Guida per l'amministratore Per medie e grandi aziende Trend Micro Incorporated si riserva il diritto di apportare modifiche a questa documentazione e al prodotto in essa descritti senza alcun obbligo di notifica. Prima dell'installazione e dell'utilizzo del prodotto, leggere con attenzione i file Readme, le note sulla versione corrente e l'ultima edizione della relativa documentazione, che sono disponibili nel sito Web di Trend Micro all'indirizzo: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Trend Micro, il logo Trend Micro della pallina con il disegno di una T, OfficeScan, Control Manager, Damage Cleanup Services, eManager, InterScan, Network VirusWall e TrendLabs sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari. Copyright © 2014. Trend Micro Incorporated. Tutti i diritti riservati. Codice documento: OSEM115885_130313 Data di pubblicazione: aprile 2014 Protetto da brevetto U.S.: 5,951,698 Questa documentazione introduce le funzion principali del prodotto e fornisce istruzioni sull'installazione in un ambiente di produzione. Prima di installare o utilizzare il prodotto, leggere attentamente questa documentazione. Informazioni dettagliate sull'uso di funzioni specifiche del prodotto sono disponibili nel centro di assistenza online di Trend Micro e/o nella Knowledge Base di Trend Micro. Trend Micro si impegna continuamente a migliorare la propria documentazione. Per domande, commenti o suggerimenti riguardanti questo o qualsiasi documento Trend Micro, scrivere all'indirizzo [email protected]. È possibile esprimere un giudizio sulla documentazione al seguente indirizzo: http://www.trendmicro.com/download/documentation/rating.asp Sommario Prefazione Prefazione ........................................................................................................... xi Documentazione di OfficeScan ..................................................................... xii Destinatari ......................................................................................................... xii Convenzioni utilizzate nella documentazione ............................................ xiii Terminologia .................................................................................................... xiv Parte I: Introduzione e informazioni preliminari Capitolo 1: Introduzione di OfficeScan Informazioni su OfficeScan .......................................................................... 1-2 Novità della versione ...................................................................................... 1-2 Principali funzioni e vantaggi ........................................................................ 1-9 Il server OfficeScan ...................................................................................... 1-12 Agente OfficeScan ........................................................................................ 1-13 Integrazione con i prodotti e i servizi Trend Micro ................................ 1-14 Capitolo 2: Informazioni preliminari su OfficeScan La console Web ............................................................................................... 2-2 Dashboard ....................................................................................................... 2-5 Strumento di migrazione del server ........................................................... 2-32 Active Directory Integration ....................................................................... 2-35 Struttura agente OfficeScan ........................................................................ 2-39 Domini OfficeScan ...................................................................................... 2-52 i Guida per l'amministratore di OfficeScan™ 11.0 Capitolo 3: Informazioni preliminari su Protezione dati Installazione di Protezione dati .................................................................... 3-2 Licenza di Protezione dati ............................................................................. 3-4 Implementazione di Protezione dati negli agenti OfficeScan .................. 3-6 Cartella dati forensi e database DLP ........................................................... 3-9 Disinstallazione di Protezione dati ............................................................. 3-15 Parte II: Protezione degli agenti OfficeScan Capitolo 4: Utilizzo di Trend Micro Smart Protection Informazioni su Trend Micro Smart Protection ........................................ 4-2 Servizi Smart Protection ................................................................................ 4-3 Origini Smart Protection ............................................................................... 4-6 File Smart Protection Pattern ....................................................................... 4-8 Impostazione dei servizi Smart Protection ............................................... 4-13 Utilizzo dei servizi Smart Protection ......................................................... 4-34 Capitolo 5: Installazione dell'agente OfficeScan Installazione da zero dell'agente OfficeScan .............................................. 5-2 Considerazioni sull'installazione ................................................................... 5-2 Considerazioni sull'implementazione ........................................................ 5-11 Migrazione all'agente OfficeScan ............................................................... 5-65 Post-installazione .......................................................................................... 5-70 Disinstallazione dell'agente OfficeScan ..................................................... 5-73 Capitolo 6: Come mantenere la protezione aggiornata Programmi e componenti di OfficeScan .................................................... 6-2 Panoramica sugli aggiornamenti ................................................................. 6-14 ii Sommario Aggiornamenti server OfficeScan .............................................................. 6-17 Aggiornamenti di Integrated Smart Protection Server ........................... 6-30 Aggiornamenti agente OfficeScan ............................................................. 6-30 Update Agent ................................................................................................ 6-58 Riepilogo aggiornamento componenti ...................................................... 6-67 Capitolo 7: Analisi dei rischi per la sicurezza Informazioni sui rischi per la sicurezza ....................................................... 7-2 Tipi di metodi di scansione ........................................................................... 7-8 Tipi di scansione ........................................................................................... 7-15 Impostazioni comuni a tutti i tipi di scansione ........................................ 7-28 Privilegi scansione e altre impostazioni ..................................................... 7-55 Impostazioni globali di scansione .............................................................. 7-70 Notifiche sui Rischi per la sicurezza .......................................................... 7-82 Registri dei rischi per la sicurezza .............................................................. 7-90 Rischi per la sicurezza ................................................................................ 7-104 Capitolo 8: Uso di Monitoraggio del comportamento Monitoraggio del comportamento ............................................................... 8-2 Configurazione delle impostazioni del monitoraggio del comportamento globale ............................................................................................................... 8-8 Privilegi di monitoraggio del comportamento ......................................... 8-10 Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan ..................................................................................................... 8-13 Registri di Monitoraggio del comportamento .......................................... 8-14 Capitolo 9: Utilizzo di Controllo dispositivo Controllo dispositivo ...................................................................................... 9-2 iii Guida per l'amministratore di OfficeScan™ 11.0 Autorizzazioni per dispositivi di archiviazione .......................................... 9-4 Autorizzazioni per dispositivi non di archiviazione ................................ 9-11 Modifica delle notifiche di controllo dispositivo ..................................... 9-18 Registri di controllo dispositivo ................................................................. 9-18 Capitolo 10: Utilizzo di Prevenzione perdita di dati Informazioni sulla Prevenzione perdita di dati ........................................ 10-2 Criteri di Prevenzione perdita di dati ......................................................... 10-3 Tipi di identificatore di dati ......................................................................... 10-5 Modelli di Prevenzione perdita di dati .................................................... 10-20 Canali DLP .................................................................................................. 10-25 Azioni di Prevenzione perdita di dati ...................................................... 10-37 Eccezioni di Prevenzione perdita di dati ................................................ 10-38 Configurazione dei criteri Prevenzione perdita di dati ......................... 10-44 Notifiche di Prevenzione perdita di dati ................................................. 10-49 Registri di Prevenzione perdita di dati .................................................... 10-53 Capitolo 11: Protezione dei computer dalle minacce Web Minacce Web ................................................................................................. 11-2 Servizi di avvisi contatti Command & Control ........................................ 11-2 Reputazione Web ......................................................................................... 11-4 Criteri di reputazione Web .......................................................................... 11-5 Servizio di connessione sospetta .............................................................. 11-12 Notifiche di minacce Web per utenti agente .......................................... 11-16 Configurazione delle notifiche di callback C&C per gli amministratori 11-18 Notifiche di avvisi contatti C&C per gli utenti degli agenti ................. 11-21 Registri delle minacce Web ....................................................................... 11-23 iv Sommario Capitolo 12: Utilizzo del firewall di OfficeScan Informazioni sul Firewall di OfficeScan ................................................... 12-2 Attivazione o disattivazione del Frewall di OfficeScan .......................... 12-6 Criteri e profili del firewall .......................................................................... 12-8 Privilegi firewall .......................................................................................... 12-23 Impostazioni firewall globali ..................................................................... 12-25 Notifiche di violazione del firewall per utenti agente OfficeScan ...... 12-28 Registri del firewall ..................................................................................... 12-29 Infezioni da violazione del firewall .......................................................... 12-31 Test del firewall OfficeScan ...................................................................... 12-32 Parte III: Gestione degli agenti e del server OfficeScan Capitolo 13: Gestione del server OfficeScan Role-based Administration (RBA) ............................................................. 13-2 Trend Micro Control Manager ................................................................. 13-22 Server di riferimento .................................................................................. 13-29 Impostazioni notifica amministratore ..................................................... 13-31 Registri eventi di sistema ........................................................................... 13-33 Gestione dei registri ................................................................................... 13-34 Licenze ......................................................................................................... 13-38 OfficeScan Database Backup ................................................................... 13-41 Strumento di migrazione SQL Server ..................................................... 13-42 Impostazioni connessione agente/server Web OfficeScan ................. 13-47 Password della console Web ..................................................................... 13-48 Autenticazione delle comunicazioni avviate dal server ........................ 13-48 v Guida per l'amministratore di OfficeScan™ 11.0 Impostazioni della console Web .............................................................. 13-53 Gestore della quarantena ........................................................................... 13-54 Server Tuner ................................................................................................ 13-55 Smart Feedback .......................................................................................... 13-58 Capitolo 14: Gestione dell'agente OfficeScan Posizione dispositivo ................................................................................... 14-2 Gestione del programma agente OfficeScan ............................................ 14-6 Connessione agente-server ....................................................................... 14-26 Impostazioni proxy agente OfficeScan ................................................... 14-50 Visualizzazione delle informazioni dettagliate sull'agente OfficeScan 14-55 Importazione ed esportazione delle impostazioni degli agenti ........... 14-55 Conformità sicurezza ................................................................................. 14-57 Supporto Trend Micro Virtual Desktop ................................................. 14-75 Impostazioni globali agente ...................................................................... 14-89 Configurazione dei privilegi dell'agente e altre impostazioni .............. 14-90 Parte IV: Protezione aggiuntiva Capitolo 15: Uso di Plug-in Manager Informazioni su Plug-in Manager .............................................................. 15-2 Installazione di Plug-in Manager ................................................................ 15-3 Gestione delle funzioni native di OfficeScan ........................................... 15-4 Gestione dei programmi plug-in ................................................................ 15-4 Disinstallazione di Plug-in Manager ........................................................ 15-12 Risoluzione dei problemi di Plug-in Manager ........................................ 15-12 Capitolo 16: Risorse per la risoluzione dei problemi Sistema di supporto intelligente ................................................................. 16-2 vi Sommario Case Diagnostic Tool ................................................................................... 16-2 Trend Micro Performance Tuning Tool ................................................... 16-2 Registri del server OfficeScan ..................................................................... 16-3 Registri dell'agente OfficeScan ................................................................. 16-15 Capitolo 17: Assistenza tecnica Risorse per la risoluzione dei problemi ..................................................... 17-2 Come contattare Trend Micro .................................................................... 17-4 Invio di contenuti sospetti a Trend Micro ................................................ 17-5 Other Resources ........................................................................................... 17-6 Appendici Appendice A: Supporto IPv6 in OfficeScan Supporto IPv6 per server OfficeScan e agenti .......................................... A-2 Configurazione indirizzi IPv6 ...................................................................... A-6 Schermate che visualizzano gli indirizzi IP ................................................ A-7 Appendice B: Supporto per Windows Server Core 2008/2012 Supporto per Windows Server Core 2008/2012 ...................................... B-2 Metodi di installazione per Windows Server Core ................................... B-2 Funzioni dell'agente OfficeScan su Windows Server Core ..................... B-6 Comandi di Windows Server Core .............................................................. B-7 Appendice C: Supporto per Windows 8/8.1 e Windows Server 2012 Informazioni su Windows 8/8.1 e Windows Server 2012 ...................... C-2 Internet Explorer 10/11 ............................................................................... C-4 vii Guida per l'amministratore di OfficeScan™ 11.0 Appendice D: Rollback di OfficeScan Rollback del server OfficeScan e degli agenti OfficeScan ...................... D-2 Appendice E: Glossario ActiveUpdate .................................................................................................. E-2 File compresso ............................................................................................... E-2 Cookie .............................................................................................................. E-2 Attacco DoS (Denial of Service) ................................................................. E-2 DHCP .............................................................................................................. E-3 DNS ................................................................................................................. E-3 Nome dominio ............................................................................................... E-3 Indirizzo IP dinamico ................................................................................... E-3 ESMTP ............................................................................................................ E-4 Contratto di licenza per l'utente finale ........................................................ E-4 Falso allarme ................................................................................................... E-4 FTP .................................................................................................................. E-4 GeneriClean .................................................................................................... E-4 Hot Fix ............................................................................................................ E-5 HTTP ............................................................................................................... E-5 HTTPS ............................................................................................................ E-6 ICMP ............................................................................................................... E-6 IntelliScan ........................................................................................................ E-6 IntelliTrap ....................................................................................................... E-7 IP ...................................................................................................................... E-7 File Java ........................................................................................................... E-7 LDAP .............................................................................................................. E-8 Porta di ascolto ............................................................................................... E-8 viii Sommario MCP Agent ..................................................................................................... E-8 Minaccia di tipo misto ................................................................................... E-9 NAT ................................................................................................................. E-9 NetBIOS ......................................................................................................... E-9 Comunicazione unidirezionale ..................................................................... E-9 Patch .............................................................................................................. E-10 Attacco di phishing ...................................................................................... E-10 Ping ................................................................................................................ E-11 POP3 ............................................................................................................. E-11 Server proxy .................................................................................................. E-11 RPC ................................................................................................................ E-11 Patch di protezione ...................................................................................... E-11 Service Pack .................................................................................................. E-12 SMTP ............................................................................................................. E-12 SNMP ............................................................................................................ E-12 Trap SNMP .................................................................................................. E-12 SOCKS 4 ....................................................................................................... E-12 SSL ................................................................................................................. E-13 Certificato SSL ............................................................................................. E-13 TCP ................................................................................................................ E-13 Telnet ............................................................................................................. E-13 Porta dei cavalli di Troia ............................................................................. E-14 Porta affidabile ............................................................................................. E-15 Comunicazione bidirezionale ..................................................................... E-16 UDP ............................................................................................................... E-16 File non disinfettabili ................................................................................... E-16 Indice ix Guida per l'amministratore di OfficeScan™ 11.0 Indice ............................................................................................................. IN-1 x Prefazione Prefazione Consultare la Guida per l'amministratore di Trend Micro™OfficeScan™. Questo documento contiene le informazioni introduttive e illustra le procedure per l'installazione dell'agente e di gestione dell'agente e del server OfficeScan. Di seguito sono riportati gli argomenti trattati: • Documentazione di OfficeScan a pagina xii • Destinatari a pagina xii • Convenzioni utilizzate nella documentazione a pagina xiii • Terminologia a pagina xiv xi Guida per l'amministratore di OfficeScan™ 11.0 Documentazione di OfficeScan La documentazione di OfficeScan comprende quanto segue: TABELLA 1. Documentazione di OfficeScan DOCUMENTAZIONE DESCRIZIONE Guida all'installazione e all'aggiornamento Un documento PDF che illustra i requisiti e le procedure di installazione del server OfficeScan e l'aggiornamento del server e degli agenti. Guida per l'amministratore Un documento PDF contenente le informazioni introduttive, le procedure per l'installazione dell'agente OfficeScan e la gestione dell'agente e del server OfficeScan. Guida File HTML compilati in formato WebHelp o CHM che forniscono procedure, consigli di utilizzo e informazioni specifiche. È possibile accedere alla Guida delle console di agenti e server OfficeScan e dall'installazione principale di OfficeScan. File Readme Contiene un elenco di problemi noti e la procedura di base per l'installazione. Contiene inoltre le informazioni più recenti sul prodotto che non è stato possibile inserire nella documentazione nel software né in quella stampata. Knowledge Base Un database online contenente informazioni utili per la risoluzione dei problemi. Fornisce le informazioni più recenti sui problemi noti riscontrati nell'utilizzo dei prodotti. Per accedere alla Knowledge Base, visitare il seguente sito Web: http://esupport.trendmicro.com Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per il download alla pagina seguente: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Destinatari La documentazione di OfficeScan è destinata agli utenti seguenti: xii Prefazione • Amministratori di OfficeScan: responsabili della gestione di OfficeScan, comprese le attività di gestione e installazione del server OfficeScan e dell'agente OfficeScan. Si presuppone che questi utenti abbiano conoscenze avanzate di reti e gestione dei server. • Utenti finali: utenti che hanno l'agente OfficeScan installato nei propri computer. Il livello di conoscenza dell'dispositivo di questi utenti varia da principiante a utente esperto. Convenzioni utilizzate nella documentazione Per facilitare l'individuazione e l'interpretazione delle informazioni, nella documentazione di OfficeScan vengono utilizzate le convenzioni illustrate di seguito: TABELLA 2. Convenzioni utilizzate nella documentazione CONVENZIONE DESCRIZIONE TUTTO MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti della tastiera. Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede, opzioni e attività. Corsivo Riferimenti ad altra documentazione o a componenti di nuova tecnologia. Agenti > Gestione agente Un "percorso di navigazione" che consente all'utente di raggiungere la schermata della console Web. Se sono presenti diversi percorsi, vuol dire che ci sono diversi modi per accedere alla stessa schermata. <Testo> Indica che il testo all'interno delle parentesi angolari deve essere sostituito da dati effettivi. Ad esempio, C:\Programmi \<nome_file> può corrispondere a C:\Programmi \esempio.jpg. Nota Indica note per la configurazione o raccomandazioni xiii Guida per l'amministratore di OfficeScan™ 11.0 CONVENZIONE DESCRIZIONE Suggerimento Indica informazioni su procedure ottimali e consigli di Trend Micro AVVERTENZA! Indica avvisi relativi ad attività che possono comportare danni per i computer della rete Terminologia La tabella riportata di seguito contiene la terminologia ufficiale utilizzata nella documentazione di OfficeScan: TABELLA 3. Terminologia di OfficeScan TERMINOLOGIA DESCRIZIONE Agente OfficeScan Il programma agente OfficeScan Dispositivo agente L'dispositivo dove è installato l'agente OfficeScan Utente agente (o utente) La persona che gestisce l'agente OfficeScan sull'dispositivo agente Server Il programma server OfficeScan Computer server L'dispositivo dove è installato il server OfficeScan Amministratore (o amministratore OfficeScan) La persona che gestisce il server OfficeScan Console L'interfaccia utente per configurare e gestire le impostazioni dell'agente e del server OfficeScan. La console del programma server OfficeScan è denominata "console Web", mentre la console del programma agente OfficeScan è denominata "console agente". xiv Prefazione TERMINOLOGIA DESCRIZIONE Rischio per la sicurezza Termine collettivo per virus/minacce informatiche, spyware/grayware e minacce Web Servizio licenza Comprende Antivirus, Damage Cleanup Services, Reputazione Web e Anti-spyware, —tutti attivati durante l'installazione del server OfficeScan Servizio OfficeScan Servizi gestiti tramite Microsoft Management Console (MMC). Ad esempio, ofcservice.exe, il Servizio principale OfficeScan. Programma Comprende l'agente OfficeScan e Plug-in Manager Componenti Consentono di analizzare, individuare ed eseguire operazioni contro i rischi per la sicurezza Cartella di installazione dell'agente La cartella dell'dispositivo che contiene i file dell'agente OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan Client C:\Programmi (x86)\Trend Micro\Client OfficeScan Cartella di installazione del server La cartella dell'dispositivo che contiene i file del server OfficeScan. Se durante l'installazione si accettano le impostazioni predefinite, la cartella di installazione si trova nei percorsi seguenti: C:\Programmi\Trend Micro\OfficeScan C:\Programmi (x86)\Trend Micro\OfficeScan Ad esempio, se un file specifico si trova in \PCCSRV nella cartella di installazione del server, il percorso completo del file è: C:\Programmi\Trend Micro\OfficeScan\PCCSRV \nome_file. Agente Smart Scan Qualsiasi agente OfficeScan configurato per utilizzare Smart Scan xv Guida per l'amministratore di OfficeScan™ 11.0 TERMINOLOGIA DESCRIZIONE Agente scansione convenzionale Qualsiasi agente OfficeScan configurato per utilizzare la scansione convenzionale Dual-stack Entità con indirizzi IPv4 e IPv6. Ad esempio: xvi • Dispositivo con indirizzi IPv4 e IPv6 • Agenti OfficeScan installati su dispositivo dual-stack • Update Agent che distribuiscono gli aggiornamenti agli agenti • Un server proxy dual-stack, come DeleGate, è in grado di convertire un indirizzo IPv4 in IPv6 e viceversa IPv4 puro Un'entità che ha solo un indirizzo IPv4 IPv6 puro Un'entità che ha solo un indirizzo IPv6 Soluzioni plug-in Programmi plug-in e funzioni di OfficeScan disponibili attraverso Plug-in Manager Parte I Introduzione e informazioni preliminari Capitolo 1 Introduzione di OfficeScan In questo capitolo viene illustrata una panoramica delle capacità e delle caratteristiche di Trend Micro™OfficeScan™. Di seguito sono riportati gli argomenti trattati: • Informazioni su OfficeScan a pagina 1-2 • Novità della versione a pagina 1-2 • Principali funzioni e vantaggi a pagina 1-9 • Il server OfficeScan a pagina 1-12 • Agente OfficeScan a pagina 1-13 • Integrazione con i prodotti e i servizi Trend Micro a pagina 1-14 1-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni su OfficeScan Trend Micro™ OfficeScan™ protegge le reti aziendali da minacce informatiche, virus di rete, minacce basate su Web, spyware e minacce di tipo misto. OfficeScan è una soluzione integrata che comprende un programma agente OfficeScan che risiede nell'dispositivo e un programma server che gestisce tutti gli agenti. L'agente OfficeScan controlla l'dispositivo e ne segnala lo stato di sicurezza al server. Il server, attraverso la console di gestione basata sul Web, permette di impostare criteri di sicurezza coordinati e di implementare gli aggiornamenti in ciascun agente. Trend Micro Smart Protection Network™, il componente principale di OfficeScan, è un'infrastruttura client cloud di prossima generazione che fornisce soluzioni per la sicurezza migliori rispetto agli approcci tradizionali. La tecnologia "in-the-cloud" unica e un agente leggero consentono di ridurre la dipendenza dai download dei pattern convenzionali e di eliminare i ritardi normalmente associati agli aggiornamenti dei desktop. Le aziende possono godere dei vantaggi offerti dalla maggiore ampiezza di banda della rete, dalla riduzione delle risorse necessarie e dei risparmi sui costi associati. Gli utenti sfruttano l'accesso immediato alla protezione più recente disponibile da qualsiasi località di accesso alla rete: all'interno della rete aziendale, a casa o in viaggio. Novità della versione Trend Micro OfficeScan comprende le nuove funzioni e i miglioramenti seguenti: Novità nella versione 11.0 Questa versione di OfficeScan include le nuove funzioni e i miglioramenti seguenti: TABELLA 1-1. Miglioramenti del server FUNZIONE Strumento di migrazione SQL Database 1-2 DESCRIZIONE Gli amministratori possono scegliere di migrare il database del server CodeBase® esistente su un database SQL Server. Per i dettagli, consultare Strumento di migrazione SQL Server a pagina 13-42. Introduzione di OfficeScan FUNZIONE Miglioramenti di Smart Protection Server Autenticazione del server DESCRIZIONE Questa versione di OfficeScan supporta la versione Smart Protection Server 3.0 aggiornata. Nella versione aggiornata di Smart Protection Server sono stati migliorati i pattern per Servizi di reputazione file. I file di pattern sono stati riprogettati per fornire i seguenti vantaggi: • Riduzione del consumo della memoria • Aggiornamenti dei pattern incrementali e rilevamento del pattern Servizi di reputazione file, con una notevole riduzione del consumo della larghezza di banda Le chiavi di autenticazione del server migliorate assicurano che tutte le comunicazioni da e verso il server siano sicure e affidabili. Per i dettagli, consultare Autenticazione delle comunicazioni avviate dal server a pagina 13-48. Miglioramento di Role-based Administration (RBA) Il miglioramento di Role-based administration semplifica il modo in cui gli amministratori configurano ruoli e account, rendendo l'integrazione con Trend Micro Control Manager™ più semplice. Requisiti del server Web È possibile integrare questa versione di OfficeScan con il server Web Apache 2.2.25. Riprogettazione dell'interfaccia del server OfficeScan L'interfaccia di OfficeScan è stata riprogettata per fornire un'esperienza più semplice e diretta. Tutte le funzioni disponibili nel server OfficeScan precedente sono tuttora presenti nella versione aggiornata. Per i dettagli, consultare Role-based Administration (RBA) a pagina 13-2. • Le voci di menu principali occupano meno spazio nelle schermate • Il menu "Preferiti" facilita l'accesso alle schermate utilizzate più frequentemente • Una visualizzazione con presentazione delle schede Dashboard consente di visualizzare i dati dei widget senza dover controllare manualmente la console 1-3 Guida per l'amministratore di OfficeScan™ 11.0 FUNZIONE DESCRIZIONE Guida online contestuale basata sul cloud La guida online basata sul cloud sensibile al contesto aiuta gli amministratori ad avere sempre le informazioni più aggiornate ogni volta che il sistema di guida viene aperto. Se la connessione a Internet non è disponibile, OfficeScan passa automaticamente al sistema di guida online locale fornito con il prodotto. Piattaforme e browser compatibili OfficeScan supporta i seguenti sistemi operativi: • Windows Server™ 2012 R2 (server e agente) • Windows 8.1 (solo agente) OfficeScan supporta il browser seguente: • Internet Explorer™ 11.0 TABELLA 1-2. Miglioramenti dell'agente FUNZIONE Ripristino Files in Quarantena DESCRIZIONE OfficeScan offre agli amministratori la possibilità di ripristinare file "sospetti" rilevati in precedenza e ne aggiunge altri agli elenchi "approvati" a livello di dominio, per impedire ulteriori azioni sui file. Se un file o un programma viene rilevato e messo in quarantena, gli amministratori possono ripristinare il file sugli agenti in modo globale o capillare. Gli amministratori possono usare lo strumento di verifica SHA1 per assicurarsi che i file da ripristinare non siano stati modificati in alcun modo. Dopo il ripristino, OfficeScan è in grado di aggiungere automaticamente i file agli elenchi di esclusione del dominio, escludendoli da ulteriori scansioni. Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45. 1-4 Introduzione di OfficeScan FUNZIONE Servizio di protezione avanzata DESCRIZIONE Il Servizio di protezione avanzata fornisce le seguenti nuove funzioni di scansione: • Prevenzione minaccia browser usa la tecnologia sandbox per provare il comportamento delle pagine Web in tempo reale e rilevare programmi o script dannosi prima che l'agente OfficeScan sia esposto a minacce. Per i dettagli, consultare Configurazione dei Criteri di reputazione Web a pagina 11-5. • La scansione della memoria migliorata funziona insieme a Monitoraggio del comportamento per individuare le varianti delle minacce informatiche durante le scansioni in tempo reale e intraprendere azioni di quarantena contro le minacce. Per i dettagli, consultare Impostazioni di scansione a pagina 7-29. 1-5 Guida per l'amministratore di OfficeScan™ 11.0 FUNZIONE Miglioramenti della protezione dati DESCRIZIONE Protezione dati OfficeScan è stata migliorata per fornire i seguenti vantaggi: • Data Discovery tramite l'integrazione con Control Manager™: gli amministratori possono configurare i criteri di Prevenzione perdita di dati su Control Manager per effettuare le scansioni delle cartelle sugli agenti OfficeScan per i file sensibili. Dopo aver rilevato dati sensibili all'interno di un file, Control Manager è in grado di registrare la posizione del file o, tramite l'integrazione con Crittografia dispositivo di Trend Micro, di crittografare automaticamente il file sull'agente OfficeScan. • Supporto giustificazione utente: gli amministratori possono consentire agli utenti di fornire un motivo che giustifichi il trasferimento di dati sensibili oppure possono essi stessi bloccare le trasmissioni. OfficeScan registra tutti i tentativi di trasferimento e i motivi forniti dall'utente. Per i dettagli, consultare Azioni di Prevenzione perdita di dati a pagina 10-37. • Supporto smartphone e tablet: Prevenzione perdita di dati e Controllo dispositivo ora possono monitorare e intraprendere azioni sui dati sensibili che vengono inviati ai dispositivi mobili oppure bloccare interamente l'accesso a questi ultimi. Per i dettagli, consultare Controllo dispositivo a pagina 9-2. 1-6 • Identificatore di dati e librerie dei modelli aggiornati: le librerie di Prevenzione perdita di dati sono state aggiornate con 2 nuovi elenchi di parole chiave e 93 nuovi modelli. • Integrazione dei registri di Controllo dispositivo con Control Manager™ Introduzione di OfficeScan FUNZIONE Miglioramento di Impostazioni connessione sospetta DESCRIZIONE Servizi di avvisi contatti Command & Control (C&C) è stato aggiornato per includere quanto segue: • Elenchi globali di indirizzi IP bloccati e approvati definiti dall'utente Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-13. • Impronta di rete della minaccia per rilevare i callback C&C • Configurazione delle azioni flessibile quando vengono rilevate connessioni sospette Per i dettagli, consultare Configurazione delle impostazioni di connessione sospetta a pagina 11-14. • Miglioramenti di Prevenzione delle infezioni I registri dell'agente e del server C&C registrano il processo responsabile per i callback C&C Prevenzione delle infezioni è stato migliorato per offrire protezione dalle seguenti minacce: • File compressi eseguibili Per i dettagli, consultare Divieto di accesso ai file compressi eseguibili a pagina 7-115. • Processi mutex Per i dettagli, consultare Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-114. 1-7 Guida per l'amministratore di OfficeScan™ 11.0 FUNZIONE Miglioramenti delle funzioni di protezione automatica DESCRIZIONE Le funzioni di protezione automatica disponibili in questa versione forniscono soluzioni per la sicurezza leggere e di alto livello, per la protezione sia del server sia dei programmi dell'agente OfficeScan. • Soluzione leggera: progettata per piattaforme server per proteggere il processo dell'agente OfficeScan e le chiavi di registro per impostazione predefinita, senza condizionare le prestazioni del server • Soluzione di alto livello: migliora la funzione di protezione automatica dell'agente disponibile nelle versioni precedenti, grazie a: • Autenticazione del comando IPC • Verifica e protezione dei file di pattern • Protezione dell'aggiornamento dei file di pattern • Protezione del processo Monitoraggio del comportamento Per i dettagli, consultare Protezione automatica dell'agente OfficeScan a pagina 14-13. 1-8 Introduzione di OfficeScan FUNZIONE Miglioramenti per il rilevamento e le prestazioni della scansione DESCRIZIONE • La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni volta che l'agente OfficeScan viene avviato. L'agente OfficeScan tiene traccia di tutte le modifiche ai file o alle cartelle verificatisi dalla rimozione dell'agente OfficeScan, eliminando questi file dalla cache. • Questa versione di OfficeScan include elenchi Approvati globali per i file di sistema Windows, file con firma digitale da origini affidabili e file sottoposti a test da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non esegue alcuna azione sul medesimo. • I miglioramenti di Damage Cleanup Services forniscono funzioni di rilevamento migliorate per le minacce rootkit nonché un numero ridotto di falsi positivi tramite la scansione GeneriClean aggiornata. • Le impostazioni dei file compressi sono divise tra scansioni su richiesta e scansioni in tempo reale, per un miglioramento delle prestazioni. Per i dettagli, consultare Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-74. • Riprogettazione dell'interfaccia dell'agente OfficeScan I registri su due livelli forniscono una visualizzazione più dettagliata per i rilevamenti che gli amministratori intendono esaminare ulteriormente. L'interfaccia dell'agente OfficeScan è stata riprogettata per fornire un'esperienza più diretta, facile e moderna. Tutte le funzioni disponibili nel programma client OfficeScan precedente sono tuttora presenti nella versione aggiornata. L'interfaccia aggiornata consente inoltre agli amministratori di "sbloccare" funzioni amministrative direttamente dalla console dell'agente OfficeScan, al fine di risolvere rapidamente i problemi senza l'apertura della console Web. Principali funzioni e vantaggi OfficeScan offre le funzioni e i vantaggi seguenti: 1-9 Guida per l'amministratore di OfficeScan™ 11.0 • Plug-In Manager e soluzioni plug-in Plug-in Manager consente l'installazione, l'implementazione e la gestione delle soluzioni plug-in. Gli amministratori possono installare due tipi di soluzioni plug-in: • • Programmi plug-in • Funzioni OfficeScan native Gestione centralizzata Una console di gestione basata su Web consente agli amministratori di accedere in modo trasparente a tutti gli agenti e server della rete. La console Web coordina l'implementazione automatica di criteri di sicurezza, file di pattern e aggiornamenti software su ciascun agente e server. Grazie ai servizi di prevenzione delle infezioni, arresta i vettori delle infezioni e implementa rapidamente i criteri di protezione specifici per attacco al fine di prevenire o contenere le infezioni prima che i file di pattern siano resi disponibili. OfficeScan esegue anche il monitoraggio in tempo reale, spedisce notifiche degli eventi e genera relazioni complete. Gli amministratori possono eseguire l'amministrazione in remoto, impostare criteri personalizzati per singoli desktop o gruppi e bloccare le impostazioni di sicurezza degli agenti. • Protezione contro i rischi per la sicurezza OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. Per contenere le infezioni, OfficeScan implementa i criteri di prevenzione delle infezioni e isola i computer infetti fino a quando sono completamente privi di rischi. OfficeScan utilizza Smart Scan per rendere il processo di scansione più efficiente. Questa tecnologia consente di scaricare un gran numero di firme precedentemente memorizzate negli dispositivo locali su Origini Smart Protection. Con questo approccio viene ridotto l'impatto sul sistema e sulla rete del volume sempre maggiore di aggiornamenti delle firme per i sistemi dispositivo. Per informazioni su Smart Scan e su come implementarlo sugli agenti, vedere Tipi di metodi di scansione a pagina 7-8. 1-10 Introduzione di OfficeScan • Damage Cleanup Services Damage Cleanup Services™ disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali) utilizzando un processo completamente automatizzato. Per affrontare le minacce e i fastidi provocati dai cavalli di Troia, Damage Cleanup Services effettua le seguenti operazioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia Poiché Damage Cleanup Services viene eseguito in background, non è necessario configurarlo. Gli utenti non si rendono neanche conto che il sistema è in funzione. Tuttavia, OfficeScan può a volte richiedere all'utente di riavviare l'dispositivo per completare il processo di rimozione di un cavallo di Troia. • Reputazione Web La tecnologia di reputazione Web protegge in modo proattivo i computer agenti all'interno o all'esterno della rete aziendale da siti Web dannosi e potenzialmente pericolosi. La reputazione Web spezza la catena dell'infezione e impedisce il download di codice dannoso. Per verificare la credibilità delle pagine e dei siti Web è sufficiente integrare OfficeScan con Smart Protection Server o con Trend Micro Smart Protection Network. • Firewall di OfficeScan Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. È possibile creare regole per filtrare le connessioni in base all'applicazione, all'indirizzo IP, al numero di porta o al protocollo e poi applicare tali regole a gruppi diversi di utenti. • Prevenzione perdita di dati 1-11 Guida per l'amministratore di OfficeScan™ 11.0 Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite accidentali o intenzionali. Prevenzione perdita di dati consente agli amministratori di: • • identificare le risorse digitali da proteggere • Creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio messaggi e-mail e dispositivi esterni • implementare la conformità alle norme vigenti sulla privacy Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. • Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli agenti alla ricerca di modifiche insolite al sistema operativo o al software installato. Il server OfficeScan Il server OfficeScan è la centrale che contiene tutte le configurazioni, i registri dei rischi per la sicurezza e gli aggiornamenti degli agenti. Il server esegue due importanti funzioni: • Installa, controlla e gestisce gli agenti OfficeScan. • Scarica la maggior parte dei componenti necessari agli agenti. Il server OfficeScan scarica i componenti dal server ActiveUpdate di Trend Micro e li distribuisce agli agenti. Nota Alcuni componenti vengono scaricati dalle origini Smart Protection. Per informazioni, vedere Origini Smart Protection a pagina 4-6. 1-12 Introduzione di OfficeScan FIGURA 1-1. Funzionamento del server OfficeScan Il server OfficeScan è in grado di garantire una comunicazione bidirezionale in tempo reale tra il server e gli agenti OfficeScan. Gli agenti sono gestiti da una console Web basata sul browser a cui l'amministratore può accedere virtualmente da qualsiasi punto della rete. Il server comunica con l'agente (e l'agente con il server) attraverso Hypertext Transfer Protocol (HTTP). Agente OfficeScan L'installazione dell'agente OfficeScan su ogni dispositivo con sistema operativo Windows consente di proteggere i computer dai rischi per la sicurezza. 1-13 Guida per l'amministratore di OfficeScan™ 11.0 L'agente OfficeScan invia quindi delle notifiche al server principale dal quale è stato installato. Configurare gli agenti per inviare le segnalazioni a un altro server utilizzando lo strumento Agent Mover. L'agente invia al server dati in tempo reale sugli eventi e sullo stato. Gli eventi segnalati sono ad esempio il rilevamento di virus e minacce informatiche, l'avvio e lo spegnimento dell'agente, l'avvio di una scansione o il completamento di un aggiornamento. Integrazione con i prodotti e i servizi Trend Micro OfficeScan si integra con i prodotti e servizi Trend Micro elencati nella tabella seguente. Affinché l'integrazione non presenti problemi, accertarsi che i prodotti siano eseguiti sulle versioni richieste o consigliate. TABELLA 1-3. Integrazione di prodotti e servizi con OfficeScan PRODOTTO/ SERVIZIO 1-14 DESCRIZIONE VERSIONE Server ActiveUpdate Fornisce tutti i componenti necessari agli agenti OfficeScan per proteggere gli agenti dalle minacce alla sicurezza Non pertinente Smart Protection Network Fornisce i Servizi di reputazione file e i Servizi di reputazione Web agli agenti. Non pertinente Smart Protection Network è gestito da Trend Micro. Introduzione di OfficeScan PRODOTTO/ SERVIZIO Smart Protection Server standalone DESCRIZIONE Fornisce gli stessi Servizi di reputazione file e Servizi di reputazione Web offerti da Smart Protection Network. VERSIONE • 3.0 • 6.0 SP1 Smart Protection Server standalone è inteso a localizzare il servizio per garantire una maggiore efficienza della rete aziendale. Nota Integrated Smart Protection Server viene installato con il server OfficeScan. Svolge le stesse funzioni del server standalone, ma le sue capacità sono più limitate. Control Manager Deep Discovery Advisor Una soluzione di gestione software che consente di controllare a livello centrale i programmi antivirus e di protezione dei contenuti, senza tenere conto della piattaforma o dell'ubicazione fisica del programma. Deep Discovery fornisce un monitoraggio globale della rete mediante sandboxing personalizzato e informazioni pertinenti in tempo reale, per consentire il rilevamento degli attacchi, implementare un contenimento rapido e offrire aggiornamenti di sicurezza personalizzati che migliorino tempestivamente la protezione contro ulteriori attacchi. (consigliato) • 6.0 • 5.5 SP1 3.0 e versione successiva 1-15 Capitolo 2 Informazioni preliminari su OfficeScan In questo capitolo vengono descritte le istruzioni preliminari per Trend Micro™OfficeScan™ e le impostazioni iniziali per la configurazione. Di seguito sono riportati gli argomenti trattati: • La console Web a pagina 2-2 • Dashboard a pagina 2-5 • Active Directory Integration a pagina 2-35 • Struttura agente OfficeScan a pagina 2-39 • Domini OfficeScan a pagina 2-52 2-1 Guida per l'amministratore di OfficeScan™ 11.0 La console Web La console Web è l'elemento centrale per il monitoraggio di in tutta la rete aziendale. La console ha una serie di impostazioni e valori predefiniti che possono essere configurati in base ai requisiti e alle specifiche di protezione. La console Web utilizza tecnologie Internet standard quali Java, CGI, HTML e HTTPS. Nota Configurare le impostazioni di timeout dalla console Web. Consultare Impostazioni della console Web a pagina 13-53. Utilizzare la console Web per eseguire le operazioni riportate di seguito: • Gestire gli agenti installati sui computer collegati in rete • Raggruppare gli agenti in domini logici per consentire configurazione e gestione simultanee • Impostare le configurazioni di scansione e avviare la scansione manuale su uno o più computer collegati in rete • Configurare le notifiche sui rischi per la sicurezza della rete e visualizzare i registri inviati dagli agenti • Configurare i criteri e le notifiche per le infezioni • Delegare operazioni di amministrazione della console Web ad altri amministratori OfficeScan mediante la configurazione di ruoli e account utente • Accertarsi che gli agenti siano conformi con le linee guida sulla sicurezza Nota La console Web non è supportata da Windows 8, 8.1 o Windows Server 2012 in modalità interfaccia utente di Windows. 2-2 Informazioni preliminari su OfficeScan Requisiti per l'apertura della console Web Aprire la console Web da un dispositivo della rete che abbia i requisiti riportati di seguito: • Processore Intel ™ Pentium™ da 300 MHz o equivalente • 128 MB di RAM • Almeno 30 MB di spazio disponibile su disco • Monitor che supporti la risoluzione 1024 x 768 a 256 colori o superiore • Microsoft Internet Explorer™ 8.0 o versione successiva Nota Per la visualizzazione della console Web, OfficeScan supporta solo il traffico HTTPS. Nel browser Web, immettere nella barra dell'indirizzo uno degli indirizzi seguenti, a seconda del tipo di installazione prevista per il server OfficeScan: TABELLA 2-1. URL della console Web OfficeScan TIPO DI INSTALLAZIONE URL Senza SSL su un sito predefinito https://<server OfficeScan FQDN o indirizzo IP>/OfficeScan Senza SSL su un sito virtuale https://<server OfficeScan FQDN o indirizzo IP>:<numero di porta HTTP>/OfficeScan Con SSL su un sito predefinito https://<server OfficeScan FQDN o indirizzo IP>/OfficeScan Con SSL su un sito virtuale https://<server OfficeScan FQDN o indirizzo IP>/OfficeScan 2-3 Guida per l'amministratore di OfficeScan™ 11.0 Nota Se è stato effettuato l'aggiornamento da una versione precedente di OfficeScan, il browser Web e i file della cache del server proxy potrebbero impedire il corretto caricamento della console Web OfficeScan. Cancellare la memoria della cache sul browser e su qualunque server proxy che si trova tra il server OfficeScan e l'dispositivo usato per accedere alla console Web. Account di accesso Durante l'installazione del server OfficeScan il programma crea un account principale (root) e richiede di digitare la password per tale account. Quando si apre la console Web per la prima volta, digitare "root" come nome utente e come password dell'account principale (root). Qualora si dimenticasse la password, contattare l'assistenza tecnica per reimpostarla. Definire i ruoli utente e impostare gli account utente per consentire ad altri utenti di accedere alla console Web senza utilizzare l'account principale (root). Quando gli utenti accedono alla console possono utilizzare gli account utente impostati per loro. Per ulteriori informazioni, consultare Role-based Administration (RBA) a pagina 13-2. Il banner della console Web L'area del banner della console Web presenta le opzioni riportate di seguito: FIGURA 2-1. Area banner della console Web • Supporto: visualizza la pagina Web dell'assistenza Trend Micro, dove si possono inviare domande e trovare risposte a quesiti generici sui prodotti Trend Micro • Altro • 2-4 Enciclopedia delle minacce: visualizza il sito Web Enciclopedia delle minacce, archivio di Trend Micro per le informazioni relative alle minacce informatiche. Gli esperti Trend Micro sulle minacce pubblicano regolarmente Informazioni preliminari su OfficeScan rilevamenti di minacce informatiche, spam, URL dannosi e vulnerabilità. L'Enciclopedia delle minacce illustra inoltre gli attacchi Web di alto profilo e fornisce informazioni correlate. • Trova un rivenditore: visualizza il sito Web Trend Micro Contatti con informazioni sulle sedi in tutto il mondo. • Informazioni su: fornisce una panoramica del prodotto, le istruzioni per controllare i dettagli della versione dei componenti e un collegamento a Sistema di supporto intelligente. Per i dettagli, consultare Sistema di supporto intelligente a pagina 16-2. • <nome account>: fare clic sul nome account (ad esempio, root) per modificare i dettagli dell'account, ad esempio la password. • Disconnetti: consente di disconnettersi dalla console Web Dashboard La Dashboard viene visualizzata quando si apre la console Web OfficeScan o si fa clic su Dashboard nel menu principale. Ciascun account utente della console Web ha una dashboard completamente indipendente. Qualunque modifica alla dashboard di un account utente non riguarda le dashboard di altri account utente. Se una dashboard contiene i dati dell'agente OfficeScan, i dati che vengono visualizzati dipendono dalle autorizzazioni del dominio agente per l'account utente. Ad esempio, se vengono concesse autorizzazioni ad un account utente per la gestione dei domini A e B, la dashboard dell'account utente visualizzerà solamente i dati degli agenti appartenenti ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 13-2. La schermata Dashboard contiene: • Sezione dello stato della licenza del prodotto • Widget 2-5 Guida per l'amministratore di OfficeScan™ 11.0 • Schede Sezione dello stato della licenza del prodotto Questa sezione si trova nella parte superiore della dashboard e visualizza lo stato delle licenze OfficeScan. FIGURA 2-2. Sezione dello stato della licenza del prodotto Nei seguenti casi verranno visualizzati dei promemoria sullo stato delle licenze: • • 2-6 Se si dispone di una licenza per la versione completa: • 60 giorni prima della scadenza della licenza • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei computer utilizzando componenti obsoleti. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Se si dispone di una licenza per la versione di prova: • 14 giorni prima della scadenza della licenza • Alla scadenza della licenza. In questo periodo OfficeScan disattiva l'aggiornamento dei componenti, la scansione e tutte le funzionalità degli agenti. Informazioni preliminari su OfficeScan Se si dispone di un codice di attivazione, rinnovare una licenza accedendo a Amministrazione > Impostazioni > Licenza del prodotto. Barre delle informazioni sul prodotto OfficeScan visualizza una serie di messaggi nella parte superiore della schermata Dashboard che forniscono informazioni aggiuntive per gli amministratori. Le informazioni visualizzate includono: • Service pack o patch più recenti disponibili per OfficeScan Nota Fare clic su Ulteriori informazioni per scaricare la patch dal Centro download Trend Micro (http://downloadcenter.trendmicro.com/?regs=IT). • Nuovi widget disponibili • Notifiche dei certificati di autenticazione quando il certificato corrente scade o quando non è presente un backup • Notifiche per i contratti di manutenzione quando la data di scadenza del contratto è prossima • Notifiche per le modalità di valutazione • Notifiche di autenticità Nota Se la licenza usata per OfficeScan non è originale, verrà visualizzato un messaggio di informazioni. Se non si riceve una licenza originale, OfficeScan visualizza un avviso e interrompe l'esecuzione degli aggiornamenti. Schede e widget I widget sono i componenti principali della dashboard. I widget forniscono informazioni specifiche relative a vari eventi legati alla sicurezza. Alcuni consentono di eseguire determinate operazioni, quali l'aggiornamento di componenti obsoleti. 2-7 Guida per l'amministratore di OfficeScan™ 11.0 Le informazioni che i widget visualizzano provengono da: • Agenti e server OfficeScan • Soluzioni plug-in e relativi agenti • Trend Micro Smart Protection Network Nota Attivare Smart Feedback per visualizzare i dati da Smart Protection Network. Per ulteriori informazioni su Smart Feedback, vedere Smart Feedback a pagina 13-58. Le schede forniscono un contenitore per i widget. La Dashboard supporta fino a 30 schede. Utilizzo delle schede Gestire le schede effettuando le seguenti operazioni: TABELLA 2-2. Operazioni schede OPERAZIONE Aggiungere una nuova scheda PASSAGGI 1. Fare clic sull'icona di aggiunta sulla parte superiore della dashboard. Viene visualizzata una nuova schermata. 2. Inserire le seguenti informazioni. 3. 2-8 • Titolo: il nome della scheda • Layout: scegliere uno dei layout disponibili • Adatta automaticamente: attivare Adatta automaticamente se si seleziona un layout con diverse ") e ciascuna casella conterrà solo un caselle (quali " widget. Adatta automaticamente modifica i widget per adattare le dimensioni a quelle di una casella. Fare clic su Salva. Informazioni preliminari su OfficeScan OPERAZIONE Modificare le impostazioni della scheda PASSAGGI 1. Fare clic su Impostazioni scheda sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 2. Modificare il nome della scheda, il layout e le impostazioni di adattamento automatico. 