio di rimozione e sblocco
dell'agente
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca.
5.
Per consentire la rimozione dell'agente OfficeScan senza una password, selezionare
Password non richiesta.
) per includere
14-19
Guida per l'amministratore di OfficeScan™ 11.0
•
6.
Se è necessaria una password, selezionare Richiedi una password, digitare la
password e confermarla.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Privilegio di roaming dell'agente OfficeScan
Assegnare a determinati utenti il privilegio di roaming dell'agente OfficeScan se eventi
agente-server interferiscono con le attività degli utenti. Ad esempio, un utente che fa
spesso presentazioni può attivare la modalità roaming prima di iniziare una
presentazione per impedire al server OfficeScan di implementare le impostazioni
dell'agente OfficeScan e di avviare le scansioni sull'agente OfficeScan.
Se gli agenti sono in modalità roaming:
•
Gli agenti OfficeScan non inviano registri al server OfficeScan, neppure se è
presente una connessione funzionante tra il server e gli agenti.
•
Il server OfficeScan non avvia operazioni né implementa le impostazioni
dell'agente OfficeScan sugli agenti, neppure se è presente una connessione
funzionante tra il server e gli agenti.
•
Gli agenti OfficeScan aggiornano i componenti se sono in grado collegarsi a una
delle loro origini di aggiornamento. Le origini sono il server OfficeScan, gli Update
Agents oppure un origine di aggiornamento personalizzata.
Gli eventi seguenti attivano un aggiornamento sugli agenti in roaming:
•
14-20
L'utente esegue un aggiornamento manuale.
Gestione dell'agente OfficeScan
•
Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivare
l'aggiornamento automatico dell'agente sugli agenti in roaming. Per ulteriori
dettagli, vedere Disattivazione dell'aggiornamento automatico dell'agente negli agenti in
roaming a pagina 14-22.
•
Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegi
richiesti possono eseguire aggiornamenti pianificati. È possibile revocare
questo privilegio in qualsiasi momento. Per ulteriori dettagli, vedere Revoca dei
privilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming a pagina
14-22.
Assegnazione dei privilegi di roaming dell'agente
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, accedere alla sezione Roaming.
5.
Selezionare Attiva modalità roaming.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
) per includere
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
14-21
Guida per l'amministratore di OfficeScan™ 11.0
Disattivazione dell'aggiornamento automatico dell'agente
negli agenti in roaming
Procedura
1.
Accedere a Aggiornamenti > Agenti > Aggiornamento automatico.
2.
Passare alla sezione Aggiornamento provocato da un evento.
3.
Disattivare Includi agenti in roaming e offline.
Nota
Questa opzione viene disattivata automaticamente se si disattiva Avvia
l'aggiornamento dei componenti degli agenti subito dopo che il server
OfficeScan ha scaricato un nuovo componente.
Revoca dei privilegi per l'aggiornamento pianificato negli
agenti OfficeScan in roaming
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura agente, fare clic sull'icona del dominio root (
domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, passare alla sezione Privilegi aggiornamento
componenti .
5.
Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati.
6.
Fare clic su Salva.
14-22
) oppure selezionare
Gestione dell'agente OfficeScan
Agent Mover
Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento Agent
Mover per trasferire gli agenti OfficeScan da un server OfficeScan a un altro. Questo
strumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo server
OfficeScan alla rete, si desidera trasferire gli agenti OfficeScan esistenti al nuovo server.
Nota
I due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostare
un agente OfficeScan con una versione precedente in un server della versione corrente, la
versione dell'agente OfficeScan sarà aggiornata automaticamente.
Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questo
strumento.
Esecuzione di Agent Mover
Procedura
1.
Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV
\Admin\Utility\IpXfer.
2.
Copiare IpXfer.exe nell'dispositivo agente OfficeScan. Se l'dispositivo agente
OfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe.
3.
Nell'dispositivo agente OfficeScan, aprire un prompt dei comandi e accedere alla
cartella nella quale è stato copiato il file eseguibile.
4.
Eseguire Agent Mover utilizzando la sintassi riportata di seguito.
<nome file eseguibile> -s <nome server> -p <porta di
ascolto del server> -c <porta di ascolto dell'agente> -d
<dominio o gerarchia dominio>
14-23
Guida per l'amministratore di OfficeScan™ 11.0
TABELLA 14-3. Parametri di Agent Mover
PARAMETRO
SPIEGAZIONE
<nome file
eseguibile>
IpXfer.exe oppure IpXfer_x64.exe
-s <nome server>
Il nome del server OfficeScan di destinazione (il server in
cui verrà trasferito l'agente OfficeScan)
-p <porta di
ascolto del server>
La porta di ascolto (o porta affidabile) del server
OfficeScan di destinazione. Per visualizzare la porta di
ascolto della console Web OfficeScan, fare clic su
Amministrazione > Impostazioni > Connessione
agente nel menu principale.
-c <porta di
ascolto
dell'agente>
Il numero della porta usata dall'dispositivo agente
OfficeScan per comunicare con il server
-d <dominio o
gerarchia dominio>
Il dominio o sottodominio della struttura agente in cui
viene raggruppato l'agente. La gerarchia di domini deve
indicare il sottodominio.