3. Fare clic su Salva. Spostare una scheda Usare la funzionalità di trascinamento per cambiare la posizione della scheda. Eliminare una scheda Fare clic sull'icona di eliminazione accanto al titolo della scheda. Eliminare una scheda comporta l'eliminazione di tutti i widget della scheda. Utilizzo dei Widget Gestire i widget effettuando le seguenti operazioni: TABELLA 2-3. Operazioni widget OPERAZIONE Scorri schede automaticamente PASSAGGI Fare clic su Scorri schede automaticamente per spostarsi automaticamente tra le visualizzazioni delle schede. 2-9 Guida per l'amministratore di OfficeScan™ 11.0 OPERAZIONE Aggiungere un nuovo widget PASSAGGI 1. Fare clic sulla scheda. 2. Fare clic su Aggiungi widget sull'angolo in alto a destra della scheda. Viene visualizzata una nuova schermata. 3. Selezionare i widget da aggiungere. Per un elenco dei widget disponibili, vedere Widget disponibili a pagina 2-12. • Fare clic sulle icone di visualizzazione ( ) nella sezione superiore della schermata per passare da Visualizzazione dettagliata a Visualizzazione di riepilogo. 4. • Le categorie di widget si trovano alla sinistra della schermata. Selezionare una categoria per restringere le selezioni. • Utilizzare la casella di testo per la ricerca sull parte superiore della schermata per cercare un widget specifico. Fare clic su Aggiungi. Spostare un widget Utilizzare la funzionalità di trascinamento per spostare i widget in diverse posizioni all'interno della scheda. Ridimensionare un widget Ridimensionare i widget su di una scheda multicolonna puntando il cursore sul bordo del widget e muovendolo verso destra o sinistra. Modificare il titolo del widget 1. Fare clic sull'icona di modifica ( ). Viene visualizzata una nuova schermata. 2. Immettere il nuovo titolo. Nota Per alcuni widget, quali OfficeScan e Plug-in Mashup, le voci relative ai widget possono essere modificate. 3. 2-10 Fare clic su Salva. Informazioni preliminari su OfficeScan OPERAZIONE PASSAGGI Aggiornare i dati del widget Fare clic sull'icona di aggiornamento ( Eliminare un widget Fare clic sull'icona di eliminazione ( ). ). Schede e widget predefiniti La Dashboard viene fornita con un set di schede e widget predefiniti. È possibile rinominare o eliminare le schede e i widget. TABELLA 2-4. Schede predefinite nella Dashboard SCHEDA OfficeScan OfficeScan e plug-in DESCRIZIONE WIDGET Questa scheda contiene le stesse informazioni trovate nella schermata Dashboard nelle precedenti versioni di OfficeScan. In questa scheda è possibile visualizzare la protezione dai rischi per la sicurezza globale della rete OfficeScan. Inoltre, è possibile effettuare delle azioni su voci che richiedono un intervento immediato, quali le infezioni o i componenti obsoleti. • Widget Agenti antivirus connessi a pagina 2-15 • Widget Rilevamenti dei rischi per la sicurezza a pagina 2-19 • Widget Infezioni a pagina 2-19 • Widget Aggiornamenti agente a pagina 2-22 Questa scheda mostra quali agenti eseguono l'agente OfficeScan e le soluzioni plug-in. Utilizzare questa scheda per valutare lo stato di sicurezza complessivo degli agenti. Widget OfficeScan e Plug-ins Mashup a pagina 2-23 2-11 Guida per l'amministratore di OfficeScan™ 11.0 SCHEDA Smart Protection Network DESCRIZIONE WIDGET Questa scheda contiene informazioni per Trend Micro Smart Protection Network, che fornisce Servizi di reputazione file e Servizi di reputazione Web agli agenti OfficeScan. • Widget Origini delle minacce principali della reputazione Web a pagina 2-29 • Widget Principali utenti minacciati della reputazione Web a pagina 2-30 • Widget Mappa delle minacce della reputazione file a pagina 2-31 Widget disponibili In questa versione sono disponibili i seguenti widget: TABELLA 2-5. Widget disponibili NOME WIDGET Agenti antivirus connessi DISPONIBILITÀ Disponibilità standard Per i dettagli, consultare Widget Agenti antivirus connessi a pagina 2-15. Rilevamenti dei rischi per la sicurezza Infezioni Disponibilità standard Per i dettagli, consultare Widget Rilevamenti dei rischi per la sicurezza a pagina 2-19. Disponibilità standard Per i dettagli, consultare Widget Infezioni a pagina 2-19. Aggiornamenti agente Disponibilità standard Per i dettagli, consultare Widget Aggiornamenti agente a pagina 2-22. 2-12 Informazioni preliminari su OfficeScan NOME WIDGET OfficeScan e Plug-ins Mashup DISPONIBILITÀ Disponibilità standard ma solo con visualizzazione dei dati sugli agenti OfficeScan I dati provenienti dalle seguenti soluzioni plug-in sono disponibili successivamente all'attivazione di ciascuna soluzione: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Per i dettagli, consultare Widget OfficeScan e Plug-ins Mashup a pagina 2-23. Incidenti di Prevenzione perdita di dati principali Disponibile dopo l'attivazione di Protezione dati OfficeScan Per i dettagli, consultare Widget Incidenti di Prevenzione perdita di dati principali a pagina 2-24. Incidenti di Prevenzione perdita di dati per periodo di tempo Disponibile dopo l'attivazione di Protezione dati OfficeScan Origini delle minacce principali della reputazione Web Disponibilità standard Principali utenti minacciati della reputazione Web Disponibilità standard Mappa delle minacce della reputazione file Disponibilità standard Eventi di callback C&C Per i dettagli, consultare Widget Incidenti di Prevenzione perdita di dati per periodo di tempo a pagina 2-26. Per i dettagli, consultare Widget Origini delle minacce principali della reputazione Web a pagina 2-29. Per i dettagli, consultare Widget Principali utenti minacciati della reputazione Web a pagina 2-30. Per i dettagli, consultare Widget Mappa delle minacce della reputazione file a pagina 2-31. Disponibilità standard Per i dettagli, consultare Widget Eventi di callback C&C a pagina 2-27. 2-13 Guida per l'amministratore di OfficeScan™ 11.0 NOME WIDGET IDF - Stato di avviso IDF - Stato del computer DISPONIBILITÀ Disponibile successivamente all'attivazione di Intrusion Defense Firewall. Fare riferimento alla documentazione di IDF per i dettagli relativi a questi widget. IDF - Cronologia eventi della rete IDF - Cronologia eventi del sistema Widget Connettività agente e server Il widget Connettività agente e server visualizza lo stato della connettività di tutti gli agenti con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di ). visualizzazione ( FIGURA 2-3. Widget Connettività agente e server che visualizza una tabella 2-14 Informazioni preliminari su OfficeScan Widget Agenti antivirus connessi Il widget Agenti antivirus connessi visualizza lo stato della connettività degli agenti antivirus con il server OfficeScan. I dati vengono visualizzati in una tabella e in un grafico a torta. È possibile passare dalla tabella al grafico a torta facendo clic sulle icone di visualizzazione ( ). FIGURA 2-4. Widget Agenti antivirus connessi che visualizza una tabella Widget Agenti antivirus connessi sotto forma di tabella La tabella suddivide gli agenti per metodi di scansione. Se il numero degli agenti per un determinato stato è 1 o maggiore, è possibile fare clic sul numero per visualizzarli nella struttura agente. È possibile avviare delle operazioni su tali agenti o modificare le relative impostazioni. 2-15 Guida per l'amministratore di OfficeScan™ 11.0 Per visualizzare solo gli agenti che utilizzano un particolare metodo di scansione, fare clic su Tutti, quindi selezionare il metodo di scansione. FIGURA 2-5. Stato della connessione degli agenti con scansione convenzionale FIGURA 2-6. Stato della connessione degli agenti con Smart Scan 2-16 Informazioni preliminari su OfficeScan Se si seleziona Smart Scan: • La tabella riporta gli agenti Smart Scan online in base allo stato di connessione con gli Smart Protection Server. Nota Solo gli agenti online possono segnalare lo stato di connessione con Smart Protection Server. Se gli agenti non sono connessi a uno Smart Protection Server, ripristinare la connessione tramite l'esecuzione della procedura descritta in Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-40. • Ciascun Smart Protection Server è un URL che, una volta selezionato, avvia la console del server. • Se sono presenti più Smart Protection Server, fare clic su ALTRO. Viene visualizzata una nuova schermata con tutti gli Smart Protection Server. FIGURA 2-7. Elenco Smart Protection Server In questa schermata, è possibile: • Visualizzare tutti gli Smart Protection Server a cui si connettono gli agenti e i numeri di agenti connessi a ciascun server. Se si fa clic sul numero viene aperta la struttura agente dove è possibile gestire le impostazioni degli agenti. 2-17 Guida per l'amministratore di OfficeScan™ 11.0 • Avviare la console di un server facendo clic sul collegamento del server Widget Agenti antivirus connessi sotto forma di grafico a torta Il grafico a torta visualizza solamente il numero di agenti per ciascuno stato e non li suddivide in base ai metodi di scansione. Facendo clic su uno stato lo si separa, o lo si ricongiunge, alla restante porzione del grafico. FIGURA 2-8. Widget Agenti antivirus connessi che visualizza un grafico a torta 2-18 Informazioni preliminari su OfficeScan Widget Rilevamenti dei rischi per la sicurezza Il widget Rilevamenti rischi per la sicurezza visualizza il numero di rischi per la sicurezza e di dispositivi infetti. FIGURA 2-9. Widget Rilevamenti dei rischi per la sicurezza Se il numero degli dispositivi infetti è 1 o maggiore, è possibile fare clic sul numero per visualizzarli nella struttura agente. È possibile avviare delle operazioni sugli agenti presenti su tali dispositivo o modificare le relative impostazioni. Widget Infezioni Il widget Infezioni informa sullo stato delle attuali infezioni e sull'ultimo avviso di infezione. FIGURA 2-10. Widget Infezioni 2-19 Guida per l'amministratore di OfficeScan™ 11.0 In questo widget è possibile: • Visualizzare i dettagli dell'infezione, facendo clic sul collegamento data/ora dell'avviso. • Quando OfficeScan rileva un'infezione, reimpostare lo stato delle informazioni sull'avviso di infezione e implementare immediatamente le misure di prevenzione delle infezioni. Per ulteriori informazioni sull'implementazione delle misure di prevenzione delle infezioni, vedere Criteri per la prevenzione delle infezioni a pagina 7-110. • Fare clic su Visualizza statistiche sui primi 10 rischi per la sicurezza per visualizzare i principali rischi sulla sicurezza, i computer con il maggior numero di 2-20 Informazioni preliminari su OfficeScan rischi sulla sicurezza e le origini di infezione principali. Viene visualizzata una nuova schermata. FIGURA 2-11. Schermata Statistiche sui primi 10 rischi per la sicurezza per gli dispositivo collegati in rete Nella schermata Statistiche sui primi 10 rischi per la sicurezza è possibile: • Visualizzare delle informazioni dettagliate sui rischi per la sicurezza facendo clic su un nome di un rischio per la sicurezza. • Visualizzare lo stato generale di un determinato dispositivo facendo clic sul nome dell'dispositivo. • Per visualizzare i registri dei rischi per la sicurezza relativi a un dispositivo, fare clic su Visualizza in corrispondenza del nome dell'dispositivo. 2-21 Guida per l'amministratore di OfficeScan™ 11.0 • Reimpostare le statistiche di ciascuna tabella, facendo clic su Reimposta conteggio. Widget Aggiornamenti agente Il widget Aggiornamenti agente visualizza i componenti e i programmi che proteggono gli dispositivo collegati in rete contro i rischi per la sicurezza. FIGURA 2-12. Widget Aggiornamenti agente In questo widget è possibile: • Visualizzare la versione attuale di ciascun componente. • Visualizzare il numero di agenti con componenti obsoleti nella colonna Non aggiornato. Se sono presenti agenti che devono essere aggiornati, fare clic sul collegamento numerico per avviare l'aggiornamento. • Per ciascun programma, visualizzare gli agenti che non sono stati aggiornati facendo clic sul collegamento numerico corrispondente al programma. 2-22 Informazioni preliminari su OfficeScan Widget OfficeScan e Plug-ins Mashup Il widget OfficeScan e Plug-ins Mashup combina i dati degli agenti OfficeScan e dei programmi di plug-in installati e li visualizza in una struttura agente. Questo widget aiuta a valutare rapidamente la copertura di protezione sugli agenti e riduce il sovraccarico richiesto per la gestione dei programmi di plug-in individuali. FIGURA 2-13. Widget OfficeScan e Plug-ins Mashup Questo widget visualizza i dati per i seguenti programmi di plug-in: • Firewall di difesa dalle intrusioni • Supporto Trend Micro Virtual Desktop Questi programmi di plug-in devono essere attivati affinché il widget mashup possa visualizzare i dati. Se sono disponibili versioni più aggiornate, eseguire l'aggiornamento dei programmi di plug-in. In questo widget è possibile: • Scegliere le colonne visualizzate nella struttura agente. Fare clic sull'icona di ) sull'angolo in alto a destra del widget, quindi selezionare le colonne modifica ( nella schermata visualizzata. 2-23 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 2-6. Colonne OfficeScan e Plug-ins Mashup NOME COLONNA Nome computer DESCRIZIONE Nome Dispositivo Questa colonna è sempre disponibile e non può essere rimossa. Gerarchia dominio Il dominio dell'dispositivo nella struttura agente OfficeScan. Stato della connessione La connettività degli agenti OfficeScan con il relativo server OfficeScan principale. Virus/minacce informatiche Il numero di virus e minacce informatiche rilevati dall'agente OfficeScan Spyware/Grayware Il numero di spyware e grayware rilevati dall'agente OfficeScan Supporto VDI Indica se l'dispositivo è una macchina virtuale. Profilo sicurezza IDF Fare riferimento alla documentazione di IDF per i dettagli relativi a queste colonne e ai relativi dati. Firewall IDF Stato IDF DPI IDF • Fare doppio clic sui dati nella tabella Se si fa doppio clic sui dati OfficeScan, verrà visualizzata la struttura agente OfficeScan. Se si fa doppio clic sui dati dei programmi di plug-in (ad eccezione dei dati della colonna Supporto VDI), verrà visualizzata la schermata principale dei programmi di plug-in. • Utilizzare la funzionalità di ricerca per trovare dispositivo individuali. È possibile immettere il nome completo o una parte del nome dell'host. Widget Incidenti di Prevenzione perdita di dati principali Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. 2-24 Informazioni preliminari su OfficeScan Questo widget mostra il numero di trasmissioni di risorse digitali, indipendentemente dall'azione (blocca o ignora). FIGURA 2-14. Widget Incidenti di Prevenzione perdita di dati principali Per visualizzare i dati: 1. 2. Selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Dopo aver selezionato il periodo di tempo, scegliere tra: • Utente: utenti che hanno trasmesso risorse digitali con maggiore frequenza • Canale: canali usati per trasmettere risorse digitali con maggiore frequenza • Modello: modelli di risorse digitali che hanno avviato la maggior parte dei rilevamenti • Computer: computer che hanno trasmesso risorse digitali con maggiore frequenza 2-25 Guida per l'amministratore di OfficeScan™ 11.0 Nota Questo widget visualizza al massimo 10 utenti, canali, modelli o computer. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo Questo widget è disponibile solo se viene attivata la Protezione dati OfficeScan. Questo widget traccia il numero di trasmissioni di risorse digitali in un determinato periodo di tempo. Le trasmissioni includono quelle che sono bloccate o ignorate (consentite). FIGURA 2-15. Widget Incidenti di Prevenzione perdita di dati per periodo di tempo Per visualizzare i dati, selezionare un periodo di tempo per i rilevamenti. Sono disponibili le opzioni illustrate di seguito. • Oggi: rilevamenti delle ultime 24 ore, inclusa l'ora corrente • 1 settimana: rilevamenti degli ultimi 7 giorni, incluso il giorno corrente 2-26 Informazioni preliminari su OfficeScan • 2 settimane: rilevamenti degli ultimi 14 giorni, incluso il giorno corrente • 1 mese: rilevamenti degli ultimi 30 giorni, incluso il giorno corrente Widget Eventi di callback C&C Il widget Eventi di callback C&C mostra tutte le informazioni sugli eventi di callback C&C, compresa la destinazione dell'attacco e l'indirizzo di callback dell'origine. Gli amministratori possono scegliere di visualizzare le informazioni di callback C&C da un elenco di server C&C specifici. Per selezionare l'origine dell'elenco (Global Intelligence, Virtual Analyzer), fare clic sull'icona di modifica ( ) e selezionare l'elenco dal menu a discesa Origine elenco C&C. Visualizzare i dati di callback C&C selezionando quanto segue: • Host compromesso: visualizza le informazioni C&C più recenti per per ciascun dispositivo di destinazione FIGURA 2-16. Widget Eventi di callback C&C che mostra le informazioni della destinazione TABELLA 2-7. Informazioni host compromesso COLONNA Host compromesso DESCRIZIONE Nome dell'dispositivo destinazione dell'attacco C&C 2-27 Guida per l'amministratore di OfficeScan™ 11.0 COLONNA DESCRIZIONE Indirizzo di callback Numero di indirizzi di callback che l'dispositivo ha tentato di contattare Ultimo indirizzo di callback Ultimo indirizzo di callback che l'dispositivo ha tentato di contattare Tentativi di callback Numero di tentativi da parte dell'dispositivo di destinazione di contattare l'indirizzo di callback Nota Fare clic sul collegamento ipertestuale per aprire la schermata Registri dei callback C&C e per visualizzare informazioni più dettagliate. • Indirizzo di callback: visualizza le informazioni C&C più recenti per ciascun indirizzo di callback C&C FIGURA 2-17. Widget Eventi di callback C&C che mostra le informazioni sull'indirizzo di callback 2-28 Informazioni preliminari su OfficeScan TABELLA 2-8. Informazioni sull'indirizzo C&C COLONNA DESCRIZIONE Indirizzo di callback Indirizzo di callback C&C originato dalla rete Livello di rischio C&C Livello di rischio dell'indirizzo di callback determinato dall'elenco Global Intelligence o Virtual Analyzer Host compromessi Numero di dispositivo di destinazione dell'indirizzo di callback Ultimo host compromesso Nome dell'ultimo dispositivo che ha tentato di contattare l'indirizzo di callback C&C Tentativi di callback Numero di tentativi di callback effettuati dalla rete verso l'indirizzo Nota Fare clic sul collegamento ipertestuale per aprire la schermata Registri dei callback C&C e per visualizzare informazioni più dettagliate. Widget Origini delle minacce principali della reputazione Web Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una 2-29 Guida per l'amministratore di OfficeScan™ 11.0 mappa mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. FIGURA 2-18. Widget Origini delle minacce principali della reputazione Web Widget Principali utenti minacciati della reputazione Web Questo widget visualizza il numero di utenti con URL dannosi rilevati dai Servizi di reputazione Web. Le informazioni sono visualizzate su una mappa mondiale in base alla 2-30 Informazioni preliminari su OfficeScan località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. FIGURA 2-19. Widget Principali utenti minacciati della reputazione Web Widget Mappa delle minacce della reputazione file Questo widget visualizza il numero totale di rilevamenti di minacce per la sicurezza effettuati dai Servizi di reputazione file. Le informazioni sono visualizzate su una mappa 2-31 Guida per l'amministratore di OfficeScan™ 11.0 mondiale in base alla località geografica. Per assistenza nell'utilizzo di questo widget, fare clic sul pulsante Guida ( ) nella parte superiore del widget. FIGURA 2-20. Widget Mappa delle minacce della reputazione file Strumento di migrazione del server OfficeScan fornisce lo Strumento di migrazione del server, che consente agli amministratori di copiare le impostazioni OfficeScan dalle versioni precedenti alla versione corrente. Lo Strumento di migrazione del server esegue la migrazione delle impostazioni seguenti: 2-32 • Strutture dei domini • Impostazioni aggiuntive del servizio* • Impostazioni scansione manuale* • Elenco approvati spyware/grayware* Informazioni preliminari su OfficeScan • Impostazioni scansione pianificata* • Impostazioni globali agente • Impostazioni scansione in tempo reale* • Posizione dispositivo (computer) • Impostazioni funzione Esegui scansione* • Criteri e profili del firewall • Impostazioni di reputazione Web* • Origini Smart Protection • Elenco URL approvato* • Pianificazione aggiornamento del server • Impostazioni del monitoraggio del comportamento* • Pianificazione e origine dell'aggiornamento dell'agente (client) • Impostazioni di controllo dispositivo* • Notifiche • Impostazioni di Prevenzione perdita di dati* • Impostazioni proxy • Privilegi e altre impostazioni* • Porta dell'agente (client) OfficeScan e Client_LocalServer_Port nel file ofcscan.ini Nota • Le impostazioni con un asterisco (*) mantengono le configurazioni sia a livello principale sia al livello di dominio. • Lo strumento non effettua il backup degli elenchi dell'agente OfficeScan nel server OfficeScan ma solo delle strutture dei domini. • L'agente OfficeScan esegue la migrazione solo delle funzioni disponibili sulla versione precedente del server dell'agente OfficeScan. Per funzioni che non sono disponibili sulla versione precedente, l'agente OfficeScan applica le impostazioni predefinite. 2-33 Guida per l'amministratore di OfficeScan™ 11.0 Utilizzo dello Strumento di migrazione del server Nota Questa versione di OfficeScan supporta le migrazioni da OfficeScan versione 10.0 e successive. Le versioni precedenti di OfficeScan potrebbero non contenere tutte le impostazioni disponibili nella versione più recente. OfficeScan applica automaticamente le impostazioni predefinite per ogni funzione non migrata nella versione del server OfficeScan precedente. Procedura 1. Nel computer server OfficeScan 11.0, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\ServerMigrationTool. 2. Copiare lo Strumento di migrazione del server sul computer del server OfficeScan di origine. Importante Usare lo Strumento di migrazione del server di OfficeScan 11.0 della versione del server OfficeScan di origine per garantire la corretta formattazione di tutti i dati per il nuovo server di destinazione. OfficeScan 11.0 non è compatibile con le versioni precedenti dello Strumento di migrazione del server. 3. Fare doppio clic su ServerMigrationTool.exe per avviare lo Strumento di migrazione del server. Lo Strumento di migrazione del server viene aperto. 4. Per esportare le impostazioni dal server OfficeScan di origine: a. Specificare la cartella di destinazione utilizzando il pulsante Sfoglia. Nota Il nome predefinito del pacchetto di esportazione è OsceMigrate.zip. b. 2-34 Fare clic sul pulsante Esporta. Informazioni preliminari su OfficeScan Viene visualizzato un messaggio che richiede la conferma dell'operazione. c. 5. Copiare il pacchetto di esportazione nel server OfficeScan di destinazione. Per importare le impostazioni nel server OfficeScan di destinazione: a. Individuare il pacchetto di esportazione utilizzando il pulsante Sfoglia. b. Fare clic su Importa. Viene visualizzato un messaggio di avviso. c. Fare clic su Sì per procedere. Viene visualizzato un messaggio che richiede la conferma dell'operazione. 6. Verificare che il server contenga tutte le impostazioni della versione di OfficeScan precedente. 7. Spostare gli agenti OfficeScan precedenti nel nuovo server. Per ulteriori informazioni sullo spostamento degli agenti OfficeScan, vedere Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-61 o Agent Mover a pagina 14-23. Active Directory Integration L'integrazione di OfficeScan con la struttura Microsoft™ Active Directory™ consente di gestire gli agenti OfficeScan in modo più efficiente, di assegnare le autorizzazioni per la console Web tramite gli account Active Directory e di determinare in quali agenti non è installato il software di protezione. Tutti gli utenti del dominio della rete possono avere accesso sicuro alla console OfficeScan. È inoltre possibile configurare l'accesso limitato per utenti specifici, anche per quelli che si trovano in un altro dominio. Il processo di autenticazione e la chiave di crittografia convalidano le credenziali degli utenti. L'integrazione con Active Directory consente di sfruttare le potenzialità delle funzioni indicate di seguito: • Role-based Administration (RBA): consente di assegnare agli utenti responsabilità amministrative specifiche concedendo loro l'accesso alla console del 2-35 Guida per l'amministratore di OfficeScan™ 11.0 prodotto mediante i loro account Active Directory. Per i dettagli, consultare Rolebased Administration (RBA) a pagina 13-2. • Personalizza gruppi di agenti: consente di utilizzare Active Directory o gli indirizzi IP per raggruppare gli agenti in modo manuale e associarli ai domini della struttura agente OfficeScan. Per i dettagli, consultare Raggruppamento automatico agenti a pagina 2-54. • Gestione server esterni: assicurarsi che i computer della rete che non sono gestiti dal server OfficeScan siano conformi alle linee guida di sicurezza dell'azienda. Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-70. Per garantire la coerenza dei dati, sincronizzare la struttura Active Directory con il server OfficeScan manualmente o periodicamente. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-38. Integrazione di Active Directory con OfficeScan Procedura 1. Accedere a Amministrazione > Active Directory > Active Directory Integration. 2. In Domini Active Directory specificare il nome del dominio Active Directory. 3. Specificare le credenziali che il server OfficeScan utilizzerà per la sincronizzazione dei dati con il dominio Active Directory specificato. Le credenziali sono obbligatorie se il server non appartiene al dominio. In caso contrario, le credenziali sono facoltative. Accertarsi che le credenziali non scadano, altrimenti, il server non sarà in grado di sincronizzare i dati. a. Fare clic su Specificare le credenziali di dominio. b. Nella finestra popup visualizzata, immettere il nome utente e la password. Il nome utente può essere specificato in uno dei seguenti formati: c. 2-36 • dominio\nome utente • nomeutente@dominio Fare clic su Salva. Informazioni preliminari su OfficeScan 4. Fare clic sul pulsante ( ) per aggiungere altri domini. Se necessario, specificare le credenziali per i domini eventualmente aggiunti. 5. Fare clic sul pulsante ( 6. Specificare le impostazioni di crittografia se sono state specificate le credenziali per i domini. Come misura cautelativa, OfficeScan codifica le credenziali del dominio specificate dall'utente prima di salvarle nel database. Quando OfficeScan sincronizza i dati con uno dei domini specificati, usa una chiave di crittografia per decodificare le credenziali del dominio. ) per eliminare i domini. a. Andare alla sezione Impostazioni di crittografia per le credenziali del dominio. b. Immettere una chiave di crittografia non superiore a 128 caratteri. c. Specificare un file in cui salvare la chiave di crittografia. È possibile scegliere un comune formato di file, come .txt. Includere il nome e il percorso completo del file, ad esempio C:\AD_Encryption\EncryptionKey.txt. AVVERTENZA! se si rimuove il file o il percorso del file viene modificato, OfficeScan non sarà in grado di sincronizzare i dati con i domini specificati. 7. 8. Fare clic su una delle opzioni riportate di seguito. • Salva: salva solo le impostazioni. Poiché la sincronizzazione dei data richiede una notevole quantità di risorse della rete, è possibile scegliere di salvare solo le impostazioni e di eseguire la sincronizzazione successivamente, ad esempio durante le ore con minore carico di lavoro. • Salva e sincronizza: Salva le impostazioni e sincronizza i dati con i domini Active Directory. Pianificare sincronizzazioni periodiche. Per i dettagli, consultare Sincronizzazione dei dati con i domini di Active Directory a pagina 2-38. 2-37 Guida per l'amministratore di OfficeScan™ 11.0 Sincronizzazione dei dati con i domini di Active Directory Sincronizzare i dati con i domini Active Directory regolarmente in modo che la struttura agente OfficeScan sia sempre aggiornata e per inviare query agli agenti non gestiti. Sincronizzazione manuale dei dati con i domini di Active Directory Procedura 1. Accedere a Amministrazione > Active Directory > Active Directory Integration. 2. Verificare che le credenziali dei domini e le impostazioni di crittografia non siano cambiate. 3. Fare clic su Salva e sincronizza. Sincronizzazione automatica dei dati con i domini di Active Directory Procedura 1. Accedere a Amministrazione > Active Directory > Sincronizzazione pianificata. 2. Selezionare Attiva sincronizzazione pianificata di Active Directory. 3. Specificare la pianificazione di sincronizzazione. Nota Per le sincronizzazioni giornaliere, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan destina alla sincronizzazione di Active Directory con il server OfficeScan. 2-38 Informazioni preliminari su OfficeScan 4. Fare clic su Salva. Struttura agente OfficeScan La struttura agente OfficeScan visualizza tutti gli agenti raggruppati in domini attualmente gestiti dal server. Gli agenti sono raggruppati in domini per consentire di configurare e gestire contemporaneamente tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. La struttura agente viene visualizzata nel riquadro principale quando si accede a determinate funzioni dal menu principale. FIGURA 2-21. Struttura agente OfficeScan Icone della struttura agente Le icone della struttura agente di OfficeScan offrono suggerimenti visivi che indicano il tipo di dispositivo e lo stato degli agenti OfficeScan gestiti da OfficeScan. 2-39 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 2-9. Icone della struttura agente di OfficeScan ICONA DESCRIZIONE Dominio Root Update agent Agente scansione convenzionale Smart Scan disponibile nell'agente OfficeScan Smart Scan non disponibile nell'agente OfficeScan Smart Scan disponibile in Update Agent Smart Scan non disponibile in Update Agent Operazioni generali della struttura agente Di seguito è riportato un elenco delle operazioni generali possibili quando viene visualizzata la struttura agente: Procedura • 2-40 Per selezionare tutti i domini e tutti gli agenti, fare clic sull'icona del dominio root ( ). Quando viene selezionata l'icona del dominio root e si sceglie un'operazione al di sopra della struttura agente, viene visualizzata una schermata per la configurazione delle impostazioni. Nella schermata scegliere le seguenti opzioni generali: Informazioni preliminari su OfficeScan • • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Per selezionare più agenti o domini adiacenti: • Nel pannello situato a destra, selezionare il primo dominio, tenere premuto il tasto MAIUSC e fare clic sull'ultimo dominio o agente dell'intervallo. • Per selezionare un intervallo di agenti o domini non adiacenti, nel pannello situato a destra, tenere premuto il tasto CTRL e fare clic sui domini o agenti che si desidera selezionare. • È possibile cercare un determinato agente, specificando il nome dell'agente nella casella di testo Cerca dispositivo. L'elenco dei risultati viene visualizzato nella struttura agente. Per selezionare altre opzioni di ricerca, fare clic su Ricerca avanzata. Nota Non è possibile specificare indirizzi IPv6 o IPv4 quando si cercano degli agenti specifici. Per cercare indirizzi IPv4 o IPv6 specifici, usare la Ricerca avanzata. Per i dettagli, consultare Opzioni di ricerca avanzate a pagina 2-42. • Quando si seleziona un dominio, la tabella della struttura agente si espande e mostra tutti gli agenti appartenenti al dominio e tutte le colonne contenenti le informazioni relative a tali agenti. Per vedere solo un gruppo di colonne, selezionare un elemento all'interno della visualizzazione della struttura agente. • Visualizza tutto: mostra tutte le colonne • Visualizzazione aggiornamenti: mostra tutti i componenti e i programmi • Visualizzazione antivirus: mostra tutti i componenti antivirus • Visualizzazione anti-spyware: mostra tutti i componenti anti-spyware 2-41 Guida per l'amministratore di OfficeScan™ 11.0 • Visualizzazione protezione dati: mostra lo stato del modulo Protezione dati sugli agenti • Visualizzazione firewall: mostra tutti i componenti firewall • Visualizza Smart Protection: mostra il metodo di scansione utilizzato dagli agenti (convenzionale o Smart Scan) e i componenti Smart Protection • Visualizzazione Update Agent: mostra le informazioni su tutti gli Update Agent gestiti dal server OfficeScan • È possibile cambiare la disposizione delle colonne, trascinando i titoli delle colonne in posizioni diverse all'interno della struttura agente. OfficeScan salva automaticamente la nuova posizione delle colonne. • Facendo clic sul nome di una colonna, è possibile ordinare gli agenti sulla base delle informazioni in essa contenute. • La struttura agente può essere aggiornata facendo clic sull'icona ( • Le statistiche relative agli agenti vengono visualizzate al di sotto della struttura agente e comprendono informazioni quali il numero totale di agenti, il numero di agenti Smart Scan e il numero di agenti con scansione convenzionale. ). Opzioni di ricerca avanzate La ricerca degli agenti si basa sui seguenti criteri: Procedura • Criteri di base: comprende le informazioni di base sugli dispositivo, come indirizzo IP, sistema operativo, indirizzo MAC, metodo di scansione e stato di reputazione Web • 2-42 La ricerca in base al segmento IPv4 richiede una porzione di indirizzo IP che inizi con il primo ottetto. Nei risultati della ricerca saranno presenti tutti gli dispositivo con indirizzi IP contenenti la voce specificata. Se, ad esempio, se si digita 10.5 vengono visualizzati tutti i computer inclusi nell'intervallo di indirizzi IP da 10.5.0.0 a 10.5.255.255. Informazioni preliminari su OfficeScan • La ricerca in base all'indirizzo IPv6 richiede una lunghezza o un prefisso. • La ricerca in base all'indirizzo MAC richiede un intervallo di indirizzi MAC in notazione esadecimale, ad esempio 000A1B123C12. • Versioni componenti: selezionare la casella di controllo accanto al nome del componente, restringere i parametri selezionando Precedente a o Precedente a e incluso e immettere un numero di versione. Per impostazione predefinita viene inserito il numero di versione attuale. • Stato: comprende le impostazioni dell'agente • Dopo aver specificato i criteri di ricerca, fare clic su Cerca. All'interno della struttura agente viene visualizzato un elenco di nomi di dispositivo corrispondenti ai criteri. Operazioni specifiche della struttura agente La struttura agente viene visualizzata quando si accede ad alcune schermate della console Web. Al di sopra della struttura agente sono disponibili elementi specifici della schermata visualizzata. Questi elementi del menu consentono di effettuare operazioni specifiche quali configurare le impostazioni degli agenti o avviare operazioni degli agenti. Per eseguire una delle operazioni, selezionare prima l'operazione di destinazione, quindi selezionare una voce del menu. La seguente schermata visualizza la struttura agente: • Schermata Gestione agente a pagina 2-44 • Schermata Prevenzione delle infezioni a pagina 2-47 • Schermata Selezione agente a pagina 2-48 • Schermata Rollback a pagina 2-49 • Schermata Registri dei rischi per la sicurezza a pagina 2-50 La struttura agente fornisce l'accesso alle seguenti funzioni: • Cerca dispositivo: individuare gli dispositivo specifici digitando i criteri di ricerca nella casella di testo. 2-43 Guida per l'amministratore di OfficeScan™ 11.0 Gli amministratori possono inoltre cercare manualmente la struttura agente per individuare dispositivo o domini. Le informazioni su specifici computer vengono visualizzate nella tabella sulla destra. Schermata Gestione agente Per visualizzare questa schermata, accedere ad Agenti > Gestione agente. Gestione delle impostaxioni generale dell'agente e visualizzazione delle informazioni sullo stato relative ad agenti specifici (ad esempio, Utente di accesso, Indirizzo IP e Stato della connessione) nella schermata Gestione agente. FIGURA 2-22. Schermata Gestione agente La tabella seguente elenca le operazioni che è possibile effettuare: 2-44 Informazioni preliminari su OfficeScan TABELLA 2-10. Schermata Gestione agente PULSANTE DI MENU OPERAZIONE Stato Visualizzare le informazioni dettagliate sull'agente. Per i dettagli, consultare Visualizzazione delle informazioni dettagliate sull'agente OfficeScan a pagina 14-55. Operazioni • Eseguire l'opzione Esegui scansione nei computer agenti. Per i dettagli, consultare Avvio di Esegui scansione a pagina 7-26. • Disinstallare l'agente. Per i dettagli, consultare Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-73. • Ripristinare il rilevamento dei file sospetti. Per i dettagli, consultare Ripristino dei file in quarantena a pagina 7-45. • Ripristinare i componenti spyware/grayware. Per i dettagli, consultare Ripristino spyware/grayware a pagina 7-54. 2-45 Guida per l'amministratore di OfficeScan™ 11.0 PULSANTE DI MENU Impostazioni 2-46 OPERAZIONE • Configurare le impostazioni di scansione. Per ulteriori dettagli, leggere i seguenti argomenti: • Tipi di metodi di scansione a pagina 7-8 • Scansione manuale a pagina 7-19 • Scansione in tempo reale a pagina 7-16 • Scansione pianificata a pagina 7-21 • Esegui scansione a pagina 7-24 • Configurare le impostazioni di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 11-5. • Configurare le impostazioni di connessione sospetta. Per i dettagli, consultare Configurazione delle impostazioni di connessione sospetta a pagina 11-14. • Configurare le impostazioni di Monitoraggio del comportamento. Per i dettagli, consultare Monitoraggio del comportamento a pagina 8-2. • Configurare le impostazioni di Controllo dispositivo. Per i dettagli, consultare Controllo dispositivo a pagina 9-2. • Configurare i criteri di Prevenzione perdita di dati. Per i dettagli, consultare Configurazione dei criteri Prevenzione perdita di dati a pagina 10-44. • Assegnare gli agenti come Update Agent. Per i dettagli, consultare Configurazione di Update Agent a pagina 6-59. • Configurare i privilegi agente e altre impostazioni. Per i dettagli, consultare Configurazione dei privilegi dell'agente e altre impostazioni a pagina 14-90. • Attivare o disattivare i servizi dell'agente OfficeScan. Per i dettagli, consultare Servizi dell'agente OfficeScan a pagina 14-7. • Configurare l'elenco di spyware/grayware approvato. Per i dettagli, consultare Elenco Approvati spyware/grayware a pagina 7-51. • Importazione ed esportazione delle impostazioni agente. Per i dettagli, consultare Importazione ed esportazione delle impostazioni degli agenti a pagina 14-55. Informazioni preliminari su OfficeScan PULSANTE DI MENU Registri OPERAZIONE Visualizzare i registri riportati di seguito: • Registri di virus/minacce informatiche (per maggiori dettagli, vedere Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91) • Registri spyware/grayware (per maggiori dettagli, vedere Visualizzazione dei registri di spyware/grayware a pagina 7-99) • Registri del firewall (per maggiori dettagli, vedere Registri del firewall a pagina 12-29) • Registri di reputazione Web (per maggiori dettagli, consultare Registri delle minacce Web a pagina 11-23) • Registri delle connessioni sospette (per maggiori dettagli, consultare Visualizzazione dei registri delle connessioni sospette a pagina 11-26) • Registri dei callback C&C (per maggiori dettagli, vedere Visualizzazione dei registri dei callback C&C a pagina 11-25.) • Registri di Monitoraggio del comportamento (per maggiori dettagli, vedere Registri di Monitoraggio del comportamento a pagina 8-14) • Registri DLP (per maggiori dettagli, consultare Registri di Prevenzione perdita di dati a pagina 10-53) • Registri di Controllo dispositivo (per maggiori dettagli, vedere Registri di controllo dispositivo a pagina 9-18) Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-34. Gestione struttura agente Gestire la struttura agente. Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-58. Esporta Esportare un elenco degli agenti in un file .csv. Schermata Prevenzione delle infezioni Per visualizzare questa schermata, accedere a Agenti > Prevenzione delle infezioni virali. 2-47 Guida per l'amministratore di OfficeScan™ 11.0 Specificare ed attivare le impostazioni di prevenzione delle infezioni nella schermata Prevenzione delle infezioni. Per i dettagli, consultare Configurazione della prevenzione dei rischi per la sicurezza a pagina 7-108. FIGURA 2-23. Schermata Prevenzione delle infezioni Schermata Selezione agente Per visualizzare questa schermata, accedere a Aggiornamenti > Agenti > Aggiornamento manuale. Fare clic su Seleziona agenti manualmente, quindi su Seleziona. 2-48 Informazioni preliminari su OfficeScan Avviare l'aggiornamento manuale nella schermata Selezione agente. Per i dettagli, consultare Aggiornamenti manuali agente OfficeScan a pagina 6-47. FIGURA 2-24. Schermata Selezione agente Schermata Rollback Per visualizzare questa schermata, accedere a Aggiornamenti > Rollback. Fare clic su Sincronizza con il server. 2-49 Guida per l'amministratore di OfficeScan™ 11.0 Eseguire il rollback dei componenti agenti nella schermata Rollback. Per i dettagli, consultare Rollback dei componenti per gli agenti OfficeScan a pagina 6-56. FIGURA 2-25. Schermata Rollback Schermata Registri dei rischi per la sicurezza Per visualizzare questa schermata, accedere a Registri > Agenti > Rischi per la sicurezza. 2-50 Informazioni preliminari su OfficeScan Visualizzare e gestire i registri nella schermata Registri dei rischi per la sicurezza. FIGURA 2-26. Schermata Registri dei rischi per la sicurezza Eseguire le operazioni riportate di seguito: 1. Visualizzare i registri che gli agenti inviano al server. Per maggiori dettagli, consultare: • Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91 • Visualizzazione dei registri di spyware/grayware a pagina 7-99 • Visualizzazione dei registri firewall a pagina 12-30 • Visualizzazione dei registri di reputazione Web a pagina 11-24 • Visualizzazione dei registri delle connessioni sospette a pagina 11-26 • Visualizzazione dei registri dei callback C&C a pagina 11-25 • Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14 • Visualizzazione dei registri di controllo dispositivo a pagina 9-19 2-51 Guida per l'amministratore di OfficeScan™ 11.0 • 2. Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54 Eliminare i registri. Per i dettagli, consultare Gestione dei registri a pagina 13-34. Domini OfficeScan Un dominio all'interno di OfficeScan è un gruppo di agenti che condividono la stessa configurazione ed eseguono le stesse operazioni. Il raggruppamento degli agenti in domini consente di configurare e gestire tutti i membri del dominio, nonché di assegnare loro la stessa configurazione. Per ulteriori informazioni sul raggruppamento degli agenti, vedere Raggruppamento agenti a pagina 2-52. Raggruppamento agenti Utilizzare Raggruppamento agenti per creare e gestire domini in modo manuale o automatico nella struttura agente OfficeScan. Esistono due modi per raggruppare gli agenti nei domini. TABELLA 2-11. Metodi di raggruppamento agenti RAGGRUPPAMENTO METODO Manuale AGENTI • Dominio NetBIOS • Dominio Active Directory • Dominio DNS DESCRIZIONI Il raggruppamento manuale agenti definisce il dominio al quale il nuovo agente installato dovrebbe appartenere. Quando l'agente viene visualizzato nella struttura agente, è possibile spostarlo in un altro dominio o in un altro server OfficeScan. Il raggruppamento manuale agenti consente inoltre di creare, gestire e rimuovere domini nella struttura agente. Per i dettagli, consultare Raggruppamento manuale agenti a pagina 2-53. 2-52 Informazioni preliminari su OfficeScan METODO Automatici RAGGRUPPAMENTO DESCRIZIONI AGENTI Personalizza gruppi di agenti Il raggruppamento agenti automatico utilizza delle regole per ordinare gli agenti nella struttura agente. Dopo la definizione delle regole, è possibile accedere alla struttura agente per ordinarli manualmente o per consentire a OfficeScan di ordinarli automaticamente quando si verificano eventi specifici o a intervalli programmati. Per i dettagli, consultare Raggruppamento automatico agenti a pagina 2-54. Raggruppamento manuale agenti OfficeScan utilizza questa impostazione solo per le installazioni agenti da zero. Il programma di installazione controlla il dominio di rete a cui appartiene l'dispositivo di destinazione. Se il nome del dominio è già presente nella struttura agente, OfficeScan raggruppa l'agente dell'dispositivo di destinazione sotto quel dominio e applica ad esso le impostazioni configurate per quel dominio. Se il nome del dominio non è presente, OfficeScan aggiunge il dominio alla struttura agente, raggruppa l'agente sotto tale dominio, quindi applica le impostazioni della directory principale al dominio e all'agente. Configurazione raggruppamento manuale agenti Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Specificare il metodo di raggruppamento degli agenti: 3. • Dominio NetBIOS • Dominio Active Directory • Dominio DNS Fare clic su Salva. 2-53 Guida per l'amministratore di OfficeScan™ 11.0 Operazioni successive Per gestire i domini e i relativi raggruppamenti di agenti, eseguire le seguenti operazioni: • Aggiungere un dominio • Eliminare un dominio o un agente • Rinominare un dominio • Trasferire un singolo agente a un altro dominio Per i dettagli, consultare Operazioni di raggruppamento agenti a pagina 2-58. Raggruppamento automatico agenti Il raggruppamento automatico degli agenti utilizza le regole definite dagli indirizzi IP o dai domini Active Directory. Se una regola definisce un indirizzo IP o un intervallo di indirizzi IP, il server OfficeScan raggrupperà gli agenti con un indirizzo IP corrispondente a un dominio specifico della struttura agente. Analogamente, se una regola definisce uno o più domini Active Directory, il server OfficeScan raggrupperà agenti appartenenti a un particolare dominio Active Directory in un dominio specifico della struttura agente. Gli agenti applicano soltanto una regola per volta. Assegnare delle priorità alle regole, in modo che se un agente soddisfa più di una regola, si applicherà quella con la priorità più alta. Configurazione del raggruppamento automatico agenti Procedura 1. Accedere a Agenti > Raggruppamento agenti 2. Accedere alla sezione Raggruppamento agenti e selezionare Personalizza gruppi di agenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Per iniziare a creare delle regole, fare clic su Aggiungi, quindi selezionare Active Directory oppure Indirizzo IP. 2-54 Informazioni preliminari su OfficeScan 5. 6. • Se è stato selezionato Active Directory, consultare le istruzioni per la configurazione in Definizione di una regola di raggruppamento degli agenti in base ai domini Active Directory a pagina 2-56. • Se è stato selezionato Indirizzo IP, consultare le istruzioni per la configurazione in Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP a pagina 2-57. Se sono state create più regole, assegnare le priorità effettuando i seguenti passaggi: a. Selezionare una regola. b. Fare clic su una freccia sotto la colonna Priorità di raggruppamento per spostare la regola in alto o in basso nell'elenco. Il numero ID della regola cambia in base alla nuova posizione assegnata. Per utilizzare le regole durante il riordino dell'agente: a. Selezionare le caselle di controllo delle regole da utilizzare. b. Attivare la regola impostando lo Stato su Attivato. Nota Se non viene selezionata la casella di controllo per una regola o se la regola viene disattivata, la stessa non verrà utilizzata quando si riordinano gli agenti nella struttura agente. Ad esempio, se la regola determina che un agente deve spostarsi su un nuovo dominio, l'agente non si sposterà e rimarrà nel dominio attuale. 7. 8. Specificare una pianificazione di riordino nella sezione Creazione dominio pianificata. a. Selezionare Attiva creazione dominio pianificata. b. Specificare la pianificazione in Creazione dominio basata su pianificazione. Scegliere una delle opzioni elencate di seguito. • Salva e crea dominio ora: scegliere questa opzione se sono stati specificati nuovi domini in Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP a pagina 2-57, passaggio 7 o in Definizione di una regola di 2-55 Guida per l'amministratore di OfficeScan™ 11.0 raggruppamento degli agenti in base ai domini Active Directory a pagina 2-56, passaggio 7. • Salva: scegliere questa opzione se non sono stati specificati nuovi domini o si desidera crearne di nuovi solo quando il riordino dell'agente è in esecuzione. Nota Il riordino dell'agente non inizierà dopo il completamento di questo passaggio. Definizione di una regola di raggruppamento degli agenti in base ai domini Active Directory Accertarsi di aver configurato le impostazioni di integrazione di Active Directory prima di eseguire la procedura seguente. Per i dettagli, consultare Active Directory Integration a pagina 2-35. Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Accedere alla sezione Raggruppamento agenti e selezionare Personalizza gruppi di agenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Fare clic su Aggiungi, quindi selezionare Active Directory. Viene visualizzata una nuova schermata. 5. Selezionare Attiva raggruppamento. 6. Specificare un nome per la regola. 7. In Origine di Active Directory, selezionare il domini o i sottodomini di Active Directory. 8. In Struttura agente, selezionare un dominio OfficeScan esistente al quale sono associati i domini Active Directory. Se il dominio OfficeScan desiderato non esiste, attenersi alla procedura riportata di seguito: 2-56 Informazioni preliminari su OfficeScan 9. a. Posizionare il mouse su un determinato dominio OfficeScan, quindi fare clic sull'icona ( ) per l'aggiunta dei domini. b. Immettere il nome del dominio nella casella di testo fornita. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. Facoltativamente, selezionare Duplica la struttura Active Directory nella struttura dell'agente OfficeScan. Questa opzione duplica la gerarchia dei domini Active Directory selezionati nel dominio OfficeScan selezionato. 10. Fare clic su Salva. Definizione delle regole di raggruppamento degli agenti in base agli indirizzi IP Per ordinare gli agenti della struttura agente OfficeScan, creare gruppi di agenti personalizzati utilizzando gli indirizzi IP di rete. La funzione si rivela utile agli amministratori per organizzare la struttura agente OfficeScan prima della registrazione dell'agente con il server OfficeScan. Procedura 1. Accedere a Agenti > Raggruppamento agenti. 2. Accedere alla sezione Raggruppamento agenti e selezionare Personalizza gruppi di agenti. 3. Accedere alla sezione Raggruppamento automatico agenti. 4. Fare clic su Aggiungi e selezionare Indirizzo IP. Viene visualizzata una nuova schermata. 5. Selezionare Attiva raggruppamento. 6. Specificare un nome per il raggruppamento. 7. Specificare una delle seguenti opzioni: 2-57 Guida per l'amministratore di OfficeScan™ 11.0 • Un indirizzo IPv4 o IPv6 singolo • Un intervallo di indirizzi IPv4 • Una lunghezza e un prefisso IPv6 Nota Se gli indirizzi IPv4 e IPv6 di un agente dual-stack appartengono a due gruppi di agenti diversi, l'agente sarà raggruppato sotto il gruppo IPv6. Se l'indirizzo IPv6 è disattivato nella macchina host dell'agente, questo sarà spostato sotto il gruppo IPv4. 8. Selezionare il dominio OfficeScan a cui l'indirizzo IP o l'intervallo di indirizzi IP è associato. Se il dominio non esiste, attenersi alla procedura riportata di seguito: a. Posizionare il mouse sopra la struttura agente e fare clic sull'icona per l'aggiunta dei domini. FIGURA 2-27. Icona per l'aggiunta dei domini 9. b. Digitare il dominio nella casella di testo disponibile. c. Selezionare il segno di spunta accanto alla casella di testo. Il nuovo dominio viene aggiunto ed è selezionato automaticamente. Fare clic su Salva. Operazioni di raggruppamento agenti Durante il raggruppamento agenti nei domini è possibile effettuare le operazioni riportate di seguito: 2-58 Informazioni preliminari su OfficeScan • Aggiungere un dominio. Consultare Aggiunta di un dominio a pagina 2-59 per ulteriori dettagli. • Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un agente a pagina 2-60 per ulteriori dettagli. • Rinominare un dominio. Consultare Ridenominazione di un dominio a pagina 2-61 per ulteriori dettagli. • Trasferire un singolo agente a un altro dominio o a un altro server OfficeScan. Consultare Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan a pagina 2-61 per ulteriori dettagli. • Eliminare un dominio o un agente. Consultare Eliminazione di un dominio o di un agente a pagina 2-60 per ulteriori dettagli. Aggiunta di un dominio Procedura 1. Accedere a Agenti > Gestione agente. 2. Fare clic su Gestione struttura agente > Aggiungi dominio. 3. Digitare un nome per il dominio che si desidera aggiungere. 4. Fare clic su Aggiungi. Il nuovo dominio viene visualizzato nella struttura agente. 5. Creare sottodomini (Facoltativo). a. Selezionare il dominio principale. b. Fare clic su Gestione struttura agente > Aggiungi dominio. c. Immettere il nome del sottodominio. 2-59 Guida per l'amministratore di OfficeScan™ 11.0 Eliminazione di un dominio o di un agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare: • Uno o più domini • Uno, alcuni o tutti gli agenti appartenenti a un dominio 3. Fare clic su Gestione struttura agente > Rimuovi dominio/agente. 4. Per eliminare un dominio vuoto, fare clic su Rimuovi dominio/agente. Se nel dominio sono presenti agenti e si fa clic su Rimuovi dominio/agente, il server OfficeScan crea nuovamente il dominio e raggruppa tutti gli agenti sotto tale dominio la volta successiva che gli agenti si connettono al server OfficeScan. Prima di eliminare il dominio, è possibile effettuare le seguenti operazioni: 5. a. Trasferire gli agenti ad altri domini. Per spostare gli agenti in altri domini, trascinarli nei domini di destinazione. b. Eliminare tutti gli agenti. Per eliminare un singolo dominio, fare clic su Rimuovi dominio/agente. Nota L'eliminazione di un agente da una struttura agente non comporta l'eliminazione dell'agente OfficeScan dall'dispositivo agente. L'agente OfficeScan è comunque in grado di effettuare delle operazioni indipendenti dal server quali l'aggiornamento dei componenti. Tuttavia, sul server non è presente alcuna traccia dell'esistenza dell'agente e, per questo motivo, non è possibile implementare configurazioni o inviare notifiche all'agente. 2-60 Informazioni preliminari su OfficeScan Ridenominazione di un dominio Procedura 1. Accedere a Agenti > Gestione agente. 2. Selezionare un dominio nella struttura agente. 3. Fare clic su Gestione struttura agente > Rinomina dominio. 4. Inserire un nuovo nome per un dominio. 5. Fare clic su Rinomina. All'interno della struttura agente viene visualizzato il nuovo nome assegnato al dominio. Spostamento di agenti OfficeScan in un altro dominio o server OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare uno, alcuni o tutti gli agenti. 3. Fare clic su Gestione struttura agente > Sposta agente. 4. Per spostare gli agenti a un altro dominio: • Selezionare Sposta gli agenti selezionati in un altro dominio. • Selezionare il dominio. • Applicare le impostazioni del nuovo dominio agli agenti (facoltativo). Suggerimento È inoltre possibile trascinare gli agenti e rilasciarli in un altro dominio della struttura agente. 2-61 Guida per l'amministratore di OfficeScan™ 11.0 5. 6. 2-62 Per spostare gli agenti a un altro server OfficeScan: • Selezionare Sposta gli agenti selezionati in un altro server OfficeScan. • Immettere il nome del server o l'indirizzo IPv4/IPv6 e il numero di porta HTTP. Fare clic su Sposta. Capitolo 3 Informazioni preliminari su Protezione dati In questo capitolo vengono descritte le modalità di installazione e di attivazione del modulo Protezione dati. Di seguito sono riportati gli argomenti trattati: • Installazione di Protezione dati a pagina 3-2 • Licenza di Protezione dati a pagina 3-4 • Implementazione di Protezione dati negli agenti OfficeScan a pagina 3-6 • Cartella dati forensi e database DLP a pagina 3-9 • Disinstallazione di Protezione dati a pagina 3-15 3-1 Guida per l'amministratore di OfficeScan™ 11.0 Installazione di Protezione dati Il modulo Protezione dati comprende le funzionalità seguenti: • Prevenzione perdita di dati (DLP): impedisce la trasmissione non autorizzata di risorse digitali • Controllo dispositivo: Regola l'accesso ai dispositivi esterni Nota La versione standard di OfficeScan comprende la funzionalità Controllo dispositivo che consente di regolare l'accesso ai dispositivi di uso comune quali i dispositivi di archiviazione USB. La funzionalità Controllo dispositivo del modulo Protezione dati consente di ampliare la gamma di dispositivi monitorati. Per un elenco dei dispositivi controllati, vedere Controllo dispositivo a pagina 9-2. Prevenzione perdita di dati e Controllo dispositivo sono funzioni di OfficeScan ma richiedono una licenza separata. Dopo aver installato il server OfficeScan, queste funzionalità sono disponibili ma non sono operative e non possono essere implementate sugli agenti. L'installazione di Protezione dati prevede il download di un file dal server ActiveUpdate o da una origine aggiornamenti personalizzata, se è stata impostata. Quando il file è stato incorporato nel server OfficeScan, è possibile attivare la licenza di Protezione dati per attivarne le funzionalità complete. L'installazione e l'attivazione vengono eseguite da Plug-in Manager. Importante 3-2 • Non è necessario installare il modulo standalone Protezione dati se il software Prevenzione della perdita di dati Trend Micro è già installato e in esecuzione sugli dispositivo. • Il modulo Protezione dati può essere installato su un Plug-in Manager IPv6 puro. Tuttavia, solo la funzionalità Controllo dispositivo può essere implementata negli agenti IPv6 puri. La funzione Prevenzione perdita di dati non funziona negli agenti IPv6 puri. Informazioni preliminari su Protezione dati Installazione di Protezione dati Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Download. Le dimensioni del file da scaricare sono visualizzate accanto al pulsante Download. Plug-In Manager archivia il file scaricato in <Cartella di installazione del server> \PCCSRV\Download\Product. Nota Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente dopo 24 ore. Per avviare manualmente il download del file da parte di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. 3. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Se dovessero riscontrarsi dei problemi nel corso del download del file, controllare i registri di aggiornamento server sulla console web di OfficeScan. Nella barra laterale, fare clic su Registri > Aggiornamento del server. Una volta completato il download del file di Plug-in Manager, Protezione dati OfficeScan viene visualizzato in una nuova schermata. Nota Se Protezione dati di OfficeScan non viene visualizzato, vedere le cause e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 15-12. 4. Per installare Protezione dati OfficeScan immediatamente, fare clic su Installa ora o per installarlo in un secondo momento, fare quanto segue: a. Fare clic su Installa in un secondo momento. 3-3 Guida per l'amministratore di OfficeScan™ 11.0 5. b. Aprire la schermata Plug-in Manager. c. Andare alla sezione Protezione dati OfficeScan e fare clic su Installa. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini. L'installazione viene avviata. 6. Monitorare lo stato di avanzamento dell'installazione. Dopo l'installazione viene visualizzata la versione di Protezione dati OfficeScan. Licenza di Protezione dati Visualizzare, attivare e rinnovare la licenza per Protezione dati da Plug-in Manager. Richiedere un Codice di attivazione a Trend Micro e usarlo per attivare la licenza. Attivazione della licenza del programma plug-in Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Gestione programma. Viene visualizzata la schermata Nuovo codice di attivazione della licenza del prodotto. 3. Digitare o copiare e incollare il codice di attivazione nei campi del testo. 4. Fare clic su Salva. Viene visualizzata la console plug-in. 3-4 Informazioni preliminari su Protezione dati Informazioni sulla visualizzazione e il rinnovo della licenza Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Gestione programma. 3. Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizza informazioni sulla licenza. Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizza informazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fare riferimento alla documentazione utente sui programmi plug-in. 4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata. OPZIONE DESCRIZIONE Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto". Versione Indica se la versione è "Completa" o se si tratta di una "Versione di prova" Nota L'attivazione viene visualizzata come "Completa" sia per la versione completa e sia per la versione di prova. Postazioni Indica quanti dispositivo il programma plug-in è in grado di gestire La licenza scade il Se il programma plug-in prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31.12.11 e 30.06.11, verrà visualizzata la data 31.12.11. Codice di attivazione visualizza il Codice di attivazione 3-5 Guida per l'amministratore di OfficeScan™ 11.0 OPZIONE Promemoria DESCRIZIONE A seconda della versione della licenza corrente, il plug-in visualizza i promemoria sulla data di scadenza della licenza durante il periodo di proroga (solo nelle versioni complete) oppure quando scade la licenza. Nota La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga di in programma plug-in con un rappresentante Trend Micro. Quando la licenza di un programma plug-in scade, questo continua a funzionare ma gli aggiornamenti e l'assistenza non sono più disponibili. 5. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sulla licenza corrente sul sito Web di Trend Micro. 6. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su Aggiorna informazioni. 7. Fare clic su Nuovo codice di attivazione per aprire la schermata Nuovo codice di attivazione della licenza del prodotto. Per i dettagli, consultare Attivazione della licenza del programma plug-in a pagina 3-4. Implementazione di Protezione dati negli agenti OfficeScan Implementare il modulo Protezione dati negli agenti OfficeScan dopo l'attivazione della licenza. Dopo l'implementazione, gli agenti OfficeScan iniziano ad utilizzare Prevenzione perdita di dati e Controllo dispositivo. 3-6 Informazioni preliminari su Protezione dati Importante • Per impostazione predefinita, il modulo viene disattivato in Windows Server 2003, Windows Server 2008 e Windows Server 2012 per impedire che si verifichi un effetto negativo sulle prestazioni dell'host. Per attivare il modulo, monitorare le prestazioni del sistema costantemente e adottare le misure necessarie quando si verificano cali di prestazioni. Nota Il modulo può essere attivato o disattivato dalla console Web. Per i dettagli, consultare Servizi dell'agente OfficeScan a pagina 14-7. • Se il software Prevenzione della perdita di dati Trend Micro è disponibile nell'dispositivo, OfficeScan non lo sostituisce con il modulo Protezione dati. • Solo Controllo dispositivo può essere implementato negli agenti IPv6 puri. Prevenzione perdita di dati non funziona negli agenti IPv6 puri. • Il modulo Protezione dati viene installato immediatamente negli agenti online. Negli agenti offline e roaming il modulo viene installato quando diventano online. • Gli utenti devono riavviare i computer per completare l'installazione dei driver di Prevenzione perdita di dati. Chiedere anticipatamente agli utenti di riavviare. • Trend Micro consiglia di disattivare il registro di debug per facilitare la risoluzione dei problemi di implementazione. Per i dettagli, consultare Attivazione del registro di debug per il modulo Protezione dati a pagina 10-60. Implementazione del modulo Protezione dati agli agenti OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente è possibile: • Fare clic sull'icona del dominio root ( gli agenti esistenti e futuri. ) per implementare il modulo su tutti 3-7 Guida per l'amministratore di OfficeScan™ 11.0 3. • Selezionare un dominio specifico per implementare il modulo su tutti gli agenti esistenti e futuri del dominio. • Selezionare un agente specifico per implementare il modulo solo su quell'agente. Implementare il modulo in due modi diversi: • Fare clic su Impostazioni > Impostazioni DLP. • Fare clic su Impostazioni > Impostazioni di controllo dispositivo. Nota Se si esegue l'implementazione da Impostazioni > Impostazioni DLP e il modulo Protezione dati è stato implementato correttamente, saranno installati i driver di Prevenzione perdita di dati. Se i driver sono installati correttamente, viene visualizzato un messaggio in cui viene richiesto agli utenti di riavviare gli dispositivo per terminare l'installazione dei driver. Se il messaggio non viene visualizzato, potrebbero essersi verificati dei problemi durante l'installazione dei driver. Se il registro di debug è attivato, controllare i registri di debug per ottenere dettagli sui problemi di installazione dei driver. 4. Viene visualizzato un messaggio per indicare il numero di agenti in cui il modulo non è installato. Fare clic su Sì per avviare l’implementazione. Nota Se si fa clic su No (o se il modulo non è stato implementato su uno o più client), lo stesso messaggio viene visualizzato quando si fa clic di nuovo su Impostazioni > Impostazioni DLP o Impostazioni > Impostazioni di controllo dispositivo. Gli agenti OfficeScan iniziano il download del modulo dal server. 5. 3-8 Controllare se il modulo è stato implementato sugli agenti. a. Selezionare un dominio nella struttura agente. b. Nell visualizzazione struttura agente, selezionare Visualizzazione protezione dati o Visualizza tutto. Informazioni preliminari su Protezione dati c. Controllare la colonna Stato Protezione dati. Lo stato dell'implementazione può essere uno dei valori riportati di seguito: • In esecuzione: l'implementazione del modulo è riuscita e le funzioni sono state attivate. • Riavvio necessario: i driver di Prevenzione perdita di dati non sono stati installati perché gli utenti non hanno riavviato i rispettivi computer. Se i driver non sono installati, Prevenzione perdita di dati non funziona. • Operazione interrotta: il servizio per il modulo non è stato avviato o l'dispositivo di destinazione è stato arrestato in modo normale. Per avviare il servizio Protezione dati, accedere a Agenti > Gestione agente > Impostazioni > Impostazioni aggiuntive del servizio e attivare Servizio Protezione dati. • Impossibile eseguire l'installazione: si è verificato un problema durante l'implementazione del modulo sull'agente. Occorre implementare di nuovo il modulo dalla struttura agente. • Impossibile eseguire l'installazione (esiste già un programma per la prevenzione della perdita di dati): il software Prevenzione della perdita di dati Trend Micro è già disponibile nell'dispositivo. OfficeScan non lo sostituisce con il modulo Protezione dati. • Non installato: il modulo non è stato implementato sull'agente. Lo stato viene visualizzato se si sceglie di non implementare il modulo sull'agente o se lo stato dell'agente è offline o roaming durante l'implementazione. Cartella dati forensi e database DLP Quando si verifica un incidente di Prevenzione perdita di dati, OfficeScan registra i dati dell'incidente su un database specializzato di dati forensi. OfficeScan crea inoltre un file crittografato contenente una copia dei dati sensibili che hanno causato l'incidente e genera un valore hash a scopo di verifica e per assicurare l'integrità dei dati sensibili. OfficeScan crea i file crittografati di dati forensi sulla macchina agente, caricandoli successivamente in un percorso specifico sul server. 3-9 Guida per l'amministratore di OfficeScan™ 11.0 Importante • I file crittografati dei dati forensi contengono dati altamente sensibili e gli amministratori devono agire con cautela quando consentono l'accesso a tali file. • OfficeScan, in combinazione con Control Manager, fornisce agli utenti di Control Manager con ruolo di Responsabile della revisione degli incidenti DLP o di Responsabile di conformità DLP la facoltà di accedere ai dati all'interno dei file crittografati. Per ulteriori informazioni sui ruoli DLP e l'accesso ai file di dati forensi in Control Manager, vedere la guida per l'amministratore di Control Manager 6.0 Patch 2 o versioni successive. Modifica delle impostazioni della cartella e del database dei dati forensi Gli amministratori possono modificare il percorso e la pianificazione dell'eliminazione della cartella dei dati forensi nonché le dimensioni massime dei file che gli agenti caricano, modificando i file INI di OfficeScan. AVVERTENZA! La modifica del percorso della cartella di dati forensi dopo la registrazione degli incidenti di Prevenzione perdita di dati può causare una disconnessione tra i dati del database e il percorso dei file di dati forensi esistenti. Trend Micro consiglia di effettuare manualmente la migrazione di eventuali file di dati forensi esistenti alla nuova cartella di dati forensi dopo averne modificato il percorso. La seguente tabella delinea le impostazioni del server disponibili nel file del percorso <Cartella di installazione del server>\PCCSRV\Private\ofcserver.ini nel server OfficeScan. 3-10 Informazioni preliminari su Protezione dati TABELLA 3-1. Impostazioni del server della cartella di dati forensi in PCCSRV\Private \ofcserver.ini OBIETTIVO IMPOSTAZIONE INI Attivazione del percorso della cartella di dati forensi definito dall'utente [INI_IDLP_SECTION] Configurazion e del percorso della cartella di dati forensi definito dall'utente [INI_IDLP_SECTION] EnableUserDefinedUploadFolder VALORI 0: Disattiva (predefinito) 1: Attiva UserDefinedUploadFolder Nota • Gli amministratori devono attivare l'impostazione EnableUserDefinedUploadFolder prima che questa venga applicata da Prevenzione perdita di dati. • Il percorso predefinito della cartella di dati forensi è: <Cartella di installazione del server> Valore predefinito: <Sostituire il valore con il percorso di cartella definito dal cliente. Ad esempio: C: \VolumeData \OfficeScanDlpFor ensicData> Valore definito dall'utente: deve essere un percorso fisico di un'unità nel server \PCCSRV\Private\DLPForensicData • Attivazione della pulizia dei file di dati forensi Il percorso della cartella di dati forensi definito dall'utente deve essere un'unità fisica (interna o esterna) sul server. OfficeScan non supporta la mappatura di un percorso di un'unità di rete. [INI_IDLP_SECTION] 0: Disattiva ForensicDataPurgeEnable 1: Attiva (predefinito) 3-11 Guida per l'amministratore di OfficeScan™ 11.0 OBIETTIVO Configurazion e della frequenza temporale della verifica di pulizia del file di dati forensi IMPOSTAZIONE INI [INI_IDLP_SECTION] ForensicDataPurgeCheckFrequency Nota • • Gli amministratori devono attivare l'impostazione ForensicDataPurgeEnable prima che questa venga applicata da OfficeScan. OfficeScan elimina solamente i file di dati che hanno superato la data di scadenza specificata nell'impostazione ForensicDataExpiredPeriodInDays. 3-12 Configurazion e del periodo di tempo per archiviare i file di dati forensi nel server [INI_IDLP_SECTION] Configurazion e della frequenza temporale della verifica di spazio su disco del file di dati forensi [INI_SERVER_DISK_THRESHOLD] ForensicDataExpiredPeriodInDays VALORI 1: Mensilmente, il primo giorno del mese alle 00:00 2: Settimanalmente (predefinito), ogni domenica alle 00:00 3: Quotidianamente, ogni giorno alle 00:00 4: Frequenza oraria, ogni ora alle HH:00 Valore predefinito (in giorni): 180 Valore minimo: 1 Valore massimo: 3650 MonitorFrequencyInSecond Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato per l'impostazione InformUploadOnDiskFreeSpaceInGb, OfficeScan crea un registro eventi sulla console Web. Valore predefinito (in secondi): 5 Informazioni preliminari su Protezione dati OBIETTIVO Configurazion e della frequenza di caricamento della verifica di spazio su disco del file di dati forensi Configurazion e del valore dello spazio su disco minimo che genera una notifica di spazio su disco limitato Configurazion e dello spazio minimo disponibile per caricare i file di dati forensi dagli agenti IMPOSTAZIONE INI [INI_SERVER_DISK_THRESHOLD] IsapiCheckCountInRequest VALORI Valore predefinito (in numero di file): 200 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato per l'impostazione InformUploadOnDiskFreeSpaceInGb, OfficeScan crea un registro eventi sulla console Web. [INI_SERVER_DISK_THRESHOLD] InformUploadOnDiskFreeSpaceInGb Valore predefinito (in GB): 10 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato, OfficeScan crea un registro eventi sulla console Web. [INI_SERVER_DISK_THRESHOLD] RejectUploadOnDiskFreeSpaceInGb Valore predefinito (in GB): 1 Nota Se lo spazio su disco disponibile nella cartella di dati forensi è inferiore al valore configurato, gli agenti OfficeScan non caricano i file dei dati forensi nel server e OfficeScan crea un registro eventi sulla console Web. La seguente tabella delinea le impostazioni dell'agente OfficeScan disponibili nel file <Cartella di installazione del server>\PCCSRV\ofcscan.ini nel server OfficeScan. 3-13 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 3-2. Impostazioni dell'agente dei file di dati forensi in PCCSRV\ofcscan.ini OBIETTIVO 3-14 IMPOSTAZIONE INI Attivazione del caricamento dei file di dati forensi nel server UploadForensicDataEnable Configurazion e delle dimensioni massime dei file che l'agente OfficeScan carica nel server UploadForensicDataSizeLimitInMb Configurazion e del periodo di tempo per archiviare i file di dati forensi nell'agente OfficeScan ForensicDataKeepDays Configurazion e della frequenza con cui l'agente OfficeScan verifica la connettività del server ForensicDataDelayUploadFrequenceInMinute s VALORI 0: Disattiva 1: Attiva (predefinito) Valore predefinito (in MB): 10 Nota Valore minimo: 1 L'agente OfficeScan invia al server solo file con dimensioni inferiori a queste. Valore massimo: 2048 Valore predefinito (in giorni): 180 Nota Valore minimo: 1 L'agente OfficeScan elimina i file di dati forensi che hanno superato la data di scadenza specificata ogni giorno alle 11:00. Valore massimo: 3650 Valore predefinito (in minuti): 5 Valore minimo: 5 Nota Gli agenti OfficeScan che non sono in grado di caricare i file di dati forensi nel server cercano automaticamente di reinviarli in base all'intervallo di tempo specificato. Valore massimo: 60 Informazioni preliminari su Protezione dati Creazione di un backup di dati forensi In base ai criteri di protezione dell'azienda, il tempo necessario per l'archiviazione delle informazioni dei dati forensi può variare enormemente. Al fine di liberare spazio su disco nel server, Trend Micro consiglia di effettuare un backup manuale della cartella e del database contenenti i dati forensi. Procedura 1. Accedere al percorso della cartella di dati forensi nel server. • Percorso predefinito: <Cartella di installazione del server>\PCCSRV\Private \DLPForensicData • Per individuare la cartella di dati forensi personalizzata, vedere Configurazione del percorso della cartella di dati forensi definito dall'utente a pagina 3-11. 2. Copiare la cartella in un nuovo percorso. 3. Per effettuare il backup manuale del database di dati forensi, andare a <Cartella di installazione del server>\PCCSRV\Private. 4. Copiare il file DLPForensicDataTracker.db in un nuovo percorso. Disinstallazione di Protezione dati Se si disinstalla il modulo Protezione dati da Plug-in Manager: • Tutte le configurazioni di Prevenzione perdita di dati, le impostazioni e i registri saranno rimossi dal server OfficeScan. • Tutte le impostazioni e le configurazioni di Controllo dispositivo fornite dal modulo Protezione dati vengono rimosse dal server. • Il modulo Protezione dati viene rimosso dagli agenti. Per rimuovere la Protezione dati completamente, è necessario riavviare gli dispositivo agente. • I criteri di Prevenzione perdita di dati non saranno più applicati agli agenti. 3-15 Guida per l'amministratore di OfficeScan™ 11.0 • Il Controllo dispositivo non controllerà più l'accesso ai seguenti dispositivi: • Adattatori Bluetooth • Porte COM e LPT • Interfaccia IEEE 1394 • Dispositivi per l'acquisizione di immagini • Dispositivi a infrarossi • Modem • Scheda PCMCIA • Tasto Stamp • Schede NIC wireless: Reinstallare il modulo Protezione dati in qualsiasi momento. Dopo la reinstallazione, attivare la licenza con un Codice di attivazione valido. Disinstallazione di Protezione dati da Plug-in Manager Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Protezione dati OfficeScan e fare clic su Disinstalla. 3. Monitorare l'avanzamento della disinstallazione. Nel corso della disinstallazione è possibile effettuare altre operazioni. 4. Dopo la disinstallazione, aggiornare la schermata di Plug-in Manager. La Protezione dati di OfficeScan è di nuovo disponibile per l'installazione. 3-16 Parte II Protezione degli agenti OfficeScan Capitolo 4 Utilizzo di Trend Micro Smart Protection In questo capitolo vengono descritte le soluzioni Trend Micro™ Smart Protection e le modalità di impostazione dell'ambiente richiesto per l'utilizzo di queste soluzioni. Di seguito sono riportati gli argomenti trattati: • Informazioni su Trend Micro Smart Protection a pagina 4-2 • Servizi Smart Protection a pagina 4-3 • Origini Smart Protection a pagina 4-6 • File Smart Protection Pattern a pagina 4-8 • Impostazione dei servizi Smart Protection a pagina 4-13 • Utilizzo dei servizi Smart Protection a pagina 4-34 4-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni su Trend Micro Smart Protection Trend Micro™ Smart Protection è un'infrastruttura per la sicurezza dei contenuti degli agenti cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la sicurezza e le minacce Web. L'infrastruttura comprende soluzioni locali e gestite da host per proteggere gli utenti quando sono in rete, a casa o in viaggio, grazie ad agenti leggeri che accedono alla combinazione cloud unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gli utenti. Grazie all'utilizzo delle tecnologie "in-the-cloud" di reputazione, scansione e correlazione, le soluzioni Trend Micro Smart Protection riducono al minimo la dipendenza dai download convenzionali dei file di pattern ed eliminano i ritardi normalmente associati agli aggiornamenti desktop. L'esigenza di una nuova soluzione Nell'attuale approccio alla gestione delle minacce basato su file, i pattern (o definizioni) richiesti per proteggere gli dispositivo, vengono per la maggior parte distribuiti in base a una pianificazione, che prevede una distribuzione in batch da Trend Micro agli agenti. Quando viene ricevuto un nuovo aggiornamento, il software di prevenzione dei virus/ minacce informatiche in esecuzione sull'agente ricarica nella memoria le definizioni dei pattern per far fronte ai nuovi virus/minacce informatiche. Se emerge un nuovo virus/ minaccia informatica, tale pattern deve nuovamente essere parzialmente o completamente aggiornato e ricaricato sull'agente per garantire protezione continua. Nel corso del tempo, si è verificato un significativo aumento del volume di minacce emergenti, che si ritiene sia destinato a crescere in modo quasi esponenziale nel corso degli anni futuri, a una velocità che supererà notevolmente il volume degli attuali rischi per la sicurezza noti. Con il trascorrere del tempo, il volume dei rischi per la sicurezza rappresenterà esso stesso un nuovo rischio, in quanto potrà esercitare un impatto sulle prestazioni del server e delle workstation, sull'utilizzo della larghezza di banda e, in generale, sul tempo globale richiesto per offrire una protezione di qualità o sul tempo necessario a garantirla. 4-2 Utilizzo di Trend Micro Smart Protection Trend Micro ha sperimentato un nuovo approccio alla gestione del volume delle minacce, volto a proteggere i clienti dalle minacce poste dal volume di virus/minacce informatiche. La tecnologia e l'architettura utilizzate in questo approccio sfruttano la tecnologia utilizzata per scaricare le firme e i pattern dei virus/minacce informatiche nell'ambiente cloud. Scaricando la memorizzazione di queste firme di virus/minacce informatiche in tale ambiente, Trend Micro è in grado di fornire ai clienti una migliore protezione contro rischi per la sicurezza emergenti. Servizi Smart Protection Smart Protection include servizi che forniscono firme anti-malware, reputazione Web e database delle minacce che vengono memorizzati nella rete cloud. I servizi Smart Protection includono: • Servizi di reputazione file: Servizi di reputazione file scarica un elevato numero di firme contro le minacce informatiche (in precedenza memorizzate nei computer agente) nelle origini Smart Protection. Per i dettagli, consultare Servizi di reputazione file a pagina 4-3. • Servizi di reputazione Web: Servizi di reputazione Web consente alle origini Smart Protection locali di ospitare i dati di reputazione degli URL che in precedenza erano solo ospitati da Trend Micro. Entrambe le tecnologie assicurano un consumo di larghezza di banda inferiore per l'aggiornamento dei pattern o la verifica della validità degli URL. Per i dettagli, consultare Servizi di reputazione Web a pagina 4-4. • Smart Feedback: Trend Micro continua a raccogliere informazioni inviate in forma anonima dai prodotti Trend Micro in tutto il mondo per essere in grado di individuare nuove minacce in modo proattivo. Per i dettagli, consultare Smart Feedback a pagina 4-4. Servizi di reputazione file I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database "in-the-cloud". Poiché le informazioni relative alle minacce informatiche sono memorizzate nel cloud, sono disponibili immediatamente a tutti gli utenti. Le reti ad 4-3 Guida per l'amministratore di OfficeScan™ 11.0 elevate prestazioni in termini di disponibilità del contenuto e i server con cache locale permettono che la latenza durante il processo di controllo sia minima. L'architettura cloud offre protezione immediata, elimina la necessità di implementare i pattern e riduce in modo significativo il carico complessivo degli agenti. Gli agenti devono essere in modalità Smart Scan per utilizzare i Servizi di reputazione file. In questo documento questi agenti sono definiti agenti Smart Scan. Gli agenti che non sono in modalità Smart Scan non utilizzano i Servizi di reputazione file e sono definiti agenti con scansione convenzionale. Gli amministratori OfficeScan possono configurare tutti gli agenti, o solo alcuni, in modalità Smart Scan. OfficeScan deve essere in modalità Smart Scan per utilizzare i Servizi di reputazione file. Servizi di reputazione Web Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, la tecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento delle minacce informatiche. Servizi di reputazione Web è continuamente sottoposto alla reputazione Web e l'accesso ai siti infetti viene bloccato. Le informazioni di reputazione Web contribuiscono a garantire che le pagine visitate dagli utenti siano sicure e prive di minacce Web quali minacce informatiche, spyware e frodi di phishing volte a indurre gli utenti a fornire informazioni personali. Per aumentare l'accuratezza e ridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Micro assegna punteggi di reputazione a pagine e collegamenti individuali dei siti anziché classificare o bloccare siti interi. Spesso, infatti, solo alcune parti di siti legittimi sono pericolose e la reputazione può cambiare con il tempo. Gli agenti OfficeScan nei quali sono applicati i criteri di reputazione Web usano Servizi di reputazione Web. Gli amministratori di OfficeScan possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad alcuni. Smart Feedback Trend Micro Smart Feedback rappresenta un canale di comunicazione costante tra i prodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce. 4-4 Utilizzo di Trend Micro Smart Protection Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ogni singolo cliente aggiorna automaticamente il database completo delle minacce di Trend Micro, consentendo in tal modo di impedire che altri clienti riscontrino la stessa minaccia. Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso la vasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezione automatica in tempo reale contro le minacce più recenti e di fornire una migliore sicurezza collettiva, molto simile a un sistema di controllo di protezione reciproco della comunità. Poiché le informazioni sulle minacce raccolte si basano sulla reputazione della fonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacy delle informazioni personali o professionali è sempre protetta. Esempi di informazioni inviate a Trend Micro: • File checksum • Siti Web visitati • Informazioni sui file, comprese le dimensioni e i percorsi • Nomi di file eseguibili È possibile interrompere la partecipazione al programma in qualsiasi momento dalla console Web. Suggerimento Per proteggere il computer non è necessario partecipare al programma Smart Feedback. La partecipazione è facoltativa ed è possibile sospenderla in qualsiasi momento. Trend Micro consiglia di partecipare al programma Smart Feedback per contribuire a migliorare la protezione complessiva di tutti i clienti Trend Micro. Per ulteriori informazioni su Smart Protection Network, visitare: http://it.trendmicro.com/it/technology/smart-protection-network/ 4-5 Guida per l'amministratore di OfficeScan™ 11.0 Origini Smart Protection Trend Micro fornisce Servizi di reputazione file e Servizi di reputazione Web alle origini OfficeScan e Smart Protection. Le origini Smart Protection forniscono Servizi di reputazione file ospitando la maggior parte delle definizioni dei pattern di virus e minacce informatiche. Gli agenti OfficeScan ospitano le definizioni rimanenti. L'agente invia le query di scansione alle origini Smart Protection se le relative definizioni dei pattern non sono in grado di determinare il rischio del file. Le origini Smart Protection determinano il rischio utilizzando le informazioni di identificazione. Le origini Smart Protection forniscono Servizi di reputazione Web ospitando i dati di reputazione Web precedentemente disponibili solo attraverso i server host di Trend Micro. L'agente invia query di reputazione Web alle origini Smart Protection per verificare la reputazione di siti Web ai quali l'utente tenta di accedere. L'agente mette in correlazione la reputazione di un sito Web con il criterio di reputazione Web applicato sull'dispositivo per determinare se l'accesso al sito sarà consentito o bloccato. L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'agente. Gli agenti possono connettersi o a Smart Protection Network di Trend Micro o a Smart Protection Network. Trend Micro™ Smart Protection Network™ Trend Micro ™Smart Protection Network™ è un'infrastruttura per la sicurezza dei contenuti dei client cloud di prossima generazione concepita per proteggere gli utenti contro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestite da host Trend Micro per proteggere gli utenti quando sono in rete, a casa o in viaggio. Smart Protection Network utilizza agenti più leggeri che accedono alla combinazione "in-the-cloud" unica di tecnologie di reputazione file, posta elettronica e Web, nonché ai database delle minacce. La protezione dei clienti viene aggiornata e rafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti che accedono alla rete, creando in tal modo un servizio di protezione reciproca in tempo reale per gli utenti. Per ulteriori informazioni su Smart Protection Network, visitare: 4-6 Utilizzo di Trend Micro Smart Protection http://it.trendmicro.com/it/technology/smart-protection-network/ Smart Protection Server Gli Smart Protection Server sono utilizzati dagli utenti che accedono alle reti aziendali locali. I server locali limitano i servizi Smart Protection alla rete aziendale per una maggiore efficienza. Esistono due tipi di Smart Protection Server: • Integrated Smart Protection Server: Il programma di installazione di OfficeScan comprende un Integrated Smart Protection Server che viene installato nello stesso dispositivo dove è installato il server OfficeScan. Dopo l'installazione è possibile gestire le impostazioni di questo server dalla console Web OfficeScan. Il server integrato è inteso per piccole implementazioni di OfficeScan. Per implementazioni superiori, è necessario Smart Protection Server standalone. • Smart Protection Server standalone: Smart Protection Server standalone viene installato su un server VMware o un server Hyper-V. Il server standalone dispone di una console di gestione separata e non è gestito dalla console Web OfficeScan. Confronto delle origini Smart Protection La seguente tabella sottolinea le differenze tra Smart Protection Network e Smart Protection Server. TABELLA 4-1. Confronto delle origini Smart Protection CRITERI DI CONFRONTO Disponibilità SMART PROTECTION SERVER Disponibile per gli agenti interni, ossia gli agenti che soddisfano i criteri di posizione specificati nella console Web OfficeScan TREND MICRO SMART PROTECTION NETWORK Disponibile principalmente per gli agenti esterni, ossia gli agenti che non soddisfano i criteri di posizione specificati nella console Web OfficeScan. 4-7 Guida per l'amministratore di OfficeScan™ 11.0 CRITERI DI CONFRONTO SMART PROTECTION SERVER TREND MICRO SMART PROTECTION NETWORK Scopo Progettata e finalizzata all'identificazione dei servizi Smart Protection per la rete aziendale al fine di ottimizzare l'efficienza. Un'infrastruttura, basata su Internet, su scala globale che fornisce servizi Smart Protection agli agenti che non possono accedere direttamente alla loro rete aziendale. Amministrazione Gli amministratori OfficeScan installano e gestiscono queste origini Smart Protection. Trend Micro gestisce questa origine. Origine di aggiornamento dei pattern Server ActiveUpdate di Trend Micro Server ActiveUpdate di Trend Micro Protocolli di connessione degli agenti HTTP e HTTPS HTTPS File Smart Protection Pattern I file Smart Protection Pattern vengono utilizzati per i Servizi di reputazione file e i Servizi di reputazione Web. Trend Micro rilascia i file di pattern attraverso il server ActiveUpdate di Trend Micro. Smart Scan Agent Pattern Smart Scan Agent Pattern viene aggiornato quotidianamente e viene scaricato dall'origine aggiornamenti dell'agente OfficeScan (il server OfficeScan o un'origine aggiornamenti personalizzata). L'origine aggiornamenti implementa quindi il pattern per gli agenti Smart Scan. 4-8 Utilizzo di Trend Micro Smart Protection Nota Gli agenti con Smart Scan sono agenti OfficeScan che gli amministratori hanno configurato per utilizzare i Servizi di reputazione file. Gli agenti che non utilizzano i Servizi di reputazione file sono definiti agenti con scansione convenzionale. Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern quando eseguono la scansione per i rischi sulla sicurezza. Se il pattern non è in grado di determinare il rischio del file, viene utilizzato un altro pattern: Smart Scan Pattern. Smart Scan Pattern Smart Scan Pattern viene aggiornato ogni ora e viene scaricato dalle origini Smart Protection Gli agenti con Smart Scan non scaricano Smart Scan Pattern. Gli agenti verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione alle origini Smart Protection. Elenco siti Web bloccati L'Elenco siti Web bloccati viene scaricato dalle origini Smart Protection. Gli agenti OfficeScan ai quali sono applicati i criteri di reputazione Web non scaricano l'Elenco siti Web bloccati. Nota Gli amministratori possono applicare i criteri di reputazione Web a tutti gli agenti o solo ad alcuni. Gli agenti ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto all'Elenco siti Web bloccati inviando query di reputazione Web all'origine Smart Protection. L'agente mette in correlazione i dati di reputazione ricevuti dall'origine Smart Protection con il criterio di reputazione Web applicato sull'dispositivo. In base al criterio, l'agente blocca o consente l'accesso al sito. 4-9 Guida per l'amministratore di OfficeScan™ 11.0 Processo di aggiornamento di Smart Protection Pattern Tutti gli aggiornamenti degli Smart Protection Pattern provengono dal server ActiveUpdate di Trend Micro. FIGURA 4-1. Processo di aggiornamento dei pattern Utilizzo degli Smart Protection Pattern L'agente OfficeScan utilizza Smart Scan Agent Pattern per eseguire la scansione per i rischi sulla sicurezza e invia le query a Smart Scan Pattern se Smart Scan Agent Pattern 4-10 Utilizzo di Trend Micro Smart Protection non è in grado di determinare il rischio di un file. L'agente invia una query all'Elenco siti Web bloccati quando un utente tenta di accedere ad un sito Web. La tecnologia di filtro avanzata consente all'agente di inserire nella "cache" i risultati della query. In questo modo si elimina la necessità di inviare la stessa query per più di una volta. Gli agenti che si trovano attualmente nell'Intranet possono connettersi a Smart Protection Server per inviare query a Smart Scan Pattern o all'Elenco siti Web bloccati. È richiesta una connessione di rete per connettersi a Smart Protection Server. Se sono stati impostati più Smart Protection Server, gli amministratori possono determinare la priorità di connessione. Suggerimento Installare diversi Smart Protection Server per garantire la continuità della protezione nel caso in cui la connessione a uno Smart Protection Server non sia disponibile. 4-11 Guida per l'amministratore di OfficeScan™ 11.0 Gli agenti attualmente non presenti nella Intranet non possono connettersi a Trend Micro Smart Protection Network per tale operazione. Per connettersi a Smart Protection Network, è necessaria una connessione ad Internet. FIGURA 4-2. Processo di query Gli agenti senza accesso alla rete o ad Internet possono ancora sfruttare la protezione fornita da Smart Scan Agent Pattern e dalla cache contenente i risultati di query precedenti. La protezione viene ridotta solo quando una nuova query si rende necessaria e l'agente, dopo ripetuti tentativi, continua a non essere in grado di raggiungere un'origine Smart Protection. In questo caso, l'agente contrassegna il file per la verifica consentendo l'accesso temporaneo allo stesso. Quando viene ripristinata la connessione all'origine Smart Protection, tutti i file contrassegnati vengono sottoposti di nuovo a scansione. Quindi viene eseguita l'azione di scansione appropriata sui file che sono stati confermati come minaccia. La seguente tabella riepiloga l'entità della protezione in base alla posizione dell'agente. 4-12 Utilizzo di Trend Micro Smart Protection TABELLA 4-2. Comportamenti di protezione in base alla località POSIZIONE Per accedere alla intranet Senza accesso alla Intranet, ma con connessione a Smart Protection Network Senza accesso alla Intranet e senza connessione a Smart Protection Network COMPORTAMENTO DEI FILE DEI PATTERN E DELLE QUERY • File di pattern: gli agenti scaricano il file Smart Scan Agent Pattern dal server OfficeScan o da un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: gli agenti si connettono agli Smart Protection Server per le query. • File di pattern: gli agenti non scaricano il file Smart Scan Agent Pattern più recente a meno che non sia disponibile una connessione al server OfficeScan o a un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: gli agenti si connettono a Smart Protection Network per le query. • File di pattern: gli agenti non scaricano il file Smart Scan Agent Pattern più recente a meno che non sia disponibile una connessione al server OfficeScan o a un'origine aggiornamenti personalizzata. • Query di reputazione file e Web: gli agenti non ricevono i risultati delle query e devono affidarsi a Smart Scan Agent Pattern e alla cache che contiene i risultati delle query precedenti. Impostazione dei servizi Smart Protection Prima che gli agenti possano utilizzare Servizi di reputazione file e Servizi di reputazione Web, è necessario assicurarsi che l'ambiente sia stato impostato correttamente. Controllare quanto segue: • Installazione di Smart Protection Server a pagina 4-14 • Gestione di Integrated Smart Protection Server a pagina 4-20 • Elenco delle origini Smart Protection a pagina 4-25 • Impostazioni proxy connessione agente a pagina 4-33 4-13 Guida per l'amministratore di OfficeScan™ 11.0 • Installazioni di Trend Micro Network VirusWall a pagina 4-34 Installazione di Smart Protection Server Se il numero degli agenti è minore o uguale a 1.000, è possibile installare Smart Protection Server integrato o standalone. Installare uno Smart Protection Server standalone se il numero degli agenti è superiore a 1.000. Per il failover, Trend Micro consiglia di installare diversi Smart Protection Server. Gli agenti che non sono in grado di connettersi a un server particolare tenteranno di connettersi agli altri server impostati. Dato che il server integrato e il server OfficeScan vengono eseguiti nello stesso dispositivo, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Si consideri di utilizzare uno Smart Protection Server standalone come origine Smart Protection principale per gli agenti e Integrated Smart Protection Server come supporto di backup. Installazione di Smart Protection Server standalone Per istruzioni sull'installazione e la gestione di Smart Protection Server standalone, consultare la Guida all'installazione e all'aggiornamento di Smart Protection Server. Installazione di Integrated Smart Protection Server Se durante l'installazione del server OfficeScan è stato installato Integrated Smart Protection Server: • Attivare Integrated Smart Protection Server e configurare le impostazioni per il server. Per i dettagli, consultare Gestione di Integrated Smart Protection Server a pagina 4-20. • Se Integrated Smart Protection Server e l'agente OfficeScan sono sullo stesso computer server, considerare la possibilità di disattivare il firewall di OfficeScan. Il firewall OfficeScan è destinato a essere utilizzato per l'dispositivo agente e può avere un'influenza negativa sulle prestazioni dei server. Per le istruzioni per disattivare il firewall, vedere Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6. 4-14 Utilizzo di Trend Micro Smart Protection Nota Valutare gli effetti della disattivazione del firewall e assicurarsi di rispettare i piani della sicurezza. Suggerimento Installare Integrated Smart Protection Server dopo aver completato l'installazione OfficeScan utilizzando l'Integrated Smart Protection Server Tool a pagina 4-15. Integrated Smart Protection Server Tool L'Integrated Smart Protection Tool di Trend Micro OfficeScan consente agli amministratori di installare o disinstallare Integrated Smart Protection Server dopo che l'installazione del server OfficeScan è completata. La versione corrente di OfficeScan non consente agli amministratori di installare/rimuovere Integrated Smart Protection Server una volta completata l'installazione del server OfficeScan. Questo strumento migliora la flessibilità delle funzionalità di installazione rispetto alle versioni precedenti di OfficeScan. Prima di installare Integrated Smart Protection Server, importare i seguenti elementi sul server OfficeScan 11.0 aggiornato: • Strutture dei domini • Il livello principale e le impostazioni del livello dei domini seguenti: • Configurazioni di scansione per tutti i tipi di scansione (Manuale, In tempo reale, Pianificata, Esegui scansione) • Impostazioni di reputazione Web • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni di Prevenzione perdita di dati • Privilegi e altre impostazioni • Impostazioni aggiuntive del servizio 4-15 Guida per l'amministratore di OfficeScan™ 11.0 • Elenco approvati spyware/grayware • Impostazioni globali agente • Posizione dispositivo • Criteri e profili del firewall • Origini Smart Protection • Pianificazione aggiornamento del server • Pianificazione e origine dell'aggiornamento agente • Notifiche • Impostazioni proxy Procedura 1. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione del server>\PCCSRV\Admin\Utility\ISPSInstaller in cui si trova ISPSInstaller.exe. 2. Eseguire ISPSInstaller.exe utilizzando uno dei comandi seguenti: TABELLA 4-3. Opzioni del programma di installazione COMANDO ISPSInstaller.exe /i DESCRIZIONE Installa Integrated Smart Protection Server utilizzando le impostazioni della porta predefinita. Per ulteriori informazioni sulle impostazioni della porta predefinita, consultare la tabella seguente. 4-16 Utilizzo di Trend Micro Smart Protection COMANDO ISPSInstaller.exe /i /f: [numero porta] /s:[numero porta] /w:[numero porta] DESCRIZIONE Installa Integrated Smart Protection Server utilizzando le porte specificate, dove: • /f:[numero porta] rappresenta la porta di reputazione del file HTTP • /s:[numero porta] rappresenta la porta di reputazione del file HTTPS /w:[numero porta] rappresenta la porta di • reputazione Web Nota Alla porta non specificata viene assegnato automaticamente un valore predefinito. ISPSInstaller.exe /u Disinstalla Integrated Smart Protection Server TABELLA 4-4. Porte dei servizi di reputazione dell'Integrated Smart Protection Server PORTE PER SERVIZI DI REPUTAZIONE FILE SERVER WEB E IMPOSTAZIONI PORTA HTTP SERVIZI DI PER I REPUTAZIONE HTTP HTTPS (SSL) WEB Server Apache Web con SSL attivato 8082 4345 (non configurabile) 5274 (non configurabile) Server Apache Web con SSL disattivato 8082 4345 (non configurabile) 5274 (non configurabile) Sito Web predefinito IIS con SSL attivato 80 443 (non configurabile) 80 (non configurabile) Sito Web predefinito IIS con SSL disattivato 80 443 (non configurabile) 80 (non configurabile) Sito Web virtuale IIS con SSL attivato 8080 4343 (configurabile) 8080 (configurabile) 4-17 Guida per l'amministratore di OfficeScan™ 11.0 PORTE PER SERVIZI DI REPUTAZIONE FILE SERVER WEB E IMPOSTAZIONI REPUTAZIONE HTTP Sito Web virtuale IIS con SSL disattivato 3. PORTA HTTP SERVIZI DI PER I 8080 HTTPS (SSL) WEB 4343 (configurabile) 8080 (configurabile) Dopo il completamento dell'installazione, aprire la console Web OfficeScan e verificare quanto segue: • Aprire Microsoft Management Console (digitando services.msc nel menu Avvia) e verificare che Trend Micro Local Web Classification Server e Trend Micro Smart Scan Server siano elencati con lo stato "Avviato". • Aprire Windows Task Manager. Nella scheda Processi, verificare che iCRCService.exe e LWCSService.exe siano in esecuzione, • Nella console Web OfficeScan, verificare che sia visualizzata la voce di menu Amministrazione > Smart Protection > Server integrato. Migliori pratiche per Smart Protection Server Per ottimizzare le prestazioni di Smart Protection Server, attenersi alle istruzioni riportate di seguito: • Evitare l'esecuzione contemporanea di Scansioni manuali e Scansioni pianificate. Suddividere le scansioni in gruppi. • Evitare di configurare tutti gli agenti in modo che eseguano l'operazione Esegui scansione simultaneamente. • Personalizzare gli Smart Protection Server per connessioni di rete più lente, circa 512 Kbps, modificando il file ptngrowth.ini. 4-18 Utilizzo di Trend Micro Smart Protection Personalizzazione di ptngrowth.ini per il server standalone Procedura 1. Aprire il file ptngrowth.ini in /var/tmcss/conf/. 2. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: • [COOLDOWN] • ENABLE=1 • MAX_UPDATE_CONNECTION=1 • UPDATE_WAIT_SECOND=360 3. Salvare il file ptngrowth.ini. 4. Riavviare il servizio lighttpd digitando i seguenti comandi dall'interfaccia della riga di comando (CLI, Command Line Interface): • service lighttpd restart Personalizzazione di ptngrowth.ini per il server integrato Procedura 1. Aprire il file ptngrowth.ini nella <Cartella di installazione del server>\PCCSRV \WSS\. 2. 3. Modificare il file ptngrowth.ini utilizzando i seguenti valori consigliati: • [COOLDOWN] • ENABLE=1 • MAX_UPDATE_CONNECTION=1 • UPDATE_WAIT_SECOND=360 Salvare il file ptngrowth.ini. 4-19 Guida per l'amministratore di OfficeScan™ 11.0 4. Riavviare il servizio Trend Micro Smart Protection Server. Gestione di Integrated Smart Protection Server Per gestire Integrated Smart Protection Server, effettuare le seguenti operazioni: • Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato • Registrazione degli indirizzi del server integrato • Aggiornamento dei componenti del server integrato • Configurazione dell'Elenco URL approvati/bloccati del server integrato • Configurazione delle impostazioni dell'elenco Virtual Analyzer C&C Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Attivazione dei Servizi di reputazione Web e dei Servizi di reputazione file del server integrato Affinché gli agenti siano in grado di inviare query di reputazione Web o di scansione al server integrato, è necessario attivare i Servizi di reputazione file e i Servizi di reputazione Web. L'attivazione di questi servizi consente, inoltre, al server integrato di aggiornare i componenti dal server ActiveUpdate. Questi servizi vengono attivati automaticamente se si sceglie di installare il server integrato durante l'installazione del server OfficeScan. Se si disattivano i servizi, accertarsi di avere installato gli Smart Protection Server standalone ai quali gli agenti possono inviare le query. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. 4-20 Utilizzo di Trend Micro Smart Protection Registrazione degli Indirizzi del server integrato Gli indirizzi del server integrato sono necessari per configurare l'elenco delle origini Smart Protection per gli agenti interni. Per ulteriori informazioni sull'elenco, vedere Elenco delle origini Smart Protection a pagina 4-25. Quando inviano le query al server integrato, gli agenti identificano il server attraverso uno dei due indirizzi dei Servizi di reputazione file: l'indirizzo HTTP o HTTPS. La connessione mediante l'indirizzo HTTPS permette una connessione più sicura mentre quella HTTP richiede un utilizzo di ampiezza di banda inferiore. Quando gli agenti inviano query di reputazione Web, identificano il server integrato dall'indirizzo dei relativi Servizi di reputazione Web. Suggerimento Anche gli agenti gestiti da un altro server OfficeScan possono connettersi a questo server integrato. Nella console Web dell'altro server OfficeScan, aggiungere l'indirizzo del server integrato all'elenco delle origini Smart Protection. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Aggiornamento dei componenti del server integrato Il server integrato aggiorna i seguenti componenti: • Smart Scan Pattern: Gli agenti OfficeScan verificano potenziali minacce rispetto a Smart Scan Pattern inviando query di scansione al server integrato. • Elenco siti Web bloccati: gli agenti OfficeScan ai quali vengono applicati i criteri di reputazione Web verificano la reputazione di un sito Web rispetto a Elenco siti Web bloccati inviando query di reputazione Web al server integrato. È possibile aggiornare manualmente tali componenti o configurare una pianificazione di aggiornamento. Il server integrato scarica i componenti dal server ActiveUpdate. 4-21 Guida per l'amministratore di OfficeScan™ 11.0 Nota Un server integrato IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire al server integrato di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Configurazione dell'Elenco URL approvati/bloccati del server integrato Gli agenti gestiscono i rispettivi elenchi degli URL approvati/bloccati. Configurare l'elenco degli agenti quando vengono impostati i criteri di reputazione Web (consultare Criteri di reputazione Web a pagina 11-5 per ulteriori informazioni). Qualsiasi URL nell'elenco dell'agente verrà automaticamente consentito o bloccato. Il server integrato ha il proprio elenco di URL approvati/bloccati. Se un URL non è presente nell'elenco dell'agente, l'agente invia una query di reputazione Web al server integrato (se quest'ultimo è stato assegnato come origine Smart Protection). Se l'URL si trova nell'elenco di URL approvati/bloccati del server integrato, quest'ultimo notifica all'agente di consentire o bloccare l'URL. Nota L'Elenco URL bloccati ha la priorità rispetto all'Elenco siti Web bloccati. Per aggiungere gli URL all'elenco degli URL approvati/bloccati del server integrato, importare un elenco da Smart Protection Server standalone. Non è possibile aggiungere manualmente gli URL. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. 4-22 Utilizzo di Trend Micro Smart Protection Impostazioni di connessione di Deep Discovery Advisor e Virtual Analyzer Configurare le impostazioni dell'elenco Virtual Analyzer C&C per stabilire una connessione tra lo Smart Protection Server integrato e il server Deep Discovery Advisor. Virtual Analyzer di Deep Discovery Advisor crea l'elenco Virtual Analyzer C&C, che Smart Protection Server archivia per l'uso da parte di OfficeScan. Una volta stabilita una corretta connessione al server Deep Discovery Advisor, abilitare l'elenco Virtual Analyzer C&C per monitorare i callback C&C effettuati ai server precedentemente identificati da altri agenti della rete. Per i dettagli, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Configurazione delle impostazioni di Integrated Smart Protection Server Procedura 1. Accedere a Amministrazione > Smart Protection > Server integrato. 2. Selezionare Attiva Servizi di reputazione file. 3. Selezionare il protocollo (HTTP o HTTPS) che gli agenti useranno per inviare le query di scansione al server integrato. 4. Selezionare Attiva Servizi di reputazione Web. 5. Registrare gli indirizzi del server integrato presenti nella colonna Indirizzo server. 6. Per aggiornare i componenti del server integrato: • Visualizzare le versioni correnti di Smart Scan Pattern ed Elenco siti Web bloccati. Se un aggiornamento è disponibile, fare clic su Aggiorna ora. Il risultato dell'aggiornamento viene visualizzato nella parte superiore della schermata. • Per aggiornare automaticamente il pattern: a. Selezionare Attiva aggiornamenti pianificati. 4-23 Guida per l'amministratore di OfficeScan™ 11.0 b. Scegliere se eseguire l'aggiornamento ogni ora o ogni 15 minuti. c. Selezionare un'origine aggiornamenti in Servizi di reputazione file. Smart Scan Pattern verrà aggiornato da questa origine. d. Selezionare un'origine aggiornamenti in Servizi di reputazione Web. L'Elenco siti Web bloccati verrà aggiornato da questa origine. Nota 7. 8. • Se si sceglie il server ActiveUpdate come origine aggiornamenti, accertarsi che il server disponga di una connessione a Internet e, se si utilizza un server proxy, verificare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21 per ulteriori dettagli. • Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. Per configurare l'elenco dei siti approvati/bloccati del server integrato: a. Fare clic su Importa per immettere nell'elenco gli URL del file .csv preformattato. È possibile ottenere il file .csv da uno Smart Protection Server standalone. b. Se si dispone di un elenco esistente, fare clic su Esporta per salvare l'elenco in un file .csv. Nota • Contattare l'amministratore di Deep Discovery Advisor per ottenere il nome o l'indirizzo IP del server, il numero di porta e una chiave API valida. • Questa versione di OfficeScan supporta solo Deep Discovery Advisor 3.0 e versioni successive. Per configurare la connessione Virtual Analyzer del server Deep Discovery Advisor: 4-24 Utilizzo di Trend Micro Smart Protection a. Digitare il nome o l'indirizzo IP del server Deep Discovery Advisor. Nota Il nome del server supporta i formati FQDN e l'indirizzo IP il formato IPv4. L'indirizzo del server supporta solo il protocollo HTTPS. b. Digitare la chiave API. c. Fare clic su Registra per effettuare la connessione al server Deep Discovery Advisor. Nota Gli amministratori possono verificare la connessione al server prima di effettuare la registrazione. d. Selezionare Attiva elenco Virtual Analyzer C&C per consentire a OfficeScan di utilizzare l'elenco C&C personalizzato analizzato dal server Deep Discovery Advisor locale. Nota L'opzione Attiva elenco Virtual Analyzer C&C è disponibile solo dopo aver effettuato una corretta connessione al server Deep Discovery Advisor. Gli amministratori sono in grado di effettuare in qualsiasi momento la sincronizzazione manuale con Deep Discovery Advisor facendo clic sul pulsante Sincronizza adesso. 9. Fare clic su Salva. Elenco delle origini Smart Protection Gli agenti inviano query alle origini Smart Protection quando eseguono la scansione per i rischi sulla sicurezza e per determinare la reputazione di un sito Web. 4-25 Guida per l'amministratore di OfficeScan™ 11.0 Supporto IPv6 per le origini Smart Protection Un agente IPv6 puro non è in grado di inviare query direttamente alle origini IPv4, come: • Smart Protection Server 2.0 (integrato o standalone) Nota Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. • Trend Micro Smart Protection Network Analogamente, un agente IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire agli agenti di connettersi alle origini, è necessario un server proxy dualstack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origini Smart Protection e posizione dispositivo L'origine Smart Protection a cui si connette l'agente dipende dalla posizione dell'dispositivo agente. Per ulteriori informazioni sulla configurazione delle impostazioni della località, vedere Posizione dispositivo a pagina 14-2. TABELLA 4-5. Origini Smart Protection per località POSIZIONE Esterni 4-26 ORIGINI SMART PROTECTION Gli agenti esterni inviano query di reputazione Web e di scansione a Trend Micro Smart Protection Network. Utilizzo di Trend Micro Smart Protection POSIZIONE Interni ORIGINI SMART PROTECTION Gli agenti interni inviano query di reputazione Web e di scansione a Smart Protection Server o Trend Micro Smart Protection Network. Se sono stati installati gli Smart Protection Server, configurare l'elenco delle origini di Smart Protection nella console Web OfficeScan. Un agente interno sceglie un server dall'elenco se deve inviare una query. Se un agente non è in grado di connettersi al primo server, ne sceglie un altro dall'elenco. Suggerimento Assegnare uno Smart Protection Server standalone come origine di scansione principale e il server integrato come backup. In tal modo si riduce il traffico diretto all'dispositivo che ospita il server OfficeScan e il server integrato. Inoltre il server standalone è in grado di elaborare un maggior numero di query. È possibile configurare un elenco standard o personalizzato di origini Smart Protection. L'elenco standard è utilizzato da tutti gli agenti interni. L'elenco personalizzato definisce l'intervallo di indirizzi IP. Se l'indirizzo IP di un agente interno è compreso nell'intervallo, l'agente utilizza l'elenco personalizzato. Configurazione dell'elenco standard di Origini Smart Protection Procedura 1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection. 2. Fare clic sulla scheda Agenti interni. 3. Selezionare Utilizza l'elenco standard (per tutti gli agenti interni). 4. Fare clic sul collegamento elenco standard. Viene visualizzata una nuova schermata. 5. Fare clic su Aggiungi. 4-27 Guida per l'amministratore di OfficeScan™ 11.0 Viene visualizzata una nuova schermata. 6. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a Smart Protection Server. 7. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. a. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che gli agenti utilizzino l'HTTPS, selezionare SSL ed immettere la porta di ascolto del server per le richieste HTTPS. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Suggerimento Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e accedere a Amministrazione > Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. 8. 9. 4-28 Selezionare Servizi di reputazione Web. Gli agenti inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. a. Immettere la porta di ascolto del server per le richieste HTTP. b. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. Fare clic su Salva. Utilizzo di Trend Micro Smart Protection La schermata si chiude. 10. Aggiungere altri server ripetendo i passaggi precedenti. 11. Sulla parte superiore della schermata, selezionare Ordine o Casuale. • Ordine: Gli agenti scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: gli agenti scelgono i server in modo casuale. Suggerimento Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso dispositivo, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. 12. Eseguire operazioni varie sulla schermata. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. • Fare clic sul nome del server per effettuare una delle operazioni riportate di seguito: • • Per visualizzare o modificare le informazioni del server. • Visualizzare l'indirizzo completo del server per Servizi di reputazione Web o Servizi di reputazione file. Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. 4-29 Guida per l'amministratore di OfficeScan™ 11.0 • • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Per eliminare una voce, selezionare la casella di controllo del server e fare clic su Elimina. 13. Fare clic su Salva. La schermata si chiude. 14. Fare clic su Invia una notifica tutti gli agenti. Configurazione degli elenchi personalizzati di Origini Smart Protection Procedura 1. Accedere a Amministrazione > Smart Protection > Origini Smart Protection. 2. Fare clic sulla scheda Agenti interni. 3. Selezionare Utilizza elenchi personalizzati basati sull'indirizzo IP dell'agente. 4. Facoltativamente, selezionare Utilizza l'elenco standard quando nessun server degli elenchi personalizzati è disponibile. 5. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 6. Nella sezione dell'Intervallo IP, specificare un intervallo di indirizzi IPv4 o IPv6, o entrambi. Nota Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a Smart Protection Server dual stack. Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a Smart Protection Server dual stack. Gli agenti con entrambi gli indirizzi IPv4 e IPv6 possono connettersi a qualsiasi Smart Protection Server. 