-e <nome file e
posizione del
certificato>
Importa un nuovo certificato di autenticazione per l'agente
OfficeScan durante il processo di spostamento. Se non
viene usato questo parametro, l'agente OfficeScan
recupera automaticamente il certificato di autenticazione
corrente dal suo server di gestione nuovo.
Nota
La posizione predefinita del certificato nel server
OfficeScan è:
<Cartella di installazione del server>\PCCSRV
\Pccnt\Common\OfcNTCer.dat.
Quando viene usato un certificato da un'origine
diversa da OfficeScan, assicurarsi che certificato
sia in formato DER (Distinguished Encoding
Rules).
Esempi:
14-24
Gestione dell'agente OfficeScan
ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro
ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo di
lavoro\Gruppo01
5.
Per confermare che ora l'agente OfficeScan invia le notifiche all'altro server,
effettuare le seguenti operazioni:
a.
Nell'dispositivo agente OfficeScan, fare clic con il pulsante destro del mouse
sull'icona del programma agente OfficeScan nella barra delle applicazioni.
b.
Selezionare Versioni componenti.
c.
Verificare il server OfficeScan a cui fa riferimento l'agente OfficeScan nel
campo Nome server/porta.
Nota
Se l'agente OfficeScan non viene visualizzato nella struttura agente del nuovo
server OfficeScan che lo gestisce, riavviare il servizio principale del server
(ofservice.exe).
Agenti OfficeScan inattivi
Se per rimuovere un agente OfficeScan dagli dispositivo si utilizza il programma di
disinstallazione dell'agente OfficeScan, il programma invia automaticamente una notifica
al server. Quando il server riceve la notifica, l'icona dell'agente OfficeScan viene rimossa
dalla struttura agente per indicare che l'agente non esiste più.
Se tuttavia l'agente OfficeScan viene rimosso con altri metodi, ad esempio riformattando
il disco rigido dell'dispositivo oppure eliminando manualmente i file dell'agente
OfficeScan, OfficeScan non rileva la rimozione dell'agente OfficeScan, che viene quindi
visualizzato come inattivo. Se un utente rimuove o disattiva l'agente OfficeScan per un
periodo di tempo prolungato, anche il server visualizza l'agente OfficeScan come
inattivo.
Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurare
OfficeScan in modo tale che rimuova automaticamente gli agenti inattivi dalla struttura
agente.
14-25
Guida per l'amministratore di OfficeScan™ 11.0
Rimozione automatica degli agenti inattivi
Procedura
1.
Accedere a Amministrazione > Impostazioni > Agenti inattivi.
2.
Selezionare Attiva rimozione automatica degli agenti inattivi.
3.
Selezionare il numero di giorni che devono trascorrere prima che OfficeScan
consideri inattivo un agente OfficeScan.
4.
Fare clic su Salva.
Connessione agente-server
L'agente OfficeScan deve mantenere una connessione continua al server principale in
modo da poter aggiornare i componenti, ricevere le notifiche e applicare
tempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano come
controllare lo stato della connessione dell'agente OfficeScan e risolvere i problemi di
connessione:
•
Indirizzi IP dell'agente a pagina 5-10
•
Icone dell'agente OfficeScan a pagina 14-26
•
Verifica della connessione agente-server a pagina 14-43
•
Registri di verifica connessione a pagina 14-44
•
Agenti non raggiungibili a pagina 14-45
Icone dell'agente OfficeScan
L'icona dell'agente OfficeScan sulla barra delle applicazioni offre suggerimenti visivi che
indicano lo stato corrente dell'agente OfficeScan e chiedono agli utenti di eseguire
determinate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguenti
suggerimenti visivi.
14-26
Gestione dell'agente OfficeScan
TABELLA 14-4. Stato dell'agente OfficeScan indicato dall'icona dell'agente OfficeScan
STATO
AGENTE
Connession
e
dell'agente
al server
OfficeScan
DESCRIZIONE
SUGGERIMENTO VISIVO
Gli agenti online sono
connessi al server
OfficeScan. Il server può
avviare attività e
implementare impostazioni
su questi agenti
L'icona contiene un simbolo che somiglia a
un battito cardiaco (Heartbeat).
Gli agenti offline vengono
disconnessi dal server
OfficeScan. Il server non è
in grado di gestire questi
agenti.
L'icona contiene un simbolo che somiglia
alla perdita di un battito cardiaco
(Hearbeat).
Il colore di sfondo è una tonalità di blu o
rosso, a seconda dello stato del servizio
scansione in tempo reale.
Il colore di sfondo è una tonalità di blu o
rosso, a seconda dello stato del servizio
scansione in tempo reale.
Un agente può essere offline anche se è
connesso alla rete. Per ulteriori informazioni
su questo problema, vedere Soluzioni ai
problemi riportati nelle icone dell'agente
OfficeScan a pagina 14-40.
Gli agenti in roaming
possono essere in grado di
comunicare con il server
OfficeScan oppure no.
L'icona contiene i simboli del desktop e del
segnale.
Il colore di sfondo è una tonalità di blu o
rosso, a seconda dello stato del servizio
scansione in tempo reale.
Per ulteriori informazioni sugli agenti in
roaming, vedere Privilegio di roaming
dell'agente OfficeScan a pagina 14-20.