4-30 Utilizzo di Trend Micro Smart Protection 7. 8. Nella sezione Impostazione proxy, specificare le impostazioni proxy che gli agenti utilizzeranno per connettersi a Smart Protection Server. a. Selezionare Utilizza un server proxy per la comunicazione tra l'agente e lo Smart Protection Server. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. c. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password. Nell'Elenco personalizzato Smart Protection Server, aggiungere gli Smart Protection Server. a. Specificare l'indirizzo IPv4/IPv6 o il nome host di Smart Protection Server. Se viene specificato l'indirizzo IPv6, racchiuderlo tra parentesi. Nota Specificare il nome host se sono presenti agenti IPv4 e IPv6 che si connettono a Smart Protection Server. b. Selezionare Servizi di reputazione file. Gli agenti inviano query di scansione utilizzando il protocollo HTTP o HTTPS. Il protocollo HTTPS permette una connessione più sicura mentre il protocollo HTTP richiede un utilizzo di ampiezza di banda inferiore. i. Se si desidera che gli agenti utilizzino l'HTTP, immettere la porta di ascolto del server per le richieste HTTP. Se si desidera che gli agenti utilizzino l'HTTPS, selezionare SSL e immettere la porta di ascolto del server per le richieste HTTPS. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. 4-31 Guida per l'amministratore di OfficeScan™ 11.0 Suggerimento Le porte di ascolto costituiscono una parte dell'indirizzo del server. Per ottenere l'indirizzo del server: Per il server integrato, aprire la console Web OfficeScan e accedere a Amministrazione > Smart Protection > Server integrato. Per il server standalone, aprire la console del server standalone e andare alla schermata Riepilogo. c. Selezionare Servizi di reputazione Web. Gli agenti inviano query di reputazione Web utilizzando il protocollo HTTP. L'HTTPS non è supportato. i. Immettere la porta di ascolto del server per le richieste HTTP. ii. Per verificare se è possibile stabilire una connessione con il server, fare clic su Test di connessione. d. Fare clic su Aggiungi all'elenco. e. Aggiungere altri server ripetendo i passaggi precedenti. f. Selezionare Ordine o Casuale. • Ordine: Gli agenti scelgono i server nell'ordine con il quale sono visualizzati nell'elenco. Se si seleziona Ordine, utilizzare le frecce nella colonna Ordine per spostare i server in alto e in basso all'interno dell'elenco. • Casuale: gli agenti scelgono i server in modo casuale. Suggerimento Dato che Integrated Smart Protection Server e il server OfficeScan vengono eseguiti nello stesso computer, le prestazioni possono diminuire in modo significativo durante i periodi di traffico intenso per i due server. Per ridurre il traffico verso il computer server OfficeScan, assegnare uno Smart Protection Server standalone come origine di Smart Protection principale e il server integrato come origine di backup. g. Eseguire operazioni varie nella schermata. • 4-32 Per aggiornare lo stato di servizio dei server, fare clic su Aggiorna. Utilizzo di Trend Micro Smart Protection • • 9. Per aprire la console di uno Smart Protection Server, fare clic su Avvia console. • Per Integrated Smart Protection Server, viene visualizzata la schermata di configurazione del server. • Per Smart Protection Server standalone e Integrated Smart Protection Server di un altro server OfficeScan viene visualizzata la schermata di accesso. Per eliminare una voce, fare clic su Elimina ( ). Fare clic su Salva. La schermata si chiude. L'elenco appena aggiunto viene visualizzato come collegamento dell'intervallo IP nella tabella Intervallo IP 10. Ripetere i passaggi da 4 a 8 per aggiungere più elenchi personalizzati. 11. Eseguire operazioni varie nella schermata. • Per modificare un elenco, fare clic sul collegamento dell'intervallo IP, quindi modificare le impostazioni nella schermata visualizzata. • Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. • Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. 12. Fare clic su Invia una notifica tutti gli agenti. Impostazioni proxy connessione agente Se la connessione a Smart Protection Network richiede l'autenticazione proxy, specificare le credenziali per l'autenticazione. Per i dettagli, consultare Proxy esterno per gli agenti OfficeScan a pagina 14-51. 4-33 Guida per l'amministratore di OfficeScan™ 11.0 Configurare le impostazioni del proxy interno che gli agenti dovranno utilizzare durante la connessione a uno Smart Protection Server. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-50. Impostazioni sulla posizione dell'dispositivo OfficeScan comprende la funzione di Location Awarness in grado di identificare la posizione del computer agente e determinare se l'agente si connette a Smart Protection Network o a Smart Protection Server. In tal modo, gli agenti rimangono protetti indipendentemente dalla loro posizione. Per configurare le impostazioni della località, vedere Posizione dispositivo a pagina 14-2. Installazioni di Trend Micro Network VirusWall Se è installato Trend Micro™ Network VirusWall™ Enforcer: • Installare una hotfix (build 1047 per Network VirusWall Enforcer 2500 e build 1013 per Network VirusWall Enforcer 1200). • Per consentire al prodotto di rilevare il metodo di scansione di un agente, eseguire l'aggiornamento del motore OPSWAT alla versione 2.5.1017. Utilizzo dei servizi Smart Protection Dopo che l'ambiente Smart Protection è stato impostato correttamente, gli agenti possono utilizzare Servizi di reputazione file e Servizi di reputazione Web. È anche possibile iniziare a configurare le impostazioni di Smart Feedback. Nota Per istruzioni sull'impostazione dell'ambiente Smart Protection, vedere Impostazione dei servizi Smart Protection a pagina 4-13. 4-34 Utilizzo di Trend Micro Smart Protection Per trarre vantaggio dalla protezione fornita da Servizi di reputazione file, gli agenti devono usare un metodo di scansione denominato Smart Scan. Per informazioni su Smart Scan e su come attivarlo sugli agenti, vedere Tipi di metodi di scansione a pagina 7-8. Per consentire agli agenti OfficeScan di usare Servizi di reputazione Web, configurare i criteri di reputazione Web. Per i dettagli, consultare Criteri di reputazione Web a pagina 11-5. Nota Le impostazioni per i metodi di scansione e i criteri di reputazione Web sono flessibili. A seconda dei requisiti, è possibile configurare le impostazioni da applicare a tutti gli agenti o configurare impostazioni diverse per i singoli agenti o per gruppi di agenti. Per istruzioni sulla configurazione di Smart Feedback, vedere Smart Feedback a pagina 13-58. 4-35 Capitolo 5 Installazione dell'agente OfficeScan Questo capitolo descrive i requisiti di sistema Trend Micro™ OfficeScan™ e le procedure di installazione dell'agente OfficeScan. Per ulteriori informazioni sull'aggiornamento dell'agente OfficeScan, consultare la Guida all'installazione e all'aggiornamento di OfficeScan. Di seguito sono riportati gli argomenti trattati: • Installazione da zero dell'agente OfficeScan a pagina 5-2 • Considerazioni sull'installazione a pagina 5-2 • Considerazioni sull'implementazione a pagina 5-11 • Migrazione all'agente OfficeScan a pagina 5-65 • Post-installazione a pagina 5-70 • Disinstallazione dell'agente OfficeScan a pagina 5-73 5-1 Guida per l'amministratore di OfficeScan™ 11.0 Installazione da zero dell'agente OfficeScan L'agente OfficeScan può essere installato su computer con piattaforme Microsoft Windows. OfficeScan è compatibile anche con diversi prodotti di terzi. Visitare il sito Web seguente per un elenco completo dei requisiti di sistema e dei prodotti compatibili di terze parti: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Considerazioni sull'installazione Prima di installare gli agenti, valutare le informazioni riportate di seguito. TABELLA 5-1. Considerazioni sull'installazione agente CONSIDERAZIONE Supporto della funzione Windows Alcune funzioni dell'agente OfficeScan non sono disponibili su determinate piattaforme Windows. Supporto IPv6 L'agente OfficeScan può essere installato su agenti dual-stack o IPv6 puri. Tuttavia: Indirizzi IP dell'agente OfficeScan 5-2 DESCRIZIONE • Alcuni sistemi operativi Windows sui quali è possibile installare l'agente OfficeScan non supportano l'indirizzamento IPv6. • Alcuni metodi di installazione richiedono dei requisiti particolari per installare correttamente l'agente OfficeScan. Per gli agenti con indirizzi IPv4 e IPv6, è possibile scegliere quale indirizzo IP sarà usato dall'agente per effettuare la registrazione al server. Installazione dell'agente OfficeScan CONSIDERAZIONE Elenco eccezioni DESCRIZIONE assicurarsi che gli elenchi di eccezioni per le funzioni seguenti siano configurati correttamente: • Monitoraggio del comportamento: Aggiungere le applicazioni importanti dell'dispositivo all'elenco Programmi approvati per evitare che tali applicazioni siano bloccate dall'agente OfficeScan. Per ulteriori informazioni, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 8-6. • Reputazione Web: Aggiungere i siti Web considerati sicuri all'Elenco URL approvati per evitare che l'agente OfficeScan blocchi l'accesso ai siti Web. Per ulteriori informazioni, consultare Criteri di reputazione Web a pagina 11-5. Funzioni dell'agente OfficeScan Le funzioni dell'agente OfficeScan disponibili nell'dispositivo dipendono dal sistema operativo dell'dispositivo. TABELLA 5-2. Funzionalità dell'agente OfficeScan su piattaforme server SISTEMA OPERATIVO WINDOWS FUNZIONE SERVER 2003 SERVER 2008/ SERVER 2012/ SERVER CORE 2008 SERVER CORE 2012 Scansione manuale, scansione in tempo reale e scansione pianificata. Sì Sì Sì Aggiornamento dei componenti (aggiornamento manuale e pianificato) Sì Sì Sì Update Agent Sì Sì Sì 5-3 Guida per l'amministratore di OfficeScan™ 11.0 SISTEMA OPERATIVO WINDOWS FUNZIONE 5-4 SERVER 2003 SERVER 2008/ SERVER 2012/ SERVER CORE 2008 SERVER CORE 2012 Reputazione Web Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server e con supporto limitato alla modalità interfaccia utente di Windows Damage Cleanup Services Sì Sì Sì Firewall di OfficeScan Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server Sì, ma disattivato per impostazione predefinita durante l'installazione del server e Filtro di applicazioni non supportato Monitoraggio del comportamento Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Installazione dell'agente OfficeScan SISTEMA OPERATIVO WINDOWS FUNZIONE Protezione automatica dell'agente per: • Chiavi di registro • Processi Protezione automatica dell'agente per: • Servizi • Protezione file Controllo dispositivo (Servizio prevenzione modifiche non autorizzate) Protezione dati (inclusa protezione dati per controllo dispositivo) Scansione e-mail POP3 SERVER 2003 SERVER 2008/ SERVER 2012/ SERVER CORE 2008 SERVER CORE 2012 Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Sì Sì Sì Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita No (64 bit) Sì (64 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (32 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita Sì (64 bit), ma disattivato per impostazione predefinita Sì Sì Sì (64 bit), ma disattivato per impostazione predefinita Sì 5-5 Guida per l'amministratore di OfficeScan™ 11.0 SISTEMA OPERATIVO WINDOWS FUNZIONE SERVER 2008/ SERVER 2012/ SERVER CORE 2008 SERVER CORE 2012 SERVER 2003 Plug-in Manager agente Sì Sì Sì Modalità roaming Sì Sì (Server) Sì No (Server Core) Smart Feedback Sì Sì Sì TABELLA 5-3. Funzionalità dell'agente OfficeScan su piattaforme desktop SISTEMA OPERATIVO WINDOWS FUNZIONE 5-6 XP VISTA WINDOWS 8/8.1 WINDOWS 7 Scansione manuale, scansione in tempo reale e scansione pianificata. Sì Sì Sì Sì Aggiornamento dei componenti (aggiornamento manuale e pianificato) Sì Sì Sì Sì Update Agent Sì Sì Sì Sì Reputazione Web Sì Sì Sì Sì, ma è supportata solo la modalità interfaccia utente di Windows Damage Cleanup Services Sì Sì Sì Sì Installazione dell'agente OfficeScan SISTEMA OPERATIVO WINDOWS FUNZIONE XP VISTA WINDOWS 8/8.1 WINDOWS 7 Firewall di OfficeScan Sì Sì Sì Sì, ma non è supportato Filtro di applicazioni Monitoraggio del comportamento Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Il supporto di Vista a 64 bit richiede SP1 o SP2 Protezione automatica dell'agente per: • Chiavi di registro • Processi Protezione automatica dell'agente per: Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) Il supporto di Vista a 64 bit richiede SP1 o SP2 Sì Sì Sì Sì Controllo dispositivo Sì (32 bit) Sì (32 bit) Sì (32 bit) Sì (32 bit) (Servizio prevenzione modifiche non autorizzate) No (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) • Servizi • Protezione file Il supporto di Vista a 64 bit richiede SP1 o SP2 5-7 Guida per l'amministratore di OfficeScan™ 11.0 SISTEMA OPERATIVO WINDOWS FUNZIONE XP VISTA WINDOWS 8/8.1 WINDOWS 7 Protezione dati Sì (32 bit) Sì (32 bit) Sì (32 bit) (inclusa protezione dati per controllo dispositivo) Sì (32 bit) in modalità desktop Sì (64 bit) Sì (64 bit) Sì (64 bit) Sì (64 bit) in modalità desktop Scansione e-mail POP3 Sì Sì Sì Sì Plug-in Manager agente Sì Sì Sì Sì Modalità roaming Sì Sì Sì Sì Smart Feedback Sì Sì Sì Sì Installazione dell'agente OfficeScan e supporto IPv6 In questo argomento vengono illustrate le considerazioni relative all'installazione dell'agente OfficeScan su agenti dual-stack IPv6 puri. Sistema operativo L'agente OfficeScan può essere installato solo sui seguenti sistemi operativi che supportano l'indirizzamento IPv6: 5-8 • Windows Vista™ (tutte le edizioni) • Windows Server 2008 (tutte le edizioni) • Windows 7 (tutte le edizioni) • Windows Server 2012 (tutte le edizioni) • Windows 8/8.1 (tutte le edizioni) Installazione dell'agente OfficeScan Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Metodi di installazione Per installare l'agente OfficeScan sugli agenti dual-stack o IPv6 puri, è possibile usare tutti i metodi di installazione dell'agente OfficeScan. Alcuni metodi di installazione richiedono dei requisiti particolari per installare correttamente l'agente OfficeScan. Non è possibile migrare ServerProtect™ all'agente OfficeScan con lo Strumento di migrazione di server normali ServerProtect in quanto lo strumento non supporta l'indirizzamento IPv6. TABELLA 5-4. Metodi di installazione e supporto IPv6 METODO DI INSTALLAZIONE Pagina di installazione Web e installazione basata sul browser REQUISITI E CONSIDERAZIONI L'URL per la pagina di installazione include il nome host del server OfficeScan o il relativo indirizzo IP. Se si sta effettuando l'installazione su un agente IPv6 puro, il server deve essere dual-stack o IPv6 puro e il relativo nome host o indirizzo IPv6 deve essere incluso nell'URL. Per gli agenti dual-stack, l'indirizzo IPv6 visualizzato nella schermata dello stato d'installazione dipende dall'opzione selezionata nella sezione Indirizzo IP preferito di Agenti > Impostazioni globali agente. Agent Packager Quando si esegue lo strumento Packager, è necessario scegliere se assegnare i privilegi Update Agent all'agente. Tenere presente che gli Update Agent IPv6 puri possono distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack. Conformità sicurezza, Vulnerability Scanner e installazione remota Un server IPv6 puro non può installare l'agente OfficeScan su dispositivo IPv4 puri. Analogamente, un server IPv4 puro non può installare l'agente OfficeScan su dispositivo IPv6 puri. 5-9 Guida per l'amministratore di OfficeScan™ 11.0 Indirizzi IP dell'agente I server OfficeScan installati in un ambiente che supporta l'indirizzamento IPv6 possono gestire i seguenti agenti OfficeScan: • I server OfficeScan installati su macchine host IPv6 pure possono gestire gli agenti IPv6 puri. • I server OfficeScan installati su macchine host dual-stack con indirizzi IPv4 e IPv6 assegnati possono gestire agenti IPv6 puri, dual-stack e IPv4 puri. Quando vengono installati o aggiornati, gli agenti effettuano la registrazione al server usando un indirizzo IP. • Gli agenti IPv6 puri effettuano la registrazione usando il proprio indirizzo IPv6. • Gli agenti IPv4 puri effettuano la registrazione usando il proprio indirizzo IPv4. • Gli agenti dual-stack effettuano la registrazione usando il proprio indirizzo IPv4 o IPv6. È possibile scegliere l'indirizzo IP che gli agenti utilizzeranno. Configurazione dell'indirizzo IP utilizzato dagli agenti dual-stack per la registrazione al server Questa opzione è disponibile solo sui server OfficeScan dual-stack e viene applicata solo dagli agenti dual-stack. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Indirizzo IP preferito. 3. Scegliere una delle opzioni elencate di seguito. 5-10 • Solo IPv4: gli agenti usano il proprio indirizzo IPv4. • Prima IPv4, poi IPv6: gli agenti usano prima il proprio indirizzo IPv4. Se l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv4, usa l'indirizzo IPv6. Se la registrazione non riesce con entrambi gli indirizzi IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione. Installazione dell'agente OfficeScan • 4. Prima IPv6, poi IPv4: gli agenti usano prima il proprio indirizzo IPv6. Se l'agente non è in grado di effettuare la registrazione con l'indirizzo IPv6, usa l'indirizzo IPv4. Se la registrazione non riesce con entrambi gli indirizzi IP, l'agente riprova con la priorità stabilita per gli indirizzi IP per questa selezione. Fare clic su Salva. Considerazioni sull'implementazione Questa sezione fornisce un riepilogo dei diversi metodi di installazione dell'agente OfficeScan disponibili per l'installazione da zero dell'agente OfficeScan. Tutti i metodi di installazione necessitano dei privilegi di amministratore sui computer di destinazione. Se si stanno installando gli agenti e si desidera attivare il supporto IPv6, leggere le istruzioni riportate in Installazione dell'agente OfficeScan e supporto IPv6 a pagina 5-8. TABELLA 5-5. Considerazioni sull'implementazione per l'installazione CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Pagina di installazione sul Web IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA No No RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE Sì A No IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA No Alto Supportato su tutti i sistemi operativi a eccezione di Windows Server Core 2008 e Windows 8/8.1/ Server 2012/Server Core 2012 in modalità interfaccia utente di Windows 5-11 Guida per l'amministratore di OfficeScan™ 11.0 CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Installazioni basate su browser IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE A IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento Supporto per tutti i sistemi operativi Nota Non supportato in Windows 8, 8.1 o Windows Server 2012 in modalità interfaccia utente di Windows. Installazioni basate su UNC Supporto per tutti i sistemi operativi 5-12 Installazione dell'agente OfficeScan CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Installazioni remote IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE A IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA No Sì No Sì No Alto No No Sì Sì No Alto, se le installazioni vengono avviate nello stesso momento No No Sì Sì No Basso, se pianificato Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium • Windows 8/8.1 (versioni base) Impostazione script di accesso Supporto per tutti i sistemi operativi Agent Packager Supporto per tutti i sistemi operativi 5-13 Guida per l'amministratore di OfficeScan™ 11.0 CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Agent Packager (pacchetto MSI implementato tramite Microsoft SMS) IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE A IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA Sì Sì Sì/No Sì Sì Basso, se pianificato Sì Sì Sì/No Sì Sì Alto, se le installazioni vengono avviate nello stesso momento No No No Sì No Basso Supporto per tutti i sistemi operativi Agent Packager (pacchetto MSI implementato tramite Active Directory) Supporto per tutti i sistemi operativi Immagine disco dell'agente Supporto per tutti i sistemi operativi 5-14 Installazione dell'agente OfficeScan CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Trend Micro Vulnerability Scanner (TMVS) IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA No Sì RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE No A Sì IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA No Alto Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 8/8.1 (versioni base) 5-15 Guida per l'amministratore di OfficeScan™ 11.0 CONSIDERAZIONI SULL'IMPLEMENTAZIONE METODO DI INSTALLAZIONE/ SUPPORTO SISTEMA OPERATIVO Installazioni di conformità sicurezza IMPLEME GESTIONE NTAZIONE CENTRALIZ WAN ZATA No Sì RICHIEDE RICHIE INTERVEN DE TO RISORS UTENTE No A Sì IT IMPLEME AMPIEZZA DI NTAZIONE BANDA DI MASSA UTILIZZATA No Alto Supporto per tutti i sistemi operativi eccetto: • Windows Vista Home Basic Edition e Home Premium Edition • Windows XP Home Edition • Windows 7 Home Basic/ Home Premium • Windows 8/8.1 (versioni base) Installazioni della pagina di installazione sul Web Affinché gli utenti possano installare il programma agente OfficeScan dalla pagina di installazione Web, il server OfficeScan deve essere installato in dispositivo che utilizzano una delle piattaforme riportate di seguito: • Windows Server 2003 con Internet Information Server (IIS) 6.0 o Apache 2.0.x • Windows Server 2008 con Internet Information Server (IIS) 7.0 • Windows Server 2008 R2 con Internet Information Server (IIS) 7.5 • Windows Server 2012 con Internet Information Server (IIS) 8.0 5-16 Installazione dell'agente OfficeScan Per installare dalla pagina di installazione Web, occorre disporre della configurazione riportata di seguito: • • Internet Explorer con il livello di sicurezza impostato in modo da consentire i controlli ActiveX™. Sono richieste le versioni seguenti: • versione 6.0 con Windows XP e Windows Server 2003 • versione 7.0 con Windows Vista e Windows Server 2008 • versione 8.0 con Windows 7 • versione 10.0 su Windows 8/8.1 e Windows Server 2012 Privilegi di amministratore sull'dispositivo Per installare l'agente OfficeScan dalla pagina di installazione Web, inviare agli utenti le seguenti istruzioni. Per inviare una notifica di installazione tramite messaggio e-mail, vedere Avvio di un'installazione basata sul browser a pagina 5-19. Installazione dalla pagina di installazione Web Procedura 1. Accedere all'dispositivo utilizzando un account amministratore integrato. Nota Per le piattaforme Windows 7, 8 o 8.1 occorre aver attivato prima l'account di amministratore predefinito. Per impostazione predefinita Windows 7, 8 e 8.1 disattivano l'account di amministratore predefinito. Per ulteriori informazioni, fare riferimento al sito del supporto Microsoft (http://technet.microsoft.com/en-us/ library/dd744293%28WS.10%29.aspx). 2. Se si effettua l'installazione su dispositivo con Windows XP, Vista, Server 2008, 7, 8, 8.1 o Server 2012, attenersi alla procedura riportata di seguito: a. Avviare Internet Explorer e aggiungere l'URL del server OfficeScan (ad esempio https://<nome server OfficeScan>:4343/officescan) all'elenco di siti affidabili. In Windows XP Home, per accedere a tale elenco 5-17 Guida per l'amministratore di OfficeScan™ 11.0 fare clic su Strumenti > Opzioni Internet > Protezione, selezionare l'icona Siti affidabili e fare clic su Siti. b. 3. Modificare le impostazioni di sicurezza di Internet Explorer e attivare Richiesta di conferma automatica per controlli ActiveX. In Windows XP, per effettuare la stessa operazione selezionare Strumenti > Opzioni Internet > Protezione e fare clic su Livello personalizzato. Aprire una finestra di Internet Explorer e digitare quanto segue: https://<nome server OfficeScan>:<porta>/officescan 4. Fare clic sul collegamento del programma di installazione nella pagina di accesso, per visualizzare le seguenti opzioni di installazione: • Installazione agente basata su browser (solo Internet Explorer): Seguire le istruzioni sullo schermo in base al sistema operativo. • Installazione agente MSI: scaricare il pacchetto a 32 o a 64 bit, in base al sistema operativo, e seguire le istruzioni sullo schermo. Nota Quando viene richiesto, consentire l'installazione dei controlli ActiveX. 5. Dopo il completamento dell'installazione, l'icona dell'agente OfficeScan viene visualizzata nella barra delle applicazioni di Windows. Nota Per ottenere un elenco delle icone visualizzate nella barra delle applicazioni, vedere Icone dell'agente OfficeScan a pagina 14-26. Installazione basata su browser Impostare un messaggio e-mail destinato agli utenti della rete e contenente le istruzioni per installare l'agente OfficeScan. Per avviare l'installazione, gli utenti devono fare clic sul collegamento per l'installazione dell'agente OfficeScan contenuto nel messaggio email. 5-18 Installazione dell'agente OfficeScan Prima di installare gli agenti OfficeScan: • Verificare i requisiti di installazione degli agenti OfficeScan. • Individuare quali computer della rete non sono attualmente provvisti di protezione contro i rischi per la sicurezza. Eseguire le operazioni riportate di seguito: • Eseguire Trend Micro Vulnerability Scanner. Questo strumento verifica la presenza di applicazioni software antivirus installate sugli dispositivo in base a un intervallo di indirizzi IP specificato dall'utente. Per i dettagli, consultare Utilizzo di Vulnerability Scanner a pagina 5-39. • Eseguire la Conformità sicurezza Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-70. Avvio di un'installazione basata sul browser Procedura 1. Accedere a Agenti > Installazione agente > Basato su browser. 2. Se necessario, modificare la riga dell'oggetto del messaggio e-mail. 3. Fare clic su Crea e-mail. Si apre il programma di posta predefinito. 4. Inviare il messaggio ai destinatari designati. Esecuzione di un'installazione basata su UNC AutoPcc.exe è un programma standalone che installa l'agente OfficeScan nei computer non protetti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc tramite il percorso UNC (Uniform Naming Convention), gli dispositivo devono appartenere al dominio. Procedura 1. Accedere a Agenti > Installazione agente > Basato su UNC. 5-19 Guida per l'amministratore di OfficeScan™ 11.0 • Per installare l'agente OfficeScan su un dispositivo non protetto utilizzando AutoPcc.exe: a. Connettersi al computer server OfficeScan. Accedere al percorso UNC: \\<nome del computer server>\ofscan b. • Fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare Esegui come amministratore. Per le installazioni desktop in remoto che utilizzano AutoPcc.exe: a. Aprire una connessione da desktop remoto (Mstsc.exe) in modalità console. In questo modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0. b. Accedere alla directory \\<nome del computer server>\ofscan ed eseguire AutoPcc.exe. Installazione remota dalla console Web OfficeScan È possibile installare in remoto l'agente OfficeScan su uno o più computer collegati in rete. Assicurarsi di disporre dei privilegi di amministratore per effettuare l'installazione remota sui computer di destinazione. L'installazione remota non installa l'agente OfficeScan su dispositivo sui quali è già in esecuzione il server OfficeScan. Nota Questo metodo di installazione non può essere adottato sugli dispositivo con Windows XP Home, Windows Vista Home Basic e Home Premium Edition, Windows 7 Home Basic e Home Premium Edition (versioni a 32 e a 64 bit) e Windows 8/8.1 (versioni di base a 32 e a 64 bit). Un server IPv6 puro non può installare l'agente OfficeScan su agenti IPv4 puri. Analogamente, un server IPv4 puro non può installare l'agente OfficeScan su agenti IPv6 puri. Procedura 1. 5-20 Se si utilizza Windows Vista, Windows 7, Windows 8 (Pro, Enterprise), Windows 8.1 o Windows Server 2012, attenersi alla procedura riportata di seguito: Installazione dell'agente OfficeScan a. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. b. Disattivare la condivisione dei file sull'dispositivo. c. Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". e. Aprire Microsoft Management Console (fare clic su Avvia > Esegui e digitare services.msc) e avviare i servizi Registro remoto e Remote Procedure Call. Quando si installa l'agente OfficeScan, utilizzare l'account e la password di amministratore integrati. 2. Nella console Web, accedere a Agenti > Installazione agente > Remote. 3. Selezionare i computer di destinazione. • L'elenco Dispositivo e domini visualizza tutti i domini Windows della rete. Per visualizzare gli dispositivo in un dominio specifico, fare doppio clic sul nome del dominio. Selezionare un dispositivo e fare clic su Aggiungi. • Se si conosce già il nome dell'dispositivo di destinazione, immetterlo nel campo in cima alla pagina Cerca dispositivoe fare clic su INVIO.. OfficeScan richiede il nome utente e la password del computer di destinazione. Per proseguire utilizzare un nome utente e una password con privilegi di amministratore. 4. Immettere il nome utente e la password e fare clic su Accedi. Nella tabella Dispositivo selezionati viene visualizzato l'dispositivo di destinazione. 5. Per aggiungere altri computer, ripetere i passaggi 4 e 3. 6. Quando si è pronti per installare l'agente OfficeScan sui computer di destinazione, fare clic su Installa. Viene visualizzata una finestra di dialogo di conferma. 5-21 Guida per l'amministratore di OfficeScan™ 11.0 7. Fare clic su Sì per confermare l'installazione dell'agente OfficeScan sui computer di destinazione. Mentre i file di programma vengono copiati sui diversi dispositivo di destinazione, viene visualizzata una schermata di avanzamento. Quando OfficeScan ha completato l'installazione in un dispositivo di destinazione, il nome dell'dispositivo non viene più visualizzato nell'elenco Dispositivo selezionati e viene visualizzato nell'elenco Dispositivo e domini con un segno di spunta rosso. Quando tutti i computer di destinazione sono visualizzati nell'elenco Dispositivo e domini con un segno di spunta rosso, il processo di installazione remota è concluso. Nota Nell'installazione su diversi computer, OfficeScan riporta nei registri tutte le installazioni non completate (per i dettagli vedere Registri installazioni da zero a pagina 16-16); questo, tuttavia, non causa problemi all'installazione del software sugli altri computer. Dopo aver fatto clic su Installa, pertanto, non è più necessario supervisionare la procedura di installazione. Per vedere i risultati dell'installazione, controllare i registri al termine dell'operazione. Installazione con Impostazione script di accesso L'Impostazione script di accesso automatizza l'installazione dell'agente OfficeScan su computer non protetti quando questi accedono alla rete. L'Impostazione script di accesso aggiunge allo script di accesso del server un programma denominato AutoPcc.exe. AutoPcc.exe installa l'agente OfficeScan negli dispositivo non gestiti e aggiorna i componenti e i file di programma. Per poter utilizzare AutoPcc tramite lo script di accesso, gli dispositivo devono appartenere al dominio. Installazione dell'agente OfficeScan Quando l'dispositivo effettua l'accesso al server sul quale sono stati modificati gli script di accesso, AutoPcc.exe installa automaticamente l'agente OfficeScan su un dispositivo Windows Server 2003 non protetto. AutoPcc.exe, tuttavia, non effettua 5-22 Installazione dell'agente OfficeScan installazioni automatiche dell'agente OfficeScan sui computer con Windows Vista, 7, 8, 8.1, Server 2008 e Server 2012. Gli utenti devono collegarsi al computer server, accedere a \\<nome computer server>\ofcscan, fare clic con il pulsante destro del mouse su AutoPcc.exe e selezionare Esegui come amministratore. Effettuare l'installazione desktop in remoto utilizzando AutoPcc.exe: • L'dispositivo deve essere eseguito in modalità Mstsc.exe / console. In questo modo l'installazione di AutoPcc.exe viene forzatamente eseguita nella sessione 0. • Collegare un'unità alla cartella "ofcsan" ed eseguire AutoPcc.exe da tale posizione. Aggiornamenti dei componenti e del programma AutoPcc.exe aggiorna i file di programma e i componenti dell'antivirus, dell'anti- spyware e di Damage Cleanup Services. Script di Windows Server 2003, 2008 e 2012 Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge un comando per l'esecuzione di AutoPcc.exe. In caso contrario, OfficeScan crea un file batch denominato officescan.bat che contiene il comando per eseguire AutoPcc.exe. L'Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati di seguito. \\<Server_name>\ofcscan\autopcc Dove: • <Nome_server> è il nome dell'dispositivo o l'indirizzo IP dell'dispositivo server OfficeScan. • "ofcscan" è il nome della cartella condivisa di OfficeScan sul server. • "autopcc" è il collegamento al file eseguibile autopcc che installa l'agente OfficeScan. 5-23 Guida per l'amministratore di OfficeScan™ 11.0 Posizione dello script di accesso (tramite una directory condivisa mediante accesso di rete): • Windows Server 2003: \\server Windows 2003\unità di sistema \windir\sysvol\domain\scripts\ofcscan.bat • Windows Server 2008: \\server Windows 2008\unità di sistema \windir\sysvol\domain\scripts\ofcscan.bat • Windows Server 2012: \\server Windows 2012\unità di sistema \windir\sysvol\domain\scripts\ofcscan.bat Aggiunta di Autopcc.exe allo script di accesso con l'utilizzo di Impostazione script di accesso Procedura 1. Nell'dispositivo da cui si esegue l'installazione del server, dal menu Start di Windows, fare clic su Programmi > Server OfficeScan di Trend Micro <Nome server> > Impostazione script di accesso. Viene caricata l'utilità Impostazione script di accesso. La console visualizza una struttura ad albero con tutti i domini della rete. 2. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo e fare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario e di disporre dei privilegi di amministratore del server. L'Impostazione script di accesso richiede un nome utente e una password. 3. Immettere il nome utente e la password. Fare clic su OK per continuare. Viene visualizzata la schermata Selezione dell'utente. L'elenco Utenti contiene i profili degli utenti che si collegano al server. L'elenco Utenti selezionati contiene invece i profili degli utenti di cui si desidera modificare lo script di accesso. 4. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elenco Utenti e fare clic su Aggiungi. 5. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti. 5-24 Installazione dell'agente OfficeScan 6. Per escludere il profilo di un utente precedentemente selezionato, selezionarne il nome nell'elenco Utenti selezionati e fare clic su Elimina. 7. Per reimpostare le selezioni effettuate, fare clic su Elimina tutto. 8. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utenti selezionati, fare clic su Applica. Viene visualizzato un messaggio in cui viene confermata la corretta modifica degli script di accesso al server. 9. Fare clic su OK. Si ritorna alla schermata iniziale dell'Impostazione script di accesso. 10. Per modificare gli script di accesso di altri server, ripetere i passaggi da 2 a 4. 11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci. Installazione con Agent Packager Agent Packager crea un pacchetto di installazione che può essere inviato agli utenti con supporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propri dispositivo agente per installare o aggiornare la versione dell'agente OfficeScan e aggiornare i componenti. Agent Packager risulta particolarmente utile quando si esegue l'implementazione dell'agente OfficeScan o dei componenti sugli agenti nelle sedi remote con ampiezza di banda ridotta. Gli agenti OfficeScan installati mediante Agent Packager si collegano al server in cui è stato creato il pacchetto. Requisiti di Agent Packager: • 350 MB di spazio libero su disco • Windows Installer 2.0 (per eseguire un pacchetto MSI) Linee guida per l'implementazione del pacchetto 1. Inviare il pacchetto agli utenti e chiedere loro di eseguire il pacchetto agente OfficeScan sui loro computer, facendo doppio clic sul file .exeo .msi. 5-25 Guida per l'amministratore di OfficeScan™ 11.0 Nota Inviare il pacchetto solo agli utenti con agente OfficeScan che riporta al server la posizione nella quale è stato creato. 2. Informare gli utenti che installano il pacchetto .exe su computer con Windows Vista, Server 2008, 7, 8,8.1 o Server 2012, che è necessario fare clic con il pulsante destro del mouse sul file .exe e selezionare Esegui come amministratore. 3. Se è stato creato un file .msi, per implementare il pacchetto effettuare le operazioni riportate di seguito: • 4. Utilizzare Active Directory o Microsoft SMS. Vedere Implementazione di un pacchetto MSI utilizzando Active Directory a pagina 5-32 o Implementazione di un pacchetto MSI utilizzando Microsoft SMS a pagina 5-33. Avviare il pacchetto MSI tramite il prompt dei comandi e installare l'agente OfficeScan in modalità invisibile su un dispositivo remoto con Windows XP, Vista, Server 2008, 7, 8 8.1 o Server 2012. Linee guida del metodo di scansione per i pacchetti agente Selezionare il metodo di scansione del pacchetto. Per informazioni, vedere Tipi di metodi di scansione a pagina 7-8. I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato. Per ulteriori informazioni sui componenti disponibili per ciascun metodo di scansione, vedere Aggiornamenti agente OfficeScan a pagina 6-30. Per implementare il pacchetto in modo efficiente, prima di selezionare il metodo di scansione leggere le linee guida riportate di seguito. • 5-26 Se il pacchetto verrà utilizzato per aggiornare l'agente a questa versione di OfficeScan, verificare il metodo di scansione del livello del dominio nella console Web. Nella console, accedere a Agenti > Gestione agente, selezionare il dominio della struttura agente a cui appartiene l'agente, quindi fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. Installazione dell'agente OfficeScan • Se il pacchetto verrà utilizzato per eseguire un'installazione da zero dell'agente OfficeScan, verificare l'impostazione di raggruppamento dell'agente. Nella console Web, accedere a Agenti > Raggruppamento agenti. • Se il raggruppamento dell'agente avviene in base a NetBIOS, Active Directory o dominio DNS, verificare il dominio di appartenenza dell'dispositivo di destinazione. Se il dominio esiste, verificare il metodo di scansione configurato per il dominio. Se il dominio non esiste, verificare il metodo di scansione del livello root (selezionare l'icona del dominio root ( ) nella struttura agente e fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione). Il metodo di scansione del livello del dominio o del livello principale deve essere coerente con il metodo di scansione del pacchetto. • Se il raggruppamento degli agenti avviene in base ai gruppi di agenti personalizzati, verificare Priorità di raggruppamento e Origine. FIGURA 5-1. Riquadro di anteprima Raggruppamento automatico agenti Se l'dispositivo di destinazione appartiene a un'origine particolare, verificare la Destinazione corrispondente. La destinazione è il nome del dominio visualizzato nella struttura agente. Dopo l'installazione l'agente utilizzerà il metodo di scansione per quel dominio. • Se il pacchetto verrà utilizzato per aggiornare i componenti negli agenti con questa versione di OfficeScan, verificare il metodo di scansione configurato per il dominio della struttura agente a cui appartiene l'agente. Il metodo di scansione del livello del dominio deve essere coerente con il metodo di scansione del pacchetto. 5-27 Guida per l'amministratore di OfficeScan™ 11.0 Considerazioni su Update Agent Assegnare i privilegi di Update Agent all'agente OfficeScan dell'dispositivo di destinazione. Gli Update Agent assistono il server OfficeScan nell'implementazione dei componenti sugli agenti. Per i dettagli, consultare Update Agent a pagina 6-58. Per assegnare privilegi Update Agent all'agente OfficeScan: 1. Tenere presente che se il pacchetto sarà implementato su un agente IPv6 puro, Update Agent può distribuire gli aggiornamenti solo agli agenti IPv6 puri o dualstack. 2. Per attivare e configurare gli aggiornamenti dell'agente, utilizzare Strumento di configurazione aggiornamento pianificato. Per i dettagli, consultare Metodi di aggiornamento per Update Agent a pagina 6-65. 3. Il server OfficeScan che gestisce l'Update Agent non sarà in grado di sincronizzare o implementare le seguenti impostazioni sull'agente: • Privilegio Update Agent • aggiornamento pianificato agente • Aggiornamenti dal server ActiveUpdate di Trend Micro • Aggiornamenti da altre origini di aggiornamenti Il pacchetto dell'agente OfficeScan, quindi, deve essere implementato solo sui computer che non saranno gestiti dal server OfficeScan. Successivamente, configurare Update Agent in modo che ottenga gli aggiornamenti da un'origine di aggiornamenti diversa dal server OfficeScan, ad esempio, un'origine aggiornamenti personalizzata. Per fare in modo che il server OfficeScan sincronizzi le impostazioni con Update Agent, non utilizzare Agent Packager e scegliere un diverso metodo di installazione per l'agente OfficeScan. 5-28 Installazione dell'agente OfficeScan Creazione di un pacchetto di installazione con l'utilizzo di Agent Packager Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\ClientPackager. 2. Per eseguire lo strumento, fare doppio clic su ClnPack.exe. Viene aperta la console di Agent Packager. 3. Selezionare il tipo di pacchetto che si desidera creare. TABELLA 5-6. Tipi di pacchetti agente TIPO PACCHETTO 4. DESCRIZIONE Installazione Selezionare Installazione per creare il pacchetto come file eseguibile. Il pacchetto installa il programma agente OfficeScan con i componenti attualmente disponibili nel server. Se nell'dispositivo di destinazione è installata una versione precedente dell'agente, il file eseguibile consente di aggiornare l'agente. Aggiornamento Selezionare Aggiorna per creare un pacchetto contenente i componenti attualmente disponibili nel server. Il pacchetto viene creato come file eseguibile. Utilizzare questo pacchetto se si verificano problemi con l'aggiornamento dei componenti in un dispositivo agente. MSI Selezionare MSI per creare un pacchetto conforme al formato Microsoft Installer Package. Il pacchetto installa anche il programma agente OfficeScan con i componenti attualmente disponibili nel server. Se nell'dispositivo di destinazione è installata una versione precedente dell'agente, il file MSI consente di aggiornare l'agente. Selezionare il sistema operativo per cui si desidera creare il pacchetto. Implementare il pacchetto solo sugli endopint che eseguono questo tipo di sistema operativo. Creare un altro pacchetto da implementare su un altro tipo di sistema operativo. 5-29 Guida per l'amministratore di OfficeScan™ 11.0 5. Selezionare il metodo di scansione implementato dal pacchetto agente. Per le linee guida su come selezionare un metodo di scansione, vedere Linee guida del metodo di scansione per i pacchetti agente a pagina 5-26. 6. 7. Nella sezione Dominio, selezionare una delle opzioni illustrate di seguito: • Consenti all'agente di segnalare i propri domini automaticamente: dopo aver installato l'agente OfficeScan, l'agente invia una query al database del server OfficeScan e invia al server le segnalazioni relative alle impostazioni del dominio. • Qualsiasi dominio nell'elenco: Agent Packager si sincronizza con il server OfficeScan ed elenca i domini attualmente usati nella struttura agente. Nella sezione Opzioni, selezionare tra quelle illustrate di seguito: OPZIONE DESCRIZIONE Modalità invisibile Questa opzione crea un pacchetto che viene installato in background sull'dispositivo agente, in modo impercettibile per l'agente e senza visualizzare la finestra sullo stato dell'installazione. Attivare questa opzione se si intende implementare il pacchetto in modo remoto sull'dispositivo di destinazione. Sovrascrittura forzata con ultima versione Questa opzione sovrascrive le versioni dei componenti dell'agente con le versioni attualmente disponibili nel server. Attivare questa opzione per fare in modo che i componenti del server e dell'agente siano sincronizzati. Disattiva Scansione preliminare (solo installazioni da zero) Se nell'dispositivo di destinazione non è installato l'agente OfficeScan, prima di installare l'agente OfficeScan il pacchetto esegue la scansione dell'dispositivo per rilevare eventuali rischi per la sicurezza. Se si è certi che l'dispositivo di destinazione non sia infetto, è possibile disattivare la prescansione. Se la pre-scansione è attivata, il programma di installazione esegue la scansione per rilevare virus e minacce informatiche nelle aree dell'dispositivo più vulnerabili, comprese quelle riportate di seguito: • 5-30 Area boot e la directory boot (per i virus del settore boot) Installazione dell'agente OfficeScan OPZIONE 8. DESCRIZIONE • Cartella Windows • Cartella Programmi In Funzioni di Update Agent, selezionare quali funzioni Update Agent è in grado di implementare. Per ulteriori informazioni sull'assegnazione delle funzioni di Update Agent, vedere Considerazioni su Update Agent a pagina 5-28. 9. In Componenti, selezionare i componenti e le funzioni da includere nel pacchetto. • Per ulteriori informazioni sui componenti, vedere Programmi e componenti di OfficeScan a pagina 6-2. • Il modulo Protezione dati è disponibile solo se si installa e si attiva la Protezione dati. Per ulteriori informazioni su Protezione dati, vedere Informazioni preliminari su Protezione dati a pagina 3-1. 10. Successivamente a File di origine, assicurarsi che il percorso del file ofcscan.ini sia corretto. Per modificare il percorso, fare clic su il file ofcscan.ini. per cercare Per impostazione predefinita, questo file si trova nella cartella <Cartella di installazione del server>\PCCSRV del server OfficeScan. , specificare in quale percorso e con quale 11. In File di destinazione, fare clic su nome si desidera creare il pacchetto agente OfficeScan, (ad esempio AgentSetup.exe). 12. Fare clic su Crea. Quando Agent Packager ha completato la creazione del pacchetto, viene visualizzato il messaggio “Creazione pacchetto completata”. Individuare il package nella directory specificata nel passaggio precedente. 13. Implementare il pacchetto. 5-31 Guida per l'amministratore di OfficeScan™ 11.0 Implementazione di un pacchetto MSI utilizzando Active Directory È possibile sfruttare le caratteristiche di Active Directory per implementare il pacchetto MSI contemporaneamente su diversi dispositivo agente. Per istruzioni sulla creazione di un file MSI, consultare Installazione con Agent Packager a pagina 5-25. Procedura 1. Eseguire le operazioni riportate di seguito: • • • 5-32 Per Windows Server 2003 e versioni precedenti: a. Aprire la console di Active Directory b. Fare doppio clic sull'Unità organizzativa (OU) sulla quale si desidera implementare il pacchetto MSI e fare clic su Proprietà. c. Nella scheda Criterio di gruppo, fare clic su Nuovo. Per Windows Server 2008 e Windows Server 2008 R2: a. Aprire la console Gestione Criteri di gruppo. Fare clic su Start > Pannello di controllo > Strumenti di amministrazione > Gestione Criteri di gruppo. b. Nell'albero della console espandere Oggetti Criteri di gruppo nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di gruppo da modificare. c. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor oggetti Criteri di gruppo. Per Windows Server 2012: a. Aprire la console Gestione Criteri di gruppo. Fare clic su Gestione server > Strumenti > Gestione Criteri di gruppo. b. Nell'albero della console espandere Oggetti Criteri di gruppo nell'insieme di strutture e nel dominio che contiene l'oggetto Criteri di gruppo da modificare. Installazione dell'agente OfficeScan c. 2. Fare clic con il pulsante destro sull'oggetto Criteri di gruppo da modificare, quindi fare clic su Modifica. Viene visualizzato l'Editor oggetti Criteri di gruppo. Scegliere tra Configurazione computer e Configurazione utente e aprire le relative Impostazioni software. Suggerimento Per essere sicuri che l'installazione del pacchetto MSI avvenga correttamente indipendentemente da quale utente accede all'dispositivo, Trend Micro consiglia di utilizzare la Configurazione computer anziché la Configurazione utente. 3. Sotto a Impostazioni software, fare clic con il pulsante destro del mouse su Installazione software, quindi selezionare Nuovo e Pacchetto. 4. Individuare e selezionare il pacchetto MSI. 5. Selezionare un metodo di implementazione e fare clic su OK. • Assegnato: il pacchetto MSI viene automaticamente implementato al successivo accesso dell'utente all'dispositivo (se è stata selezionata la Configurazione utente) o al successivo riavvio dell'dispositivo (se è stata selezionata la Configurazione computer). Questo metodo non richiede alcun intervento da parte dell'utente. • Pubblicato: per eseguire il pacchetto MSI, dare istruzioni all'utente affinché apra il Pannello di controllo e la schermata Installazione applicazioni e selezioni l'opzione per l'installazione di programmi in rete. All'avvio del pacchetto MSI dell'agente OfficeScan, gli utenti possono procedere con l'installazione dell'agente OfficeScan. Implementazione di un pacchetto MSI utilizzando Microsoft SMS Se Microsoft BackOffice SMS è installato nel server, è possibile implementare il pacchetto MSI utilizzando Microsoft System Management Server (SMS). Per istruzioni sulla creazione di un file MSI, consultare Installazione con Agent Packager a pagina 5-25. 5-33 Guida per l'amministratore di OfficeScan™ 11.0 Prima di implementare il pacchetto sul computer di destinazione, il server SMS deve ottenere il file MSI dal server OfficeScan. • Locale: il server SMS e il server OfficeScan si trovano sullo stesso dispositivo. • Remoto: il server SMS e il server OfficeScan si trovano su computer diversi. Problemi noti relativi all'installazione con Microsoft SMS: • Nella colonna relativa all'ora di esecuzione della console SMS viene visualizzato il messaggio "Sconosciuto". • Anche se l'installazione non è riuscita, lo stato dell'installazione sul monitor del programma SMS potrebbe comunque indicare che l'installazione è stata completata. Per istruzioni su come controllare se l'installazione è stata conclusa correttamente, vedere Post-installazione a pagina 5-70. Se si utilizza Microsoft SMS 2.0 e 2003, attenersi alle istruzioni riportate di seguito. Ottenimento del pacchetto localmente Procedura 1. Aprire la console dell'amministratore SMS. 2. Nella scheda Struttura ad albero, fare clic su Pacchetti. 3. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata iniziale della procedura guidata per la creazione del pacchetto. 4. Fare clic su Avanti. Viene visualizzata la schermata Package Definition. 5. Fare clic su Sfoglia. Viene visualizzata la schermata Open. 6. 5-34 Sfogliare e selezionare il file del pacchetto MSI creato da Agent Packager, quindi fare clic su Apri. Installazione dell'agente OfficeScan Il nome del pacchetto MSI viene visualizzato sulla schermata Definizione pacchetto. Il pacchetto visualizza la versione del programma e di "agente OfficeScan". 7. Fare clic su Avanti. Viene visualizzata la schermata Source Files. 8. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine con il nome del pacchetto che viene creato e la directory di origine stessa. 9. Fare clic su Unità locale sul server del sito. 10. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI. 11. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. Ottenimento del pacchetto in remoto Procedura 1. Sul server OfficeScan, utilizzare Agent Packager per creare un pacchetto di installazione con estensione .exe (non è possibile creare un pacchetto .msi). Per informazioni, vedere Installazione con Agent Packager a pagina 5-25. 2. Sull'dispositivo sul quale si desidera archiviare il file di origine, creare una cartella condivisa. 3. Aprire la console dell'amministratore SMS. 4. Nella scheda Struttura ad albero, fare clic su Pacchetti. 5. Dal menu Azione, fare clic su Nuovo > Pacchetto da definizione. Viene visualizzata la schermata iniziale della procedura guidata per la creazione del pacchetto. 5-35 Guida per l'amministratore di OfficeScan™ 11.0 6. Fare clic su Avanti. Viene visualizzata la schermata Package Definition. 7. Fare clic su Sfoglia. Viene visualizzata la schermata Open. 8. Individuare il file di pacchetto MSI. Il file si trova nella cartella condivisa creata. 9. Fare clic su Avanti. Viene visualizzata la schermata Source Files. 10. Fare clic su Ricevere sempre i file da una directory di origine, quindi su Avanti. Viene visualizzata la schermata Directory di origine. 11. Fare clic su Percorso di rete (nome UNC). 12. Fare clic su Sfoglia e selezionare la directory di origine contenente il file MSI (la cartella condivisa creata in precedenza). 13. Fare clic su Avanti. Viene creato il pacchetto. Al termine del processo, il nome del pacchetto viene visualizzato sulla console dell'amministratore SMS. Distribuzione del pacchetto agli dispositivo di destinazione Procedura 1. Nella scheda Struttura ad albero, fare clic su Annunci. 2. Dal menu Azione, fare clic su All Tasks > Distribute Software. Viene visualizzata la schermata Benvenuto della procedura guidata per la distribuzione del software. 3. Fare clic su Avanti. Viene visualizzata la schermata Package. 5-36 Installazione dell'agente OfficeScan 4. Fare clic su Distribuisci un pacchetto esistente, quindi sul nome del pacchetto di installazione creato. 5. Fare clic su Avanti. Viene visualizzata la schermata Distribution Points. 6. Selezionare un punto di distribuzione in cui copiare il pacchetto, quindi fare clic su Avanti. Viene visualizzata la schermata Advertise a Program. 7. Fare clic su Sì per annunciare il pacchetto di installazione dell'agente OfficeScan, quindi su Avanti. Viene visualizzata la schermata Advertisement Target. 8. Fare clic su Sfoglia per selezionare i computer di destinazione. Viene visualizzata la schermata Browse Collection. 9. Fare clic su Tutti i sistemi Windows NT. 10. Fare clic su OK. Viene nuovamente visualizzata la schermata Advertisement Target. 11. Fare clic su Avanti. Viene visualizzata la schermata Advertisement Name. 12. Nelle caselle di testo, digitare un nome e i commenti per l'annuncio, quindi fare clic su Avanti. Viene visualizzata la schermata Advertise to Subcollections. 13. Decidere se annunciare il pacchetto alle sottoraccolte. È possibile scegliere di annunciare il programma solo ai membri della raccolta specificata oppure anche ai membri delle sottoraccolte. 14. Fare clic su Avanti. Viene visualizzata la schermata Advertisement Schedule. 5-37 Guida per l'amministratore di OfficeScan™ 11.0 15. Specificare il momento in cui annunciare il pacchetto di installazione dell'agente OfficeScan digitando o selezionando la data e l'ora. Nota Se si desidera che Microsoft SMS interrompa l'annuncio del pacchetto in una data specifica, fare clic su Sì. L'annuncio ha una scadenza, quindi specificare la data e l'ora nelle caselle di riepilogo Data e ora di scadenza. 16. Fare clic su Avanti. Viene visualizzata la schermata Assign Program. 17. Fare clic su Sì, assegna il programma, quindi su Avanti. Microsoft SMS crea l'annuncio e lo visualizza sulla console dell'amministratore SMS. 18. Quando Microsoft SMS distribuisce il programma annunciato (ovvero il programma agente OfficeScan) ai computer di destinazione, su ognuno degli dispositivo di destinazione viene visualizzata una schermata. Chiedere agli utenti di fare clic su Sì e seguire le istruzioni fornite dalla procedura guidata per installare l'agente OfficeScan sul proprio computer. Installazioni con l'uso delle immagini disco dell'agente La tecnologia delle immagini disco consente di creare un'immagine dell'agente OfficeScan e di clonarlo su altri computer della rete utilizzando un software per immagini disco. Affinché il server possa identificare i singoli agenti, ogni installazione agente OfficeScan necessita di un Identificatore univoco globale (GUID). Per creare GUID diversi per ognuno dei cloni, utilizzare il programma OfficeScan denominato ImgSetup.exe. Creazione di un'immagine disco di un agente OfficeScan Procedura 1. 5-38 Installare l'agente OfficeScan sull'dispositivo. Installazione dell'agente OfficeScan 2. Copiare ImgSetup.exe da <Cartella di installazione del server>\PCCSRV\Admin \Utility\ImgSetup in questo dispositivo. 3. Eseguire ImgSetup.exe su questo dispositivo. Questa operazione crea una chiave di registro RUN in HKEY_LOCAL_MACHINE. 4. Creare un'immagine disco dell'agente OfficeScan utilizzando il software per l'immagine disco. 5. Riavviare il clone. ImgSetup.exe si avvia automaticamente e crea un nuovo valore GUID. L'agente OfficeScan riferisce il nuovo GUID al server, che crea un nuovo record per il nuovo agente OfficeScan. AVVERTENZA! Per evitare di avere nel database di OfficeScan due computer con lo stesso nome, modificare manualmente il nome dell'dispositivo o del dominio relativo all'agente OfficeScan clonato. Utilizzo di Vulnerability Scanner Il programma Vulnerability Scanner consente di rilevare le soluzioni antivirus installate, di cercare i computer non protetti presenti nella rete e di installare gli agenti OfficeScan nei computer. Considerazioni sull'utilizzo di Vulnerability Scanner Le considerazioni riportate di seguito possono aiutare a decidere se utilizzare Vulnerability Scanner: • Amministrazione della rete a pagina 5-40 • Topologia e architettura della rete a pagina 5-40 • Specifiche software/hardware a pagina 5-41 • Struttura del dominio a pagina 5-41 5-39 Guida per l'amministratore di OfficeScan™ 11.0 • Traffico di rete a pagina 5-42 • Dimensioni della rete a pagina 5-42 Amministrazione della rete TABELLA 5-7. Amministrazione della rete INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER Amministrazione con criteri di protezione rigidi Estremamente efficace. Vulnerability Scanner segnala se in tutti i computer è installato o meno il software antivirus. Le responsabilità amministrative sono distribuite nei vari siti Mediamente efficace Amministrazione centralizzata Mediamente efficace Servizio esterno Mediamente efficace Gli utenti amministrano i propri computer Non efficace. Poiché Vulnerability Scanner esegue la scansione della rete per rilevare le installazioni del software antivirus, non è possibile fare in modo che gli utenti eseguano la scansione dei propri computer. Topologia e architettura della rete TABELLA 5-8. Topologia e architettura della rete INSTALLAZIONE 5-40 EFFICACIA DI VULNERABILITY SCANNER Sede unica Estremamente efficace. Vulnerability Scanner consente di eseguire la scansione di un intero segmento IP e di installare l'agente OfficeScan nella LAN con facilità. Sedi diverse con connessione ad alta velocità Mediamente efficace Installazione dell'agente OfficeScan INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER Sedi diverse con connessione a bassa velocità Non efficace. Occorre eseguire Vulnerability Scanner in ciascuna posizione e l'installazione dell'agente OfficeScan deve essere diretta a un server OfficeScan locale. Computer remoti e isolati Mediamente efficace Specifiche software/hardware TABELLA 5-9. Specifiche software/hardware INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER Sistemi operativi basati su Windows NT Estremamente efficace. Vulnerabilty Scanner è in grado di installare facilmente l'agente OfficeScan in remoto nei computer con sistema operativo basato su Windows NT. Sistemi operativi misti Mediamente efficace. Vulnerability Scanner è in grado di eseguire l'installazione solo nei computer con sistemi operativi basati su Windows NT. Software di gestione dei desktop Non efficace. Vulnerability Scanner non può essere utilizzato con software di gestione dei desktop. Tuttavia, può essere utile per tenere traccia dell'installazione dell'agente OfficeScan. Struttura del dominio TABELLA 5-10. Struttura del dominio INSTALLAZIONE Microsoft Active Directory EFFICACIA DI VULNERABILITY SCANNER Estremamente efficace. Per consentire l'installazione remota dell'agente OfficeScan, specificare l'account dell'amministratore del dominio in Vulnerability Scanner. 5-41 Guida per l'amministratore di OfficeScan™ 11.0 INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER Workgroup Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Servizio di directory Novell™ Non efficace. Vulnerability Scanner richiede un account di dominio Windows per installare l'agente OfficeScan. Peer-to-peer Non efficace. Vulnerability Scanner potrebbe incontrare difficoltà nell'installazione in computer che utilizzano password e account amministrativi diversi. Traffico di rete TABELLA 5-11. Traffico di rete INSTALLAZIONE EFFICACIA DI VULNERABILITY SCANNER Connessione LAN Estremamente efficace. 512 Kbps Mediamente efficace Connessione T1 e superiore Mediamente efficace Accesso remoto Non efficace. Richiede molto tempo per portare a termine l'installazione dell'agente OfficeScan. Dimensioni della rete TABELLA 5-12. Dimensioni della rete INSTALLAZIONE Rete aziendale molto grande 5-42 EFFICACIA DI VULNERABILITY SCANNER Estremamente efficace. Vulnerability Scanner si rivela molto utile con reti di grandi dimensioni per le quali è indispensabile controllare le installazioni dell'agente OfficeScan. Installazione dell'agente OfficeScan INSTALLAZIONE Piccole e medie imprese EFFICACIA DI VULNERABILITY SCANNER Mediamente efficace. Vulnerability Scanner è utile per installare l'agente OfficeScan nelle reti di piccole dimensioni. Tuttavia, altri metodi di installazione dell'agente OfficeScan potrebbero rivelarsi più semplici da implementare. Linee guida per l'installazione dell'agente OfficeScan con Vulnerability Scanner Vulnerability Scanner non installa l'agente OfficeScan nei casi indicati di seguito: • Il server OfficeScan o un altro software di sicurezza è installato sulla macchina host di destinazione. • Nell'dispositivo remoto è presente Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 Home Premium o Windows 8 (versioni base) Windows 8.1. Nota È possibile installare l'agente OfficeScan sulla macchina host di destinazione utilizzando altri metodi di installazione illustrati in Considerazioni sull'implementazione a pagina 5-11. Prima di usare Vulnerability Scanner per installare l'agente OfficeScan, attenersi alla procedura riportata di seguito: • Per Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7 (Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise), Windows 8.1, Windows Server 2012 (Standard): 1. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. 2. Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. 3. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". 5-43 Guida per l'amministratore di OfficeScan™ 11.0 4. Aprire Microsoft Management Console (fare clic su Start > Esegui e digitare services.msc) e avviare il servizio Remote Registry. Quando si installa l'agente OfficeScan, utilizzare l'account e la password di amministratore integrati. • Per Windows XP Professional (versione a 32 bit o a 64 bit): 1. Aprire Esplora risorse e fare clic su Strumenti > Opzioni cartella. 2. Fare clic sulla scheda Visualizza e disattivare Utilizza condivisione file semplice (scelta consigliata). Metodi di scansione di vulnerabilità La scansione di vulnerabilità verifica se nelle macchine host è presente un software di sicurezza e può installare l'agente OfficeScan nelle macchine non protette. Sono disponibili diversi metodi per l'esecuzione della scansione di vulnerabilità. TABELLA 5-13. Metodi di scansione di vulnerabilità METODO DETTAGLI Scansione di vulnerabilità manuale Ora gli amministratori possono eseguire scansioni di vulnerabilità su richiesta. Scansione DHCP Gli amministratori possono eseguire scansioni di vulnerabilità su macchine host che richiedono gli indirizzi IP da un server DHCP. Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di ascolto del server DHCP per le richieste DHCP). Se rileva una richiesta DHCP proveniente da una macchina host, la scansione di vulnerabilità viene eseguita sulla macchina. Nota Vulnerability Scanner non rileva le richieste DHCP se partono da Windows Server 2008, Windows 7, Windows 8, 8.1 o Windows Server 2012. 5-44 Installazione dell'agente OfficeScan METODO Scansione di vulnerabilità pianificata DETTAGLI Le scansioni pianificate vengono eseguite in base alla pianificazione configurata dagli amministratori. Una volta eseguito, Vulnerability Scanner visualizza lo stato dell'agente OfficeScan sulle macchine host di destinazione. Lo stato può essere: • Normale: l'agente OfficeScan è in esecuzione e sta funzionando correttamente • Anomalo: i servizi dell'agente OfficeScan non sono in esecuzione oppure l'agente non dispone della protezione in tempo reale • Non installato: manca il servizio TMListen oppure l'agente OfficeScan non è stato installato • Non raggiungibile: Vulnerability Scanner non è stato in grado di stabilire la connessione con la macchina host e di determinare lo stato dell'agente OfficeScan Esecuzione di una scansione di vulnerabilità manuale Procedura 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire la scansione di vulnerabilità su un altro dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012: a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. 5-45 Guida per l'amministratore di OfficeScan™ 11.0 Nota Non è possibile avviare lo strumento da Terminal Server. 2. Andare alla sezione Scansione manuale. 3. immettere l'intervallo di indirizzi IP dei computer da controllare. a. Immettere un intervallo di indirizzi IPv4. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack. Vulnerability Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack. 4. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 5. 5-46 Configurare le impostazioni riportate di seguito: a. Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio precedente per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 5-60. b. Metodo di recupero delle descrizioni del computer: per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Per i dettagli, consultare Metodo per recuperare le descrizioni degli dispositivo a pagina 5-57. Installazione dell'agente OfficeScan c. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 5-54. d. Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale dell'agente OfficeScan e le credenziali amministrative usate per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Nota Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43. 6. e. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-58. f. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-59. Fare clic su OK. La schermata Impostazioni si chiude. 7. Fare clic su Avvio. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione manuale. Nota Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati. 5-47 Guida per l'amministratore di OfficeScan™ 11.0 8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Esecuzione di una scansione DHCP Procedura 1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartella riportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\Utility \TMVS. TABELLA 5-14. Impostazioni DHCP nel file TMVS.ini IMPOSTAZIONE DESCRIZIONE DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Il valore minimo è 3 e il valore massimo è 100. Il valore predefinito è 8. DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito il controllo del software antivirus nell'dispositivo che effettua la richiesta. Il valore minimo è 0 (senza attesa) e il valore massimo è 600. Il valore predefinito è 30. LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva. Vulnerability Scanner invia i risultati della scansione al server OfficeScan. I registri vengono visualizzati nella schermata Registri eventi di sistema nella console Web. 2. 5-48 OsceServer=x L'indirizzo IP o il nome DNS del server OfficeScan. OsceServerPort=x La porta del server Web nel server OfficeScan. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, passare a <Cartella di installazione del server>\PCCSRV\Admin \Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Installazione dell'agente OfficeScan a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility. b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota Non è possibile avviare lo strumento da Terminal Server. 3. Nella sezione Scansione manuale, fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 4. Configurare le impostazioni riportate di seguito: a. Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 5-54. b. Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale dell'agente OfficeScan e le credenziali amministrative usate per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Nota Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43. c. Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-58. d. Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati 5-49 Guida per l'amministratore di OfficeScan™ 11.0 in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-59. 5. Fare clic su OK. La schermata Impostazioni si chiude. 6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP. Nota La scheda Scansione DHCP non è disponibile nei computer che eseguono Windows Server 2008,Windows 7, Windows 8, Windows 8.1 e Windows Server 2012. 7. Fare clic su Avvio. Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione di controlli di vulnerabilità sui computer mano a mano che questi si connettono alla rete. 8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. Configurazione di una scansione di vulnerabilità pianificata Procedura 1. Per eseguire una scansione di vulnerabilità sul computer server OfficeScan, andare a <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e fare doppio clic su TMVS.exe. Viene visualizzata la console Trend Micro Vulnerability Scanner. Per eseguire una scansione di vulnerabilità su un altro dispositivo con Windows Server 2003, Server 2008, Vista, 7, 8, 8.1 o Server 2012: a. Nel computer server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility. 5-50 b. Copiare la cartella TMVS nell'altro dispositivo. c. Sull'altro dispositivo, aprire la cartella TMVS e fare doppio clic su TMVS.exe. Installazione dell'agente OfficeScan Viene visualizzata la console Trend Micro Vulnerability Scanner. Nota Non è possibile avviare lo strumento da Terminal Server. 2. Andare alla sezione Scansione pianificata. 3. Fare clic su Aggiungi/Modifica. Viene visualizzata la schermata Scansione pianificata. 4. Configurare le impostazioni riportate di seguito: a. Nome: digitare un nome per la scansione di vulnerabilità pianificata. b. Intervallo di indirizzi IP: immettere l'intervallo di indirizzi IP dei computer da controllare. i. Immettere un intervallo di indirizzi IPv4. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solo se è eseguito su una macchina host IPv4 pura o dual-stack con un indirizzo IPv4 disponibile. Vulnerability Scanner supporta soltanto gli intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254. ii. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefisso IPv6. Nota Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solo se è eseguito su una macchina host IPv6 pura o dual-stack con un indirizzo IPv6 disponibile. c. Pianificazione: specificare un'ora di inizio con il formato 24 ore, quindi selezionare con quale frequenza si desidera eseguire la scansione. Selezionare una frequenza giornaliera, settimanale o mensile. 5-51 Guida per l'amministratore di OfficeScan™ 11.0 d. Impostazioni: selezionare le impostazioni di scansione vulnerabilità da usare. • Se sono state configurate le impostazioni di scansione vulnerabilità manuale e si desidera usarle, selezionare Usa impostazioni correnti. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità manuale, vedere Esecuzione di una scansione di vulnerabilità manuale a pagina 5-45. • Se non sono state specificate le impostazioni di scansione vulnerabilità manuale o si desidera usare altre impostazioni, selezionare Modifica impostazioni e fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. È possibile configurare le seguenti impostazioni e fare clic su OK: 5-52 • Impostazioni ping: la Scansione di vulnerabilità può eseguire il "ping" degli indirizzi IP specificati nel passaggio 4b per verificare se sono attualmente in uso. Se una macchina host di destinazione usa un indirizzo IP, Vulnerability Scanner può determinare il sistema operativo della macchina host. Per i dettagli, consultare Impostazioni ping a pagina 5-60. • Metodo di recupero delle descrizioni del computer: per le macchine host che rispondono al comando "ping", Vulnerability Scanner è in grado di reperire ulteriori informazioni sulle macchine host. Per i dettagli, consultare Metodo per recuperare le descrizioni degli dispositivo a pagina 5-57. • Query prodotto: Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza nelle macchine host di destinazione. Per i dettagli, consultare Query prodotto a pagina 5-54. • Impostazioni server OfficeScan: configurare queste impostazioni se si desidera che Vulnerability Scanner installi automaticamente l'agente OfficeScan sulle macchine host non protette. Queste impostazioni consentono di identificare il server principale dell'agente OfficeScan e le credenziali amministrative usate per l'accesso alle macchine host. Per i dettagli, consultare Impostazioni server OfficeScan a pagina 5-62. Installazione dell'agente OfficeScan Nota Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43. 5. • Notifiche: Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Per i dettagli, consultare Notifiche a pagina 5-58. • Salva risultati: oltre ad inviare i risultati della scansione di vulnerabilità agli amministratori, Scansione di vulnerabilità è anche in grado di salvare i risultati in un file .csv. Per i dettagli, consultare Risultati scansione vulnerabilità a pagina 5-59. Fare clic su OK. La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilità pianificata creata viene visualizzata nella sezione Scansione pianificata. Se sono state attivate le notifiche, Vulnerability Scanner invia i risultati della scansione di vulnerabilità pianificata. 6. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic su Esegui ora. I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultati all'interno della scheda Scansione pianificata. Nota Se nell'dispositivo è in esecuzione Windows Server 2008 o Windows Server 2012, le informazioni sull'indirizzo MAC non vengono visualizzate nella tabella Risultati. 7. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta, individuare la cartella in cui salvare il file, digitare il nome del file e fare clic su Salva. 5-53 Guida per l'amministratore di OfficeScan™ 11.0 Impostazioni Scansione vulnerabilità Le impostazioni di Scansione vulnerabilità sono configurate da Trend Micro Vulnerability Scanner (TMVS.exe) o dal file TMVS.ini. Nota Per ulteriori dettagli su come raccogliere le informazioni nei registri di debug per Vulnerability Scanner, vedere Registri di debug del server tramite LogServer.exe a pagina 16-3. Query prodotto Vulnerability Scanner è in grado di verificare la presenza di software di sicurezza negli agenti. La tabella seguente illustra in che modo avviene il controllo dei prodotti di protezione da parte di Vulnerability Scanner: TABELLA 5-15. Prodotti di protezione controllati da Vulnerability Scanner PRODOTTO DESCRIZIONE ServerProtect per Windows Per controllare se SPNTSVC.exe è in esecuzione, Vulnerability Scanner utilizza dispositivo RPC. In tal modo ottiene informazioni quali il sistema operativo e le versioni del motore di scansione virus, del pattern dei virus e dei prodotti. Vulnerability Scanner non è in grado di rilevare il server informazioni di ServerProtect o la console di gestione di ServerProtect. ServerProtect per Linux Se nell'dispositivo di destinazione non è presente Windows, Vulnerability Scanner tenta di connettersi alla porta 14942 per verificare che ServerProtect per Linux sia installato. Agente OfficeScan Per verificare se l'agente OfficeScan è installato, Vulnerability Scanner utilizza la porta dell'agente OfficeScan. Controlla inoltre se il processo TmListen.exe è in esecuzione. Se viene eseguito dalla posizione predefinita, ottiene il numero di porta in modo automatico. Se Vulnerability Scanner viene avviato in un dispositivo diverso dal server OfficeScan, controllare la porta di comunicazione dell'altro dispositivo prima di utilizzarla. 5-54 Installazione dell'agente OfficeScan PRODOTTO DESCRIZIONE PortalProtect™ Per controllare l'installazione del prodotto, Vulnerability Scanner carica la pagina Web http://localhost:port/ PortalProtect/index.html. ScanMail™ per Microsoft Exchange™ Per controllare l'installazione di ScanMail, Vulnerability Scanner carica la pagina Web http://ipaddress:port/ scanmail.html. Per impostazione predefinita, ScanMail utilizza la porta 16372. Se ScanMail utilizza un numero di porta differente, specificare tale numero. In caso contrario, Vulnerability Scanner non è in grado di rilevare ScanMail. Serie InterScan™ Per controllare l'installazione dei prodotti, Vulnerability Scanner carica la pagina Web di ciascun prodotto. • InterScan Messaging Security Suite 5.x: http:// localhost:port/eManager/cgi-bin/eManager.htm • InterScan eManager 3.x: http://localhost:port/ eManager/cgi-bin/eManager.htm • InterScan VirusWall™ 3.x: http://localhost:port/ InterScan/cgi-bin/interscan.dll Trend Micro Internet Security™ (PC-cillin) Per controllare se Trend Micro Internet Security è installato, Vulnerability Scanner utilizza la porta 40116. McAfee VirusScan ePolicy Orchestrator Vulnerability Scanner invia un token speciale alla porta TCP 8081, la porta predefinita di ePolicy Orchestrator per la connessione tra server e agente. L'dispositivo con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Vulnerability Scanner non è in grado di rilevare McAfee VirusScan standalone. Norton Antivirus™ Corporate Edition Vulnerability Scanner invia un token speciale alla porta UDP 2967, la porta predefinita di Norton Antivirus Corporate Edition RTVScan. L'dispositivo con questo prodotto antivirus risponde utilizzando un tipo di token speciale. Poiché Norton Antivirus Corporate Edition comunica tramite UDP, il livello di accuratezza non è garantito. Inoltre il traffico di rete potrebbe influenzare il tempo di attesa UDP. Vulnerability Scanner rileva i prodotti e i computer che utilizzano i protocolli riportati di seguito: 5-55 Guida per l'amministratore di OfficeScan™ 11.0 • RPC: rileva ServerProtect per NT • UDP: rileva i client Norton AntiVirus Corporate Edition • TCP: rileva McAfee VirusScan ePolicy Orchestrator • ICMP: rileva i computer tramite l'invio di pacchetti ICMP • HTTP: Rileva gli agenti OfficeScan • DHCP: Se viene rilevata una richiesta DHCP, Vulnerability Scanner è in grado di controllare se sull'dispositivo che invia la richiesta sia già installato un software antivirus. Configurazione delle impostazioni della query del prodotto Le impostazioni di query dei prodotti sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Per specificare le impostazioni di query dei prodotti da Vulnerability Scanner (TMVS.exe): a. Avviare TMVS.exe. b. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. Andare alla sezione Query prodotto. d. Selezionare i prodotti da esaminare. e. Fare clic su Impostazioni accanto al nome del prodotto e specificare il numero di porta che verrà controllato da Vulnerability Scanner. f. Fare clic su OK. La schermata Impostazioni si chiude. 5-56 Installazione dell'agente OfficeScan 2. Consente di impostare il numero di computer che verranno contemporaneamente controllati da Vulnerability Scanner per verificare la presenza di software di sicurezza. a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility \TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note. b. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità manuale, modificare il valore per ThreadNumManual. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumManual=60 se si desidera che Vulnerability Scanner esegua il controllo su 60 computer alla volta. c. Per impostare il numero di computer che verranno sottoposti alla scansione di vulnerabilità pianificata, modificare il valore per ThreadNumSchedule. Specificare un valore compreso tra 8 e 64. Ad esempio, digitare ThreadNumSchedule=50 se si desidera che Vulnerability Scanner esegua il controllo su 50 computer alla volta. d. Salvare il file TMVS.ini. Metodo per recuperare le descrizioni degli dispositivo Quando Vulnerability Scanner è in grado si eseguire il "ping" delle macchine host, può reperire ulteriori informazioni sulle macchine host. Sono disponibili due metodi di recupero delle informazioni: • Recupero rapido: Recupera solo il nome dell'dispositivo • Recupero normale: Recupera le informazioni del dominio e dell'dispositivo Configurazione delle impostazioni di recupero Le impostazioni di recupero sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. 5-57 Guida per l'amministratore di OfficeScan™ 11.0 Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Metodo per recuperare le descrizioni computer. 4. Selezionare Normale o Rapido. 5. Se è stata seleziona l'opzione Normale, selezionare Recupera descrizioni computer quando disponibili. 6. Fare clic su OK. La schermata Impostazioni si chiude. Notifiche Vulnerability Scanner è in grado di inviare i risultati della scansione di vulnerabilità agli amministratori OfficeScan. Inoltre, è in grado di visualizzare le notifiche sulle macchine host non protette. Configurazione delle impostazioni di notifica Le impostazioni di notifica sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. 5-58 Andare alla sezione Notifica. Installazione dell'agente OfficeScan 4. Per inviare automaticamente i risultati della scansione di vulnerabilità a se stessi o ad altri amministratori nell'organizzazione: a. Selezionare Risultati e-mail all'amministratore di sistema. b. Fare clic su Configura per specificare le impostazioni e-mail. c. Nel campo A immettere l'indirizzo e-mail del destinatario. d. Nel campo Da, immettere l'indirizzo e-mail del mittente. e. Nel campo Server SMTP digitare l'indirizzo del server SMTP. ad esempio smtp.azienda.com. Le informazioni sul server SMTP sono obbligatorie. 5. 6. f. Nel campo Oggetto immettere un nuovo oggetto per il messaggio oppure accettare quello predefinito. g. Fare clic su OK. Per comunicare agli utenti che sui computer non è installato il software di sicurezza: a. Selezionare Visualizza una notifica sui computer non protetti. b. Fare clic su Personalizza per configurare il messaggio di notifica. c. Nella schermata Messaggio di notifica, digitare un nuovo messaggio o accettare il messaggio predefinito. d. Fare clic su OK. Fare clic su OK. La schermata Impostazioni si chiude. Risultati scansione vulnerabilità È possibile configurare Vulnerability Scanner in modo da salvare i risultati della scansione in un file CSV. 5-59 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione risultati di scansione Le impostazioni dei risultati della scansione di vulnerabilità sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Salva risultati. 4. Selezionare Salva automaticamente i risultati in un file CSV. 5. Per cambiare la cartella predefinita in cui salvare il file CSV: 6. a. Fare clic su Sfoglia. b. Selezionare una cartella di destinazione nell'dispositivo o nella rete. c. Fare clic su OK. Fare clic su OK. La schermata Impostazioni si chiude. Impostazioni ping Utilizzare le impostazioni "ping" per convalidare l'esistenza di una macchina di destinazione e verificare il sistema operativo usato. Se queste impostazioni sono disattivate, Vulnerability Scanner esegue la scansione di tutti gli indirizzi IP nell'intervallo specificato, anche di quelli che non sono utilizzati su nessuna macchina host, quindi il tentativo di eseguire la scansione impiegherà più tempo di quanto previsto. 5-60 Installazione dell'agente OfficeScan Configurazione delle impostazioni ping Le impostazioni ping sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Per specificare le impostazioni ping da Vulnerability Scanner (TMVS.exe): a. Avviare TMVS.exe. b. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. c. Andare alla sezione delle impostazioni Ping. d. Selezionare Consenti a Vulnerability Scanner di eseguire il ping dei computer della rete per verificarne lo stato. e. Accettare le impostazioni predefinite o immettere dei nuovi valori nei campi Dimensioni pacchetto e Timeout. f. Selezionare Rilevare il tipo di sistema operativo usando l'impronta del sistema operativo ICMP. Se si seleziona questa opzione, Vulnerability Scanner determina se una macchina host esegue Windows o un altro sistema operativo. Per le macchine host con Windows, Vulnerability Scanner è in grado di identificare la versione di Windows. g. Fare clic su OK. La schermata Impostazioni si chiude. 2. Per impostare il numero di computer che verranno sottoposti contemporaneamente a ping da parte di Vulnerability Scanner: a. Accedere alla <Cartella di installazione del server>\PCCSRV\Admin\Utility \TMVS e aprire TMVS.ini utilizzando un editor di testo, ad esempio Blocco note. 5-61 Guida per l'amministratore di OfficeScan™ 11.0 b. Modificare il valore per EchoNum. Specificare un valore compreso tra 1 e 64. Ad esempio, digitare EchoNum=60 se si desidera che Vulnerability Scanner effettui il ping su 60 computer alla volta. c. Salvare il file TMVS.ini. Impostazioni server OfficeScan Le impostazioni del server OfficeScan sono usate quando: • Vulnerability Scanner è in grado di installare l'agente OfficeScan su macchine di destinazione non protette. Le impostazioni del server consentono a Vulnerability Scanner di identificare il server principale dell'agente OfficeScan e le credenziali amministrative da usare per il collegamento alle macchine di destinazione. Nota Alcune condizioni possono impedire l'installazione dell'agente OfficeScan nelle macchine host di destinazione. Per i dettagli, consultare Linee guida per l'installazione dell'agente OfficeScan con Vulnerability Scanner a pagina 5-43. • Vulnerability Scanner invia i registri di installazione dell'agente al server OfficeScan. Configurazione impostazioni server OfficeScan Le impostazioni del server OfficeScan sono un sottogruppo delle impostazioni di scansione vulnerabilità. Per ulteriori informazioni sulle impostazioni di scansione di vulnerabilità, vedere Metodi di scansione di vulnerabilità a pagina 5-44. Procedura 1. Avviare TMVS.exe. 2. Fare clic su Impostazioni. Viene visualizzata la schermata Impostazioni. 3. Andare alla sezione Impostazioni server OfficeScan. 4. Immettere il nome e il numero della porta del server OfficeScan. 5-62 Installazione dell'agente OfficeScan 5. Selezionare Installa automaticamente l'agente OfficeScan sui computer non protetti. 6. Per configurare le credenziali amministrative: a. Fare clic su Installa nell'account. b. Nella schermata Informazioni account, digitare un nome utente e una password. c. Fare clic su OK. 7. Selezionare Invia registri al server OfficeScan. 8. Fare clic su OK. La schermata Impostazioni si chiude. Installazione con Conformità sicurezza Installare gli agenti OfficeScan nei computer dei domini della rete oppure installare l'agente OfficeScan in un dispositivo di destinazione mediante il suo indirizzo IP. Prima di installare l'agente OfficeScan, tenere presente quando segue: Procedura 1. Prendere nota delle credenziali di accesso di ogni dispositivo. Durante l'installazione, OfficeScan richiede di specificare le credenziali di accesso. 2. L'agente OfficeScan non viene installato in un dispositivo nei casi seguenti: • Il server OfficeScan è installato nell'dispositivo. • Nell'dispositivo è in esecuzione Windows XP Home, Windows Vista Home Basic, Windows Vista Home Premium, Windows 7™ Starter, Windows 7 Home Basic, Windows 7 Home Premium e Windows 8 (versioni di base) e Windows 8.1. Per i computer con tali piattaforme è necessario scegliere un altro metodo di installazione. Consultare Considerazioni sull'implementazione a pagina 5-11 per ulteriori dettagli. 5-63 Guida per l'amministratore di OfficeScan™ 11.0 3. 4. Se nell'dispositivo di destinazione è eseguito Windows Vista (Business, Enterprise o Ultimate Edition) o Windows 7 (Professional, Enterprise o Ultimate Edition),Windows 8 (Pro, Enterprise), Windows 8.1 o Windows Server 2012 (Standard), eseguire nell'dispositivo la procedura riportata di seguito: a. Attivare l'account dell'amministratore integrato e impostare una password per l'account stesso. b. Disattivare il firewall di Windows. c. Fare clic su Avvia > Programmi > Strumenti amministrativi > Windows Firewall con protezione avanzata. d. Per il profilo di dominio, il profilo privato e il profilo pubblico, impostare lo stato del firewall su "Disattivato". e. Aprire Microsoft Management Console (da Start > Esegui, digitare services.msc) e avviare il servizio Registro remoto. Quando si installa l'agente OfficeScan, utilizzare l'account e la password di amministratore integrati. Se nell'dispositivo sono installati programmi di protezione dispositivo di Trend Micro o di terzi, verificare se OfficeScan è in grado di disinstallare automaticamente il software e sostituirlo con l'agente OfficeScan. Per un elenco del software di protezione dell'agente che OfficeScan disinstalla automaticamente, aprire i file seguenti in <Cartella di installazione del server>\PCCSRV\Admin. Per aprire tali file utilizzare un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nell'dispositivo di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione, potrebbe essere necessario riavviare l'dispositivo. 5-64 Installazione dell'agente OfficeScan Installazione dell'agente OfficeScan Procedura 1. Accedere a Valutazione > Dispositivo non gestiti. 2. Fare clic su Installa in cima alla struttura agente. • Se nell'dispositivo è già installata una versione precedente dell'agente OfficeScan e si fa clic su Installa, l'installazione non viene eseguita e l'agente non viene aggiornato a questa versione. Per aggiornare l'agente, è necessario disattivare un'impostazione. a. Accedere a Agenti > Gestione agente. b. Fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Altre impostazioni. c. Disattivare l'opzione Gli agenti OfficeScan possono aggiornare i componenti, ma non possono aggiornare il programma agente né implementare gli hotfix. 3. Specificare l'account di accesso amministratore di ciascun dispositivo e fare clic su Accesso. OfficeScan inizia l'installazione dell'agente nell'dispositivo di destinazione. 4. Visualizzare lo stato dell'installazione. Migrazione all'agente OfficeScan Sostituire il software di protezione dell'agente installato su un dispositivo di destinazione con l'agente OfficeScan. Migrazione da altro software di protezione dispositivo Quando si installa l'agente OfficeScan, il programma di installazione esegue il controllo del software di protezione dispositivo di Trend Micro o di terzi installato nell'dispositivo 5-65 Guida per l'amministratore di OfficeScan™ 11.0 di destinazione. Il programma di installazione è in grado di disinstallare automaticamente il software e di sostituirlo con l'agente OfficeScan. Per ottenere un elenco del software di protezione dispositivo che OfficeScan è in grado di disinstallare automaticamente, aprire i file seguenti in <Cartella di installazione del server> \PCCSRV\Admin. Aprire questi file con un editor di testo, ad esempio Blocco note. • tmuninst.ptn • tmuninst_as.ptn Se il software nell'dispositivo di destinazione non è compreso nell'elenco, disinstallarlo in modo manuale. In base al tipo di processo di disinstallazione, potrebbe essere necessario riavviare l'dispositivo. Problemi relativi alla migrazione degli agenti OfficeScan • Se la migrazione automatica dell'agente si è conclusa correttamente ma l'utente ha riscontrato dei problemi nell'uso dell'agente OfficeScan subito dopo l'installazione, riavviare l'dispositivo. • Se il programma di installazione OfficeScan ha eseguito l'installazione dell'agente OfficeScan senza disinstallare l'altro software di protezione, si verificheranno dei conflitti tra i due software. Disinstallare entrambi i software, quindi installare l'agente OfficeScan utilizzando uno dei metodi descritti nella sezione Considerazioni sull'implementazione a pagina 5-11. Migrazione dai normali server ServerProtect Lo strumento di migrazione di server normali ServerProtect™ consente di effettuare la migrazione di computer con server normale Trend Micro ServerProtect all'agente OfficeScan. Lo strumento di migrazione dal server normale ServerProtect ha le stesse specifiche hardware e software del server OfficeScan. Eseguire lo strumento su computer con Windows Server 2003 e Windows Server 2008. Se la disinstallazione del server normale ServerProtect viene completata correttamente, lo strumento installa l'agente OfficeScan. Consente anche di migrare le impostazioni 5-66 Installazione dell'agente OfficeScan dell'elenco di esclusione dalla scansione (per tutti i tipi di scansione) all'agente OfficeScan. Durante l'installazione del'agente OfficeScan, potrebbe verificarsi il timeout del programma di installazione dell'agente dello strumento di migrazione ed essere visualizzata una notifica per avvisare che l'installazione non è riuscita. Se questo dovesse verificarsi, non è detto che l'agente OfficeScan non sia stato installato correttamente. Verificare l'installazione sull'dispositivo agente dalla console Web OfficeScan. La migrazione non riesce nelle seguenti situazioni: • L'agente remoto ha solo un indirizzo IPv6. Lo strumento di migrazione non supporta l'indirizzamento IPv6. • L'agente remoto non è in grado di utilizzare il protocollo NetBIOS. • Le porte 455, 337 e 339 sono bloccate. • L'agente remoto non è in grado di utilizzare il protocollo RPC. • Il servizio Registro remoto s'interrompe. Nota Lo strumento di migrazione di server normali ServerProtect non effettua la disinstallazione dell'agente Control Manager™ di ServerProtect. Per istruzioni su come disinstallare l'agente, fare riferimento alla documentazione di ServerProtect e/o di Control Manager. Utilizzo dello strumento di migrazione di server normali ServerProtect Procedura 1. Nel computer server OfficeScan aprire <Cartella di installazione del server>\PCCSRV \Admin\Utility\SPNSXfr e copiare i file SPNSXfr.exe e SPNSX.ini in Cartella di installazione del server>\PCCSRV\Admin. 2. Fare doppio clic su SPNSXfr.exe per aprire lo strumento. Viene visualizzata la console dello strumento di migrazione del server normale ServerProtect. 5-67 Guida per l'amministratore di OfficeScan™ 11.0 3. Selezionare il server OfficeScan. Il percorso del server OfficeScan viene visualizzato nell'apposita sezione. Se il percorso non è quello corretto, fare clic su Sfoglia e selezionare la cartella PCCSRV nella directory di installazione di OfficeScan. Per attivare lo strumento in modo che al successivo utilizzo trovi automaticamente il server OfficeScan, selezionare la casella di controllo Individuazione automatica percorso server (selezionata per impostazione predefinita). 4. Per selezionare i computer sui quali è in esecuzione il server normale ServerProtect per i quali effettuare la migrazione, fare clic su una delle seguenti opzioni nella sezione Dispositivo di destinazione: • Struttura di rete Windows: visualizza una struttura ad albero dei domini presenti nella rete. Per selezionare i computer che utilizzano questo metodo, fare clic sui domini sui quali effettuare la ricerca dei computer agente. • Nome server informazioni: ricerca effettuata per nome server informazioni. Per selezionare i computer con questo metodo, immettere il nome di un server informazioni presente sulla propria rete. Per effettuare la ricerca di diversi server informazioni, inserire un punto e virgola ";" tra i nomi dei server. • Nome server normale certo: ricerca effettuata per nome server normale. Per selezionare i computer con questo metodo, immettere il nome di un server normale presente sulla propria rete. Per effettuare la ricerca su diversi server normali, inserire un punto e virgola ";" tra i nomi dei server. • Ricerca intervallo IP: effettua la ricerca su un intervallo di indirizzi IP. Per selezionare i computer con questo metodo, immettere un intervallo di indirizzi IP di classe B nella casella Intervallo IP. Nota Se un server DNS presente in rete non risponde in fase di ricerca degli agenti, anche l'operazione di ricerca non risponde. Attendere il timeout della ricerca. 5. 5-68 Selezionare Riavvio dopo l'installazione per riavviare automaticamente i computer di destinazione dopo la migrazione. Installazione dell'agente OfficeScan Per completare la migrazione correttamente, è necessario riavviare il computer. Se non si seleziona questa opzione, riavviare il computer manualmente dopo la migrazione. 6. Fare clic su Cerca. I risultati della ricerca vengono visualizzati nella sezione Server normali ServerProtect. 7. 8. Fare clic sui computer per i quali effettuare la migrazione. a. Per selezionare tutti i computer, fare clic su Seleziona tutto. b. Per deselezionare tutti i computer, fare clic su Deseleziona tutto. c. Per esportare l'elenco in un file CSV (comma-separated value), fare clic su Esporta in CSV. Se per accedere ai computer di destinazione sono necessari nome utente e password, effettuare le seguenti operazioni: a. Selezionare la casella di controllo Usa account/password gruppo. b. Fare clic su Imposta account di accesso. Viene visualizzata la finestra Inserisci informazioni di amministrazione. c. Immettere il nome utente e la password. Nota Per accedere all'dispositivo di destinazione, utilizzare l'account di amministratore locale o di dominio. Se si effettua l'accesso senza i necessari privilegi (ad esempio, come "Guest" o "Utente normale"), non sarà possibile effettuare l'installazione. 9. d. Fare clic su OK. e. Fare clic su Chiedi nuovamente se l'accesso non riesce per essere sicuri di poter inserire il nome utente e la password nel corso del processo di migrazione nel caso in cui l'accesso risulti impossibile. Fare clic su Migra. 5-69 Guida per l'amministratore di OfficeScan™ 11.0 10. Se non è stata selezionata l'opzione Riavvio dopo l'installazione, riavviare i computer di destinazione dopo la migrazione. Post-installazione Al termine dell'installazione, verificare i seguenti elementi: • Collegamento agente OfficeScan a pagina 5-70 • Elenco programmi a pagina 5-70 • Servizi dell'agente OfficeScan a pagina 5-71 • Registri di installazione agente OfficeScan a pagina 5-71 Collegamento agente OfficeScan I collegamenti all'agente OfficeScan vengono visualizzati nel menu Start di Windows nell'dispositivo agente. FIGURA 5-2. Collegamento agente OfficeScan Elenco programmi Security Agent è incluso nell'elenco Installazione applicazioni del Pannello di controllo dell'dispositivo agente. 5-70 Installazione dell'agente OfficeScan Servizi dell'agente OfficeScan I seguenti servizi dell'agente OfficeScan sono visualizzati in Microsoft Management Console: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) Nota OfficeScan NT Proxy Service non è presente su piattaforme Windows 8/8.1 o Windows Server 2012. • OfficeScan NT Firewall (TmPfw.exe); se il firewall è stato attivato durante l'installazione • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) • Framework soluzione client comune Trend Micro (TmCCSF.exe) Registri di installazione agente OfficeScan Il registro di installazione dell'agente OfficeScan, OFCNT.LOG si trova nei percorsi riportati di seguito: • %windir% per tutti i metodi di installazione utilizzati ad eccezione dell'installazione del pacchetto MSI • %temp% per il metodo di installazione con il pacchetto MSI Attività post-installazione consigliate Al termine dell'installazione, Trend Micro consiglia di effettuare le seguenti operazioni. 5-71 Guida per l'amministratore di OfficeScan™ 11.0 Aggiornamento dei componenti Per essere sicuri che tutti gli agenti siano dotati della protezione contro i rischi per la sicurezza più recente, aggiornare i componenti degli agenti OfficeScan. È possibile eseguire gli aggiornamenti manuali degli agenti dalla console Web oppure chiedere agli utenti di eseguire "Aggiorna ora" dai propri computer. Scansione di prova mediante lo script di prova EICAR L'EICAR (European Institute for Computer Antivirus Research, Istituto europeo per la ricerca contro i virus informatici) ha sviluppato uno script di prova EICAR che consente di controllare in modo sicuro la corretta installazione e configurazione del software antivirus. Per ulteriori informazioni, visitare il sito Web EICAR: http://www.eicar.org Lo script di prova EICAR è un innocuo file di testo con estensione .com. Questo file non è un virus e non contiene alcun frammento di codice virale, ma la maggior parte dei software antivirus reagiscono a tale file come se si trattasse di un virus. È possibile utilizzare il file per simulare un'infezione virale e verificare così il corretto funzionamento delle notifiche e-mail e dei registri dei virus. AVVERTENZA! Non utilizzare mai dei virus reali per verificare il funzionamento di un prodotto antivirus. Esecuzione di una scansione di prova Procedura 1. Attivare la scansione in tempo reale sull'agente. 2. Copiare la seguente stringa e incollarla nel Blocco note o in un altro editor di testo semplice: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* 3. 5-72 Salvare il file nominandolo EICAR.com in una directory temporanea. OfficeScan rileva immediatamente il file. Installazione dell'agente OfficeScan 4. Per verificare gli altri computer in rete, inviare il file EICAR.com come allegato in un messaggio e-mail e inviarlo ad uno dei computer. Suggerimento Trend Micro consiglia di comprimere il file EICAR utilizzando un software di compressione (ad esempio WinZip) e poi eseguire un'altra scansione di prova. Disinstallazione dell'agente OfficeScan Per disinstallare l'agente OfficeScan dai computer, è possibile procedere in due modi: • Disinstallazione dell'agente OfficeScan dalla console Web a pagina 5-73 • Esecuzione del Programma di disinstallazione dell'agente OfficeScan a pagina 5-75 Se non è possibile disinstallare l'agente OfficeScan con i metodi illustrati, rimuoverlo manualmente. Per i dettagli, consultare Disinstallazione manuale dell'agente OfficeScan a pagina 5-76. Disinstallazione dell'agente OfficeScan dalla console Web Disinstallare il programma agente OfficeScan dalla console Web. Eseguire la disinstallazione solo in caso di problemi con il programma. Per mantenere l'dispositivo protetto dai rischi per la sicurezza, reinstallare subito il programma. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Operazioni > Disinstallazione di Agent. 4. Nella schermata Disinstallazione Agent, fare clic su Avvia disinstallazione. Il server invia una notifica agli agenti. ) per includere 5-73 Guida per l'amministratore di OfficeScan™ 11.0 5. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la notifica. a. Fare clic su Seleziona dispositivo non notificati, quindi su Avvia disinstallazione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta. b. Se si desidera che OfficeScan interrompa l'invio della notifica agli agenti, fare clic su Interrompi disinstallazione. Gli agenti che hanno già ricevuto la notifica, hanno già avviato il processo di disinstallazione e pertanto ignorano questo comando. Programma di disinstallazione dell'agente OfficeScan Assegnare agli utenti i privilegi per disinstallare il programma agente OfficeScan e richiedere loro di eseguire il programma di disinstallazione dell'agente dai loro computer. In base alla configurazione, la disinstallazione può richiedere o meno una password. Se è richiesta una password, assicurarsi di condividere la password solo con gli utenti che devono eseguire il programma di disinstallazione e cambiarla immediatamente se viene divulgata ad altri utenti. Assegnazione dei privilegi di disinstallazione dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Disinstallazione. 5. Per consentire agli utenti di eseguire la disinstallazione senza password, selezionare Consenti agli utenti di disinstallare l'agente OfficeScan. Se è richiesta una 5-74 ) per includere Installazione dell'agente OfficeScan password, selezionare Richiedi una password per disinstallare l'agente OfficeScan, digitare la password e confermarla. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Esecuzione del Programma di disinstallazione dell'agente OfficeScan Procedura 1. Nel menu di Windows Start, fare clic su Programmi > Trend Micro OfficeScan Agent > Disinstalla l'agente OfficeScan. È inoltre possibile eseguire la procedura riportata di seguito: 2. a. Fare clic su Pannello di controllo > Installazione applicazioni. b. Individuare Trend Micro OfficeScan Agent e fare clic su Cambia. c. Seguire le istruzioni visualizzate. Se richiesto, digitare la password per la disinstallazione. OfficeScan visualizza una finestra che informa l'utente sul progresso e il completamento della disinstallazione. Per completare la disinstallazione, non è necessario riavviare l'dispositivo agente. 5-75 Guida per l'amministratore di OfficeScan™ 11.0 Disinstallazione manuale dell'agente OfficeScan Eseguire la disinstallazione manuale solo in caso di problemi con la disinstallazione dell'agente OfficeScan dalla console Web o dopo aver eseguito il programma di disinstallazione. Procedura 1. Accedere all'dispositivo agente mediante un account con privilegi di amministratore. 2. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan presente nella barra delle applicazioni e selezionare Scarica OfficeScan. Se viene richiesta una password, specificare la password per la rimozione, quindi fare clic su OK. Nota 3. • In Windows 8, 8.1 e Windows Server 2012, passare alla modalità desktop per rimuovere l'agente OfficeScan. • Disattivare la password nei computer in cui l'agente OfficeScan verrà rimosso. Per i dettagli, consultare Configurazione dei privilegi dell'agente e altre impostazioni a pagina 14-90. Se la password per la rimozione non è stata specificata, utilizzare Microsoft Management Console per interrompere i servizi riportati di seguito: • OfficeScan NT Listener • OfficeScan NT Firewall • Scansione in tempo reale di OfficeScan NT • OfficeScan NT Proxy Service Nota OfficeScan NT Proxy Service non è presente su piattaforme Windows 8, 8.1 o Windows Server 2012. • 5-76 Servizio prevenzione modifiche non autorizzate di Trend Micro Installazione dell'agente OfficeScan • 4. Framework soluzione client comune Trend Micro Rimuovere il collegamento all'agente OfficeScan presente nel menu Start. • In Windows 8, 8.1 e Windows Server 2012: a. passare alla modalità desktop. b. Spostare il puntatore del mouse sull'angolo in basso a destra dello schermo e scegliere Start dal menu visualizzato. Viene visualizzata la schermata Home. • c. Fare clic con il pulsante destro del mouse su Trend Micro OfficeScan. d. Fare clic su Rimuovi da Start. In tutte le altre piattaforme Windows: Fare clic su Start > Programmi, fare clic con il pulsante destro del mouse su Trend Micro OfficeScan Agent, quindi fare clic su Elimina. 5. Aprire l'editor del Registro di sistema (regedit.exe). AVVERTENZA! La procedura riportata di seguito richiede l'eliminazione delle chiavi di registro. Se si apportano modifiche errate al registro di sistema, possono verificarsi seri problemi nel sistema. Prima di apportare qualsiasi modifica al registro, effettuare sempre una copia di backup. Per ulteriori informazioni, fare riferimento alla guida dell'editor del registro. 6. Eliminare le chiavi di registro riportate di seguito: • Se nell'dispositivo non sono installati altri prodotti Trend Micro: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro • Se nell'dispositivo sono installati altri prodotti Trend Micro, eliminare solo le chiavi riportate di seguito: 5-77 Guida per l'amministratore di OfficeScan™ 11.0 • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro \OfcWatchDog • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp Per computer a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro \PC-cillinNTCorp 7. Eliminare i valori o le chiavi di registro riportati di seguito: • Per sistemi a 32 bit: • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\OfficeScanNT • OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run • 8. • HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft \Windows\CurrentVersion\Uninstall\OfficeScanNT • OfficeScanNT Monitor (REG_SZ) in HKEY_LOCAL_MACHINE \SOFTWARE\ Wow6432Node\Microsoft\Windows \CurrentVersion\Run Eliminare tutte le istanze delle chiavi di registro seguenti nei percorsi indicati di seguito: • 5-78 Per sistemi a 64 bit: Percorsi: • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services Installazione dell'agente OfficeScan • • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services Chiavi: • NTRtScan • tmcfw • tmcomm • TmFilter • TmListen • tmpfw • TmPreFilter • TmProxy Nota TmProxy non è presente sulle piattaforme Windows 8/8.1 o Windows Server 2012. • tmtdi Nota tmtdi non è presente sulle piattaforme Windows 8/8.1 o Windows Server 2012. • VSApiNt • tmlwf (per computer Windows Vista/Server 2008/7/8/8.1/Server 2012) • tmwfp (per computer Windows Vista/Server 2008/7/8/8.1/Server 2012) • tmactmon • TMBMServer 5-79 Guida per l'amministratore di OfficeScan™ 11.0 9. • TMebc • tmevtmgr • tmeevw (per Windows 8/8.1/Server 2012) • tmusa (per Windows 8/8.1/Server 2012) • tmnciesc • tmeext (per Windows XP/2003) Chiudere l'editor del Registro di sistema. 10. Fare clic su Avvia > Impostazioni > Pannello di controllo e fare doppio clic su Sistema. Nota Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012. 11. Fare clic sulla scheda Hardware, quindi fare clic su Gestione dispositivi. Nota Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012. 12. Fare clic su Visualizza > Mostra dispositivi nascosti. Nota Saltare questo passaggio nei sistemi Windows 8/8.1 e Windows Server 2012. 13. Espandere Driver non Plug and Play, quindi disinstallare i dispositivi riportati di seguito (Windows XP/Vista/7/Server 2003/Server 2008): 5-80 • tmcomm • tmactmon • tmevtmgr • Trend Micro Filter Installazione dell'agente OfficeScan • Trend Micro PreFilter • Trend Micro TDI Driver • Trend Micro VSAPI NT • Servizio prevenzione modifiche non autorizzate di Trend Micro • Trend Micro WFP Callout Driver (per computer con Windows Vista/Server 2008/7) 14. Per eliminare manualmente i driver di Trend Micro con un editor della riga di comando (solo Windows 8/8.1/Server 2012), eseguire i comandi seguenti: • sc delete tmcomm • sc delete tmactmon • sc delete tmevtmgr • sc delete tmfilter • sc delete tmprefilter • sc delete tmwfp • sc delete vsapint • sc delete tmeevw • sc delete tmusa • sc delete tmebc Nota Per essere certi che i comandi vengano eseguiti con esito positivo, avviare l'editor da riga di comando utilizzando privilegi amministrativi (è possibile fare clic con il tasto destro del mouse sul file cmd.exe e scegliere Esegui come amministratore). 15. Disinstallare il Driver comune Firewall. a. Fare clic con il pulsante destro del mouse su Risorse di rete e fare clic su Proprietà. 5-81 Guida per l'amministratore di OfficeScan™ 11.0 b. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. c. Nella scheda Generale selezionare Driver comune Firewall di Trend Micro e fare clic su Disinstalla. Nota I seguenti passaggi sono relativi solo ai sistemi operativi Windows Vista/Server 2008/7/8/8.1/Server 2012. Per gli agenti che utilizzano tutti gli altri sistemi operativi, andare al punto 15. d. Fare clic con il tasto destro del mouse su Rete e fare clic su Proprietà. e. Fare clic su Gestisci connessioni di rete. f. Fare clic con il tasto destro del mouse su Connessione alla rete locale (LAN) e fare clic su Proprietà. g. Nella scheda Rete selezionare Trend Micro NDIS 6.0 Filter Driver e fare clic su Disinstalla. 16. Riavviare l'dispositivo agente. 17. Se nell'dispositivo non sono installati altri prodotti Trend Micro, eliminare la cartella di installazione Trend Micro (normalmente C:\Programmi\Trend Micro). Nei computer a 64 bit la cartella di installazione è in C:\Programmi (x86)\Trend Micro. 18. Se nel computer sono installati altri prodotti Trend Micro, eliminare le cartelle riportate di seguito: 5-82 • <Cartella di installazione dell'agente> • La cartella BM nella cartella di installazione Trend Micro (solitamente C: \Programmi\Trend Micro\BM per i sistemi a 32 bit e C: \Programmi(x86)\Trend Micro\BM per i sistemi a 64 bit ) Capitolo 6 Come mantenere la protezione aggiornata In questo capitolo vengono descritti i componenti OfficeScan™ di Trend Micro™ e le procedure di aggiornamento. Di seguito sono riportati gli argomenti trattati: • Programmi e componenti di OfficeScan a pagina 6-2 • Panoramica sugli aggiornamenti a pagina 6-14 • Aggiornamenti server OfficeScan a pagina 6-17 • Aggiornamenti di Integrated Smart Protection Server a pagina 6-30 • Aggiornamenti agente OfficeScan a pagina 6-30 • Update Agent a pagina 6-58 • Riepilogo aggiornamento componenti a pagina 6-67 6-1 Guida per l'amministratore di OfficeScan™ 11.0 Programmi e componenti di OfficeScan OfficeScan utilizza i componenti e i programmi per mantenere i computer agente protetti dai rischi per la sicurezza più recenti. Per mantenere questi componenti e programmi aggiornati, eseguire gli aggiornamenti manuali o pianificati. Oltre ai componenti, gli agenti OfficeScan ricevono dal server OfficeScan anche i file di configurazione aggiornati. Gli agenti necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. I componenti sono raggruppati come segue: • Componenti antivirus a pagina 6-2 • Componenti di Damage Cleanup Services a pagina 6-7 • Componenti anti-spyware a pagina 6-7 • Componenti firewall a pagina 6-8 • Componente di Reputazione Web a pagina 6-9 • Componenti monitoraggio del comportamento a pagina 6-9 • Programmi a pagina 6-11 • Componenti Connessioni sospette a pagina 6-13 • Soluzione minaccia browser a pagina 6-13 Componenti antivirus I componenti antivirus sono composti dai pattern, driver e motori seguenti: 6-2 • Pattern antivirus a pagina 6-3 • Motore di scansione virus a pagina 6-4 • Driver scansione dei virus a pagina 6-5 • Pattern IntelliTrap a pagina 6-6 Come mantenere la protezione aggiornata • Pattern eccezioni IntelliTrap a pagina 6-6 • Pattern ispezione memoria a pagina 6-6 Pattern antivirus Il pattern antivirus disponibile nell'dispositivo agente dipende dal metodo di scansione utilizzato dall'agente. Per informazioni sui metodi di scansione, vedere Tipi di metodi di scansione a pagina 7-8. TABELLA 6-1. Pattern antivirus METODO DI SCANSIONE Scansione convenzionale PATTERN IN USO Il Pattern antivirus contiene informazioni che consentono a OfficeScan di identificare i virus, le minacce informatiche e le minacce di tipo misto più recenti. Trend Micro crea e distribuisce nuove versioni del pattern antivirus diverse volte alla settimana e ogniqualvolta viene scoperta una particolare minaccia. Trend Micro consiglia di pianificare gli aggiornamenti automatici in modo che vengano effettuati almeno ogni ora; questa è l'impostazione predefinita per tutti i prodotti. 6-3 Guida per l'amministratore di OfficeScan™ 11.0 METODO DI PATTERN IN USO SCANSIONE Smart Scan Nella modalità Smart Scan gli agenti OfficeScan utilizzano due pattern leggeri che vengono integrati per fornire lo stesso livello di protezione dei pattern anti-malware e anti-spyware convenzionali. Un'origine Smart Protection ospita lo Smart Scan Pattern. Questo pattern viene aggiornato ogni ora e contiene la maggior parte delle definizioni dei pattern. Questo pattern non viene scaricato dagli agenti Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. L'origine aggiornamenti dell'agente (il server OfficeScan oppure una delle origini aggiornamenti personalizzate) ospita Smart Scan Agent Pattern. Questo pattern viene aggiornato quotidianamente e contiene tutte le altre definizioni dei pattern non disponibili in Smart Scan Pattern. Gli agenti scaricano questo pattern dall'origine aggiornamenti utilizzando gli stessi metodi di download degli altri componenti OfficeScan. Per ulteriori informazioni su Smart Scan Pattern e Smart Scan Agent Pattern, vedere File Smart Protection Pattern a pagina 4-8. Motore di scansione virus Il motore di scansione rappresenta il fulcro dei prodotti Trend Micro e originariamente è stato sviluppato in risposta ai primi virus degli dispositivo basati su file. Il motore di scansione attuale è eccezionalmente sofisticato ed è in grado di rilevare tipi di diversi di Virus e minacce informatiche a pagina 7-2. Il motore di scansione inoltre rileva i virus controllati sviluppati e utilizzati per la ricerca. Anziché eseguire la scansione di ogni byte di ciascun file, il motore e il file dei pattern collaborano per identificare gli elementi riportati di seguito: • Caratteristiche riconoscibili del codice del virus • La posizione precisa del virus all'interno del file OfficeScan rimuove virus e minacce informatiche non appena le rileva e ripristina l'integrità del file. 6-4 Come mantenere la protezione aggiornata Aggiornamento del motore di scansione Attraverso la memorizzazione delle informazioni più sensibili a livello temporale su virus o minacce informatiche nei pattern dei virus, Trend Micro è in grado di ridurre al minimo il numero di aggiornamenti del motore di scansione mantenendo al contempo la protezione aggiornata. Tuttavia, Trend Micro rende disponibili periodicamente nuove versioni del motore di scansione. Trend Micro rilascia nuovi motori nelle seguenti circostanze: • Implementazione di nuove tecnologie di scansione e rilevamento all'interno del software. • Scoperta di un nuovo virus potenzialmente molto dannoso che il motore di scansione non è in grado di gestire • Miglioramento delle prestazioni di scansione • Aggiunta di formati di file, linguaggi per script, codifica e/o formati di compressione Driver scansione dei virus Il Driver scansione dei virus consente di monitorare le operazioni dell'utente sui file. Le operazioni comprendono l'apertura o la chiusura di un file e l'esecuzione di un'applicazione. Esistono due versioni del driver. Le due versioni disponibili sono TmXPFlt.sys e TmPreFlt.sys. TmXPFlt.sys viene utilizzato per la configurazione in tempo reale del Motore di scansione virus e TmPreFlt.sys per il monitoraggio delle operazioni degli utenti. Nota Questo componente non viene visualizzato nella console. Per verificare la versione in uso, accedere a vCartella di installazione del server>\PCCSRV\Pccnt\Drv. Fare clic con il pulsante destro del mouse sul file .sys, selezionare Proprietà e accedere alla scheda Versione. 