14-27
Guida per l'amministratore di OfficeScan™ 11.0
STATO
AGENTE
Disponibilità
di origini
Smart
Protection
DESCRIZIONE
SUGGERIMENTO VISIVO
Le origini Smart Protection
comprendono gli Smart
Protection Server e Trend
Micro Smart Protection
Network.
L'icona comprende un segno di spunta se è
disponibile un'origine Smart Protection.
Gli agenti con scansione
convenzionale si collegano
alle origini Smart Protection
per le query di reputazione
Web.
L'icona comprende una barra di
avanzamento se non sono disponibili origini
Smart Protection e l'agente sta tentando di
stabilire la connessione alle origini.
Gli agenti Smart Scan si
collegano alle origini Smart
Protection per le query di
scansione e reputazione
Web.
Per ulteriori informazioni su questo
problema, vedere Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a
pagina 14-40.
Per gli agenti con scansione convenzionale,
non viene visualizzato alcun segno di
spunta o una barra di avanzamento se la
reputazione Web è stata disattivata
nell'agente.
14-28
Gestione dell'agente OfficeScan
STATO
AGENTE
Stato
servizio
scansione
in tempo
reale
DESCRIZIONE
OfficeScan utilizza il
servizio di scansione in
tempo reale non solo per la
scansione in tempo reale,
ma anche per la scansione
manuale e pianificata.
Il servizio deve essere
funzionante per evitare di
esporre l'agente a rischi per
la sicurezza.
SUGGERIMENTO VISIVO
Se il servizio scansione in tempo reale è
funzionante, tutta l'icona è ombreggiata di
colore blu. Due tonalità di blu vengono
usate per indicare il metodo di scansione
dell'agente.
•
Per la scansione convenzionale:
•
Per Smart Scan:
Se il servizio scansione in tempo reale è
stato disattivato o non è funzionante, l'intera
icona è ombreggiata di colore rosso.
Due tonalità di rosso vengono usate per
indicare il metodo di scansione dell'agente.
•
Per la scansione convenzionale:
•
Per Smart Scan:
Per ulteriori informazioni su questo
problema, vedere Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a
pagina 14-40.
14-29
Guida per l'amministratore di OfficeScan™ 11.0
STATO
AGENTE
Stato
scansione
in tempo
reale
DESCRIZIONE
La scansione in tempo
reale offre la protezione
proattiva effettuando la
scansione dei file per
identificare rischi per la
sicurezza mentre vengono
creati, modificati o
recuperati.
SUGGERIMENTO VISIVO
Non ci sono suggerimenti visivi se è
abilitata la scansione in tempo reale.
Se la scansione in tempo reale è
disabilitata, l'intera icona è circondata da un
cerchio rosso e contiene una linea
diagonale rossa.
Per ulteriori informazioni su questo
problema, vedere Soluzioni ai problemi
riportati nelle icone dell'agente OfficeScan a
pagina 14-40.
Stato
aggiorname
nto pattern
Gli agenti devono
aggiornare il pattern
regolarmente per
proteggere l'agente dalle
minacce più recenti.
Non ci sono suggerimenti visivi se il pattern
è aggiornato o leggermente non aggiornato.
L'icona comprende un punto esclamativo se
il pattern è obsoleto. Significa che il pattern
non è stato aggiornato recentemente.
Per ulteriori informazioni sulle modalità di
aggiornamento degli agenti, vedere
Aggiornamenti agente OfficeScan a pagina
6-30.
Icone Smart Scan
Quando gli agenti OfficeScan usano la scansione smart scan, viene visualizzata una delle
seguenti icone.
14-30
Gestione dell'agente OfficeScan
TABELLA 14-5. Icone Smart Scan
CONNESSION
ICONA
E AL SERVER
OFFICESCAN
DISPONIBILITÀ DI ORIGINI
SMART PROTECTION
SERVIZIO
SCANSIONE IN
TEMPO REALE
SCANSIONE IN
TEMPO REALE
Online
Disponibili
Funzionante
Attivato
Online
Disponibili
Funzionante
Disattivato
Online
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Online
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Attivato
Online
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Disattivato
Online
Non disponibile, nuova
connessione alle origini
in corso
Disattivato o non
funzionante
Disattivato o non
funzionante
Offline
Disponibili
Funzionante
Attivato
Offline
Disponibili
Funzionante
Disattivato
Offline
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Offline
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Attivato
Offline
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Disattivato
14-31
Guida per l'amministratore di OfficeScan™ 11.0
CONNESSION
ICONA
E AL SERVER
OFFICESCAN
DISPONIBILITÀ DI ORIGINI
SMART PROTECTION
SERVIZIO
SCANSIONE IN
TEMPO REALE
SCANSIONE IN
TEMPO REALE
Offline
Non disponibile, nuova
connessione alle origini
in corso
Disattivato o non
funzionante
Disattivato o non
funzionante
Roaming
Disponibili
Funzionante
Attivato
Roaming
Disponibili
Funzionante
Disattivato
Roaming
Disponibili
Disattivato o non
funzionante
Disattivato o non
funzionante
Roaming
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Attivato
Roaming
Non disponibile, nuova
connessione alle origini
in corso
Funzionante
Disattivato
Roaming
Non disponibile, nuova
connessione alle origini
in corso
Disattivato o non
funzionante
Disattivato o non
funzionante
Icone scansione convenzionale
Quando gli agenti OfficeScan usano la scansione convenzionale, viene visualizzata una
delle seguenti icone.