6-5 Guida per l'amministratore di OfficeScan™ 11.0 Pattern IntelliTrap Pattern IntelliTrap ( Per maggiori dettagli, consultare IntelliTrap a pagina E-7 ). Il pattern rileva i file compressi in tempo reale impacchettati come file eseguibili. Pattern eccezioni IntelliTrap Il Pattern eccezioni IntelliTrap contiene un elenco dei file compressi "approvati". Pattern ispezione memoria La scansione in tempo reale utilizza il Pattern ispezione memoria per valutare i file compressi eseguibili identificati dal monitoraggio del comportamento. La scansione in tempo reale effettua nei file compressi eseguibili le seguenti azioni: 1. Crea un file di mappatura nella memoria dopo aver verificato il percorso di immagine del processo. Nota L'elenco di esclusione scansione sovrascrive la scansione del file. 2. 6-6 Invia l'ID di processo al Servizio di protezione avanzata che quindi: a. Usa il Motore di scansione virus per effettuare la scansione della memoria. b. Filtra il processo tramite gli elenchi Approvati globali per i file di sistema Windows, i file con firma digitale da origini affidabili e i file sottoposti a test da Trend Micro. Dopo aver accertato la sicurezza di un file, OfficeScan non esegue alcuna azione sul medesimo. 3. Dopo aver elaborato la scansione della memoria, il Servizio di protezione avanzata invia i risultati alla Scansione in tempo reale. 4. La Scansione in tempo reale quindi mette in quarantena eventuali minacce informatiche rilevate e interrompe il processo. Come mantenere la protezione aggiornata Componenti di Damage Cleanup Services I componenti di Damage Cleanup Services sono composti dal motore e dal modello seguenti. • Motore di disinfezione virus a pagina 6-7 • Modello disinfezione virus a pagina 6-7 • Driver Early Boot Clean a pagina 6-7 Motore di disinfezione virus Il Motore di disinfezione virus esegue la scansione per rilevare cavalli di Troia e i relativi processi e li rimuove. Questo motore supporta piattaforme a 32 bit e a 64 bit. Modello disinfezione virus Il Modello disinfezione virus viene utilizzato dal Motore di disinfezione virus per individuare i file dei cavalli di Troia e i relativi processi per consentire al motore di eliminarli. Driver Early Boot Clean Il driver Early Boot Clean di Trend Micro viene caricato prima dei driver del sistema operativo, consentendo il rilevamento e il blocco dei rootkit di tipo boot. Dopo il caricamento dell'agente OfficeScan, il driver Early Boot Clean di Trend Micro invoca Damage Cleanup Services per disinfettare il rootkit. Componenti anti-spyware I componenti anti-spyware sono formati dal motore e dai pattern seguenti: • Pattern spyware a pagina 6-8 • Motore di scansione spyware a pagina 6-8 6-7 Guida per l'amministratore di OfficeScan™ 11.0 • Pattern di monitoraggio attivo spyware a pagina 6-8 Pattern spyware Il pattern spyware identifica spyware e grayware nei file, nei programmi, nei moduli di memoria, nel registro di Windows e nei collegamenti URL. Motore di scansione spyware Il motore di scansione spyware esegue l'analisi e l'azione di scansione appropriata su spyware/grayware. Questo motore supporta piattaforme a 32 bit e a 64 bit. Pattern di monitoraggio attivo spyware Il pattern di monitoraggio attivo spyware viene utilizzato per la scansione in tempo reale di spyware/grayware. Solo gli agenti con scansione convenzionale utilizzano questo pattern. Gli agenti con Smart Scan utilizzano Smart Scan Agent Pattern per la scansione in tempo reale di spyware/grayware. Se non è possibile determinare il rischio della destinazione della scansione, gli agenti inviano query di scansione a un'origine Smart Protection. Componenti firewall I componenti Firewall sono composti dal pattern e dal driver seguenti: • Driver comune Firewall a pagina 6-8 • Pattern comune firewall a pagina 6-9 Driver comune Firewall Driver comune Firewall viene utilizzato con Pattern comune firewall per eseguire la scansione dei computer agente per rilevare virus di rete. Questo driver supporta piattaforme a 32 bit e a 64 bit. 6-8 Come mantenere la protezione aggiornata Pattern comune firewall Come il pattern dei virus, Pattern comune firewall consente a OfficeScan di individuare le impronte virali, i pattern univoci di bit e i byte che segnalano la presenza di un virus di rete. Componente di Reputazione Web Il componente di reputazione Web è il Motore Filtro URL. Motore Filtro URL Il motore Filtro URL consente la comunicazione tra OfficeScan e il servizio di filtro URL di Trend Micro. Il servizio di filtro URL è un sistema che valuta gli URL e trasmette a OfficeScan le informazioni sulla valutazione. Componenti monitoraggio del comportamento I componenti del monitoraggio del comportamento sono composti dai pattern, driver e servizi seguenti: • Pattern rilevamento monitoraggio del comportamento a pagina 6-9 • Driver monitoraggio del comportamento a pagina 6-10 • Servizio principale monitoraggio del comportamento a pagina 6-10 • Pattern di configurazione monitoraggio del comportamento a pagina 6-10 • Digital Signature Pattern a pagina 6-10 • Pattern implementazione dei criteri a pagina 6-10 Pattern rilevamento monitoraggio del comportamento Questo pattern contiene le regole per rilevare il comportamento relativo a minacce sospette. 6-9 Guida per l'amministratore di OfficeScan™ 11.0 Driver monitoraggio del comportamento Questo driver in modalità kernel controlla gli eventi e li passa al Servizio principale monitoraggio del comportamento per implementare i criteri. Servizio principale monitoraggio del comportamento Questo servizio in modalità utente ha le seguenti funzioni: • Rileva rootkit • Regola l'accesso ai dispositivi esterni • Protegge file, chiavi di registro e servizi Pattern di configurazione monitoraggio del comportamento Driver monitoraggio del comportamento utilizza questo pattern per individuare gli eventi di sistema normali ed escluderli dall'implementazione dei criteri. Digital Signature Pattern Questo pattern contiene un elenco di firme digitali valide utilizzate da Servizio principale monitoraggio del comportamento per determinare se un programma responsabile di un evento di sistema è sicuro. Pattern implementazione dei criteri Servizio principale monitoraggio del comportamento controlla gli eventi di sistema rispetto ai criteri contenuti in questo pattern. Pattern avvio scansione memoria Monitoraggio del comportamento utilizza il Pattern avvio scansione memoria per identificare possibili minacce dopo il rilevamento delle seguenti operazioni: • 6-10 Azione di scrittura del file Come mantenere la protezione aggiornata • Azione di scrittura del registro • Creazione di un nuovo processo Dopo aver identificato una di queste operazioni, Monitoraggio del comportamento richiama il Pattern ispezione memoria della Scansione in tempo reale per verificare i rischi per la sicurezza. Per ulteriori informazioni sulle operazioni di scansione in tempo reale, consultare Pattern ispezione memoria a pagina 6-6. Programmi OfficeScan utilizza i programmi e gli aggiornamenti dei prodotti seguenti: • Programma agente OfficeScan a pagina 6-11 • Hot fix, patch e service pack a pagina 6-11 Programma agente OfficeScan Il programma agente OfficeScan fornisce una protezione reale contro i rischi per la sicurezza. Hot fix, patch e service pack Dopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch e service pack come quelli riportati di seguito per risolvere problemi, migliorare le prestazioni del prodotto oppure aggiungere nuove funzioni. • Hot Fix a pagina E-5 • Patch a pagina E-10 • Patch di protezione a pagina E-11 • Service Pack a pagina E-12 6-11 Guida per l'amministratore di OfficeScan™ 11.0 Quando questi elementi vengono resi disponibili, l'utente viene informato dal rivenditore o dal fornitore dell'assistenza. Per informazioni sul rilascio di hot fix, patch e service pack, consultare il sito Web di Trend Micro: http://downloadcenter.trendmicro.com/index.php?regs=it Tutte le release includono un file readme che contiene informazioni su installazione, implementazione e configurazione. Prima di eseguire l'installazione, leggere attentamente il file readme. Cronologia hot fix e patch Quando il server OfficeScan implementa file di hot fix o patch negli agenti OfficeScan, il programma agente OfficeScan registra le informazioni su hot fix e patch nell'editor del Registro di sistema. È possibile inviare una query su queste informazioni a più agenti utilizzando software di logistica come Microsoft SMS, LANDesk™ o BigFix™. Nota Questa funzione non registra hot fix e patch implementate solo nel server. Questa funzione è disponibile avviando OfficeScan 8.0 Service Pack 1 con patch 3.1. • Gli agenti che hanno eseguito l'aggiornamento dalla versione 8.0 Service Pack 1 con patch 3.1 o versioni successive registrano le hot fix e le patch installate per la versione 8.0 e le versioni successive. • Gli agenti che hanno eseguito l'aggiornamento dalle versioni precedenti alla versione 8.0 Service Pack 1 con la patch 3.1 registrano le hot fix e le patch installate per la versione 10.0 e successive. Le informazioni sono memorizzate nelle chiavi riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\ CurrentVersion\HotfixHistory\<Product version> • Per computer con piattaforme di tipo x64: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PCcillinNTCorp\CurrentVersion\HotfixHistory\<Product version> 6-12 Come mantenere la protezione aggiornata Controllare le chiavi riportate di seguito: • Chiave: HotFix_installed Tipo: REG_SZ Valore: <Nome di hot fix o patch> • Chiave: HotfixInstalledNum Tipo: DWORD Valore: <Numero di hot fix o patch> Componenti Connessioni sospette I componenti di Connessioni sospette sono composti dal modello e dall'elenco seguenti: • Elenco IP C&C globale a pagina 6-13 • Pattern regola di pertinenza a pagina 6-13 Elenco IP C&C globale L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C noti. Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete. Per la valutazione, OfficeScan registra tutte le informazioni di connessione ai server nell'elenco IP C&C globale. Pattern regola di pertinenza Il servizio Connessioni sospette usa il Pattern regola di pertinenza per individuare per rilevare firme di famiglie di minacce uniche nelle intestazioni nei pacchetti di rete. Soluzione minaccia browser La Soluzione minaccia browser è composta da due modelli: 6-13 Guida per l'amministratore di OfficeScan™ 11.0 • Pattern prevenzione minaccia browser a pagina 6-14 • Pattern Script Analyzer a pagina 6-14 Pattern prevenzione minaccia browser Il pattern identifica le vulnerabilità più recenti del browser Web e impedisce l'uso di tali vulnerabilità per compromettere il browser Web. Pattern Script Analyzer Il pattern analizza gli script delle pagine Web e identifica gli script dannosi. Panoramica sugli aggiornamenti Tutti gli aggiornamenti dei componenti provengono dal server Trend Micro ActiveUpdate. Quando gli aggiornamenti sono disponibili il server OfficeScan e le origini Smart Protection (Smart Protection Server o Smart Protection Network) scaricano i componenti aggiornati. I download delle origini Smart Protection e del server OfficeScan non si sovrappongono in quanto ciascun server scarica un insieme di componenti specifico. Nota È possibile configurare sia il server OfficeScan che Smart Protection Server in modo che eseguano l'aggiornamento da un'origine diversa dal server ActiveUpdate di Trend Micro. A tale scopo occorre impostare un'origine personalizzata. Per ottenere supporto per la configurazione di questa origine di aggiornamento, contattare l'assistenza tecnica. Aggiornamento dell'agente OfficeScan e server OfficeScan Il server OfficeScan scarica la maggior parte dei componenti necessari all'agente. L'unico componente non scaricato è Smart Scan Pattern, che viene scaricato dalle origini Smart Protection. 6-14 Come mantenere la protezione aggiornata Se un server OfficeScan gestisce un numero considerevole di agenti, l'aggiornamento potrebbe utilizzare una grande quantità di risorse del computer server e influire sulla stabilità e sulle prestazioni del server. Per ovviare a questo problema, OfficeScan dispone della funzione Update Agent che consente ad alcuni agenti di condividere l'attività di distribuzione degli aggiornamenti agli altri agenti. La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento dei componenti per gli agenti e per il server OfficeScan, con consigli per l'utilizzo: TABELLA 6-2. Opzioni di aggiornamento server-agente OPZIONE DI AGGIORNAMENTO DESCRIZIONE RACCOMANDAZIONE Server ActiveUpdate > Server > Agente Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate di Trend Micro (o da un'altra origine aggiornamenti) e avvia l'aggiornamento dei componenti sugli agenti. Utilizzare questo metodo se non ci sono sezioni di larghezza di banda ridotta tra il server OfficeScan e gli agenti. Server ActiveUpdate > Server > Update Agent > Agente Il server OfficeScan riceve i componenti aggiornati dal server ActiveUpdate (o da un'altra origine aggiornamenti) e avvia l'aggiornamento dei componenti sugli agenti. Gli agenti designati come Update Agent segnalano agli altri agenti di aggiornare i componenti. Se ci sono sezioni ad larghezza di banda ridotta tra il server OfficeScan e gli agenti, utilizzare questo metodo per bilanciare il carico del traffico nella rete. 6-15 Guida per l'amministratore di OfficeScan™ 11.0 OPZIONE DI AGGIORNAMENTO Server ActiveUpdate > Update Agent > Agente Server ActiveUpdate > Agente DESCRIZIONE Gli Update Agent ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine aggiornamenti) e segnalano agli agenti di aggiornare i componenti. Gli agenti OfficeScan ricevono i componenti aggiornati direttamente dal server ActiveUpdate (o da un'altra origine aggiornamenti). RACCOMANDAZIONE Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento di Update Agent dal server OfficeScan o da un altro Update Agent. Nella maggior parte dei casi, gli Update Agent ricevono gli aggiornamenti più velocemente dal server OfficeScan o da altri Update Agent, piuttosto che da un'origine di aggiornamenti esterna. Utilizzare questo metodo solo se si verificano problemi con l'aggiornamento degli agenti dal server OfficeScan o da altri Update Agent. Nella maggior parte dei casi, gli agenti ricevono gli aggiornamenti più velocemente dal server OfficeScan o dagli Update Agent, rispetto a un'origine aggiornamenti esterna. Aggiornamento dell'origine Smart Protection Un'origine Smart Protection (Smart Protection Server o Smart Protection Network) scarica lo Smart Scan Pattern. Questo pattern non viene scaricato dagli agenti Smart Scan. Gli agenti verificano potenziali minacce rispetto al pattern inviando query di scansione all'origine Smart Protection. Nota Consultare Origini Smart Protection a pagina 4-6 per ulteriori informazioni sulle origini Smart Protection. 6-16 Come mantenere la protezione aggiornata Nella tabella riportata di seguito è illustrato il processo di aggiornamento delle origini Smart Protection. TABELLA 6-3. Processo di aggiornamento delle origini Smart Protection PROCESSO DI DESCRIZIONE AGGIORNAMENTO Server ActiveUpdate > Smart Protection Network Trend Micro Smart Protection Network riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. Gli agenti Smart Scan che non sono connessi alla rete aziendale inviano query a Trend Micro Smart Protection Network. Server ActiveUpdate > Smart Protection Server Smart Protection Server (integrato o standalone) riceve gli aggiornamenti dal server ActiveUpdate di Trend Micro. Gli agenti Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. Smart Protection Network > Smart Protection Server Smart Protection Server (integrato o standalone) riceve gli aggiornamenti da Trend Micro Smart Protection Network. Gli agenti Smart Protection connessi alla rete aziendale inviano query a Smart Protection Server. Aggiornamenti server OfficeScan Il server OfficeScan scarica i componenti riportati di seguito e li implementa negli agenti: TABELLA 6-4. Componenti scaricati dal server OfficeScan DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE AGENTI SMART SCAN Antivirus Smart Scan Agent Pattern No Sì Pattern dei virus Sì No Pattern IntelliTrap Sì Sì 6-17 Guida per l'amministratore di OfficeScan™ 11.0 DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE AGENTI SMART SCAN Pattern eccezioni IntelliTrap Sì Sì Pattern ispezione memoria Sì Sì Motore di scansione virus (32 bit) Sì Sì Motore di scansione virus (64 bit) Sì Sì Pattern spyware Sì Sì Pattern di monitoraggio attivo spyware Sì No Motore di scansione spyware (32 bit) Sì Sì Motore di scansione spyware (64 bit) Sì Sì Modello disinfezione virus Sì Sì Motore di disinfezione virus (32-bit) Sì Sì Motore di disinfezione virus (64-bit) Sì Sì Driver Early Boot Clean (32 bit) Sì Sì Driver Early Boot Clean (32 bit) Sì Sì Sì Sì Anti-spyware Damage Cleanup Services Firewall Pattern comune firewall Componenti monitoraggio del comportamento Pattern rilevamento monitoraggio del comportamento (32 bit) 6-18 Sì Sì Come mantenere la protezione aggiornata DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE AGENTI SMART SCAN Driver monitoraggio del comportamento a 32 bit Sì Sì Servizio principale monitoraggio del comportamento (32 bit) Sì Sì Pattern rilevamento monitoraggio del comportamento (64 bit) Sì Sì Driver monitoraggio del comportamento a 64 bit Sì Sì Servizio principale monitoraggio del comportamento (64 bit) Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Pattern implementazione dei criteri Sì Sì Digital Signature Pattern Sì Sì Pattern avvio scansione memoria (32 bit) Sì Sì Pattern avvio scansione memoria (64 bit) Sì Sì Elenco IP C&C globale Sì Sì Pattern regola di pertinenza Sì Sì Pattern prevenzione minaccia browser Sì Sì Pattern Script Analyzer Sì Sì Servizio di avvisi contatti C&C Soluzione minaccia browser 6-19 Guida per l'amministratore di OfficeScan™ 11.0 Suggerimenti e promemoria per gli aggiornamenti: • Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti. • Un server OfficeScan IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri. Analogamente, un server OfficeScan IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri. Per consentire al server OfficeScan di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. • Trend Micro rilascia regolarmente i file di pattern, in modo da mantenere aggiornata la protezione dell'agente. Poiché i file di pattern sono disponibili regolarmente, OfficeScan utilizza un meccanismo chiamato duplicazione dei componenti che consente un download più rapido dei file di pattern. Consultare Duplicazione dei componenti server OfficeScan a pagina 6-23 per ulteriori informazioni. • Se per il collegamento a Internet si utilizza un server proxy, utilizzare le impostazioni proxy corrette per il download degli aggiornamenti. • Nella dashboard della console Web, aggiungere il widget Aggiornamenti agente per visualizzare le versioni correnti dei componenti e determinare il numero di agenti con componenti aggiornati e obsoleti. Origini aggiornamenti del server OfficeScan Configurare il server OfficeScan per scaricare i componenti dal server Active Update di Trend Micro o da un'altra origine. È possibile specificare un'altra origine se il server OfficeScan non è in grado di raggiungere il server ActiveUpdate direttamente. Per uno scenario esemplificativo, vedere Aggiornamenti server OfficeScan isolato a pagina 6-26. Dopo aver scaricato tutti gli aggiornamenti disponibili, il server può automaticamente notificare agli agenti di effettuare l'aggiornamento dei componenti sulla base delle impostazioni specificate in Aggiornamenti > Agenti > Aggiornamento automatico. Se l'aggiornamento di un componente è particolarmente importante, fare in modo che il server invii la notifica agli agenti immediatamente accedendo a Aggiornamenti > Agenti > Aggiornamento manuale. 6-20 Come mantenere la protezione aggiornata Nota Se non vengono specificate impostazioni di aggiornamento attivate da eventi né una pianificazione delle impostazioni all'interno di Aggiornamenti > Agenti > Aggiornamento automatico, il server scaricherà gli aggiornamenti ma non invierà la notifica agli agenti affinché effettuino l'aggiornamento. Supporto IPv6 per gli aggiornamenti del server OfficeScan Un server OfficeScan IPv6 puro non è in grado di eseguire l'aggiornamento direttamente da origini IPv4 pure, come: • Server ActiveUpdate di Trend Micro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura Analogamente, un server OfficeScan IPv4 puro non è in grado di eseguire l'aggiornamento direttamente da origini personalizzate IPv6 pure. Per consentire a un server di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Proxy per gli aggiornamenti del server OfficeScan Configurare i programmi server ospitati nel computer server per utilizzare le impostazioni proxy durante il download degli aggiornamenti dal server ActiveUpdate di Trend Micro. I programmi server comprendono il server OfficeScan e Integrated Smart Protection Server. Configurazione delle impostazioni proxy Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy esterno. 3. Andare alla sezione Aggiornamenti del computer server OfficeScan. 6-21 Guida per l'amministratore di OfficeScan™ 11.0 4. Selezionare Utilizza un server proxy per gli aggiornamenti di pattern, motore e licenza. 5. Specificare il protocollo, il nome del server o l'indirizzo Pv4/IPv6 e il numero di porta. 6. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password. 7. Fare clic su Salva. Configurazione della fonte di aggiornamento server Procedura 1. Accedere a Aggiornamenti > Server > Origine aggiornamenti. 2. Selezionare il percorso da cui scaricare gli aggiornamenti dei componenti. Se si sceglie il server ActiveUpdate accertarsi che il server disponga di connessione a Internet e, se si utilizza un server proxy, provare se la connessione a Internet è disponibile utilizzando le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21. Se si sceglie un'origine di aggiornamento personalizzata, impostare l'ambiente e le risorse di aggiornamento appropriate su tale origine di aggiornamento. Accertarsi, inoltre, che la connessione tra il computer server e l'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione di un'origine di aggiornamento, contattare l'assistenza tecnica. Nota Il server OfficeScan utilizza la duplicazione dei componenti per scaricare i componenti dall'origine di aggiornamento. Per informazioni, vedere Duplicazione dei componenti server OfficeScan a pagina 6-23. 3. 6-22 Fare clic su Salva. Come mantenere la protezione aggiornata Duplicazione dei componenti server OfficeScan Quando la versione più recente di un file di pattern completo è disponibile per il download dal server Trend Micro ActiveUpdate, sono disponibili anche 14 pattern incrementali. I pattern incrementali sono versioni ridotte del file di pattern completo che colmano la differenza tra l'ultima versione del file di pattern e le 14 versioni precedenti. Ad esempio, se la versione più recente è la 175, il pattern incrementale v_173.175 contiene solo i dati presenti nella versione 175 e non presenti nella versione 173 (la versione 173 è la versione precedente del pattern completo rispetto alla 175 in quanto i numeri di pattern aumentano a intervalli di 2). Il pattern incrementale v_171.175 contiene i dati presenti nella versione 175 e non presenti nella versione 171. Per ridurre il traffico di rete generato quando si scarica il pattern più recente, OfficeScan esegue la duplicazione dei componenti, un metodo di aggiornamento dei componenti in cui il server OfficeScan o Update Agent scarica solo i pattern incrementali. Per informazioni sul modo in cui gli Update Agent eseguono la duplicazione dei componenti, consultare Duplicazione dei componenti di Update Agent a pagina 6-64. La duplicazione dei componenti si applica ai seguenti componenti: • Pattern dei virus • Smart Scan Agent Pattern • Modello disinfezione virus • Pattern eccezioni IntelliTrap • Pattern spyware • Pattern di monitoraggio attivo spyware Scenario di duplicazione dei componenti Per comprendere la duplicazione dei componenti per il server, considerare il seguente scenario: 6-23 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 6-5. Scenario di duplicazione dei componenti del server Pattern completi sul server OfficeScan Versione più recente sul server ActiveUpdate 1. Versione attuale: 171 Altre versioni disponibili: 169 167 165 161 159 173.175 171.175 169.175 167.175 165.175 163.175 161.175 159.175 157.175 155.175 153.175 151.175 149.175 147.175 Il server OfficeScan confronta la versione attuale del pattern completo con la versione più recente sul server ActiveUpdate. Se la differenza tra le due versioni è al massimo 14, il server scarica solo il pattern incrementale per colmare la differenza tra le due versioni. Nota Se la differenza è superiore a 14, il server scarica automaticamente la versione completa del file di pattern e 14 pattern incrementali. Esempio: 2. • La differenza tra le versioni 171 e 175 è 2. Questo significa che il server non dispone delle versioni 173 e 175. • Il server scarica il pattern incrementale 171.175. Questo pattern incrementale colma la differenza tra le versioni 171 e 175. Il server integra il pattern incrementale con il pattern completo corrente per generare il pattern completo più recente. Esempio: 6-24 • Sul server, OfficeScan integra la versione 171 con il pattern incrementale 171.175 per generare la versione 175. • Il server ha 1 pattern incrementale (171.175) e il pattern completo più recente (versione 175). Come mantenere la protezione aggiornata 3. Il server genera pattern incrementali sulla base degli altri pattern completi disponibili sul server. Se il server non genera questi pattern incrementali, gli agenti che non hanno scaricato i pattern incrementali precedenti, scaricano automaticamente il file di pattern completo, che genererà poi ulteriore traffico di rete. Esempio: • Poiché il server ha le versioni di pattern 169, 167, 165, 163, 161, 159, può generare i seguenti pattern incrementali: 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • Il server non deve utilizzare la versione 171 perché dispone già del pattern incrementale 171.175. • Ora il server dispone di 7 pattern incrementali: 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • 4. Il server conserva le ultime 7 versioni del pattern completo (175, 171, 169, 167, 165, 163, 161). Le versioni precedenti vengono rimosse (159). Il server confronta i pattern incrementali correnti con i pattern incrementali disponibili sul server ActiveUpdate. Il server scarica i pattern incrementali non presenti. Esempio: • Il server ActiveUpdate ha 14 pattern incrementali: 173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175 • Il server OfficeScan ha 7 pattern incrementali: 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175 • Il server OfficeScan scarica altri 7 pattern incrementali: 173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175 • Ora il server dispone di tutti i pattern incrementali disponibili sul server ActiveUpdate. 6-25 Guida per l'amministratore di OfficeScan™ 11.0 5. Il pattern completo più recente e i 14 pattern incrementali sono resi disponibili per gli agenti. Aggiornamenti server OfficeScan isolato Se il server OfficeScan appartiene a una rete completamente isolata da tutte le origini esterne, è possibile mantenere aggiornati i componenti consentendo al server di eseguire l'aggiornamento da un'origine interna che contiene i componenti più recenti. In questo argomento vengono descritte le operazioni necessarie per eseguire l'aggiornamento di un server OfficeScan isolato. Aggiornamento di un server OfficeScan isolato Questa procedura viene fornita come riferimento. Se si è in grado di completare tutte le operazioni seguendo questa procedura, contattare l'assistenza tecnica per i passaggi dettagliati di ciascuna operazione. Procedura 1. 2. 6-26 Identificare l'origine aggiornamenti, ad esempio Trend Micro Control Manager o un'altra macchina host. L'origine aggiornamenti deve disporre di: • Una connessione Internet in modo da poter per scaricare i componenti più recenti dal server Trend Micro ActiveUpdate. Senza una connessione Internet, il solo modo per ottenere i componenti aggiornati necessari le origini aggiornamenti è richiederli a Trend Micro e poi copiarli manualmente nelle origini aggiornamenti. • Una connessione funzionante con il server OfficeScan. Se tra il server OfficeScan e le origini aggiornamenti esiste un server proxy, configurare le impostazioni proxy. Per i dettagli, consultare Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21. • Spazio su disco sufficiente per i componenti scaricati Impostare il server OfficeScan sulla nuova origine aggiornamenti. Per i dettagli, consultare Origini aggiornamenti del server OfficeScan a pagina 6-20. Come mantenere la protezione aggiornata 3. Identificare i componenti che il server implementa per gli agenti. Per un elenco dei componenti implementabili, vedere Aggiornamenti agente OfficeScan a pagina 6-30. Suggerimento Per provare a determinare se un componente viene implementato sugli agenti, accedere alla schermata Riepilogo aggiornamento nella console Web (Aggiornamenti > Riepilogo). In questa schermata, la frequenza di aggiornamento per un componente che viene implementato è sempre maggiore dello 0%. 4. Determinare la frequenza di scaricamento dei componenti. I file di pattern vengono aggiornati frequentemente (alcuni quotidianamente), quindi si consiglia di aggiornarli regolarmente. Per i motori e i driver, è possibile chiedere all'assistenza tecnica di notificare gli aggiornamenti importanti. 5. Su un'origine aggiornamenti: a. Effettuare la connessione al server ActiveUpdate. L'URL del server varia in base alla versione OfficeScan. b. Scaricare i seguenti elementi: c. • Il file server.ini. Questo file contiene informazioni sui componenti più recenti. • I componenti identificati nel passaggio 3. Salvare gli elementi scaricati in una directory dell'origine aggiornamenti. 6. Eseguire l'aggiornamento manuale del server OfficeScan. Per i dettagli, consultare Aggiornamento manuale del server OfficeScan a pagina 6-28. 7. Ripetere il passaggio 5 e il passaggio 6 ogni volta che si desidera aggiornare i componenti. Metodi di aggiornamento del server OfficeScan I componenti del server OfficeScan possono essere aggiornati manualmente oppure configurando una pianificazione di aggiornamento. 6-27 Guida per l'amministratore di OfficeScan™ 11.0 Per consentire al server di implementare i componenti aggiornati sugli agenti, attivare l'aggiornamento agente automatico. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. Se l'aggiornamento agente automatico è disattivato, il server scarica gli aggiornamenti ma non li implementa negli agenti. I metodi aggiornamento includono: • Aggiornamento server manuale: Quando un aggiornamento è importante, eseguire l'aggiornamento manuale in modo che il server possa ottenere gli aggiornamenti immediatamente. Per informazioni, vedere Aggiornamento manuale del server OfficeScan a pagina 6-28. • Aggiornamento server pianificato: Il server OfficeScan si connette all'origine di aggiornamento nella data e orario pianificati per ottenere i componenti più recenti. Per informazioni, vedere Pianificazione aggiornamenti per il server OfficeScan a pagina 6-28. Aggiornamento manuale del server OfficeScan Aggiornare manualmente i componenti nel server OfficeScan dopo aver installato o aggiornato il server e quando si verifica un'infezione. Procedura 1. Avviare un aggiornamento manuale tramite: • Accesso a Aggiornamenti > Server > Aggiornamento manuale. • Selezione di Aggiorna server ora nel menu principale della console Web. 2. Selezionare i componenti da aggiornare. 3. Fare clic su Aggiorna. Il server scarica i componenti aggiornati. Pianificazione aggiornamenti per il server OfficeScan Configurare il server OfficeScan affinché controlli con regolarità l'origine di aggiornamento e scarichi automaticamente gli aggiornamenti disponibili. Poiché di 6-28 Come mantenere la protezione aggiornata norma gli agenti ricevono gli aggiornamenti dal server, l'aggiornamento pianificato è un modo semplice ed efficace per assicurare una protezione continua contro i rischi per la sicurezza. Procedura 1. Accedere a Aggiornamenti > Server > Aggiornamento pianificato. 2. Selezionare Attiva aggiornamento pianificato del server OfficeScan. 3. Selezionare i componenti da aggiornare. 4. Specificare la pianificazione dell'aggiornamento. Per gli aggiornamenti giornalieri, settimanali e mensili, il periodo di tempo indica il numero di ore che OfficeScan dedica all'aggiornamento. Gli aggiornamenti di OfficeScan potranno verificarsi in qualsiasi momento all'interno di tale intervallo temporale. 5. Fare clic su Salva. Registri di aggiornamento del server OfficeScan Verificare i registri di aggiornamento del server per determinare se esistono dei problemi di aggiornamento di alcuni componenti. I registri comprendono gli aggiornamenti dei componenti del server OfficeScan. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di aggiornamento Procedura 1. Accedere a Registri > Aggiornamento server. 6-29 Guida per l'amministratore di OfficeScan™ 11.0 2. Controllare la colonna Risultato per verificare se alcuni componenti non sono stati aggiornati. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Aggiornamenti di Integrated Smart Protection Server Integrated Smart Protection Server scarica due componenti: Smart Scan Pattern e l'Elenco siti Web bloccati. Per ulteriori informazioni su questi componenti e come aggiornarli, vedere Gestione di Integrated Smart Protection Server a pagina 4-20. Aggiornamenti agente OfficeScan Per garantire la continua protezione degli agenti contro i più recenti rischi per la sicurezza, è necessario aggiornare regolarmente i componenti dell'agente. Prima di aggiornare gli agenti, verificare che la loro origine aggiornamenti (server OfficeScan o un'origine aggiornamenti personalizzata) disponga dei componenti più recenti. Per informazioni su come aggiornare il server OfficeScan, vedere Aggiornamenti server OfficeScan a pagina 6-17. La seguente tabella comprende un elenco di tutti i componenti implementati dalle origini aggiornamenti sugli agenti e i componenti utilizzati con un determinato metodo di scansione. TABELLA 6-6. Componenti OfficeScan implementati sugli agenti DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE Antivirus 6-30 AGENTI SMART SCAN Come mantenere la protezione aggiornata DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE AGENTI SMART SCAN Smart Scan Agent Pattern No Sì Pattern dei virus Sì No Pattern IntelliTrap Sì Sì Pattern eccezioni IntelliTrap Sì Sì Motore di scansione virus (32 bit) Sì Sì Motore di scansione virus (64 bit) Sì Sì Pattern ispezione memoria Sì Sì Pattern spyware/grayware Sì Sì Pattern di monitoraggio attivo spyware Sì No Motore di scansione spyware/ grayware (32 bit) Sì Sì Motore di scansione spyware/ grayware (64 bit) Sì Sì Modello Damage Cleanup Sì Sì Motore Damage Cleanup (32 bit) Sì Sì Motore Damage Cleanup (64 bit) Sì Sì Driver Early Boot Clean (32 bit) Sì Sì Driver Early Boot Clean (64 bit) Sì Sì Anti-spyware Damage Cleanup Services Servizi di reputazione Web 6-31 Guida per l'amministratore di OfficeScan™ 11.0 DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE Motore Filtro URL AGENTI SMART SCAN Sì Sì Pattern di firewall Sì Sì Driver per firewall (32 bit) Sì Sì Driver per firewall (64 bit) Sì Sì Firewall Componenti monitoraggio del comportamento 6-32 Pattern rilevamento monitoraggio del comportamento (32 bit) Sì Sì Driver principale monitoraggio del comportamento (32 bit) Sì Sì Servizio principale monitoraggio del comportamento (32 bit) Sì Sì Pattern rilevamento monitoraggio del comportamento (64 bit) Sì Sì Driver principale monitoraggio del comportamento (64 bit) Sì Sì Servizio principale monitoraggio del comportamento (64 bit) Sì Sì Pattern di configurazione monitoraggio del comportamento Sì Sì Pattern implementazione dei criteri Sì Sì Digital Signature Pattern Sì Sì Pattern avvio scansione memoria (32 bit) Sì Sì Come mantenere la protezione aggiornata DISTRIBUZIONE COMPONENTE AGENTI SCANSIONE CONVENZIONALE Pattern avvio scansione memoria (64 bit) AGENTI SMART SCAN Sì Sì Elenco IP C&C globale Sì Sì Pattern regola di pertinenza Sì Sì Pattern prevenzione minaccia browser Sì Sì Pattern Script Analyzer Sì Sì Connessioni sospette Vulnerabilità browser Origini aggiornamenti dell'agente OfficeScan Gli agenti possono ottenere gli aggiornamenti dalle origini aggiornamenti standard (server OfficeScan) o componenti specifici dalle origini aggiornamenti personalizzate, come il server ActiveUpdate di Trend Micro. Per ulteriori dettagli, vedere Origine aggiornamenti standard per gli agenti OfficeScan a pagina 6-34 e Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35. Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dalle origini aggiornamenti IPv4 pure, come: • Un server OfficeScan IPv4 puro • Un Update Agent IPv4 puro • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro 6-33 Guida per l'amministratore di OfficeScan™ 11.0 Analogamente, un agente IPv4 puro non è in grado di eseguire direttamente l'aggiornamento dalle origini aggiornamenti IPv6 pure, come un server OfficeScan IPv6 puro o un Update Agent. Per consentire agli agenti di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origine aggiornamenti standard per gli agenti OfficeScan Il server OfficeScan server è l'origine aggiornamenti standard per gli agenti. Se il server OfficeScan non è raggiungibile, gli agenti non avranno un'origine di backup e quindi non saranno aggiornati. Per aggiornare gli agenti che non sono in grado di raggiungere il server OfficeScan, Trend Micro consiglia di usare Agent Packager. Usare questo strumento per creare un pacchetto con i componenti più recenti disponibili sul server, quindi eseguire il pacchetto sugli agenti. Nota L'indirizzo IP dell'agente (IPv4 o IPv6) determina se è possibile stabilire la connessione al server OfficeScan. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti agente, vedere Supporto IPv6 per gli aggiornamenti dell'agente OfficeScan a pagina 6-33. Configurazione dell'origine aggiornamenti standard per gli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare Origini di aggiornamento standard (aggiorna dal server OfficeScan). 3. Fare clic su Invia una notifica tutti gli agenti. 6-34 Come mantenere la protezione aggiornata Processo di aggiornamento dell'agente OfficeScan Nota In questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origine aggiornamenti standard per gli agenti OfficeScan a pagina 6-34. Se gli agenti OfficeScan vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento è il seguente: 1. L'agente OfficeScan ottiene gli aggiornamenti dal server OfficeScan. 2. Se non è in grado di eseguire l'aggiornamento dal server OfficeScan, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata in Agenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Impostazioni di aggiornamento. Nota È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare gli agenti OfficeScan in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan a pagina 6-40. Origini aggiornamenti personalizzate per gli agenti OfficeScan Oltre che dal server OfficeScan, gli agenti OfficeScan possono eseguire l'aggiornamento dalle origini aggiornamenti personalizzate. Le origini aggiornamenti personalizzate contribuiscono a ridurre il traffico degli aggiornamenti dell'agente OfficeScan diretto al server OfficeScan e consentono agli agenti OfficeScan che non riescono a connettersi al server OfficeScan di ottenere aggiornamenti in modo tempestivo. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. 6-35 Guida per l'amministratore di OfficeScan™ 11.0 Suggerimento Trend Micro consiglia di assegnare alcuni agenti OfficeScan come Update Agent e poi aggiungerli all'elenco. Configurazione delle origini aggiornamenti personalizzate per gli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare Origine aggiornamenti personalizzata e fare clic su Aggiungi. 3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. 4. Specificare l'origine di aggiornamento. È possibile selezionare un Update Agent se è stato assegnato oppure digitare l'URL di un'origine specifica. Nota Accertarsi che gli agenti OfficeScan siano in grado di connettersi all'origine aggiornamenti utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'origine aggiornamenti deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'origine aggiornamenti deve avere un indirizzo IPv6. Per ulteriori informazioni sul supporto IPv6 per gli aggiornamenti agente, vedere Origini aggiornamenti dell'agente OfficeScan a pagina 6-33. 5. Fare clic su Salva. 6. Eseguire operazioni varie nella schermata. a. Selezionare una delle impostazioni riportate di seguito. Per ulteriori informazioni sul funzionamento di queste impostazioni, vedere Processo di aggiornamento dell'agente OfficeScan a pagina 6-35. • 6-36 Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan Come mantenere la protezione aggiornata • 7. Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: • Componenti • Impostazioni dominio • Programmi agenti OfficeScan e hot fix b. Se come origine è stato specificato almeno un Update Agent, fare clic su Segnalazione analitica di Update Agent per generare una segnalazione che evidenzi lo stato di aggiornamento degli agenti. Per ulteriori informazioni sulla segnalazione, vedere Segnalazione analitica di Update Agent a pagina 6-66. c. Modificare un'origine aggiornamenti facendo clic sul collegamento dell'intervallo di indirizzi IP. Modificare le impostazioni nella schermata visualizzata e fare clic su Salva. d. Rimuovere un'origine aggiornamenti dall'elenco selezionando la casella di controllo e facendo clic su Elimina. e. Per spostare un'origine aggiornamenti, fare clic sulla freccia Su o Giù. È possibile spostare solo un'origine per volta. Fare clic su Invia una notifica tutti gli agenti. Processo di aggiornamento dell'agente OfficeScan Nota In questo argomento viene illustrato il processo di aggiornamento per gli agenti OfficeScan. Il processo di aggiornamento per gli Update Agent è trattato in Origini aggiornamenti personalizzate per gli Update Agent a pagina 6-62. Dopo aver impostato e salvato l'elenco di origini aggiornamenti personalizzate, il processo di aggiornamento prosegue come riportato di seguito: 1. L'agente OfficeScan esegue gli aggiornamenti dalla prima origine dell'elenco. 6-37 Guida per l'amministratore di OfficeScan™ 11.0 2. Se non è in grado di eseguire l'aggiornamento dalla prima origine, l'agente OfficeScan utilizza la seconda voce e così via. 3. Se non è in grado di eseguire l'aggiornamento da nessuna delle origini, l'agente OfficeScan controlla le impostazioni seguenti nella schermata Origine aggiornamenti: TABELLA 6-7. Altre impostazioni per le origini aggiornamenti personalizzate IMPOSTAZIONE Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan DESCRIZIONE Se tale impostazione è attivata, gli Update Agent eseguono l'aggiornamento direttamente dal server OfficeScan e ignorano Elenco origini di aggiornamento personalizzate. Se disattivata, gli Update Agent applicano le impostazioni di origine aggiornamenti personalizzata configurate per gli agenti normali. Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: 6-38 Come mantenere la protezione aggiornata IMPOSTAZIONE Componenti DESCRIZIONE Se questa opzione è attivata, l'agente esegue l'aggiornamento dei componenti dal server OfficeScan. Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. Nota È possibile aggiornare solo i componenti dal server ActiveUpdate. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio solo dal server OfficeScan o dagli Update Agent. Per rendere più rapido il processo di aggiornamento, configurare gli agenti in modo che dal server ActiveUpdate vengano scaricati solo i file di pattern. Per ulteriori informazioni, consultare Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan a pagina 6-40. 4. Impostazioni dominio Se questa opzione è attivata, l'agente esegue l'aggiornamento delle impostazioni a livello di dominio dal server OfficeScan. Programmi agenti OfficeScan e hot fix Se questa impostazione è attivata, l'agente aggiorna i programmi e le hot fix dal server OfficeScan. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, l'agente interrompe il processo di aggiornamento. 6-39 Guida per l'amministratore di OfficeScan™ 11.0 Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan Quando gli agenti OfficeScan sono configurati per scaricare gli aggiornamenti direttamente dal server ActiveUpdate di Trend Micro, è possibile scaricare solo i file di pattern per ridurre la larghezza di banda utilizzata durante gli aggiornamenti e rendere più rapido il processo di aggiornamento. I motori di scansione e altri componenti non vengono aggiornati con la stessa frequenza dei file di pattern; questa è un'altra ragione limitare il download ai soli file di pattern. Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire agli agenti OfficeScan di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Limitazione dei download dal server ActiveUpdate Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Aggiornamenti. 3. Selezionare Scarica solo i file di pattern dal server ActiveUpdate durante gli aggiornamenti. Metodi di aggiornamento dell'agente OfficeScan Gli agenti OfficeScan che eseguono l'aggiornamento dei componenti dal server OfficeScan o da un'origine aggiornamenti personalizzata possono utilizzare uno dei metodi di aggiornamento riportati di seguito: • Aggiornamenti automatici: L'aggiornamento degli agenti viene eseguito automaticamente quando si verificano alcuni eventi o in base a una pianificazione. Per i dettagli, consultare Aggiornamenti automatici dell'agente OfficeScan a pagina 6-41. • Aggiornamento manuale: Quando un aggiornamento è importante, utilizzare l'aggiornamento manuale per notificare immediatamente agli agenti di eseguire 6-40 Come mantenere la protezione aggiornata l'aggiornamento del componente. Per i dettagli, consultare Aggiornamenti manuali agente OfficeScan a pagina 6-47. • Aggiornamenti basati su privilegi: Gli utenti con privilegi di aggiornamento hanno maggiore controllo sulla modalità di aggiornamento dell'agente OfficeScan nei propri computer. Per i dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. Aggiornamenti automatici dell'agente OfficeScan La funzione Aggiornamento automatico gestisce le notifiche di aggiornamento agli agenti ed elimina il rischio che i componenti dei computer agente diventino obsoleti. Nel corso dell'aggiornamento automatico, oltre ai componenti, gli aggiornamenti OfficeScan ricevono anche dei file di configurazione aggiornati. Gli agenti necessitano di tali file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Per specificare la frequenza in base alla quale i file di configurazione vengono applicati agli agenti, vedere il punto 3 Configurazione degli aggiornamenti automatici dell'agente OfficeScan a pagina 6-43. Nota È possibile configurare gli agenti in modo che utilizzino le impostazioni proxy nel corso dell'aggiornamento automatico. Per informazioni, vedere Proxy per gli aggiornamenti dei componenti dell'agente OfficeScan a pagina 6-52. Esistono due tipi di aggiornamenti automatici: • Aggiornamenti provocati da un evento a pagina 6-41 • Aggiornamenti pianificati a pagina 6-43 Aggiornamenti provocati da un evento Il server può notificare agli agenti online di effettuare l'aggiornamento dei componenti dopo aver effettuato il download di quelli più recenti e notificare agli agenti offline di effettuare l'aggiornamento quando avranno ristabilito la connessione con il server. 6-41 Guida per l'amministratore di OfficeScan™ 11.0 Facoltativamente, al termine dell'aggiornamento, sui computer dell'agente OfficeScan è possibile avviare Esegui scansione (scansione manuale). TABELLA 6-8. Opzioni di aggiornamento provocate da un evento OPZIONE Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente DESCRIZIONE Non appena completato un aggiornamento, il server notifica agli agenti di eseguirlo. Gli agenti aggiornati di frequente devono scaricare pattern incrementali, riducendo in tal modo il tempo necessario per completare l'aggiornamento (per maggiori dettagli sui pattern incrementali, vedere Duplicazione dei componenti server OfficeScan a pagina 6-23). Tuttavia, gli aggiornamenti frequenti potrebbero incidere negativamente sulle prestazioni del server, soprattutto se molti agenti eseguono l'aggiornamento contemporaneamente. Per includere nell'aggiornamento gli agenti in modalità roaming, selezionare Includi agenti in roaming e offline. Per maggiori dettagli sulla modalità roaming, vedere Privilegio di roaming dell'agente OfficeScan a pagina 14-20. 6-42 Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) Se un agente non ha eseguito un aggiornamento, i componenti vengono scaricati non appena questo stabilisce la connessione con il server. L'agente potrebbe non eseguire un aggiornamento se è offline o se l'dispositivo dove è installato non è in esecuzione. Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agenti in roaming) Il server invia una notifica agli agenti per l'esecuzione della scansione dopo un'aggiornamento attivato da un evento. Attivare questa opzione se un aggiornamento specifico risponde a un rischio per la sicurezza già diffuso nella rete. Come mantenere la protezione aggiornata Nota Se il server OfficeScan non è in grado di inviare una notifica di aggiornamento agli agenti al termine del download dei componenti, proverà a inviare nuovamente la notifica dopo 15 minuti. Il server continuerà a inviare le notifiche di aggiornamento per un massimo di 5 volte, fino a ottenere risposta dall'agente. Se il quinto tentativo non riesce, il server non invierà ulteriori notifiche. Se si seleziona l'opzione di aggiornamento dei componenti quando gli agenti si riavviano e si connettono al server, l'aggiornamento dei componenti avverrà in ogni caso. Aggiornamenti pianificati L'esecuzione degli aggiornamenti pianificati è un privilegio. Occorre prima selezionare gli agenti OfficeScan che dispongono di tale privilegio e tali agenti OfficeScan potranno eseguire gli aggiornamenti in base alla pianificazione. Nota Per utilizzare l'aggiornamento pianificato con Network Address Translation, consultare Configurazione aggiornamenti dell'agente OfficeScan pianificati con NAT a pagina 6-45. Configurazione degli aggiornamenti automatici dell'agente OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico. 2. Selezionare gli eventi per un Aggiornamento provocato da un evento: • Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente • • Includi agenti in roaming e offline Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) 6-43 Guida per l'amministratore di OfficeScan™ 11.0 • Effettua Esegui scansione dopo l'aggiornamento (escludendo gli agenti in roaming) Per ulteriori informazioni sulle opzioni disponibili, vedere Aggiornamenti provocati da un evento a pagina 6-41. 3. Configurare la pianificazione per l'Aggiornamento pianificato. • Minuto/i o Ora/e L'opzione Aggiorna le configurazioni degli agenti solo una volta al giorno è disponibile quando viene pianificata una frequenza di aggiornamento oraria o basata sui minuti. La configurazione contiene tutte le impostazioni degli agenti OfficeScan configurati usando la console Web Suggerimento Trend Micro aggiorna frequentemente i componenti; tuttavia è probabile che le impostazioni di configurazione di OfficeScan cambino con minore frequenza. L'aggiornamento dei file di configurazione effettuato insieme a quello dei componenti, richiede una maggiore ampiezza di banda e aumenta il tempo necessario affinché OfficeScan completi l'aggiornamento. Per questo motivo, Trend Micro consiglia di aggiornare le configurazioni degli agenti OfficeScan solo una volta al giorno. • Frequenza giornaliera o Frequenza settimanale Specificare l'ora dell'aggiornamento e il periodo di tempo in cui il server OfficeScan notifica agli agenti di aggiornare i componenti. Suggerimento Questa impostazione consente di evitare che tutti gli agenti online si connettano contemporaneamente al server nell'ora di inizio indicata e di ridurre la quantità di traffico indirizzato al server. Se, ad esempio, l'ora di inizio è fissata alle 12 e il periodo di tempo è fissato a 2 ore, OfficeScan invia la notifica di aggiornamento dei componenti a tutti gli agenti online in modo casuale dalle 12:00 alle 14:00. 6-44 Come mantenere la protezione aggiornata Nota Dopo aver configurato la pianificazione degli aggiornamenti, attivare la pianificazione sugli agenti selezionati. Per informazioni sull'attivazione degli aggiornamenti pianificati, vedere il passaggio 4 di Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. 4. Fare clic su Salva. OfficeScan non può inviare immediatamente la notifica agli agenti offline. Selezionare Consente agli agenti di avviare l'aggiornamento dei componenti dopo il riavvio e la connessione al server OfficeScan (escludendo gli agenti in roaming) per aggiornare gli agenti offline che passano online dopo la scadenza del periodo di tempo. Gli agenti offline che non hanno questa impostazione attivata aggiornano i componenti alla pianificazione successiva o durante un aggiornamento manuale. Configurazione aggiornamenti dell'agente OfficeScan pianificati con NAT Se la rete locale utilizza NAT, potrebbero verificarsi i problemi riportati di seguito: • Gli agenti OfficeScan vengono visualizzati offline nella console Web. • Il server OfficeScan non è in grado di notificare agli agenti le modifiche degli aggiornamenti e della configurazione. Per risolvere questi problemi, implementare i componenti aggiornati e i file di configurazione dal server all'agente OfficeScan con un aggiornamento pianificato così come descritto di seguito. Procedura • Prima di installare l'agente OfficeScan sui computer agente: a. Configurare la pianificazione dell'aggiornamento agente nella sezione Aggiornamento pianificato di Aggiornamenti > Agenti > Aggiornamento automatico. 6-45 Guida per l'amministratore di OfficeScan™ 11.0 b. • Assegnare agli agenti il privilegio per attivare l'aggiornamento pianificato in Agenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Privilegi > Privilegi aggiornamento componenti. Se gli agenti OfficeScan sono già presenti sui computer agente: a. Assegnare agli agenti il privilegio per eseguire "Aggiorna ora" in Agenti > Gestione agente, fare clic sulla scheda Impostazioni > Privilegi e altre impostazioni > Privilegi > Privilegi aggiornamento componenti. b. Chiedere agli utenti di aggiornare manualmente i componenti sull'dispositivo agente (fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella barra delle applicazioni e selezionare "Aggiorna ora") per ottenere le impostazioni di configurazione aggiornate. Quando gli agenti OfficeScan eseguono un aggiornamento, ricevono sia i componenti aggiornati sia i file di configurazione. Utilizzo dello Strumento di aggiornamento pianificazione dei domini L'aggiornamento pianificato configurato negli aggiornamenti automatici dell'agente sono applicabili solo agli agenti con privilegi di aggiornamento pianificato. Per gli altri agenti, è possibile impostare una pianificazione di aggiornamento separata. Per effettuare questa operazione, è necessario configurare una pianificazione in base ai domini della struttura agente. Questa impostazione viene applicata a tutti gli agenti appartenenti al dominio. Nota Non è possibile impostare una pianificazione di aggiornamento per un agente o un sottodominio specifico. La configurazione configurata per il dominio principale si applica a tutti i sottodomini. Procedura 1. 6-46 Registrare i nomi dei domini della struttura agente e le pianificazioni di aggiornamento. Come mantenere la protezione aggiornata 2. Accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility \DomainScheduledUpdate. 3. Copiare i file seguenti in <Cartella di installazione del server> \PCCSRV: • DomainSetting.ini • dsu_convert.exe 4. Aprire DomainSetting.ini con un editor di testo, ad esempio Blocco note. 5. Specificare il dominio della struttura agente e configurare la pianificazione di aggiornamento per il dominio. Ripetere questo passaggio per aggiungere altri domini. Nota Nel file .ini sono fornite istruzioni dettagliate per la configurazione. 6. Salvare DomainSetting.ini. 7. Aprire un prompt dei comandi e cambiare la directory della cartella PCCSRV. 8. Immettere il seguente comando e premere Invio. dsuconvert.exe DomainSetting.ini 9. Nella console Web, accedere a Agenti > Impostazioni globali agente. 10. Fare clic su Salva. Aggiornamenti manuali agente OfficeScan Aggiornare manualmente i componenti dell'agente OfficeScan quando questi sono estremamente obsoleti e ogni volta che viene rilevata un'infezione. I componenti dell'agente OfficeScan diventano estremamente obsoleti quando esso non è in grado di aggiornarli dall'origine aggiornamenti per un periodo di tempo prolungato. Nel corso dell'aggiornamento manuale, oltre ai componenti, gli agenti OfficeScan ricevono anche file di configurazione aggiornati. Gli agenti OfficeScan necessitano di tali 6-47 Guida per l'amministratore di OfficeScan™ 11.0 file di configurazione per poter applicare le nuove impostazioni. Ogni volta che si modificano le impostazioni di OfficeScan attraverso la console Web, vengono modificati anche i file di configurazione. Nota Oltre all'avvio, è possibile concedere agli utenti il privilegio dell'esecuzione degli aggiornamenti manuali (ovvero Aggiorna ora sugli dispositivo agente OfficeScan). Per i dettagli, consultare Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49. Aggiornamento manuale degli agenti OfficeScan Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento manuale. 2. Nella parte superiore della schermata vengono visualizzati i componenti attualmente disponibili nel server OfficeScan e la data in cui tali componenti sono stati aggiornati. Prima di notificare l'aggiornamento agli agenti, accertarsi che i componenti siano aggiornati. Nota Aggiornare manualmente i componenti obsoleti nel server. Per informazioni, vedere Aggiornamenti manuali agente OfficeScan a pagina 6-47. 3. Per aggiornare solo gli agenti con componenti non aggiornati: a. Fare clic su Selezionare agenti con componenti non aggiornati. b. Facoltativamente, selezionare Includi agenti in roaming e offline c. 6-48 • Per aggiornare gli agenti in roaming con connessione attiva sul server. • Per aggiornare gli agenti offline quando passano online. Fare clic su Avvia aggiornamento. Come mantenere la protezione aggiornata Nota Il server cerca gli agenti con componenti di versioni precedenti alle versioni del server e invia agli agenti la notifica dell'aggiornamento. Per controllare lo stato delle notifiche, accedere alla schermata Aggiornamenti > Riepilogo 4. Per aggiornare gli agenti selezionati: a. Selezionare Seleziona agenti manualmente. b. Fare clic su Seleziona. c. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. d. Fare clic su Avvia aggiornamento componenti. Nota Il server inizia a inviare a ogni agente la notifica del download dei componenti aggiornati. Per controllare lo stato delle notifiche, accedere alla schermata Aggiornamenti > Riepilogo Configurazione dei privilegi di aggiornamento e altre impostazioni Configurare le impostazioni di aggiornamento e concedere agli utenti agente alcuni privilegi come l'esecuzione di "Aggiorna ora" e l'attivazione dell'aggiornamento pianificato. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. ) per includere 6-49 Guida per l'amministratore di OfficeScan™ 11.0 4. Fare clic sulla scheda Altre impostazioni e configurare le seguenti opzioni nella sezione Aggiorna impostazioni: OPZIONE DESCRIZIONE Gli agenti OfficeScan scaricano gli aggiornamen ti dal server ActiveUpdate di Trend Micro Quando gli aggiornamenti vengono avviati, gli agenti OfficeScan tentano di ottenere gli aggiornamenti prima dall'origine aggiornamenti specificata nella schermata Aggiornamenti > Agenti > Origine aggiornamenti. Se l'aggiornamento non riesce, gli agenti tentano di eseguirlo dal server OfficeScan. Se si seleziona questa opzione, si consente agli agenti di provare a eseguire l'aggiornamento dal server ActiveUpdate di Trend Micro, qualora l'aggiornamento dal server OfficeScan non riesca. Nota Un agente IPv6 puro non è in grado di eseguire l'aggiornamento direttamente dal server ActiveUpdate di Trend Micro. Per consentire agli agenti di connettersi al server ActiveUpdate, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Attiva aggiornamen ti pianificati sugli agenti OfficeScan La selezione di questa opzione configura tutti gli agenti OfficeScan per attivare gli aggiornamenti pianificati come impostazione predefinita. Gli utenti con il privilegio Attiva/ Disattiva aggiornamenti pianificati possono sovrascrivere tale impostazione. Per maggiori dettagli sulla configurazione della pianificazione degli aggiornamenti, vedere Configurazione degli aggiornamenti automatici dell'agente OfficeScan a pagina 6-43. Gli agenti OfficeScan possono aggiornare i componenti, ma non possono aggiornare il programma agente né implementare le hot fix. 6-50 Questa opzione consente agli aggiornamenti dei componenti di proseguire, ma impedisce l'implementazione delle hot fix e l'aggiornamento dell'agente OfficeScan. Nota La disattivazione di questa opzione potrebbe influire negativamente sulle prestazioni del server, poiché tutti gli agenti si connettono simultaneamente al server per aggiornare o installare una hot fix. Come mantenere la protezione aggiornata 5. Fare clic sulla scheda Privilegi e configurare le seguenti opzioni nella sezione Aggiornamento dei componenti: OPZIONE Esecuzione di "Aggiorna ora" DESCRIZIONE Gli utenti con questo privilegio possono aggiornare i componenti su richiesta facendo clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella barra delle applicazioni e selezionando Aggiorna ora Nota Gli utenti dell'agente OfficeScan possono utilizzare le impostazioni proxy durante l'operazione "Aggiorna ora". Per informazioni, vedere Privilegi di configurazione del proxy per gli agenti a pagina 14-52. Attiva/ Disattiva aggiornamen ti pianificati La selezione di questa opzione consente agli utenti degli agenti OfficeScan di attivare e disattivare gli aggiornamenti pianificati utilizzando il menu di scelta rapida dell'agente OfficeScan, che è in grado di sovrascrivere l'impostazione Attiva aggiornamenti pianificati sugli agenti OfficeScan. Nota Gli amministratori devono selezionare innanzitutto l'impostazione Attiva aggiornamenti pianificati sugli agenti OfficeScan nella scheda Altre impostazioni prima che la voce di menu venga visualizzata nel menu dell'agente OfficeScan. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 6-51 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione dello spazio su disco riservato per gli aggiornamenti degli agenti OfficeScan OfficeScan è in grado di assegnare una determinata quantità di spazio sul disco del'agente per hot fix, file di pattern, motori di scansione e aggiornamenti dei programmi. Per impostazione predefinita, OfficeScan riserva 60 MB di spazio su disco. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Spazio su disco riservato. 3. Selezionare Riserva __ MB di spazio su disco per gli aggiornamenti. 4. Selezionare lo quantità di spazio su disco. 5. Fare clic su Salva. Proxy per gli aggiornamenti dei componenti dell'agente OfficeScan Gli agenti OfficeScan possono utilizzare le impostazioni proxy durante l'aggiornamento automatico oppure se dispongono del privilegio di eseguire "Aggiorna ora". 6-52 Come mantenere la protezione aggiornata TABELLA 6-9. Impostazioni proxy utilizzate durante gli aggiornamenti dei componenti dell'agente OfficeScan METODO DI IMPOSTAZIONI PROXY AGGIORNAMENTO UTILIZZATE Aggiornamento automatico • • Aggiorna ora • • Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-53. Impostazioni proxy interne. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-50. Impostazioni proxy automatiche. Per i dettagli, consultare Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-53. Impostazioni proxy configurate dall'utente. È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy. Per i dettagli, consultare Privilegi di configurazione del proxy per gli agenti a pagina 14-52. UTILIZZO 1. Per aggiornare i componenti, gli agenti OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy interne. 3. Se entrambe sono disattivate, gli agenti non utilizzeranno alcuna impostazione proxy. 1. Per aggiornare i componenti, gli agenti OfficeScan utilizzeranno per prima cosa le impostazioni proxy automatiche. 2. Qualora le impostazioni proxy automatiche non fossero attive, verranno utilizzate le impostazioni proxy configurare dall'utente. 3. Se entrambe le impostazioni sono disattivate o se le impostazioni proxy automatiche sono disattivare e gli utenti agente non dispongono degli appositi privilegi, gli agenti non utilizzeranno nessun proxy per l'aggiornamento dei componenti. 6-53 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle notifiche di aggiornamento dell'agente OfficeScan OfficeScan notifica agli utenti agente quando si verificano i seguenti eventi relativi all'aggiornamento: Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione Impostazioni avvisi. 3. Selezionare le seguenti opzioni: • Mostra l'icona di avviso sulla barra delle applicazioni di Windows se il file di pattern dei virus non è aggiornato da __ giorno/i: Un'icona di avviso viene visualizzata nella barra delle applicazioni di Windows per ricordare agli utenti di aggiornare un Pattern dei virus che non è stato aggiornato dal numero di giorni specificato. Per aggiornare il pattern, usare uno dei metodi di aggiornamento illustrati in Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. Questa impostazione viene applicata a tutti gli agenti gestiti dal server. • Visualizza un messaggio di notifica se è necessario un riavvio dell'dispositivo per caricare un driver in modalità kernel: Dopo l'installazione di una hot fix o di un pacchetto di aggiornamenti che contiene una nuova versione di un driver in modalità kernel, la precedente versione del driver potrebbe essere ancora presente sull'dispositivo. L'unico modo per eliminare la versione precedente e caricare quella nuova è riavviare l'dispositivo. Dopo aver riavviato l'dispositivo, la nuova versione viene automaticamente installata e non sono necessari altri riavvii. Subito dopo l'installazione della hot fix o del pacchetto di aggiornamenti, sull'dispositivo agente viene visualizzato un messaggio di notifica. 4. 6-54 Fare clic su Salva. Come mantenere la protezione aggiornata Visualizzazione dei registri dei aggiornamento dell'agente OfficeScan Esaminare i registri di aggiornamenti dell'agente per determinare eventuali problemi di aggiornamento del pattern antivirus negli agenti. Nota In questa versione del prodotto solo le query sui registri degli aggiornamenti del pattern dei virus possono essere inviate dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Procedura 1. Accedere a Registri > Agenti > Aggiornamento componente agente. 2. Per visualizzare il numero di aggiornamenti degli agenti, fare clic su Visualizza nella colonna Avanzamento. Nella schermata Avanzamento aggiornamento componenti visualizzata, controllare il numero di agenti aggiornati ogni 15 minuti e il numero totale di agenti aggiornati. 3. Per visualizzare gli agenti il cui pattern antivirus è stato aggiornato, fare clic su Visualizza nella colonna Dettagli. 4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Implementazione aggiornamenti dell'agente OfficeScan Utilizzare Conformità sicurezza per garantire che gli agenti dispongano dei componenti più recenti. La conformità della sicurezza consente di determinare le incoerenze dei componenti tra gli agenti e il server OfficeScan. In genere le incoerenze si verificano quando gli agenti non riescono a connettersi al server per aggiornare i componenti. Se 6-55 Guida per l'amministratore di OfficeScan™ 11.0 l'agente ottiene un aggiornamento da un'altra origine (ad esempio dal server ActiveUpdate), è possibile che un componente dell'agente sia più recente rispetto a uno del server. Per ulteriori informazioni, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58. Rollback dei componenti per gli agenti OfficeScan Il termine rollback si riferisce all'azione di ripristino della versione precedente del Pattern dei virus, di Smart Scan Agent Pattern e del Motore di scansione virus. Se questi componenti non funzionano correttamente, ripristinare le versioni precedenti. OfficeScan conserva la versione attuale e quella precedente del Motore di scansione virus e gli ultimi cinque file del Pattern dei virus e di Smart Scan Agent Pattern. Nota Il rollback è consentito solo per i componenti riportati sopra. OfficeScan utilizza diversi motori di scansione per gli agenti con piattaforme a 32 e 64 bit. Questi motori di scansione devono essere ripristinati separatamente. La procedura di ripristino per tutti i tipi di motore di scansione è identica. Procedura 1. Accedere a Aggiornamenti > Rollback 2. Nella sezione appropriata, fare clic su Sincronizza con il server. 6-56 a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. b. Fare clic su Rollback c. Fare clic su Visualizza registri di aggiornamento per verificare i risultati o su Indietro per tornare alla schermata Rollback. Come mantenere la protezione aggiornata 3. Se sul server è presente una versione precedente del file di pattern, è possibile effettuare il rollback del file di pattern per server e per l'agente OfficeScan, facendo clic su Rollback versioni di server e agenti. Esecuzione di Touch Tool per le hot fix dell'agente OfficeScan Touch Tool esegue la sincronizzazione dell'indicatore data e ora di un file con l'indicatore data e ora di un altro file o con l'orario di sistema dell'dispositivo. Se non si riesce a implementare correttamente una hot fix nel server OfficeScan, utilizzare Touch Tool per modificare l'indicatore di data e ora dell'hot fix. Questo consente a OfficeScan di interpretare il file hot fix come nuovo elemento per cui il server tenta nuovamente di implementarlo automaticamente. Procedura 1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV \Admin\Utility\Touch. 2. Copiare TmTouch.exe nella cartella in cui si trova il file da modificare. Per sincronizzare l'indicatore data e ora con l'indicatore di un altro file, posizionare entrambi i file nella stessa posizione di Touch Tool. 3. Aprire un prompt dei comandi ed accedere al percorso di Touch Tool. 4. Digitare i comandi seguenti: TmTouch.exe <nome file di destinazione> <nome file di origine> Dove: • • <nome file destinazione> è il nome dell'hot fix di cui si desidera modificare l'indicatore di data e ora <nome file origine> è il nome del file di cui si desidera replicare l'indicatore di data e ora 6-57 Guida per l'amministratore di OfficeScan™ 11.0 Nota Se non viene specificato un nome del file di origine, lo strumento imposta l'indicatore data e ora del file di destinazione in base all'orario di sistema dell'dispositivo. Utilizzare il carattere jolly (*) per il nome del file di destinazione, ma non per quello del file di origine. 5. Per verificare se la modifica dell'indicatore data e ora è stata applicata, immettere dir nel prompt dei comandi oppure verificare le proprietà del file in Esplora risorse. Update Agent Per distribuire l'attività di implementazione dei componenti, delle impostazioni di dominio o dei programmi agente e delle hot fix negli agenti OfficeScan, è necessario impostare alcuni agenti OfficeScan come Update Agent o come origini aggiornamenti per altri agenti. In questo modo si ha la certezza che gli agenti ricevano tempestivamente gli aggiornamenti senza indirizzare una quantità eccessiva di traffico di rete al server OfficeScan. Se la rete è segmentata in base alla località e il collegamento di rete tra i segmenti è caratterizzato da un carico di traffico pesante, assegnare almeno un Update Agent a ciascuna località. Nota Gli agenti OfficeScan assegnati ai componenti per l'aggiornamento da un Update Agent ricevono soltanto componenti aggiornati e impostazioni dall'Update Agent. Tutti gli agenti OfficeScan segnalano il proprio stato al server OfficeScan. Requisiti di sistema per gli Update Agent Visitare il sito Web seguente per un elenco completo dei requisiti di sistema: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx 6-58 Come mantenere la protezione aggiornata Configurazione di Update Agent Il processo di configurazione di Update Agent prevede due operazioni: 1. Assegnare l'agente OfficeScan come Update Agent per componenti specifici. 2. Specificare gli agenti che eseguiranno l'aggiornamento da tale Update Agent. Nota Il numero di connessioni degli agenti simultanee che un singolo Update Agent può gestire dipende dalle specifiche hardware dell'dispositivo. Assegnazione degli agenti OfficeScan come Update Agent Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare gli agenti da designare come Update Agent. Nota Non è possibile selezionare l'icona del dominio root, in quanto tale operazione designerebbe tutti gli agenti come Update Agent. Un Update Agent IPv6 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv4 puri. Analogamente, un Update Agent IPv4 puro non è in grado di distribuire gli aggiornamenti direttamente agli agenti IPv6 puri. Per consentire ad un Update Agent di distribuire gli aggiornamenti agli agenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. 3. Fare clic su Impostazioni > Impostazioni Update Agent. 4. Selezionare gli elementi che Update Agent possono condividere. • Aggiornamento dei componenti • Impostazioni dominio • Programmi agenti OfficeScan e hot fix 6-59 Guida per l'amministratore di OfficeScan™ 11.0 5. Fare clic su Salva. Specifica degli agenti OfficeScan che seguono l'aggiornamento da un Update Agent Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. In Elenco origini di aggiornamento personalizzate, fare clic su Aggiungi. 3. Nella schermata visualizzata, specificare gli indirizzi IP degli agenti. È possibile immettere un intervallo IPv4 e/o una lunghezza e un prefisso IPv6. 4. Nel campo Update Agent, selezionare l'Update Agent da assegnare agli agenti. Nota Accertarsi che gli agenti siano in grado di connettersi all'Update Agent utilizzando i rispettivi indirizzi IP. Ad esempio, se è stato specificato un intervallo di indirizzi IPv4, l'Update Agent deve avere un indirizzo IPv4. Se sono stati specificati una lunghezza e un prefisso IPv6, l'Update Agent deve avere un indirizzo IPv6. 5. Fare clic su Salva. Origini aggiornamenti per gli Update Agent Gli Update Agent possono ottenere gli aggiornamenti da varie origini quali il server OfficeScan o un'origine di aggiornamento personalizzata. Configurare l'origine aggiornamenti dalla schermata Origine aggiornamenti della console Web. Supporto IPv6 per gli Update Agent Un Update Agent IPv6 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv4 pure, come: • 6-60 Un server OfficeScan IPv4 puro Come mantenere la protezione aggiornata • Qualsiasi origine aggiornamenti personalizzata IPv4 pura • Server ActiveUpdate di Trend Micro Analogamente, un Update Agent IPv4 puro non è in grado di eseguire direttamente l'aggiornamento da origini IPv6 pure, come un server OfficeScan IPv6 puro: Per consentire ad un Update Agent di connettersi alle origini aggiornamenti, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Origine aggiornamenti standard per gli Update Agent Il server OfficeScan è l'origine di aggiornamento standard per gli Update Agent. Se gli agenti vengono configurati per eseguire l'aggiornamento direttamente dal server OfficeScan, il processo di aggiornamento avviene come riportato di seguito: 1. L'Update Agent ottiene gli aggiornamenti dal server OfficeScan. 2. Se l'aggiornamento dal server OfficeScan non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. Suggerimento Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando gli Update Agent eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. 3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. 6-61 Guida per l'amministratore di OfficeScan™ 11.0 Origini aggiornamenti personalizzate per gli Update Agent Oltre che dal server OfficeScan gli Update Agent possono eseguire l'aggiornamento da origini di aggiornamento personalizzate. Le origini di aggiornamento personalizzate contribuiscono a ridurre il traffico degli aggiornamenti degli agenti diretto al server OfficeScan. Specificare le origini di aggiornamento personalizzate nell'Elenco origini di aggiornamento personalizzate, che può contenere fino a 1024 origini di aggiornamento. Vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35 per la procedura per configurare l'elenco. Nota Assicurarsi che l'opzione Gli Update Agent aggiornano componenti, impostazioni di dominio, programmi agente e hot fix solo dal server OfficeScan sia disattivata nella schermata Origine di aggiornamento per Update Agent (Aggiornamenti > Agenti > Origine aggiornamenti) per consentire agli Update Agent di connettersi alle origini aggiornamenti personalizzate. Dopo aver impostato e salvato l'elenco, il processo di aggiornamento prosegue come riportato di seguito: 1. Update Agent esegue l'aggiornamento dalla prima voce dell'elenco. 2. Se non è in grado di eseguire l'aggiornamento dalla prima voce, l'agente utilizza la seconda voce e così via. 3. Se non è in grado di effettuare l'aggiornamento da tutte le voci, l'agente verifica le seguenti opzioni nell'intestazione Gli agenti OfficeScan aggiornano le seguenti voci dal server OfficeScan se tutte le origini personalizzate non sono disponibili o non sono state trovate: • Componenti: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se l'opzione è disattivata, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: 6-62 Come mantenere la protezione aggiornata Nota È possibile eseguire l'aggiornamento dei componenti solo dal server Active Update. È possibile scaricare i programmi, le hot fix e le impostazioni del dominio dal server o dagli Update Agent. 4. • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate non è incluso nell'Elenco origini aggiornamento personalizzate. • Impostazioni dominio: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. • Programmi agenti OfficeScan e hot fix: se attivata l'agente esegue l'aggiornamento dal server OfficeScan. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Il processo di aggiornamento è diverso se l'opzione Origini di aggiornamento standard (aggiorna dal server OfficeScan) è attivata e il server OfficeScan notifica all'agente di aggiornare i componenti. Il processo è il seguente: 1. Update Agent esegue l'aggiornamento direttamente dal server OfficeScan e ignora l'elenco delle origini di aggiornamento. 2. Se l'aggiornamento dal server non riesce, l'agente tenta di connettersi direttamente al server ActiveUpdate di Trend Micro se si verifica almeno una delle seguenti condizioni: • In Agenti > Gestione agente, fare clic su Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Aggiorna impostazioni, l'opzione Gli agenti OfficeScan scaricano gli aggiornamenti dal server ActiveUpdate di Trend Micro è attivata. • Il server ActiveUpdate è la prima voce dell'Elenco origini aggiornamento personalizzate. 6-63 Guida per l'amministratore di OfficeScan™ 11.0 Suggerimento Collocare il server ActiveUpdate all'inizio dell'elenco solo in caso di problemi di aggiornamento dal server OfficeScan. Quando gli agenti OfficeScan eseguono l'aggiornamento direttamente dal server ActiveUpdate, il consumo dell'ampiezza di banda tra la rete e Internet è considerevole. 3. Se non è in grado di eseguire l'aggiornamento da tutte le origini possibili, Update Agent interrompe il processo di aggiornamento. Configurazione dell'origine aggiornamenti per Update Agent Procedura 1. Accedere a Aggiornamenti > Agenti > Origine aggiornamenti. 2. Selezionare se eseguire l'aggiornamento dall'Origine aggiornamenti standard per gli Update Agent (server OfficeScan) o da Origini aggiornamenti personalizzate per gli Update Agent. 3. Fare clic su Invia una notifica tutti gli agenti. Duplicazione dei componenti di Update Agent Come il server OfficeScan, anche gli Update Agent utilizzano il metodo della duplicazione per scaricare i componenti. Per informazioni sul modo in cui il server esegue la duplicazione dei componenti, consultare Duplicazione dei componenti server OfficeScan a pagina 6-23. Il processo di duplicazione dei componenti per gli Update Agent è il seguente: 1. 6-64 Update Agent confronta la versione corrente del pattern completo con la versione più recente sull'origine aggiornamenti. Se la differenza tra le due versioni è al massimo 14, Update Agent scarica il pattern incrementale per colmare la differenza tra le due versioni. Come mantenere la protezione aggiornata Nota Se la differenza è superiore a 14, Update Agent scarica automaticamente la versione completa del file di pattern. 2. Update Agent integra il pattern incrementale scaricato con il pattern completo corrente per generare il pattern completo più recente. 3. Update Agent scarica tutti i pattern incrementali restanti sull'origine aggiornamenti. 4. Il pattern completo più recente e tutti i pattern incrementali sono resi disponibili per gli agenti. Metodi di aggiornamento per Update Agent Gli Update Agent utilizzano gli stessi metodi di aggiornamento disponibili per gli agenti normali. Per i dettagli, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. È possibile utilizzare lo strumento di configurazione aggiornamento pianificato per attivare e configurare gli aggiornamenti pianificati di un Update Agent installato mediante Agent Packager. Nota Questo strumento non è disponibile se l'Update Agent è stato installato mediante altri metodi di installazione. Per ulteriori informazioni, consultare Considerazioni sull'implementazione a pagina 5-11. Uso dello strumento di configurazione aggiornamento pianificato Procedura 1. Nell'dispositivo Update Agent, accedere a <Cartella di installazione dell'agente>. 2. Per eseguire lo strumento, fare doppio clic su SUCTool.exe. Si apre la console dello Strumento di configurazione aggiornamento pianificato. 3. Selezionare Attiva aggiornamento pianificato. 6-65 Guida per l'amministratore di OfficeScan™ 11.0 4. Specificare la frequenza e l'orario dell'aggiornamento. 5. Fare clic su Applica. Segnalazione analitica di Update Agent La segnalazione analitica di Update Agent viene generata per analizzare l'infrastruttura di aggiornamento e determinare quali agenti scaricano dal server OfficeScan, dagli Update Agent o dal server ActiveUpdate. Questa segnalazione è utile anche per controllare se il numero di agenti che richiedono aggiornamenti dalle origini aggiornamenti supera il limite di risorse disponibili ed, eventualmente, per reindirizzare il traffico di rete alle origini appropriate. Nota Questa segnalazione comprende tutti gli Update Agent. Se l'attività di gestione di uno o più domini è stata delegata ad altri amministratori, essi vedranno anche gli Update Agent appartenenti ai domini non gestiti da loro. OfficeScan esporta la Segnalazione analitica di Update Agent in un file .csv (commaseparated value). In questa segnalazione sono contenute le seguenti informazioni: • Dispositivo dell'agente OfficeScan • Indirizzo IP • Percorso struttura dell'agente • Origine aggiornamenti • Se gli agenti scaricano i seguenti elementi dagli Update Agent: 6-66 • Componenti • Impostazioni dominio • Programmi agenti OfficeScan e hot fix Come mantenere la protezione aggiornata Importante La segnalazione analitica di Update Agent elenca solamente gli agenti OfficeScan configurati per ricevere aggiornamenti parziali da un Update Agent. Gli agenti OfficeScan configurati per eseguire aggiornamenti completi da un Update Agent (inclusi componenti, impostazioni di dominio, hot fix e programmi dell'agente OfficeScan) non vengono visualizzati nella segnalazione. Per ulteriori informazioni sulla generazione della segnalazione, vedere Origini aggiornamenti personalizzate per gli agenti OfficeScan a pagina 6-35. Riepilogo aggiornamento componenti La console Web fornisce la schermata Riepilogo aggiornamento (accedere a Aggiornamenti > Riepilogo), che contiene informazioni sullo stato complessivo dell'aggiornamento dei componenti e consente di aggiornare quelli obsoleti. Se è stato attivato l'aggiornamento server pianificato, la schermata informa anche sulla data prevista per il prossimo aggiornamento. Per visualizzare lo stato dell'aggiornamento dei componenti più recente, aggiornare la schermata periodicamente. Nota Per visualizzare gli aggiornamenti dei componenti di Integrated Smart Protection Server, accedere a Amministrazione > Smart Protection > Server integrato. Stato dell'aggiornamento per gli agenti OfficeScan Se l'aggiornamento dei componenti sugli agenti è stato avviato, è possibile visualizzare in questa sezione le seguenti informazioni: • Numero di agenti ai quali è stata inviata la notifica per l'aggiornamento dei componenti. 6-67 Guida per l'amministratore di OfficeScan™ 11.0 • Numero di agenti che non hanno ancora ricevuto la notifica, ma che sono presenti nella coda di notifica. Per annullare l'invio della notifica a questi agenti, fare clic su Annulla notifica. Componenti Nella tabella Stato dell'aggiornamento è possibile visualizzare lo stato di ciascun componente scaricato e distribuito dal server OfficeScan. Per ciascun componente, è possibile visualizzare la versione attuale e la data dell'ultimo aggiornamento. Fare clic sul collegamento numerato per visualizzare gli agenti con componenti obsoleti. Aggiornare manualmente gli agenti con componenti obsoleti. 6-68 Capitolo 7 Analisi dei rischi per la sicurezza Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza utilizzando l'analisi basata su file. Di seguito sono riportati gli argomenti trattati: • Informazioni sui rischi per la sicurezza a pagina 7-2 • Tipi di metodi di scansione a pagina 7-8 • Tipi di scansione a pagina 7-15 • Impostazioni comuni a tutti i tipi di scansione a pagina 7-28 • Privilegi scansione e altre impostazioni a pagina 7-55 • Impostazioni globali di scansione a pagina 7-70 • Notifiche sui Rischi per la sicurezza a pagina 7-82 • Registri dei rischi per la sicurezza a pagina 7-90 • Rischi per la sicurezza a pagina 7-104 7-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni sui rischi per la sicurezza Rischio per la sicurezza è un termine collettivo per indicare virus, minacce informatiche, spyware e grayware. OfficeScan protegge i computer dai rischi per la sicurezza attraverso la scansione dei file e l'esecuzione di un'operazione specifica per ciascun rischio per la sicurezza individuato. Un numero estremamente alto di rischi per la sicurezza individuati in un periodo di tempo breve indica un'infezione. OfficeScan può aiutare a contenere le infezioni, implementando i criteri di prevenzione delle infezioni e isolando i computer infetti fino a quando sono completamente privi di rischi. Le notifiche e i registri contribuiscono a tenere traccia dei rischi per la sicurezza e avvertono qualora fosse necessaria un'azione tempestiva. Virus e minacce informatiche Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengono creati molti altri. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i virus degli dispositivo odierni, grazie alla loro capacità di sfruttare le vulnerabilità, possono causare notevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web. TABELLA 7-1. Tipi di virus/minaccia informatica TIPO DI VIRUS/ MINACCIA DESCRIZIONE INFORMATICA 7-2 Programma Joke I programmi Joke sono programmi simili ai virus che spesso manipolano l'aspetto degli oggetti sul monitor di un dispositivo. Altro "Altri" includono virus/minacce informatiche non classificati come altri tipi di virus/minacce informatiche. Packer I packer sono programmi eseguibili compressi e/o codificati per Windows o Linux™, spesso sono cavalli di Troia. La compressione di programmi eseguibili rende i packer più difficili da rilevare per i prodotti antivirus. Analisi dei rischi per la sicurezza TIPO DI VIRUS/ MINACCIA DESCRIZIONE INFORMATICA Rootkit I rootkit sono programmi o raccolte di programmi che installano ed eseguono un codice su un sistema senza il consenso o la consapevolezza dell'utente finale. Utilizzano un virus stealth per mantenere la presenza costante e non rilevabile sulla macchina. I rootkit non infettano le macchine ma cercano piuttosto di fornire un ambiente non rilevabile affinché sia possibile eseguire un codice dannoso. I rootkit vengono installati sui sistemi tramite social engineering, in presenza di minacce informatiche o semplicemente accedendo ad un sito Web dannoso. Una volta installato, l'aggressore può virtualmente eseguire qualunque funzione sul sistema che includa l'accesso remoto, le intercettazioni, nascondere i processi, i file le chiavi di registro e i canali di comunicazione. virus di prova I virus di prova sono file inerti che agiscono come virus reali e che possono essere rilevati dal software di scansione antivirus. I virus di prova, come gli script di prova EICAR, possono essere utilizzati per verificare che l'antivirus installato funzioni correttamente. Cavallo di Troia I cavalli di Troia spesso usano porte per accedere ai computer o ai programmi eseguibili. I programmi cavallo di Troia non sono in grado di riprodursi, ma risiedono nei sistemi per compiere operazioni dannose, ad esempio l'apertura delle porte, per consentire l'ingresso degli hacker. Le soluzioni antivirus tradizionali sono in grado di rilevare e rimuovere i virus ma non i cavalli di Troia, soprattutto se sono già in esecuzione nel sistema. 7-3 Guida per l'amministratore di OfficeScan™ 11.0 TIPO DI VIRUS/ DESCRIZIONE MINACCIA INFORMATICA Virus Virus di rete 7-4 I virus sono programmi in grado di replicarsi. Per farlo, un virus deve attaccarsi ad altri file di programma che gli consentono di attivarsi quando il programma che lo ospita viene eseguito, inclusi: • Codice dannoso ActiveX: codice presente nelle pagine Web che eseguono controlli ActiveX™. • Virus da settore boot: virus che infetta il settore boot o una partizione del disco. • File COM ed EXE infettante: programma eseguibile con estensione .com o .exe. • Codice dannoso Java: codice virus indipendente dal sistema operativo scritto o incluso in un codice Java™. • Virus da macro: virus codificato come macro di un'applicazione e spesso incluso in un documento. • VBScript, JavaScript o virus HTML: virus presente in una pagina Web e scaricato tramite un browser. • Worm: programma (o gruppo di programmi) autonomo in grado di diffondere copie funzionanti di se stesso o di suoi segmenti ad altri sistemi di dispositivo, spesso tramite e-mail. un virus che si diffonde su una rete non è necessariamente un virus di rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm, possono essere considerati virus di rete. In particolare, per moltiplicarsi, i virus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e i protocolli di posta elettronica. Spesso non alterano i file di sistema né modificano i settori boot dei dischi rigidi. Tuttavia, infettano la memoria dei computer agente, obbligandoli a invadere la rete di traffico e causando rallentamenti o persino errori nell'intera rete. Poiché i virus di rete rimangono in memoria, spesso non sono rilevabili mediante i tradizionali metodi di scansione I/O dei file. Analisi dei rischi per la sicurezza TIPO DI VIRUS/ DESCRIZIONE MINACCIA INFORMATICA Probabile virus/minaccia informatica I virus/minacce informatiche probabili sono file sospetti che presentano caratteristiche di virus/minacce informatiche. Per dettagli, consultare l'Enciclopedia dei virus di Trend Micro: http://www.trendmicro.com/vinfo/it/virusencyclo/default.asp Nota La disinfezione non può essere eseguita su un probabile virus/ minaccia informatica, ma l'azione di scansione è configurabile. Spyware e grayware Sono presenti altre minacce che potrebbero mettere a repentaglio gli dispositivo oltre ai virus e alle minacce informatiche. Per spyware e grayware si intendono applicazioni o file non classificati come virus o cavalli di Troia ma che possono avere un'influenza negativa sulle prestazioni degli dispositivo della rete e introdurre notevoli rischi per la sicurezza, la riservatezza e causare problemi legali all'organizzazione. Spesso spyware e grayware attivano una varietà di azioni indesiderate e pericolose come la visualizzazione di fastidiose finestre popup, la registrazione delle sequenze di tasti digitate dall'utente o l'esposizione delle vulnerabilità dell'dispositivo agli attacchi. Se è presente un'applicazione o un file che OfficeScan non riesce a rilevare come grayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro per l'analisi: http://esupport.trendmicro.com/solution/en-us/1059565.aspx TIPO DESCRIZIONE Spyware raccoglie dati come nomi utente e password e li trasmette a terzi. Adware visualizza delle pubblicità e raccoglie dati come le preferenze di navigazione Web in modo da indirizzare pubblicità mirata attraverso un browser Web. 7-5 Guida per l'amministratore di OfficeScan™ 11.0 TIPO DESCRIZIONE Dialer Modifica le impostazioni Internet dell'dispositivo e può forzarlo a selezionare numeri telefonici preconfigurati attraverso un modem. Si tratta in genere di numeri a pagamento o internazionali che rappresentano un notevole costo per l'organizzazione. Programma Joke Causa un comportamento anomalo dell'dispositivo, come l'apertura e la chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre di dialogo. Strumento di hacking consente agli hacker di penetrare nel computer. Strumento di accesso remoto consente agli hacker di accedere al computer in remoto e controllarlo. Applicazione di decifratura delle password consente agli hacker di decifrare i nomi utente e le password. Altro altri tipi di programmi potenzialmente dannosi. In che modo spyware e grayware penetrano nelle reti Spyware e grayware spesso riescono a penetrare nelle reti aziendali quando gli utenti scaricano un software legittimo contenente applicazioni grayware all'interno del pacchetto di installazione. La maggior parte dei programmi contiene un contratto di licenza per l'utente finale che l'utente deve accettare prima di avviare il download. Spesso nel contratto di licenza viene spiegato che l'applicazione effettuerà una raccolta di dati personali, tuttavia molto frequentemente, gli utenti non leggono attentamente il contratto o non comprendono il linguaggio legale. Rischi e minacce potenziali L'esistenza di spyware e di altri tipi di grayware sulla rete può causare i seguenti problemi: 7-6 Analisi dei rischi per la sicurezza TABELLA 7-2. Rischi e minacce potenziali RISCHIO O MINACCIA DESCRIZIONE Riduzione delle prestazioni dell'dispositivo per svolgere la loro azione, le applicazioni spyware e grayware utilizzano spesso una quantità considerevole di risorse di memoria del sistema e della CPU. Aumento dei malfunzionamenti del browser Web alcuni tipi di grayware, come ad esempio l'adware, visualizzano informazioni in riquadri o finestre del browser. In base al modo in cui il codice di queste applicazioni interagisce con i processi di sistema, il grayware può bloccare o interrompere il funzionamento del browser o richiedere un riavvio dell'dispositivo. Riduzione dell'efficienza dell'utente costretto a chiudere frequentemente le finestre pop-up pubblicitarie e affrontare gli effetti negativi dei programmi Joke, l'utente viene spesso distratto dalla propria attività principale. Riduzione della larghezza di banda della rete le applicazioni spyware e grayware spesso trasmettono regolarmente i dati raccolti ad altre applicazioni in esecuzione sulla rete o al di fuori della rete. Perdita di informazioni personali e aziendali non tutti i dati che le applicazioni spyware/grayware raccolgono sono innocui come può esserlo un elenco di pagine Web visitate dall'utente. Spyware e grayware inoltre sono in grado di ottenere le credenziali dell'utente quali quelle di accesso ai conti bancari online e alle reti aziendali. Rischio elevato di responsabilità legali Se le risorse degli dispositivo nella rete vengono manomesse, gli hacker sono in grado di utilizzare i computer agente per lanciare attacchi o installare spyware e grayware su computer al di fuori della rete. La partecipazione delle risorse di rete a questo tipo di attività potrebbe rendere un'azienda legalmente responsabile di danni causati a terzi. Protezione da spyware e grayware e da altre minacce Possono essere prese molte precauzioni per evitare l'installazione di spyware e grayware sul proprio dispositivo. Trend Micro consiglia quanto segue: • Configurare tutti i tipi di scansione (Scansione manuale, Scansione in tempo reale, Scansione pianificata e Esegui scansione) per individuare e rimuovere file e applicazioni spyware/grayware. Consultare Tipi di scansione a pagina 7-15 per ulteriori informazioni. 7-7 Guida per l'amministratore di OfficeScan™ 11.0 • Istruire gli utenti agente sulle procedure riportate di seguito: • Leggere il contratto di licenza (EULA) e la documentazione forniti con le applicazioni scaricate e installate sui computer. • Fare clic su No se un messaggio richiede l'autorizzazione per scaricare e installare software, a meno che gli utenti agente non siano certi dell'affidabilità dell'autore del software e del sito Web. • Ignorare messaggi e-mail di natura commerciale non richiesti (spam), soprattutto se viene richiesto di fare clic su un pulsante o un collegamento. • Configurare le impostazioni del browser Web in modo che assicurino un livello di sicurezza alto. Trend Micro consiglia di impostare i browser Web per la richiesta di conferma prima di installare i comandi ActiveX. • Se si utilizza Microsoft Outlook, configurare le impostazioni di sicurezza in modo che Outlook non scarichi automaticamente elementi HTML, come immagini inviate in messaggi spam. • Non permettere l'uso di servizi di condivisione file peer-to-peer. Lo spyware e altre applicazioni grayware potrebbero essere mascherati come altri tipi di file che gli utenti potrebbero scaricare, come file musicali MP3. • Esaminare periodicamente il software installato sui computer agent e cercare applicazioni che possano essere spyware o altro grayware. • Per fare ciò è necessario mantenere aggiornati i sistemi operativi Windows con le patch più recenti di Microsoft. Per ulteriori dettagli, consultare il sito Web Microsoft. Tipi di metodi di scansione Gli agenti OfficeScan possono utilizzare uno dei due metodi di scansione, quando eseguono una scansione per i rischi sulla sicurezza. I metodi di scansione sono: Smart Scan e Scansione convenzionale. • 7-8 Smart Scan Analisi dei rischi per la sicurezza Gli agenti che utilizzano Smart Scan, in questo documento vengono definiti agenti Smart Scan. Gli agenti Smart Scan utilizzano le scansioni locali e le query in-thecloud fornite da Servizi di reputazione file. • Scansione convenzionale Gli agenti che non utilizzano Smart Scan sono definiti agenti con scansione convenzionale. Un agente con scansione convenzionale archivia tutti i componenti OfficeScan nell'dispositivo agente ed esegue la scansione locale di tutti i file. Metodo di scansione predefinito In questa versione di OfficeScan, il metodo di scansione predefinito per una nuova installazione è Smart Scan. Questo significa che se si esegue un'installazione del server OfficeScan da zero e non si modifica il metodo di scansione sulla console Web, tutti gli agenti gestiti dal server utilizzeranno il metodo Smart Scan. Se si esegue l'aggiornamento del server OfficeScan da una versione precedente e si attiva l'aggiornamento automatico dell'agente, tutti gli agenti gestiti dal server utilizzeranno ancora il metodo di scansione configurato prima dell'aggiornamento della versione. Ad esempio, se si esegue l'aggiornamento da OfficeScan 10, che supporta Smart Scan e Scansione convenzionale, tutti gli agenti aggiornati che utilizzano Smart Scan continueranno ad utilizzare questo tipo di scansione, mentre quelli che utilizzavano Scansione convenzionale continueranno ad utilizzare quest'ultima. Metodi di scansione a confronto La tabella riportata di seguito consente di confrontare i due metodi di scansione: TABELLA 7-3. Confronto tra Scansione convenzionale e Smart Scan CRITERI DI CONFRONTO Disponibilità SCANSIONE CONVENZIONALE Disponibile in questa versione di OfficeScan e in tutte quelle precedenti SMART SCAN Disponibile a partire da OfficeScan 10 7-9 Guida per l'amministratore di OfficeScan™ 11.0 CRITERI DI CONFRONTO Comportamento della scansione SCANSIONE CONVENZIONALE L'agente con scansione convenzionale esegue la scansione nell'dispositivo locale. SMART SCAN • L'agente con Smart Scan esegue la scansione nell'dispositivo locale. • Se non è in grado di determinare il rischio del file durante la scansione, l'agente verifica il rischio inviando una query di scansione a un'origine Smart Protection. • L'agente memorizza il risultato della query di scansione per migliorare le prestazioni della scansione. Componenti in uso e aggiornati Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Smart Scan Agent Pattern Tutti i componenti disponibili nell'origine di aggiornamento, ad eccezione di Pattern dei virus e Pattern di monitoraggio attivo spyware Origine di aggiornamento tipica Server OfficeScan Server OfficeScan Modifica del metodo di scansione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Metodi di scansione. 4. Selezionare Scansione convenzionale oppure Smart Scan. 7-10 ) per includere Analisi dei rischi per la sicurezza 5. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Passaggio da Smart Scan a Scansione convenzionale Quando gli agenti passano alla scansione convenzionale, tenere presente quanto segue: 1. Numero degli agenti che effettuano il passaggio Se il numero di agenti che passa contemporaneamente alla scansione convenzionale è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del server OfficeScan e di Smart Protection Server. Questi server sono in grado di eseguire altre operazioni importanti durante il passaggio da un metodo di scansione all'altro. 2. Tempistica Quando si passa di nuovo alla scansione convenzionale, è probabile che gli agenti scarichino la versione completa di Pattern antvirus e Pattern di monitoraggio attivo spyware dal server OfficeScan . Questi file di pattern vengono utilizzati solo dagli agenti con scansione convenzionale. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per gli agenti non sono pianificati aggiornamenti dal server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare la funzione una volta effettuato il passaggio a Smart Scan. 3. Impostazioni della struttura agente 7-11 Guida per l'amministratore di OfficeScan™ 11.0 Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo agente. Quando si passa alla scansione convenzionale è possibile: • Creare un nuovo dominio della struttura agente e assegnargli la scansione convenzionale come metodo di scansione. Gli agenti trasferiti su questo dominio utilizzano la scansione convenzionale. Quando si trasferisce l'agente, attivare l'impostazione Applica le impostazioni del nuovo dominio agli agenti selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi la scansione convenzionale. Gli agenti Smart Scan che appartengono al dominio passeranno alla scansione convenzionale. • Selezionare uno o più agenti Smart Scan da un dominio, quindi effettuare il passaggio alla scansione convenzionale. Nota I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di scansione configurato per i singoli agenti. Passaggio da Scansione convenzionale a Smart Scan Se si esegue il passaggio degli agenti da Scansione convenzionale a Smart Scan, assicurarsi di aver impostato i servizi Smart Protection. Per i dettagli, consultare Impostazione dei servizi Smart Protection a pagina 4-13. La seguente tabella fornisce ulteriori considerazioni sul passaggio a Smart Scan: TABELLA 7-4. Considerazioni sul passaggio a Smart Scan CONSIDERAZIONE Licenza del prodotto 7-12 DETTAGLI Per utilizzare Smart Scan accertarsi di aver attivato le licenze dei servizi riportati di seguito e che le licenze non siano scadute: • Antivirus • Reputazione Web e anti-spyware Analisi dei rischi per la sicurezza CONSIDERAZIONE Server OfficeScan DETTAGLI Accertarsi che gli agenti siano in grado di connettersi al server OfficeScan. Solo gli agenti online ricevono la notifica del passaggio a Smart Scan. Gli agenti offline ricevono la notifica quando sono online. Gli agenti roaming ricevono la notifica quando sono online oppure, se l'agente possiede privilegi di aggiornamento pianificato, quando viene eseguito un aggiornamento pianificato. Verificare inoltre che il server OfficeScan disponga dei componenti più recenti perché gli agenti Smart Scan devono scaricare Smart Scan Agent Pattern dal server. Per aggiornare i componenti, vedere Aggiornamenti server OfficeScan a pagina 6-17. Numero degli agenti che effettuano il passaggio Se il numero di agenti che passa contemporaneamente alla Scansione convenzionale è relativamente esiguo, è possibile utilizzare in maniera efficiente le risorse del server OfficeScan. Il server OfficeScan è in grado di eseguire altre operazioni importanti durante il passaggio da un metodo di scansione all'altro. Tempistica Quando passano a Smart Scan per la prima volta, gli agenti devono scaricare la versione completa di Smart Scan Agent Pattern dal server OfficeScan. Smart Scan Pattern viene utilizzato solo dagli agenti Smart Scan. Per fare in modo che il processo di download termini in tempi brevi, è opportuno effettuare il passaggio durante l'orario a traffico ridotto. Si consiglia inoltre di effettuare l'operazione quando per gli agenti non sono pianificati aggiornamenti dal server. Disattivare temporaneamente anche "Aggiorna ora" negli agenti e riattivare la funzione una volta effettuato il passaggio a Smart Scan. 7-13 Guida per l'amministratore di OfficeScan™ 11.0 CONSIDERAZIONE Impostazioni della struttura agente DETTAGLI Il metodo di scansione è un'impostazione estremamente flessibile che può essere impostata a livello principale (root), di dominio o di singolo agente. Quando si passa a Smart Scan è possibile: • Creare un nuovo dominio della struttura agente e assegnargli Smart Scan come metodo di scansione. Gli agenti trasferiti su questo dominio utilizzano Smart Scan. Quando si trasferisce l'agente, attivare l'impostazione Applica le impostazioni del nuovo dominio agli agenti selezionati. • Selezionare un dominio e configurarlo in modo che utilizzi Smart Scan. Gli agenti con la scansione convenzionale che appartengono al dominio passeranno a Smart Scan. • Selezionare uno o più agenti con scansione convenzionale da un dominio e poi effettuare il passaggio a Smart Scan. Nota I cambiamenti al metodo di scansione del dominio sovrascrivono il metodo di scansione configurato per i singoli agenti. 7-14 Analisi dei rischi per la sicurezza CONSIDERAZIONE Supporto IPv6 DETTAGLI Gli agenti Smart Scan inviano query di scansione alle origini Smart Protection. Un agente Smart Scan IPv6 puro non è in grado di inviare query direttamente alle origini IPv4 pure, come: • Smart Protection Server 2.0 (integrato o standalone) Nota Il supporto IPv6 per Smart Protection Server è stato introdotto nella versione 2.5. • Trend Micro Smart Protection Network Analogamente, un agente Smart Scan IPv4 puro non è in grado di inviare query agli Smart Protection Server IPv6 puri. Per consentire agli agenti Smart Scan di connettersi alle origini, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Tipi di scansione Per proteggere i computer agente OfficeScan dai rischi per la sicurezza, OfficeScan fornisce i seguenti tipi di scansione: TABELLA 7-5. Tipi di scansione TIPO DI SCANSIONE Scansione in tempo reale DESCRIZIONE Esegue la scansione automatica di un file sull'dispositivo quando viene ricevuto, aperto, scaricato, copiato o modificato Per informazioni, vedere Scansione in tempo reale a pagina 7-16. Scansione manuale Una scansione avviata dall'utente che analizza un file o un insieme di file per iniziativa dell'utente. Per informazioni, vedere Scansione manuale a pagina 7-19. 7-15 Guida per l'amministratore di OfficeScan™ 11.0 TIPO DI SCANSIONE Scansione pianificata DESCRIZIONE Esegue la scansione automatica di file sull'dispositivo in base alla pianificazione configurata dall'utente finale o dall'amministratore. Per informazioni, vedere Scansione pianificata a pagina 7-21. Esegui scansione Una scansione avviata dall'amministratore per analizzare i file in uno o più computer di destinazione. Per informazioni, vedere Esegui scansione a pagina 7-24. Scansione in tempo reale La scansione in tempo reale è una scansione continua e costante. Ogni volta che un file viene ricevuto, aperto, scaricato, copiato o modificato, la scansione in tempo reale analizza il file alla ricerca di eventuali rischi per la sicurezza. Se OfficeScan non rileva rischi per la sicurezza, il file rimane nella sua posizione e gli utenti possono accedervi. Se OfficeScan rileva un rischio per la sicurezza oppure un virus o una minaccia informatica probabili, visualizza un messaggio di notifica che indica il nome del file infetto e il rischio per la sicurezza specifico. La scansione in tempo reale gestisce una cache di scansione costante che si ricarica ogni volta che l'agente OfficeScan viene avviato. L'agente OfficeScan tiene traccia di tutte le modifiche ai file o alle cartelle verificatisi dalla rimozione dell'agente OfficeScan, eliminando questi file dalla cache. Nota Per modificare il messaggio di notifica, aprire la console Web e accedere a Amministrazione > Notifiche > Agente. Configurare e applicare le impostazioni di Scansione in tempo reale a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. 7-16 Analisi dei rischi per la sicurezza Configurare le impostazioni della scansione in tempo reale Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale. 4. Selezionare le seguenti opzioni: • Attiva scansione antivirus/minacce informatiche • Attiva scansione spyware/grayware ) per includere Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. Durante un'infezione virale, per impedire al virus di modificare o eliminare i file e le cartelle nei computer agente, non è possibile disattivare Scansione in tempo reale (se originariamente disattivata viene attivata automaticamente). 5. 6. Configurare i criteri di scansione seguenti: • Attività utente sui file a pagina 7-28 • File da esaminare a pagina 7-28 • Impostazioni di scansione a pagina 7-29 • Esclusioni scansione a pagina 7-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: 7-17 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 7-6. Azioni di Scansione in tempo reale AZIONE Azione di Virus e minacce informatiche RIFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 7-45 • Mostra notifica al rilevamento di probabile spyware/ grayware a pagina 7-45 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Ulteriori azioni di spyware/grayware: • 7-18 Mostra notifica al rilevamento di spyware/grayware a pagina 7-51 Analisi dei rischi per la sicurezza 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Scansione manuale Scansione manuale è un metodo di scansione su richiesta che viene avviato immediatamente dopo che un utente esegue la scansione nella console dell'agente OfficeScan. Il tempo necessario per completare la scansione dipende dal numero di file da analizzare e dalle risorse hardware dell'dispositivo agente OfficeScan. Configurare e applicare le impostazioni di Scansione manuale a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione della scansione manuale Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione manuale. 4. Nella scheda Destinazione, configurare le opzioni riportate di seguito: • ) per includere File da esaminare a pagina 7-28 7-19 Guida per l'amministratore di OfficeScan™ 11.0 5. • Impostazioni di scansione a pagina 7-29 • Uso della CPU a pagina 7-31 • Esclusioni scansione a pagina 7-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 7-7. Azione di scansione manuale AZIONE Azione di Virus e minacce informatiche RIFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware 6. 7-20 • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: Analisi dei rischi per la sicurezza • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Scansione pianificata Scansione pianificata viene eseguita automaticamente nella data e all'ora specificate. Utilizzare Scansione pianificata per automatizzare le scansioni di routine dell'agente, per una più efficiente gestione delle scansioni. Configurare e applicare le impostazioni di Scansione pianificata a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione della scansione pianificata Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione pianificata. 4. Selezionare le seguenti opzioni: • Attiva scansione antivirus/minacce informatiche • Attiva scansione spyware/grayware ) per includere 7-21 Guida per l'amministratore di OfficeScan™ 11.0 Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. 5. 6. 7-22 Configurare i criteri di scansione seguenti: • Pianificazione a pagina 7-32 • File da esaminare a pagina 7-28 • Impostazioni di scansione a pagina 7-29 • Uso della CPU a pagina 7-31 • Esclusioni scansione a pagina 7-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: Analisi dei rischi per la sicurezza TABELLA 7-8. Azioni di Scansione pianificata AZIONE Azione di Virus e minacce informatiche RIFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: Azione di spyware/ grayware • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 • Mostra notifica al rilevamento di spyware/grayware a pagina 7-45 • Mostra notifica al rilevamento di probabile spyware/ grayware a pagina 7-45 Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Ulteriori azioni di spyware/grayware: • Mostra notifica al rilevamento di spyware/grayware a pagina 7-51 7-23 Guida per l'amministratore di OfficeScan™ 11.0 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Esegui scansione Esegui scansione viene avviata in remoto dall'amministratore di OfficeScan mediante la console Web e può essere mirata a uno o più computer agente. Configurare e applicare le impostazioni di Esegui scansione a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. Configurazione delle impostazioni della scansione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni funzione Esegui scansione. 4. Selezionare le seguenti opzioni: 7-24 • Attiva scansione antivirus/minacce informatiche • Attiva scansione spyware/grayware ) per includere Analisi dei rischi per la sicurezza Nota Se si disattiva la scansione per rilevare virus/minacce informatiche, anche la scansione per rilevare spyware/grayware verrà disattivata. 5. 6. Configurare i criteri di scansione seguenti: • File da esaminare a pagina 7-28 • Impostazioni di scansione a pagina 7-29 • Uso della CPU a pagina 7-31 • Esclusioni scansione a pagina 7-32 Fare clic sulla scheda Azione e configurare le seguenti opzioni: TABELLA 7-9. Azioni di Esegui scansione AZIONE Azione di Virus e minacce informatiche RIFERIMENTO Azione primaria (effettuare una selezione): • Usa ActiveAction a pagina 7-39 • Stessa operazione per tutti i tipi virus o minaccia informatica a pagina 7-41 • Azione specifica per ogni tipo di virus o minaccia a pagina 7-41 Nota Per ulteriori informazioni sulle varie azioni, vedere Azioni di scansione di virus/minacce informatiche a pagina 7-37. Ulteriori azioni di virus e minacce informatiche: • Directory di quarantena a pagina 7-41 • Crea copia di backup prima di disinfettare a pagina 7-43 • Damage Cleanup Services a pagina 7-43 7-25 Guida per l'amministratore di OfficeScan™ 11.0 AZIONE Azione di spyware/ grayware 7. RIFERIMENTO Azione primaria: • Azioni di scansione spyware/grayware a pagina 7-50 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Avvio di Esegui scansione Avviare Esegui scansione nei computer che si sospetta siano infetti. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Operazioni > Esegui scansione. 4. Per modificare le impostazioni Esegui scansione pre-configurate prima di avviare la scansione, fare clic su Impostazioni. ) per includere Viene aperta la schermata Impostazioni funzione Esegui scansione. Per informazioni, vedere Esegui scansione a pagina 7-24. 7-26 Analisi dei rischi per la sicurezza 5. Nella struttura agente, selezionare gli agenti su cui eseguire la scansione e fare clic su Avvia Esegui scansione. Nota Se non si seleziona alcun agente, OfficeScan invia automaticamente una notifica a tutti gli agenti della struttura agente. Il server invia una notifica agli agenti. 6. Controllare lo stato della notifica e verificare che tutti gli agenti abbiano ricevuto la notifica. 7. Fare clic su Seleziona dispositivo non notificati, quindi su Avvia Esegui scansione per inviare nuovamente la notifica agli agenti che non l'hanno ricevuta. Esempio: Numero totale di agenti: 50 TABELLA 7-10. Scenari di agenti non notificati SELEZIONE STRUTTURA AGENTE AGENTI NOTIFICATI (DOPO "AVVIA ESEGUI SCANSIONE") AVER FATTO CLIC SU AGENTI NON NOTIFICATI Nessuno (tutti i 50 agenti selezionati automaticamente) 35 su 50 agenti 15 agenti Selezione manuale (45 su 50 agenti selezionati) 40 su 45 agenti 5 agenti + altri 5 agenti non inclusi nella selezione manuale 8. Fare clic su Interrompi notifica per richiedere a OfficeScan di interrompere l'invio della notifica agli agenti. Gli agenti che hanno già ricevuto la notifica e hanno già avviato il processo di scansione ignoreranno questo comando. 9. Per gli agenti che stanno già eseguendo la scansione, fare clic su Interrompi Esegui scansione per richiedere l'interruzione della scansione. 