14-32
Gestione dell'agente OfficeScan
TABELLA 14-6. Icone scansione convenzionale
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
Online
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Funzionante
Attivato
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
Online
Disponibili
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Funzionante
Disattivato
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Obsoleto
14-33
Guida per l'amministratore di OfficeScan™ 11.0
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
14-34
Online
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Online
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Funzionante
Attivato
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
Gestione dell'agente OfficeScan
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
Offline
Disponibili
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Funzionante
Disattivato
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Obsoleto
Offline
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
14-35
Guida per l'amministratore di OfficeScan™ 11.0
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
14-36
Roaming
Disponibili
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Funzionante
Attivato
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Attivato
Obsoleto
Roaming
Disponibili
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Funzionante
Disattivato
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Funzionante
Disattivato
Obsoleto
Gestione dell'agente OfficeScan
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
Roaming
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Disponibili
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Roaming
Non disponibile,
nuova
connessione alle
origini in corso
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
14-37
Guida per l'amministratore di OfficeScan™ 11.0
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
14-38
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Obsoleto
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Online
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
Gestione dell'agente OfficeScan
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Obsoleto
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Offline
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Aggiornato o
leggermente
non
aggiornato
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Attivato
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Aggiornato o
leggermente
non
aggiornato
14-39
Guida per l'amministratore di OfficeScan™ 11.0
CONNESSION
ICONA
SERVIZI DI
WEB
REPUTAZIONE
SERVIZIO
E AL SERVER
FORNITI DALLE
SCANSIONE IN
OFFICESCAN
ORIGINI
SMART
TEMPO REALE
SCANSIONE IN
PATTERN DEI
TEMPO REALE
VIRUS
PROTECTION
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Funzionante
Disattivato
Obsoleto
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Aggiornato o
leggermente
non
aggiornato
Roaming
Non applicabile
(funzione di
reputazione Web
disattivata
sull'agente)
Disattivato o
non
funzionante
Disattivato o
non
funzionante
Obsoleto
Soluzioni ai problemi riportati nelle icone dell'agente
OfficeScan
Se l'icona dell'agente OfficeScan indica una delle seguenti condizioni, eseguire le azioni
necessarie:
CONDIZIONE
Il file di pattern non
è stato aggiornato
recentemente
14-40
DESCRIZIONE
Gli utenti dell'agente OfficeScan devono aggiornare i componenti.
Dalla console Web, configurare le impostazioni di aggiornamento
dei componenti in Aggiornamenti > Agenti > Aggiornamento
automatico oppure concedere agli utenti i privilegi per
l'aggiornamento in Agenti > Gestione agente > Impostazioni >
Privilegi e altre impostazioni > Privilegi > Privilegi
aggiornamento componenti.
Gestione dell'agente OfficeScan
CONDIZIONE
DESCRIZIONE
Servizio scansione
in tempo reale è
stato disattivato o
non è funzionante
Se Servizio scansione in tempo reale (Scansione in tempo reale
OfficeScan NT) è stato disattivato o non è funzionante, gli utenti
devono avviare il servizio manualmente da Microsoft
Management Console.
Scansione in tempo
reale disattivata
Attivare la scansione in tempo reale dalla console Web (Agenti >
Gestione client > Impostazioni > Impostazioni di scansione >
Impostazioni scansione in tempo reale).
La scansione in
tempo reale è stata
disattivata e l'agente
OfficeScan è in
modalità roaming
Gli utenti devono disattivare la modalità roaming. Dopo aver
disattivato la modalità roaming, attivare la scansione in tempo
reale dalla console Web.
Un agente
OfficeScan è
connesso alla rete
ma risulta offline.
Verificare la connessione tramite la console Web (Registri >
Agenti > Verifica connessione) e controllare i registri di verifica
della connessione (Registri > Agenti > Verifica connessione)
Se dopo la verifica, l'agente OfficeScan è ancora offline:
1.
Se lo stato della connessione è offline sia nel server che
nell'agente OfficeScan, verificare la connessione di rete.
2.
Se lo stato della connessione dell'agente OfficeScan è offline
ma online sul server, il nome di dominio del server potrebbe
essere stato modificato e l'agente OfficeScan continua a
collegarsi al server usando il nome di dominio (se è stato
selezionato nome di dominio durante l'installazione del
server). Registrare il nome di dominio del server OfficeScan
nel server DNS o WINS o aggiungere il nome di dominio e le
informazioni IP nei file "hosts" della cartella <cartella
Windows>\system32\drivers\etc dell'dispositivo agente.
3.
Se lo stato della connessione dell'agente OfficeScan è online
ma offline sul server, verificare le impostazioni del firewall
OfficeScan. Il firewall potrebbe bloccare la comunicazione dal
server all'agente, ma consentire quella dall'agente al server.
4.
Se lo stato della connessione dell'agente OfficeScan è online
ma offline sul server, è possibile che l'indirizzo IP dell'agente
OfficeScan sia stato modificato, ma che il suo stato non sia
aggiornato sul server (ad esempio, al caricamento
14-41
Guida per l'amministratore di OfficeScan™ 11.0
CONDIZIONE
DESCRIZIONE
dell'agente). Provare a implementare di nuovo l'agente
OfficeScan.
Origini Smart
Protection non
disponibili
Se un agente perde la connessione alle origini Smart Protection,
effettuare queste operazioni:
1.
2.
3.
4.
Nella console Web, accedere alla schermata Posizione
dispositivo (Agenti > Posizione dispositivo) e controllare
se sono state configurate correttamente le seguenti
impostazioni della posizione dell'dispositivo:
•
Server di riferimento e numeri di porta
•
Indirizzi IP gateway
Nella console Web, accedere alla schermata Origine Smart
Protection (Amministrazione > Smart Protection > Origini
Smart Protection), quindi effettuare le seguenti operazioni:
a.
Verificare se le impostazioni dello Smart Protection
Server nell'elenco standard o personalizzato delle origini
sono corrette.
b.
Verificare se la connessione ai server riesce.
c.
Fare clic su Invia una notifica tutti gli agenti dopo aver
configurato l'elenco delle origini.
Verificare che i seguenti file di configurazione presenti in
Smart Protection Server e nell'agente OfficeScan siano
sincronizzati.
•
sscfg.ini
•
ssnotify.ini
Aprire l'editor del Registro di sistema e verificare che l'agente
sia connesso alla rete aziendale.
Chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\iCRC Scan\Scan Server
•
14-42
Se LocationProfile=1, l'agente OfficeScan è connesso
alla rete e dovrebbe essere in grado di collegarsi a
Smart Protection Server.
Gestione dell'agente OfficeScan
CONDIZIONE
DESCRIZIONE
•
Se LocationProfile=2, l'agente OfficeScan non è
connesso alla rete e dovrebbe connettersi a Smart
Protection Network. Da Internet Explorer, verificare se
l'dispositivo agente OfficeScan è in grado di accedere
alle pagine Web su Internet.
5.
Verificare le impostazioni del proxy interno ed esterno
utilizzate per connettersi a Smart Protection Network e agli
Smart Protection Server. Per i dettagli, consultare Proxy
interno per gli agenti OfficeScan a pagina 14-50 e Proxy
esterno per gli agenti OfficeScan a pagina 14-51.
6.
Per gli agenti con Scansione convenzionale, verificare che
OfficeScan NT Proxy Service (TmProxy.exe) sia in
esecuzione. Se questo servizio viene interrotto, gli agenti non
sono in grado di connettersi alle origini Smart Protection per
la reputazione Web.
Verifica della connessione agente-server
Lo stato della connessione dell'agente con il server OfficeScan viene visualizzato nella
struttura agente della console Web OfficeScan.
FIGURA 14-2. Nella struttura agente viene visualizzato lo stato della connessione
dell'agente con il server OfficeScan
Alcune condizioni potrebbero impedire alla struttura agente di visualizzare
correttamente lo stato della connessione dell'agente. Se, ad esempio, il cavo della rete
14-43
Guida per l'amministratore di OfficeScan™ 11.0
dell'dispositivo agente viene involontariamente scollegato, l'agente non sarà in grado di
notificare al server di essere offline. Il client verrà pertanto visualizzato ancora come
online nella struttura agente.
Verificare la connessione agente-server manualmente o eseguire la verifica pianificata
mediante OfficeScan. Non è possibile verificare lo stato di connessione di domini o
agenti specifici. OfficeScan verifica lo stato di connessione di tutti gli agenti registrati.
Verifica delle connessioni tra server e agente
Procedura
1.
Accedere a Registri > Agenti > Verifica connessione.
2.
Per verificare la connessione agente-server manualmente, accedere alla scheda
Verifica manuale e fare clic su Verifica ora.
3.
Per verificare la connessione tra agente-server automaticamente, accedere alla
scheda Verifica pianificata.
4.
a.
Selezionare Attiva la verifica pianificata.
b.
Selezionare la frequenza e l'ora di inizio della verifica.
c.
Fare clic su Salva per salvare la pianificazione della verifica.
Controllare la struttura agente per verificare lo stato o visualizzare i registri di
verifica della connessione.
Registri di verifica connessione
OfficeScan mantiene dei registri di verifica della connessione per consentire di
determinare se il server OfficeScan è in grado di comunicare con tutti gli agenti
registrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica della
connessione agente-server dalla console Web.
Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido,
eliminare i registri manualmente oppure configurare una pianificazione per eliminarli.
14-44
Gestione dell'agente OfficeScan
Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina
13-34.
Visualizzazione dei registri di verifica connessione
Procedura
1.
Accedere a Registri > Agenti > Verifica connessione.
2.
I risultati della verifica della connessione sono contenuti all'interno della colonna
Stato.
3.
Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in
CSV. Aprire il file o salvarlo in una posizione specifica.
Agenti non raggiungibili
Gli agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti di
rete dietro un gateway NAT, sono quasi sempre offline perché il server non riesce a
stabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in grado
di inviare notifiche agli agenti per:
•
Scaricare la versione più recente dei componenti.
•
Applicare le impostazioni degli agenti configurate dalla console Web. Ad esempio,
quando si modifica la frequenza della Scansione pianificata dalla console Web, il
server invia immediatamente una notifica agli agenti per applicare la nuova
impostazione.
Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attività
tempestivamente. Eseguono queste attività solo quando si connettono al server, ovvero
quando:
•
Eseguono la registrazione sul server dopo l'installazione.
•
Eseguono il riavvio o il ricaricamento. Questo evento non si verifica
frequentemente e in genere richiede l'intervento dell'utente.
14-45
Guida per l'amministratore di OfficeScan™ 11.0
•
L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questo
evento non si verifica frequentemente.
Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettività
degli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado di
stabilire una connessione con gli agenti, il server cambia immediatamente lo stato su
offline.
OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere i
problemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il server
interrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifiche
delle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa
dell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno di
questi eventi, il server considera gli agenti come online.
Nota
Eventi iniziati dagli agenti e non correlati a heartbeat e polling del server, come
l'aggiornamento manuale degli agenti e l'invio del registro, non determinano
l'aggiornamento dello stato degli agenti non raggiungibili da parte del server.
Heartbeat
Gli agenti OfficeScan inviano messaggi heartbeat per notificare al server che la
connessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il server
considera gli agenti come online. Nella struttura agente, lo stato dell'agente può essere
uno dei seguenti:
•
Online: per agenti online normali
•
Non raggiungibile/Online: per agenti online nella rete non raggiungibile
Nota
Gli agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioni
quando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazioni
durante gli aggiornamenti di routine (vedere Aggiornamenti agente OfficeScan a pagina 6-30). Gli
agenti nella rete non raggiungibile eseguono queste operazioni durante il polling del server.
14-46
Gestione dell'agente OfficeScan
La funzione di heartbeat consente di risolvere il problema degli agenti OfficeScan nelle
reti non raggiungibili che risultano sempre offline, anche quando in realtà sono in grado
di connettersi al server.
Un'impostazione nella console Web controlla la frequenza di invio dei messaggi di
heartbeat da parte degli agenti. Se non riceve heartbeat, il server non considera
immediatamente l'agente come offline. Un'altra impostazione controlla il periodo di
tempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su:
•
Offline: per agenti OfficeScan offline normali
•
Non raggiungibile/Offline: per agenti OfficeScan offline nella rete non
raggiungibile
Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giusto
compromesso tra l'esigenza di visualizzare le informazioni di stato aggiornate e le
esigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguata per la
maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazione
dell'heartbeat, tenere conto di quanto segue:
TABELLA 14-7. Impostazioni consigliate per Heartbeat
FREQUENZA HEARTBEAT
RACCOMANDAZIONE
Intervalli di heartbeat
lunghi (maggiori di 60
minuti)
Più lungo è l'intervallo tra gli heartbeat, maggiore è il numero
di eventi che possono verificarsi prima che il server aggiorni
lo stato dell'agente nella console Web.
Intervalli di Heartbeat
brevi (minori di 60
minuti)
Intervalli di tempo brevi consentono di mantenere lo stato
dell'agente più aggiornato, ma richiedono un maggiore
utilizzo dell'ampiezza di banda.
Polling del server
La funzione di polling del server consente di risolvere il problema degli agenti
OfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agli
aggiornamenti dei componenti e alle modifiche alle impostazioni degli agenti. Questa
funzione è indipendente dalla funzione di heartbeat.
Con la funzione di polling del server:
14-47
Guida per l'amministratore di OfficeScan™ 11.0
•
Gli agenti OfficeScan avviano automaticamente la connessione con il server
OfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling,
considera l'agente come "Non raggiungibile/Online".
•
Gli agenti OfficeScan si connettono a una o più delle rispettive origini
aggiornamenti per scaricare eventuali componenti aggiornati e applicare nuove
impostazioni per gli agenti. Se l'origine aggiornamenti principale è il server
OfficeScan o un Update Agent, gli agenti ottengono sia i componenti sia le nuove
impostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un Update
Agent, gli agenti possono scaricare solo i componenti aggiornati e devono
connettersi al server OfficeScan o all'Update Agent per ottenere le nuove
impostazioni.
Configurazione di heartbeat e funzioni di polling del server
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Passare alla sezione Rete non raggiungibile.
3.
Configurare le impostazioni del polling del server.
Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina
14-47.
a.
Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibile
digitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza.
Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure un
prefisso IPv6 e la lunghezza se il server è un IPv6 puro.
Quando l'indirizzo IP di un agente corrisponde a un indirizzo IP
dell'intervallo, l'agente applica le impostazioni relative al polling del server e
all'heartbeat e considera l'agente come appartenente alla rete non
raggiungibile.
14-48
Gestione dell'agente OfficeScan
Nota
Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a un
server OfficeScan dual stack.
Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a un
server OfficeScan dual stack.
Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4
puro o IPv6 puro.
b.
In Gli agenti eseguono il polling del server per le impostazioni e i
componenti aggiornati ogni __ minuti, specificare la frequenza del polling
del server. Digitare un valore compreso tra 1 e 129600 minuti.
Suggerimento
Trend Micro consiglia di impostare una frequenza di polling del server almeno
tre volte superiore alla frequenza di invio di heartbeat.
4.
Configurare le impostazioni Heartbeat.
Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 14-46.
5.
a.
Selezionare Consenti agli agenti di inviare heartbeat al server.
b.
Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile.
c.
In gli agenti inviano heartbeat ogni __ minuti, specificare la frequenza con
la quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e
129600 minuti.
d.
In L'agente è offline se non c'è heartbeat dopo __ minuti, specificare
l'intervallo di tempo che deve trascorrere senza un heartbeat prima che il
server OfficeScan consideri un agente come offline. Digitare un valore
compreso tra 1 e 129600 minuti.
Fare clic su Salva.
14-49
Guida per l'amministratore di OfficeScan™ 11.0
Impostazioni proxy agente OfficeScan
Configurare gli agenti OfficeScan per utilizzare le impostazioni proxy durante la
connessione a server interni ed esterni.
Proxy interno per gli agenti OfficeScan
Gli agenti OfficeScan possono utilizzare le impostazioni del proxy interno per
connettersi ai server seguito presenti in rete:
•
Server OfficeScan
Il computer server ospita il server OfficeScan e Integrated Smart Protection Server.
Gli agenti OfficeScan si connettono al server OfficeScan per aggiornare i
componenti, ottenere le impostazioni di configurazione e inviare i registri. Gli
agenti OfficeScan si connettono a Integrated Smart Protection Server per inviare
query sulla scansione.
•
Smart Protection Server
Gli Smart Protection Server comprendono gli Smart Protection Server standalone e
Integrated Smart Protection Server di altri server OfficeScan. Gli agenti OfficeScan
si collegano ai server per inviare query di scansione e di reputazione Web.
Configurazione delle impostazioni del proxy interno
Procedura
1.
Accedere a Amministrazione > Impostazioni > Proxy.
2.
Fare clic sulla scheda Proxy interno.
3.
Accedere alla sezione Connessione dell'agente al server OfficeScan.
14-50
a.
Selezionare Utilizzare le seguenti impostazioni proxy quando gli agenti
sono connessi al server OfficeScan.
b.
Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server
proxy.
Gestione dell'agente OfficeScan
Nota
Specificare un server proxy dual stack identificato tramite il nome host se si
utilizzano agenti IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti,
impostazioni globali. Se si specifica un indirizzo IPv4, gli agenti IPv6 non
possono collegarsi al server proxy. Lo stesso vale per gli agenti IPv4.
c.
4.
5.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la
password e confermare la password.
Accedere alla sezione Connessione dell'agente con i Smart Protection Server
standalone.
a.
Selezionare Utilizzare le seguenti impostazioni del proxy quando gli
agenti sono collegati ai Smart Protection Server standalone.
b.
Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server
proxy.
c.
Se il server proxy richiede l'autenticazione, digitare il nome utente e la
password e confermare la password.
Fare clic su Salva.
Proxy esterno per gli agenti OfficeScan
Il server OfficeScan e l'agente OfficeScan possono utilizzare le impostazioni del proxy
esterno durante la connessione ai server ospitati da Trend Micro. In questo argomento
vengono illustrate le impostazioni del proxy esterno per gli agenti. Per informazioni sulle
impostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del server
OfficeScan a pagina 6-21.
Per connettersi a Trend Micro Smart Protection Network, gli agenti OfficeScan
utilizzano le impostazioni proxy configurate in Internet Explorer o Chrome. Se è
richiesta l'autenticazione del server proxy, gli agenti utilizzano le credenziali di
autenticazione del server proxy (ID utente e password).
14-51
Guida per l'amministratore di OfficeScan™ 11.0
Configurazione delle credenziali di autenticazione del server
proxy
Procedura
1.
Accedere a Amministrazione > Impostazioni > Proxy.
2.
Fare clic sulla scheda Proxy esterno.
3.
Accedere alla sezione Connessione dell'agente OfficeScan con i server Trend
Micro.
4.
Inserire ID utente e password per l'autenticazione del server proxy. I protocolli di
autenticazione proxy riportati di seguito sono supportati:
5.
•
Autenticazione con accesso di base
•
Autenticazione con accesso digest
•
Autenticazione integrata di Windows
Fare clic su Salva.
Privilegi di configurazione del proxy per gli agenti
È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy.
Gli agenti OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo nei
seguenti casi:
•
Quando Gli agenti OfficeScan effettuano l'operazione "Aggiorna ora".
•
Quando gli utenti disattivano le impostazioni automatiche del proxy oppure gli
agenti OfficeScan non sono in grado di rilevarle. Vedere Impostazioni proxy
automatiche per l'agente OfficeScan a pagina 14-53 per ulteriori informazioni.
14-52
Gestione dell'agente OfficeScan
AVVERTENZA!
Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di
aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie
impostazioni proxy.
Concessione dei privilegi di configurazione del proxy
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Privilegi e altre impostazioni.
4.
Nella scheda Privilegi, accedere alla sezione Privilegi impostazioni proxy.
5.
Selezionare Consente di configurare le impostazioni proxy.
6.
Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se
è stata selezionata l'icona del dominio principale, scegliere una delle opzioni
riportate di seguito:
) per includere
•
Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e
a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini
futuri sono i domini non ancora creati al momento della configurazione delle
impostazioni.
•
Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti
aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi
agenti aggiunti a un dominio esistente.
Impostazioni proxy automatiche per l'agente OfficeScan
La configurazione manuale delle impostazioni proxy può rivelarsi un'operazione
complessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per
14-53
Guida per l'amministratore di OfficeScan™ 11.0
garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'intervento
dell'utente.
Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principali
quando gli agenti OfficeScan aggiornano i componenti attraverso l'aggiornamento
automatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico o
su Aggiorna ora, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40.
Se gli agenti OfficeScan non riescono a collegarsi utilizzando le impostazioni proxy
automatiche, gli utenti degli agenti con i privilegi di configurazione delle impostazioni
proxy possono utilizzare le impostazioni proxy configurate dall'utente. Altrimenti, la
connessione attraverso le impostazioni proxy automatiche non riuscirà.
Nota
Autenticazione proxy non supportata.
Configurazione delle impostazioni automatiche del proxy
Procedura
1.
Accedere a Agenti > Impostazioni globali agente.
2.
Passare alla sezione Configurazione proxy.
3.
Selezionare Rileva automaticamente le impostazioni per consentire a
OfficeScan di rilevare automaticamente le impostazioni proxy configurate
dall'amministratore tramite DHCP o DNS.
4.
Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration)
impostato dall'amministratore di rete per rilevare il server proxy appropriato:
5.
14-54
a.
Selezionare Usa lo script di configurazione automatica.
b.
Digitare l'indirizzo dello script PAC.
Fare clic su Salva.
Gestione dell'agente OfficeScan
Visualizzazione delle informazioni dettagliate
sull'agente OfficeScan
La schermata Visualizza stato mostra importanti informazioni sugli agenti OfficeScan,
come privilegi, informazioni sul software dell'agente ed eventi di sistema.
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Stato.
4.
Visualizzare le informazioni di stato espandendo il nome dell'dispositivo agente. Se
sono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare le
informazioni di stato di tutti gli agenti selezionati.
5.
(Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischi
per la sicurezza.
) per includere
Importazione ed esportazione delle
impostazioni degli agenti
OfficeScan consente di esportare le impostazioni della struttura agente che un agente
OfficeScan o dominio specifico applica a un file. Il file può quindi essere importato per
applicare le impostazioni ad altri agenti o domini o a un altro server OfficeScan della
stessa versione.
Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delle
impostazioni di Update Agent.
14-55
Guida per l'amministratore di OfficeScan™ 11.0
Esportazione delle impostazioni dell'agente
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Esporta impostazioni.
4.
Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'agente
OfficeScan o del dominio selezionato.
5.
Fare clic su Esporta per salvare le impostazioni.
) per includere
Le impostazioni vengono salvate in un file .dat.
6.
Fare clic su Salva e specificare la posizione in cui salvare il file .dat.
7.
Fare clic su Salva.
Importazione delle impostazioni dell'agente
Procedura
1.
Accedere a Agenti > Gestione agente.
2.
Nella struttura dell'agente, fare clic sull'icona del dominio root (
tutti gli agenti oppure selezionare domini o agenti specifici.
3.
Fare clic su Impostazioni > Importa impostazioni.
4.
Fare clic su Sfoglia per individuare il file .dat nell'dispositivo, quindi fare clic su
Importa.
) per includere
Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogo
delle impostazioni.
14-56
Gestione dell'agente OfficeScan
5.
Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni di
scansione o dei privilegi da importare.
6.
Importare le impostazioni.
•
Se è stata selezionata l'icona del dominio principale, selezionare Applica a
tutti i domini, quindi fare clic su Applica alla destinazione.
•
Se sono stati selezionati i domini, selezionare Applica a tutti i computer che
appartengono ai domini selezionati, quindi fare clic su Applica alla
destinazione.
•
Se sono stati selezionati più agenti, fare clic su Applica alla destinazione.
Conformità sicurezza
Utilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione e
mantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempi
richiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibro
tra sicurezza e funzionalità.
La conformità di sicurezza può essere forzata sui due tipi di dispositivo riportati di
seguito:
•
Gestiti: dispositivo con agenti OfficeScan gestiti dal server OfficeScan. Per i
dettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58.
•
Non gestiti: comprende i seguenti elementi:
•
Agenti OfficeScan non gestiti dal server OfficeScan
•
Dispositivo senza agenti OfficeScan installati
•
Dispositivo non raggiungibili dal server OfficeScan
•
Dispositivo il cui stato di sicurezza non può essere verificato
Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina
14-70.
14-57
Guida per l'amministratore di OfficeScan™ 11.0
Conformità sicurezza per gli agenti gestiti
Conformità sicurezza genera una Segnalazione conformità che facilita la valutazione
dello stato di sicurezza degli agenti OfficeScan gestiti dal server OfficeScan. Conformità
sicurezza genera la segnalazione su richiesta o secondo un programma.
Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate di
seguito:
•
Servizi: usare questa scheda per verificare che i servizi degli agenti siano
funzionanti. Per i dettagli, consultare Servizi a pagina 14-59.
•
Componenti: usare questa scheda per verificare che i componenti degli agenti
siano aggiornati. Per i dettagli, consultare Componenti a pagina 14-60.
•
Compatibilità scansione: usare questa scheda per verificare che i client eseguano
regolarmente le scansioni. Per i dettagli, consultare Compatibilità scansione a pagina
14-62.
•
Impostazioni: usare questa scheda per verificare che l