7-27 Guida per l'amministratore di OfficeScan™ 11.0 Impostazioni comuni a tutti i tipi di scansione Per ciascun tipo di scansione, configurare tre gruppi di impostazioni: parametri di scansione, esclusioni di scansione e azioni di scansione. Implementare queste impostazioni su uno o più agenti e domini oppure su tutti gli agenti gestiti dal server. Parametri di scansione Specificare i tipi di file associati a un tipo di scansione particolare utilizzando gli attributi dei file come tipo di file ed estensione. Specificare inoltre le condizioni che avviano la scansione. Ad esempio, configurare Scansione in tempo reale per ciascun tipo di file dopo averlo scaricato nell'dispositivo. Attività utente sui file Scegliere le attività sui file che avviano Scansione in tempo reale. Selezionare una delle opzioni seguenti: • Scansione dei file creati/modificati: esegue la scansione dei nuovi file introdotti nell'dispositivo (ad esempio dopo il download di un file) o dei file modificati • Scansione dei file recuperati: esegue la scansione dei file alla loro apertura • Scansione dei file creati/modificati e recuperati Ad esempio, se viene selezionata la terza opzione, un nuovo file scaricato nell'dispositivo viene sottoposto a scansione e, se non vengono rilevati rischi per la sicurezza, rimane nella posizione corrente. Lo stesso file viene sottoposto a scansione quando un utente lo apre e, se l'utente lo modifica, prima che le modifiche vengano salvate. File da esaminare Selezionare una delle opzioni seguenti: • 7-28 Tutti i file analizzabili: esegue la scansione di tutti i file Analisi dei rischi per la sicurezza • Tipi di file analizzati da IntelliScan: esegue solo la scansione di file che possono potenzialmente nascondere codici dannosi, compresi quelli mascherati da nomi estensione innocui. Per informazioni, vedere IntelliScan a pagina E-6. • File con le seguenti estensioni: esegue solo la scansione dei file con estensione compresa nell'elenco estensioni dei file. Aggiungere nuove estensioni o rimuovere quelle esistenti. Impostazioni di scansione Selezionare una o più opzioni tra quelle elencate di seguito: • Scansione del disco floppy allo spegnimento del sistema: Scansione in tempo reale esegue la scansione del disco floppy per rilevare virus da boot prima dello spegnimento dell'dispositivo. Ciò impedisce l'esecuzione di virus/minacce informatiche quando un utente riavvia l'dispositivo dal disco. • Scansione cartelle nascoste: consente a OfficeScan di rilevare le cartelle nascoste dell'dispositivo e di eseguirne la scansione durante Scansione manuale • Analizza unità di rete: esegue la scansione delle cartelle o delle unità di rete mappate nell'dispositivo agente OfficeScan durante Scansione manuale o Scansione in tempo reale. • Esegui la scansione del settore boot del dispositivo di archiviazione USB dopo il collegamento: esegue la scansione automatica del settore boot di un dispositivo di archiviazione USB quando viene collegato con Scansione in tempo reale. • Esegui la scansione di tutti i file nei dispositivi di archiviazione rimovibili dopo il collegamento: esegue la scansione automatica di tutti i file di un dispositivo di archiviazione USB quando viene collegato con Scansione in tempo reale. • Varianti di malware in quarantena rilevate nella memoria: Monitoraggio del comportamento effettua la scansione della memoria di sistema per processi sospetti mentre Scansione in tempo reale mappa il processo e ne esegue la scansione per le minacce informatiche. Se è presente una minaccia informatica, Scansione in tempo reale sottopone a quarantena il processo e/o il file. 7-29 Guida per l'amministratore di OfficeScan™ 11.0 Nota Per utilizzare questa funzione gli amministratori devono attivare il Servizio prevenzione modifiche non autorizzate e il Servizio di protezione avanzata. • Scansione dei file compressi: consente a OfficeScan di analizzare il numero specificato di livelli di compressione e ignora tutti i livelli in eccesso. Inoltre OfficeScan disinfetta o elimina i file infetti inclusi nei file compressi. Ad esempio, se il massimo fissato è due livelli e un file compresso da analizzare ha sei livelli, OfficeScan analizza due livelli e ignora i restanti quattro. Se un file compresso contiene minacce per la sicurezza, OfficeScan disinfetta ed elimina il file. Nota OfficeScan considera i file Microsoft Office 2007 in formato Office Open XML come file compressi. Office Open XML, il formato file per le applicazioni Office 2007, utilizza le tecnologie di compressione ZIP. Se si desidera che i file creati con queste applicazioni vengano analizzati alla ricerca di virus/minacce informatiche, è necessario attivare la scansione dei file compressi. • Analizza oggetti OLE: quando un file contiene più livelli OLE (Object Linking and Embedding), OfficeScan esegue la scansione del numero di livelli specificato e ignora i livelli rimanenti. Tutti gli agenti OfficeScan gestiti dal server controllano questa impostazione durante le funzioni Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. La scansione per rilevare virus/minacce informatiche e spyware/grayware viene eseguita su ciascun livello. Ad esempio: si supponga che il numero di livelli specificati sia 2 e che un file abbia un documento Microsoft Word incorporato (primo livello) all'interno del quale è presente un foglio di calcolo Microsoft Excel (secondo livello) che contiene un file .exe (terzo livello). OfficeScan esegue la scansione del documento Word e del foglio di calcolo Excel, ma ignora il file .exe. • 7-30 Rileva codice maligno in file OLE: il Rilevamento minaccia OLE consente di identificare in modo euristico eventuali minacce informatiche controllando che i file Microsoft Office non contengano codice di minaccia. Analisi dei rischi per la sicurezza Nota Il numero di livelli specificato è applicabile a entrambe le opzioni Analizza oggetti OLE e Rileva codice maligno. • Abilita IntelliTrap: rileva e rimuove virus/minacce informatiche nei file eseguibili compressi. Questa opzione è disponibile soltanto per Scansione in tempo reale. Per informazioni, vedere IntelliTrap a pagina E-7. • Esamina settore boot: esegue la scansione del settore boot del disco rigido dell'dispositivo agente per rilevare virus/minacce informatiche durante Scansione manuale, Scansione pianificata ed Esegui scansione Uso della CPU È possibile impostare in OfficeScan una pausa tra una scansione di un file e quella successiva. Questa impostazione viene utilizzata durante Scansione manuale, Scansione pianificata ed Esegui scansione. Selezionare una delle opzioni seguenti: • Alto: nessuna pausa tra le scansioni • Medio: effettua una pausa tra una scansione file e quella successiva, se il consumo di risorse della CPU è superiore al 50%; in caso contrario non effettua la pausa. • Basso: effettua una pausa tra una scansione file e quella successiva, se il consumo di risorse della CPU è superiore al 20%; in caso contrario non effettua la pausa. Se si sceglie Medio o Basso, quando la scansione viene avviata e il consumo di CPU è inferiore al valore di soglia (50% o 20%), OfficeScan non effettua la pausa riducendo in tal modo i tempi della scansione. OfficeScan utilizza più risorse di CPU nel processo ma poiché il consumo di CPU è ottimale, le prestazioni dell'dispositivo non ne risentono in modo sensibile. Quando il consumo di CPU comincia ad eccedere il valore di soglia, OfficeScan effettua la pausa per ridurre l'uso di CPU e interrompe la pausa quando il consumo torna al di sotto del valore di soglia. Se si sceglie Alto, OfficeScan non controlla il consumo di CPU effettivo ed esegue la scansione dei file senza pause. 7-31 Guida per l'amministratore di OfficeScan™ 11.0 Pianificazione Configurare la frequenza (giornaliera, settimanale o mensile) e l'ora di esecuzione della Scansione pianificata. Per le scansioni pianificate mensilmente, è possibile scegliere un determinato giorno del mese o della settimana e l'ordine di ricorrenza. • • Un determinato giorno del mese: selezionare un giorno compreso tra 1 e 31. Se si seleziona il 29, 30 o 31 di un mese che non ha tale giorno, la Scansione pianificata viene eseguita l'ultimo giorno del mese. Quindi: • Se si seleziona il 29, la Scansione pianificata viene eseguita il 28 febbraio (ad eccezione degli anni bisestili) e il 29 di tutti gli altri mesi. • Se si seleziona il 30, la Scansione pianificata viene eseguita il 28 o 29 febbraio e il 30 di tutti gli altri mesi. • Se si seleziona il 31, la Scansione pianificata viene eseguita il 28 o 29 febbraio, il 30 di aprile, giugno, settembre e novembre e il 31 di tutti gli altri mesi. Un giorno della settimana e l'ordine di ricorrenza: un giorno della settimana ricorre quattro volte al mese. Ad esempio, generalmente in un mese ci sono quattro lunedì. Specificare un giorno della settimana e l'ordine di ricorrenza nel mese. Ad esempio, scegliere di eseguire la Scansione pianificata il secondo lunedì di ogni mese. Se si sceglie la quinta ricorrenza di un giorno, nei mesi in cui non esiste la quinta ricorrenza la Scansione pianificata viene eseguita alla quarta ricorrenza. Esclusioni scansione La configurazione delle esclusioni di scansione consente di migliorare le prestazioni della scansione e di ignorare i file che generano falsi allarmi durante la scansione. Quando si esegue un determinato tipo di scansione, OfficeScan controlla l'elenco di esclusione della scansione per determinare i file dell'dispositivo che devono essere esclusi dalla scansione per il rilevamento di virus/minacce informatiche e spyware/grayware. Quando si attiva l'esclusione dalla scansione, OfficeScan non esegue la scansione di un file negli scenari riportati di seguito: • 7-32 Il file si trova in una directory specifica (o in una delle sottodirectory). Analisi dei rischi per la sicurezza • Il nome del file corrisponde a un nome contenuto nell'elenco di esclusione. • L'estensione del file corrisponde a un'estensione contenuta nell'elenco di esclusione. Suggerimento Per un elenco dei prodotti consigliati da Trend Micro, escludendo la Scansione in tempo reale, accedere a: http://esupport.trendmicro.com/solution/en-US/1059770.aspx Eccezioni con caratteri jolly Gli elenchi di esclusione di file e directory dalla scansione supportano l'uso dei caratteri jolly. Utilizzare il carattere "?" in sostituzione di un carattere e "*" in sostituzione di diversi caratteri. Utilizzare i caratteri jolly con estrema cautela. Eventuali errori nell'utilizzo del carattere jolly potrebbero comportare l'esclusione dalla scansione delle directory e dei file sbagliati. Ad esempio, l'aggiunta diC:\* all'Elenco di esclusione scansione (file) escluderebbe l'intera unità C:\. TABELLA 7-11. Esclusioni dalla scansione con caratteri jolly VALORE ESCLUSI NON ESCLUSI c:\director*\fil \*.txt c:\directory\fil\doc.txt c:\directory\file\ c:\directories\fil\files \document.txt c:\directories\files\ c:\directory\file\doc.txt c:\directories\files \document.txt c:\director? \file\*.txt c:\directory\file \doc.txt c:\directories\file \document.txt c:\director? \file\?.txt c:\directory\file\1.txt c:\directory\file\doc.txt c:\directories\file \document.txt 7-33 Guida per l'amministratore di OfficeScan™ 11.0 VALORE ESCLUSI C:\ Tutti gli altri tipi di file nella directory C:\ [] Non supportato Non supportato *.* Non supportato Non supportato c:\*.txt Tutti i file .txt nella directory NON ESCLUSI Elenco di esclusione scansione (directory) OfficeScan non esegue la scansione di tutti i file presenti in una directory specifica del computer. È possibile specificare al massimo 256 directory. Nota Escludendo una directory dalle scansioni, OfficeScan esclude automaticamente tutte le relative sottodirectory dalle scansioni. Inoltre è possibile selezionare l'opzione Escludi directory di installazione dei programmi Trend Micro. Se si seleziona questa opzione OfficeScan esclude automaticamente dalla scansione le directory dei seguenti prodotti Trend Micro: • <Cartella di installazione del server> • ScanMail™ per Microsoft Exchange (tutte le versioni tranne la versione 7). Se si utilizza la versione 7, aggiungere all'elenco di esclusione le seguenti cartelle: • \Smex\Temp • \Smex\Storage • \Smex\ShareResPool • ScanMail eManager™ 3.11, 5.1, 5.11, 5.12 • ScanMail for Lotus Notes™ eManager NT • InterScan Web Security Suite • InterScan Web Protect 7-34 Analisi dei rischi per la sicurezza • InterScan FTP VirusWall • InterScan Web VirusWall • InterScan E-mail VirusWall • InterScan VirusWall 3.53 • InterScan NSAPI Plug-in • InterScan eManager 3.5x Se si dispone di un prodotto Trend Micro NON presente nell'elenco, aggiungere manualmente la directory del prodotto all'elenco di esclusione dalla scansione. Configurare inoltre OfficeScan per escludere le direcrory di Microsoft Exchange 2000/2003 accedendo alla sezione Impostazioni di scansione di Agenti > Impostazioni globali agente. Se si utilizza Microsoft Exchange 2007 o versioni successive, aggiungere la directory manualmente all'elenco di esclusione dalla scansione. Per maggiori dettagli sull'esclusione dalla scansione, consultare il sito riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: • Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente. Per salvare e implementare le modifiche effettuate all'elenco di esclusione, selezionare una delle altre opzioni. • Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli agenti, OfficeScan visualizza un messaggio di conferma. • Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di esclusione dell'agente, l'agente lo ignorerà. • Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente, se presenti. 7-35 Guida per l'amministratore di OfficeScan™ 11.0 Elenco di esclusione scansione (file) OfficeScan non esegue la scansione di un file se il nome del file corrisponde a uno dei nomi contenuti nell'elenco di esclusione. Se si vuole escludere un file trovato in un determinato percorso dell'dispositivo, includere il percorso, ad esempio C:\Temp \esempio.jpg. È possibile specificare al massimo 256 file. Quando si configura l'elenco dei file, scegliere dalle seguenti opzioni: • Mantiene l'elenco corrente (predefinito): OfficeScan fornisce questa opzione per impedire la sovrascrittura accidentale dell'elenco di esclusione dell'agente esistente. Per salvare e implementare le modifiche effettuate all'elenco di esclusione, selezionare una delle altre opzioni. • Sovrascrive: questa opzione rimuove e sostituisce l'intero elenco di esclusione sull'agente con l'elenco corrente. Dopo aver fatto clic su Applica a tutti gli agenti, OfficeScan visualizza un messaggio di conferma. • Aggiunge percorsi a: questa opzione aggiunge gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente. Se un elemento esiste già nell'elenco di esclusione dell'agente, l'agente lo ignorerà. • Rimuove percorsi da: questa opzione rimuove gli elementi dell'elenco corrente all'elenco di esclusione esistente dell'agente, se presenti. Elenco di esclusione scansione (estensione file) OfficeScan non esegue la scansione di un file se l'estensione del file corrisponde a una delle estensioni contenute nell'elenco di esclusione. È possibile specificare al massimo 256 estensioni di file. Non è necessario specificare un punto (.) prima dell'estensione. Per Scansione in tempo reale utilizzare un asterisco (*) come carattere jolly quando si specificano le estensioni. Ad esempio, se non si desidera effettuare la scansione di tutti i file le cui estensioni iniziano con la lettera D (come DOC, DOT o DAT), è possibile digitare D*. Per Scansione manuale, Scansione pianificata ed Esegui scansione, utilizzare un punto interrogativo (?) o un asterisco (*) come carattere jolly. 7-36 Analisi dei rischi per la sicurezza Applica impostazioni di esclusione scansione a tutti i tipi di scansione OfficeScan consente di configurare le impostazioni di esclusione per un tipo di scansione specifico e poi applicare le stesse impostazioni a tutti gli altri tipi di scansione. Ad esempio: Il primo gennaio Mario, l'amministratore OfficeScan, trova molti file JPG nei computer agente e si rende conto che questi file non rappresentano una minaccia alla sicurezza. Mario aggiunge JPG all'elenco di esclusione dei file per Scansione manuale e applica questa impostazione a tutti i tipi di scansione. Le funzioni Scansione in tempo reale, Esegui scansione e Scansione pianificata sono impostate in modo da ignorare i file .jpg. Una settimana dopo Mario rimuove JPG dall'elenco di esclusione per Scansione in tempo reale ma non applica tali impostazioni di esclusione a tutti i tipi di scansione. Ora i file JPG vengono sottoposti a scansione solo con Scansione in tempo reale. Azioni di scansione Specificare l'azione che OfficeScan deve eseguire quando un tipo di scansione rileva un rischio per la sicurezza. OfficeScan ha gruppi di azioni o operazioni di scansione differenti per virus/minacce informatiche e spyware/grayware. Azioni di scansione di virus/minacce informatiche L'azione di scansione eseguita da OfficeScan dipende dal tipo di virus/minaccia informatica e dal tipo di scansione con cui è stato rilevato il virus o la minaccia. Ad esempio, quando OfficeScan rileva un cavallo di Troia (tipo di virus/minaccia informatica) durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) del file infetto. Per informazioni sui diversi tipi di virus/minacce informatiche, vedere Virus e minacce informatiche a pagina 7-2. Di seguito sono riportate le operazioni di OfficeScan contro virus/minacce informatiche: 7-37 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 7-12. Azioni di scansione di virus/minacce informatiche AZIONE DESCRIZIONE Elimina OfficeScan elimina il file infetto. Metti in quarantena OfficeScan rinomina e sposta il file infetto in una directory di quarantena temporanea sull'dispositivo agente, che si trova in <Cartella di installazione dell'agente>\Suspect. L'agente OfficeScan invia i file in quarantena alla directory di quarantena designata. Per informazioni, vedere Directory di quarantena a pagina 7-41. La directory di quarantena predefinita si trova sul server OfficeScan in <Cartella di installazione del server>\PCCSRV\Virus. OfficeScan codifica i file in quarantena inviati a questa directory. Se occorre ripristinare i file in quarantena, utilizzare lo strumento VSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento, vedere Server Tuner a pagina 13-55. Disinfetta Prima di consentire l'accesso completo al file, OfficeScan disinfetta il file infetto. Se il file non può essere disinfettato, OfficeScan esegue una seconda operazione: Metti in quarantena, Elimina, Rinomina, e Ignora. Per configurare la seconda azione, accedere a Agenti > Gestione agente. Fare clic sulla scheda Impostazioni > Impostazioni di scansione > {Tipo di scansione} > Azione. Questa operazione può essere eseguita su tutti i tipi di minacce informatiche ad eccezione di virus/minacce informatiche probabili. Rinomina OfficeScan modifica l'estensione del file infetto in "vir". Gli utenti non possono aprire il file rinominato immediatamente ma solo se lo associano a una determinata applicazione. All'apertura del file infetto rinominato, il virus o la minaccia informatica in esso contenuti potrebbero entrare in azione. 7-38 Analisi dei rischi per la sicurezza AZIONE DESCRIZIONE Ignora OfficeScan può utilizzare questa operazione di scansione solo se rileva un tipo di virus durante Scansione manuale, Scansione pianificata ed Esegui scansione. OfficeScan non può utilizzare questa operazione di scansione durante la Scansione in tempo reale perché la mancata esecuzione di un'operazione quando si rileva un tentativo di aprire o eseguire un file infetto consente l'esecuzione del virus/della minaccia. Tutte le altre azioni di scansione possono essere utilizzate. Impedisci l'accesso Questa operazione di scansione può essere eseguita solo durante la scansione in tempo reale. Quando OfficeScan rileva un tentativo di aprire o eseguire un file infetto, blocca immediatamente l'operazione. Gli utenti possono eliminare manualmente il file infetto. Usa ActiveAction Virus/minacce informatiche di tipo diverso richiedono azioni di scansione diverse. La personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce informatiche e può essere un compito alquanto noioso. OfficeScan utilizza ActiveAction per contrastare questi problemi. ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacce informatiche. Se non si ha una conoscenza approfondita delle operazioni di scansione o se non si è sicuri di quali operazioni di scansione siano adatte a determinati tipi di virus/ minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction. L'utilizzo di ActiveAction offre i vantaggi illustrati di seguito. • ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non è necessario dedicare tempo alla configurazione delle operazioni. • Gli sviluppatori di virus/minacce informatiche modificano costantemente il modo in cui i virus attaccano i computer. Le impostazioni di ActiveAction vengono aggiornate per fornire protezione dalle minacce più recenti e dalle modalità di attacco di virus/minacce informatiche più recenti. Nota ActiveAction non è disponibile per la scansione spyware/grayware. 7-39 Guida per l'amministratore di OfficeScan™ 11.0 La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus e minacce informatiche: TABELLA 7-13. Operazioni di scansione consigliate da Trend Micro contro virus e minacce informatiche TIPO DI VIRUS/ SCANSIONE IN TEMPO REALE SCANSIONE MANUALE/SCANSIONE PIANIFICATA/ESEGUI SCANSIONE MINACCIA INFORMATICA PRIMA SECONDA PRIMA SECONDA OPERAZIONE OPERAZIONE OPERAZIONE OPERAZIONE Programma Joke Metti in quarantena Elimina Metti in quarantena Elimina Programma cavallo di Troia Metti in quarantena Elimina Metti in quarantena Elimina Virus Disinfetta Metti in quarantena Disinfetta Metti in quarantena virus di prova Impedisci l'accesso N.D. Ignora N.D. Packer Metti in quarantena N.D. Metti in quarantena N.D. Altro Disinfetta Metti in quarantena Disinfetta Metti in quarantena Probabile virus/ minaccia informatica Impedisci l'accesso o azione configurata dall'utente N.D. Ignora o azione configurata dall'utente N.D. Per i probabili virus/minacce informatiche, l'azione predefinita è "Impedisci l'accesso" durante la Scansione in tempo reale e "Ignora" durante la Scansione manuale, Scansione pianificata ed Esegui scansione. Se non si desidera impostare queste azioni come preferite, è possibile modificarle in Quarantena, Elimina o Rinomina. 7-40 Analisi dei rischi per la sicurezza Stessa operazione per tutti i tipi virus o minaccia informatica Selezionare questa opzione per eseguire la stessa operazione su tutti i tipi di virus/ minacce informatiche, ad eccezione dei virus/minacce informatiche probabili. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Se si sceglie "Disinfetta" come prima azione, OfficeScan esegue la seconda azione quando rileva probabili virus/minacce informatiche. Azione specifica per ogni tipo di virus o minaccia Selezionare manualmente una specifica azione di scansione per ciascun tipo di virus o minaccia informatica. Per tutti i tipi di virus/minacce informatiche, eccetto i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione. Se come prima operazione si è scelto "Disinfetta", selezionare una seconda operazione che OfficeScan deve eseguire se la disinfezione non riesce. Se la prima operazione non è "Disinfetta", non è possibile configurare una seconda operazione. Per i virus/minacce informatiche probabili, sono disponibili tutte le azioni di scansione, ad eccezione di "Disinfetta". Directory di quarantena Se l'azione di un file infetto è "Quarantena", l'agente OfficeScan crittografa il file e lo trasferisce in una cartella di quarantena temporanea in <Cartella di installazione dell'agente> \SUSPECT e poi invia il file alla directory di quarantena designata. Nota Qualora successivamente fosse necessario accedere ai file in quarantena crittografati, è possibile ripristinarli. Per ulteriori dettagli, vedere Ripristino dei file crittografati a pagina 7-46. 7-41 Guida per l'amministratore di OfficeScan™ 11.0 Accettare la directory di quarantena predefinita, che si trova nel computer server OfficeScan. La directory è in formato URL e contiene il nome host del server o l'indirizzo IP. • Se il server gestisce agenti IPv4 e IPv6, usare il nome host in modo che tutti gli agenti possano inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo), solo gli agenti IPv4 puri e dual-stack possono inviare file in quarantena al server. • Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo), solo gli agenti IPv6 puri e dual-stack possono inviare file in quarantena al server. È anche possibile specificare una directory di quarantena alternativa immettendo il percorso in formato URL o UNC o un percorso di file assoluto. Gli agenti devono essere in grado di connettersi a questa directory alternativa. Ad esempio, la directory alternativa deve avere un indirizzo IPv6 se riceverà file in quarantena da agenti dualstack e IPv6 puri. Trend Micro consiglia di designare una directory dual-stack alternativa, identificando la directory con il corrispondente nome host e specificando la directory con un percorso UNC. Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL, percorso UNC o percorso di file assoluto: TABELLA 7-14. Directory di quarantena DIRECTORY DI FORMATO QUARANTENA ACCETTATO Una directory sul computer server OfficeScan 7-42 ESEMPIO URL http:// <server osce> Percorso UNC \\<server osce>\ ofcscan\Virus NOTE Questa è la directory predefinita. Configurare le impostazioni di questa directory, quali le dimensioni della cartella di quarantena. Per ulteriori dettagli, vedere Gestore della quarantena a pagina 13-54. Analisi dei rischi per la sicurezza DIRECTORY DI FORMATO QUARANTENA ACCETTATO ESEMPIO NOTE Accertarsi che gli agenti siano in grado di connettersi a questa directory. Se si specifica una directory non valida, l'agente OfficeScan conserva i file di quarantena nella cartella SUSPECT fino a quando non viene specificata una directory di quarantena valida. Nei registri di virus e minacce informatiche sul server, il risultato della scansione è "Impossibile inviare il file da mettere in quarantena alla cartella in quarantena specificata". Una directory su un altro computer server OfficeScan (se sono presenti altri server OfficeScan nella rete) URL http:// <server2 osce> Percorso UNC \\<server2 osce> \ ofcscan\Virus Un altro dispositivo della rete Percorso UNC \\<nome_ computer>\temp Una diversa directory sull'agente OfficeScan Percorso assoluto C:\temp Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo "Tutti" e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. Crea copia di backup prima di disinfettare Se OfficeScan è impostato per la disinfezione del file infetto, può prima eseguire il backup del file. Ciò consente di ripristinare il file in caso fosse necessario in futuro. OfficeScan crittografa il file di backup per prevenirne l'apertura e lo archivia nella cartella <Cartella di installazione dell'agente>\Backup. Per ripristinare i file di backup crittografati, vedere Ripristino dei file crittografati a pagina 7-46. Damage Cleanup Services Damage Cleanup Services disinfetta i computer dai virus di rete, da quelli basati su file e dalle tracce rimanenti di virus e di worm (cavalli di Troia, voci di registro, file virali). L'agente avvia Damage Cleanup Services prima o dopo la scansione di virus/minacce informatiche, in base al tipo di scansione. 7-43 Guida per l'amministratore di OfficeScan™ 11.0 • Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione, l'agente OfficeScan avvia prima Damage Cleanup Services, quindi continua con la scansione di virus/minacce informatiche. Durante la scansione di virus/minacce informatiche, l'agente può avviare di nuovo Damage Cleanup Services, se necessario. • Durante Scansione in tempo reale, l'agente OfficeScan esegue prima la scansione di virus/minacce informatiche, quindi avvia Damage Cleanup Services, se necessario. È possibile selezionare il tipo di disinfezione eseguito da Damage Cleanup Services: • • Disinfezione standard: durante la disinfezione standard, l'agente OfficeScan esegue una delle seguenti azioni: • Rileva e rimuove i cavalli di Troia attivi • Blocca i processi innescati dai cavalli di Troia • Ripara i file di sistema modificati dai cavalli di Troia • Elimina i file e le applicazioni lasciati dai cavalli di Troia Disinfezione avanzata: oltre alle azioni di disinfezione standard, l'agente OfficeScan arresta le attività dei software di sicurezza non legittimi, noti anche come falsi antivirus, nonché di alcune varianti rootkit. L'agente OfficeScan utilizza anche regole di disinfezione avanzate per rilevare e arrestare in modo proattivo le applicazioni che manifestano un comportamento rootkit e da falso antivirus. Nota Pur fornendo una protezione proattiva, la disinfezione avanzata determina anche un altro numero di falsi allarmi. Damage Cleanup Services non esegue la scansione di virus/minacce informatiche probabili a meno che non si selezioni l'opzione Esegui disinfezione quando viene rilevato probabile virus/minaccia informatica. Selezionare questa opzione solo se l'azione su virus/minacce informatiche probabili non è Ignora o Impedisci l'accesso. Ad esempio, se l'agente OfficeScan rileva virus/minacce informatiche probabili durante Scansione in tempo reale e l'azione è Metti in quarantena, l'agente OfficeScan prima 7-44 Analisi dei rischi per la sicurezza mette in quarantena il file infetto e poi esegue la disinfezione, se necessario. Il tipo di disinfezione (standard o avanzata) dipende dalle opzioni selezionate. Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva virus/minacce informatiche durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. Mostra notifica al rilevamento di probabile spyware/ grayware Quando OfficeScan rileva virus/minacce informatiche probabili durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Virus/minacce informatiche dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. Ripristino dei file in quarantena È possibile ripristinare i file che OfficeScan ha sottoposto a quarantena se si ritiene che il rilevamento non sia stato accurato. La funzione Ripristino Files in Quarantena consente di cercare i file nella directory di quarantena ed eseguire una verifica SHA1 per verificare che i file che si desidera ripristinare non siano stati modificati in alcun modo. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, selezionare un dominio o un qualsiasi agente. 3. Fare clic su Operazioni > Ripristino Files in Quarantena. Viene visualizzata la schermata Ripristino Files in Quarantena. 7-45 Guida per l'amministratore di OfficeScan™ 11.0 4. Digitare il nome dei dati che si desidera ripristinare nel campo File/oggetto infetto. 5. Specificare, facoltativamente, il periodo di tempo, il nome della minaccia per la sicurezza e il percorso del file di dati. 6. Fare clic su Cerca. Viene visualizzata la schermata Ripristino Files in Quarantena, con i risultati della ricerca. 7. Selezionare Aggiungi file ripristinato all'elenco di esclusione del dominio per assicurare che tutti gli agenti OfficeScan nei domini dove i file sono stati ripristinati aggiungano il file all'elenco di esclusione scansione. Questa operazione assicura che OfficeScan non rilevi il file come minaccia durante le future scansioni. 8. Facoltativamente, digitare il valore SHA1 del file a scopo di verifica. 9. Selezionare i file da ripristinare dall'elenco e fare clic su Ripristina. Suggerimento Per visualizzare i singoli agenti OfficeScan che ripristinano il file, fare clic sul collegamento nella colonna Dispositivo. 10. Fare clic su Chiudi nella finestra di dialogo di conferma. Per verificare che OfficeScan abbia ripristinato correttamente il file di quarantena, vedere Visualizzazione dei registri di ripristino files in quarantena a pagina 7-98. Ripristino dei file crittografati Per impedire l'apertura dei file infetti, OfficeScan decodifica il file negli scenari riportati di seguito: • Prima di mettere un file in quarantena • Quando si esegue un backup di un file prima di disinfettarlo 7-46 Analisi dei rischi per la sicurezza OfficeScan fornisce uno strumento per decodificare e ripristinare i file in caso sia necessario recuperare le informazioni in esso contenute. OfficeScan può decodificare e ripristinare i file seguenti: TABELLA 7-15. File soggetti a decodifica e ripristino in OfficeScan FILE DESCRIZIONE File messi in quarantena nell'dispositivo agente Questi file si trovano in <Cartella di installazione dell'agente> \SUSPECT\Backup e vengono automaticamente cancellati dopo 7 giorni. Questi file inoltre vengono caricati nella directory di quarantena nel server OfficeScan. File in quarantena nella directory di quarantena designata Per impostazione predefinita questa directory si trova nel computer server OfficeScan. Per ulteriori dettagli, vedere Directory di quarantena a pagina 7-41. File crittografati di backup I file di backup dei file infetti disinfettati da OfficeScan. Questi file si trovano in <Cartella di installazione dell'agente>\Backup. Per ripristinare questi file, gli utenti devono trasferirli nella <Cartella di installazione dell'agente>\SUSPECT\Backup. OfficeScan esegue il backup e la crittografia dei file prima di disinfettarli solo se si seleziona la scheda Esegui backup dei file prima della disinfezione in Agenti > Gestione agente > Impostazioni > Impostazioni di scansione > {tipo di scansione} > Azione. AVVERTENZA! Il ripristino di un file infetto può causare la diffusione di virus/minacce informatiche ad altri file e computer. Prima di ripristinare il file, isolare l'dispositivo infetto e trasferire i file importanti dell'dispositivo in un percorso di backup. Decodifica e ripristino dei file Procedura • Se il file si trova nell'dispositivo agente OfficeScan: a. Aprire il prompt dei comandi e accedere a <Cartella di installazione dell'agente>. 7-47 Guida per l'amministratore di OfficeScan™ 11.0 b. Eseguire VSEncode.exe facendo doppio clic sul file o digitando quanto segue nel prompt dei comandi: VSEncode.exe /u Questo parametro apre una schermata contenente un elenco dei file presenti in <Cartella di installazione dell'agente>\SUSPECT \Backup. c. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in grado di ripristinare un solo file alla volta. d. Nella schermata visualizzata specificare la cartella nella quale deve essere ripristinato il file. e. Fare clic su OK. Il file viene ripristinato nella cartella specificata. Nota Se OfficeScan esegue di nuovo la scansione del file subito dopo che è stato ripristinato, è possibile che venga considerato infetto. Per impedire la scansione del file, aggiungerlo all'elenco di esclusione della scansione. Per informazioni, vedere Esclusioni scansione a pagina 7-32. f. • Terminato il ripristino dei file, fare clic su Chiudi. Se il file si trova nel server OfficeScan o in una directory di quarantena personalizzata: a. Se il file si trova nel computer server OfficeScan, aprire il prompt dei comandi e accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility \VSEncrypt. Se il file si trova in una directory di quarantena personalizzata, accedere a <Cartella di installazione del server>\PCCSRV\Admin \Utility e copiare la cartella VSEncrypt nell'dispositivo contenente la directory di quarantena personalizzata. b. Creare un file di testo e digitare l'intero percorso dei file da codificare o decodificare. Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare nel file di testo C:\Documenti\Reports\*.*. 7-48 Analisi dei rischi per la sicurezza I file in quarantena nel computer server OfficeScan si trovano in <Cartella di installazione del server>\PCCSRV\Virus. c. d. Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con il nome PerCrittografia.ini nell'unità C: . Aprire un prompt dei comandi e andare alla directory in cui si trova la cartella VSEncrypt. e. Digitare il comando riportato di seguito per eseguire VSEncode.exe: VSEncode.exe /d /i <percorso del file INI o TXT> Dove: <percorso del file INI o TXT> è il percorso del file INI o TXT creato (ad esempio C:\ForEncryption.ini). f. Utilizzare gli altri parametri per ottenere comandi diversi. TABELLA 7-16. Parametri di ripristino PARAMETRO DESCRIZIONE Nessuno (nessun parametro) Codifica i file /d Decodifica i file /debug Creare un registro di debug e salvarlo nell'dispositivo. Nell'dispositivo agente OfficeScan, il registro di debug VSEncrypt.log viene creato in <Cartella di installazione dell'agente>. /o Sovrascrive il file crittografato o decrittografato già esistente /f <nome file>. Codifica o decodifica un solo file /nr Non ripristina il nome del file originale /v Visualizza le informazioni sullo strumento /u Avvia l'interfaccia utente dello strumento 7-49 Guida per l'amministratore di OfficeScan™ 11.0 PARAMETRO DESCRIZIONE /r <Cartella di destinazione> Cartella contenente il file ripristinato /s <Nome del file originale> Il nome del file crittografato originale Ad esempio, è possibile digitare VSEncode [/d] [/debug] per decodificare i file nella cartella Suspect e creare un registro di debug. Quando si decodifica o si codifica un file, OfficeScan crea il file decodificato o codificato nella stessa cartella. Prima di decodificare o codificare un file, accertarsi che il file non sia bloccato. Azioni di scansione spyware/grayware L'azione di scansione eseguita da OfficeScan dipende dal tipo di scansione che ha rilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche per ciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione valida per tutti i tipi di spyware/grayware (per informazioni sui diversi tipi di spyware/ grayware, vedere Spyware e grayware a pagina 7-5). Ad esempio, quando OfficeScan rileva qualsiasi tipo di spyware/grayware durante una scansione manuale (tipo di scansione), esegue la disinfezione (operazione) delle relative risorse di sistema. Nota Le azioni di spyware/grayware sono configurabili solo tramite la console Web. La console dell'agente OfficeScan non consente di accedere a queste impostazioni. Di seguito sono riportate le operazioni di OfficeScan contro spyware/grayware: 7-50 Analisi dei rischi per la sicurezza TABELLA 7-17. Azioni di scansione spyware/grayware AZIONE Disinfetta DESCRIZIONE OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. Dopo aver effettuato la disinfezione di spyware e grayware, gli agenti OfficeScan effettuano un backup dei dati relativi a spyware e grayware così da consentirne il ripristino nel caso in cui l'utente li consideri sicuri. Per informazioni, vedere Ripristino spyware/grayware a pagina 7-54. Ignora OfficeScan non esegue alcuna operazione sui componenti spyware/ grayware rilevati, ma registra il rilevamento di spyware/grayware. Questa azione può essere utilizzata solo durante Scansione manuale, Scansione pianificata ed Esegui scansione. Durante Scansione in tempo reale, l'azione è "Impedisci l'accesso". OfficeScan non esegue azioni se lo spyware/grayware rilevato non è incluso nell'elenco approvato. Per informazioni, vedere Elenco Approvati spyware/grayware a pagina 7-51. Impedisci l'accesso OfficeScan nega all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. Questa azione può essere eseguita solo durante Scansione in tempo reale. Durante Scansione manuale, Scansione pianificata ed Esegui scansione, l'azione è "Ignora". Mostra notifica al rilevamento di spyware/grayware Quando OfficeScan rileva spyware/grayware durante Scansione in tempo reale e Scansione pianificata, è possibile fare in modo che venga visualizzato un messaggio di notifica per informare l'utente del rilevamento. Per modificare il messaggio di notifica, selezionare Spyware/Grayware dal menu a discesa Tipo in Amministrazione > Notifiche > Agente. Elenco Approvati spyware/grayware OfficeScan comprende un elenco di spyware/grayware "approvati" che contiene i file e le applicazioni che non devono essere considerati spyware o grayware. Quando uno spyware/grayware viene rilevato durante la scansione, OfficeScan controlla l'elenco 7-51 Guida per l'amministratore di OfficeScan™ 11.0 approvati e, se esistono delle corrispondenze con il contenuto dell'elenco, non esegue alcuna azione. Applicare l'elenco approvati a uno o più agenti e domini oppure a tutti gli agenti gestiti dal server. L'elenco approvati viene applicato a tutti i tipi di scansione, ossia lo stesso elenco approvati viene utilizzato durante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione. Aggiunta di spyware/grayware già rilevato all'elenco approvati Approvati Procedura 1. Accedere a una delle seguenti sezioni: • Agenti > Gestione agente • Registri > Agenti > Rischi per la sicurezza 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri > Registri di spyware/grayware. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Selezionare i registri e fare clic su Aggiungi all'elenco Approvati. 6. Applicare gli spyware/grayware approvati solo ai computer agente selezionati o a determinati domini. 7. Fare clic su Salva. Gli agenti selezionati applicano l'impostazione e il server OfficeScan aggiunge gli spyware/grayware all'elenco Approvati che si trova in Agenti > Gestione agente > Impostazioni > Elenco Approvati spyware/ grayware. 7-52 ) per includere Analisi dei rischi per la sicurezza Nota OfficeScan può inserire un massimo di 1024 applicazioni spyware/grayware nell'elenco approvati. Gestione dell'elenco approvati spyware/grayware Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Elenco Approvati spyware/grayware. 4. Nella tabella Nome spyware/grayware selezionare il nome dello spyware/ grayware. Per selezionare più nomi, tenere premuto il tasto CTRL durante la selezione. • 5. ) per includere Si può inserire una parola chiave nel campo Cerca e fare clic su Cerca. OfficeScan aggiorna la tabella con i nomi che corrispondono alla parola chiave. Fare clic su Aggiungi. Il nome viene aggiunto alla tabella Elenco approvati. 6. Per rimuovere i nomi dall'elenco approvati, selezionare i nomi e fare clic su Rimuovi. Per selezionare più nomi, tenere premuto il tasto CTRL durante la selezione. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 7-53 Guida per l'amministratore di OfficeScan™ 11.0 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. Scegliere i dati spyware/grayware da ripristinare basandosi sull'orario di backup. Nota Gli utenti degli agenti OfficeScan non possono avviare il ripristino di spyware/grayware e non ricevono la notifica sui dati di backup che l'agente ha ripristinato. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, aprire un dominio e selezionare un agente. Nota Gli spyware/grayware possono essere ripristinati solo da un agente alla volta. 3. Fare clic su Operazioni > Ripristino spyware/grayware. 4. Per visualizzare gli elementi da ripristinare per ciascun segmento di dati, fare clic su Visualizza. Viene visualizzata una nuova schermata. Per tornare alla schermata precedente, fare clic su Indietro. 5. Selezionare i segmenti di dati che si desidera ripristinare. 6. Fare clic sul pulsante Ripristina. 7-54 Analisi dei rischi per la sicurezza OfficeScan invia una notifica sullo stato del ripristino. Per un rapporto completo, consultare i registri di ripristino spyware/grayware. Per informazioni, vedere Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-103. Privilegi scansione e altre impostazioni Gli utenti con privilegi di scansione hanno maggiore controllo sulla scansione dei file nei propri computer. I privilegi di scansione consentono agli utenti o all'agente OfficeScan di effettuare le attività seguenti: • Gli utenti possono configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. Per i dettagli, consultare Privilegi tipo di scansione a pagina 7-55. • Gli utenti possono rinviare, interrompere o saltare la Scansione pianificata. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-58. • Gli utenti possono attivare la scansione dei messaggi e-mail POP3 per rilevare virus/minacce informatiche. Per i dettagli, consultare Privilegi scansione e-mail e altre impostazioni a pagina 7-64. • L'agente OfficeScan può usare le impostazioni delle cache per migliorare le proprie prestazioni di scansione. Per i dettagli, consultare Impostazioni cache per le scansioni a pagina 7-66. Privilegi tipo di scansione Consente agli utenti di configurare le impostazioni di Scansione manuale, Scansione in tempo reale e Scansione pianificata. Concessione dei privilegi tipo di scansione Procedura 1. Accedere a Agenti > Gestione agente. 7-55 Guida per l'amministratore di OfficeScan™ 11.0 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. ) per includere 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi scansione. 5. Selezionare i tipi di scansione che gli utenti sono autorizzati a configurare. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle impostazioni di scansione per l'agente OfficeScan Procedura 1. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella barra delle applicazioni e selezionare Apri console agente OfficeScan. 2. Fare clic su Impostazioni > {Tipo di scansione}. 7-56 Analisi dei rischi per la sicurezza FIGURA 7-1. Impostazioni di scansione nella console dell'agente OfficeScan 3. Configurare le impostazioni riportate di seguito: • Impostazioni scansione in tempo reale: Attività utente sui file, File da esaminare, Impostazioni di scansione, Esclusioni scansione, Azioni di scansione • Impostazioni scansione manuale: File da esaminare, Impostazioni di scansione, Uso CPU, Esclusioni scansione, Azioni di scansione • Impostazioni scansione pianificata: Pianificazione, File da esaminare, Impostazioni di scansione, Uso CPU, Esclusioni scansione, Azioni di scansione 7-57 Guida per l'amministratore di OfficeScan™ 11.0 4. Fare clic su OK. Privilegi scansione pianificata e altre impostazioni Se è impostata per l'esecuzione sull'agente, gli utenti possono rimandare, ignorare o interrompere la Scansione pianificata. Rimanda scansione pianificata Gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le seguenti operazioni: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. La scansione pianificata può essere postposta una sola volta. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. È possibile interrompere e riavviare la scansione pianificata una sola volta. Nota Il periodo di tempo minimo per cui la scansione può essere rimandata dagli utenti è 15 minuti. Il periodo di tempo massimo è 12 ore e 45 minuti, che è possibile ridurre andando su Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansione pianificata, modificare l'impostazione Rimanda scansione pianificata fino a __ ore e __ minuti. Salta e interrompi scansione pianificata Questo privilegio consente agli utenti di eseguire le operazioni seguenti: • Salta scansione pianificata prima che venga eseguita • Interrompi scansione pianificata mentre è in corso 7-58 Analisi dei rischi per la sicurezza Nota Gli utenti non possono ignorare o arrestare Scansione pianificata più di una volta. Anche dopo il riavvio del sistema, Scansione pianificata riprende la scansione in base al successivo orario di pianificazione. Notifica di privilegio Scansione pianificata Per consentire agli utenti di sfruttare i privilegi di Scansione pianificata, è possibile ricordarglieli configurando OfficeScan in modo da visualizzare un messaggio di notifica prima dell'esecuzione di Scansione pianificata. Concessione privilegi scansione pianificata e visualizzazione notifica dei privilegi Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi scansione pianificata. 5. Selezionare le seguenti opzioni: • Rimanda scansione pianificata • Salta e interrompi scansione pianificata ) per includere 6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni scansione pianificata. 7. Selezionare Visualizza una notifica prima dell'esecuzione della scansione pianificata. Quando questa opzione è attivata, nell'dispositivo agente viene visualizzato un messaggio di notifica alcuni minuti prima dell'esecuzione di Scansione pianificata. 7-59 Guida per l'amministratore di OfficeScan™ 11.0 Gli utenti vengono informati della pianificazione della scansione (data e ora) e dei loro privilegi al riguardo, quali, ad esempio, le opzioni per rimandare, saltare o interrompere la scansione pianificata. Nota È possibile configurare il numero di minuti. Per configurare il numero di minuti, accedere a Agenti > Impostazioni globali agente. Nella sezione Impostazioni scansione pianificata, modificare l'impostazione Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Rinviare, ignorare e arrestare la Scansione pianificata sull'agente Procedura • Se la scansione pianificata non è stata avviata: a. 7-60 Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella barra delle applicazioni e selezionare Impostazioni scansione pianificata avanzata. Analisi dei rischi per la sicurezza FIGURA 7-2. Opzione Impostazioni avanzate della scansione Nota Se il messaggio di notifica è attivato ed è impostato in modo da essere visualizzato alcuni minuti prima dell'esecuzione di Scansione pianificata, non è necessario che gli utenti eseguano questo passaggio. Per ulteriori informazioni sul messaggio di notifica, vedere Notifica di privilegio Scansione pianificata a pagina 7-59. b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Postponi scansione di __ ore e __ minuti. • Salta questa scansione pianificata. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>.. 7-61 Guida per l'amministratore di OfficeScan™ 11.0 FIGURA 7-3. Privilegi di Scansione pianificata nell'dispositivo agente OfficeScan • 7-62 Se la scansione pianificata è in corso: a. Fare clic con il pulsante destro del mouse sull'icona dell'agente OfficeScan nella barra delle applicazioni e selezionare Impostazioni avanzate della scansione pianificata. b. Nella finestra di notifica che viene visualizzata, selezionare una delle opzioni seguenti: • Interrompi scansione. Riavvia scansione dopo __ ore e __ minuti. • Interrompi scansione. La prossima Scansione pianificata verrà eseguita il <data> alle <ora>.. Analisi dei rischi per la sicurezza FIGURA 7-4. Privilegi di Scansione pianificata nell'dispositivo agente OfficeScan 7-63 Guida per l'amministratore di OfficeScan™ 11.0 Privilegi scansione e-mail e altre impostazioni Quando gli agenti dispongono dei privilegi di scansione e-mail, l'opzione Scansione email viene visualizzata nella console dell'agente OfficeScan. L'opzione Scansione email visualizza Scansione e-mail POP3. FIGURA 7-5. Impostazioni di scansione e-mail nella console dell'agente OfficeScan La seguente tabella indica il programma di scansione e-mail POP3. 7-64 Analisi dei rischi per la sicurezza TABELLA 7-18. Programmi di scansione e-mail. DETTAGLI DESCRIZIONE Scopo Esegue la scansione dei messaggi e-mail POP3 per rilevare virus o minacce informatiche. Prerequisiti • Prima che gli utenti possano utilizzarlo, gli amministratori devono attivarlo dalla console Web. Nota Per abilitare la scansione e-mail POP3, vedere Concessione dei privilegi scansione e-mail e attivazione di POP3 Mail Scan a pagina 7-65. • Tipi di scansione supportati Risultati scansione Altri dettagli È possibile configurare azioni per contrastare virus e minacce informatiche dalla console dell'agente OfficeScan, ma non dalla console Web. Scansione in tempo reale La scansione viene eseguita quando i messaggi e-mail vengono scaricati dal server di posta POP3. • Informazioni sui rischi per sicurezza rilevati disponibili dopo il completamento della scansione. • Risultati di scansione non registrati nella schermata Registri della console dell'agente OfficeScan • Risultati di scansione non inviati al server. Condivide OfficeScan NT Proxy Service (TMProxy.exe) con la funzione di reputazione Web. Concessione dei privilegi scansione e-mail e attivazione di POP3 Mail Scan Procedura 1. Accedere a Agenti > Gestione agente. 7-65 Guida per l'amministratore di OfficeScan™ 11.0 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. ) per includere 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Scansione e-mail. 5. Selezionare Visualizza la scheda Scansione e-mail nella console dell'agente. 6. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni Scansione e-mail POP3.. 7. Selezionare Analizza i messaggi e-mail POP3. 8. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni cache per le scansioni Per migliorare le proprie prestazioni di scansione, l'agente OfficeScan è in grado di creare la firma digitale e i file di cache per la scansione su richiesta. Quando viene eseguita una scansione su richiesta, l'agente OfficeScan verifica innanzitutto il file di cache della firma digitale e successivamente il file di cache per la scansione su richiesta per individuare i file da escludere dalla scansione. I tempi di scansione vengono ridotti se dalla scansione viene escluso un elevato numero di file. 7-66 Analisi dei rischi per la sicurezza Cache della firma digitale Il file di cache della firma digitale viene utilizzato durante Scansione manuale, Scansione pianificata ed Esegui scansione. Gli agenti non effettuano la scansione dei file le cui firme sono state aggiunte al file di cache delle firme digitali. L'agente OfficeScan impiega lo stesso Digital Signature Pattern utilizzato da Monitoraggio del comportamento per creare il file di cache della firma digitale. Il Digital Signature Pattern contiene un elenco di file che Trend Micro considera affidabili e che pertanto è possibile escludere dalle scansioni. Nota Monitoraggio del comportamento viene disattivato automaticamente sulle piattaforme server Windows (il supporto delle piattaforme a 64 bit per Windows XP, 2003 e Vista senza SP1 non è disponibile). Se la cache della firma digitale è attivata, gli agenti OfficeScan presenti su queste piattaforme scaricano Digital Signature Pattern per utilizzarlo nella cache, senza scaricare gli altri componenti di Monitoraggio del comportamento. Gli agenti creano il file di cache della firma digitale in base a una pianificazione, configurabile dalla console Web. Gli agenti eseguono questa operazione per: • Aggiungere le firme dei nuovi file introdotti nel sistema dall'ultima volta in cui il file di cache è stato creato • Rimuovere le firme dei file che sono stati modificati o eliminati dal sistema Durante il processo di creazione della cache, gli agenti eseguono un controllo sulle seguenti cartelle per individuare i file affidabili, quindi aggiungono le firme di questi file al file di cache delle firme digitali: • %PROGRAMFILES% • %WINDIR% Il processo di creazione della cache non influisce sulle prestazioni dell'dispositivo perché gli agenti utilizzano risorse di sistema minime durante tale processo. Gli agenti sono anche in grado di riprendere l'attività di creazione della cache che per qualche motivo era stata interrotta, ad esempio quando una macchina host viene spenta oppure quando un adattatore dell'dispositivo wireless viene scollegato dall'alimentazione. 7-67 Guida per l'amministratore di OfficeScan™ 11.0 Impostazione cache scansione su richiesta Il file di cache della scansione su richiesta viene utilizzato durante Scansione manuale, Scansione pianificata ed Esegui scansione. Gli agenti OfficeScan non effettuano la scansione dei file le cui cache sono state aggiunte al file di cache della scansione su richiesta. Ogni qualvolta si esegue una scansione, l'agente OfficeScan verifica le proprietà dei file privi di minacce. Se un file privo di minacce non è stato modificato per un certo periodo di tempo, (è possibile configurare il periodo di tempo), l'agente OfficeScan aggiunge la cache del file al file di cache della scansione su richiesta. Quando viene eseguita la scansione, il file non verrà sottoposto a scansione se la relativa cache non è scaduta. La cache di un file privo di minacce scade entro un determinato numero di giorni (è possibile configurare anche il periodo di tempo). Quando si esegue una scansione durante o dopo la scadenza della cache, l'agente OfficeScan rimuove la cache scaduta ed esegue la scansione del file per verificare la presenza di minacce. Se il file è privo di minacce e non viene modificato, la cache del file viene aggiunta nuovamente al file di cache della scansione su richiesta. Se il file è privo di minacce ma è stato modificato di recente, la cache non viene aggiunta e il file verrà nuovamente sottoposto a scansione la volta successiva. La cache per il file privo di minacce scade per impedire di escludere dalla scansione i file infetti, così come illustrato nei seguenti esempi: • È possibile che un file di pattern estremamente obsoleto possa aver considerato un file infetto non modificato come file privo di minacce. Se la cache non è scaduta, il file infetto resta nel sistema fino a quando non viene modificato e rilevato da Scansione in tempo reale. • Se un file memorizzato nella cache è stato modificato e Scansione in tempo reale non è operativa durante la modifica del file, la cache deve scadere in modo che il file modificato possa essere sottoposto alla scansione per le minacce. Il numero di cache aggiunte al file di cache della scansione su richiesta dipende dal tipo di scansione e dal relativo obiettivo. Ad esempio, il numero di cache può essere minore se l'agente OfficeScan ha sottoposto a scansione solo 200 dei 1.000 file presenti nell'dispositivo durante Scansione manuale. Se le scansioni su richiesta vengono eseguite frequentemente, il file di cache della scansione su richiesta riduce significativamente il tempo di scansione. In un'operazione 7-68 Analisi dei rischi per la sicurezza di scansione dove nessuna cache è scaduta, la scansione che solitamente impiega 12 minuti può essere ridotta a un minuto. Ridurre il numero di giorni nei quali un file deve rimanere inalterato ed estendere la scadenza della cache di solito migliora le prestazioni. Poiché i file devono rimanere inalterati per un periodo di tempo relativamente breve, al file di cache è possibile aggiungere più cache. Anche le cache hanno una scadenza più estesa, ciò significa che dalla scansione vengono esclusi più file. Se le scansioni su richiesta vengono eseguite sporadicamente, è possibile disattivare la cache della scansione su richiesta poiché le cache scadrebbero prima che venga eseguita la scansione successiva. Configurazione impostazioni cache per le scansioni Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e andare alla sezione Impostazioni cache per le scansioni. 5. Configurare le impostazioni per la cache della firma digitale. 6. ) per includere a. Selezionare Attiva cache firma digitale. b. In Costruisci cache ogni __ giorni, specificare con quale frequenza l'agente dovrà creare la cache. Configurare le impostazioni per la cache della scansione su richiesta. a. Selezionare Attiva cache scansione su richiesta. b. In Aggiungi la cache per i file sicuri non modificati per __ giorni, specificare il numero di giorni per i quali un file deve restare inalterato prima di essere memorizzato nella cache. 7-69 Guida per l'amministratore di OfficeScan™ 11.0 c. In La cache per ogni file sicuro scade tra __ giorni, specificare il numero massimo di giorni in cui una cache deve restare nel file di cache. Nota Per evitare che tutte le cache aggiunte nel corso di una scansione scadano lo stesso giorno, le cache scadono in modo casuale nell'arco del numero massimo di giorni specificato dall'utente. Ad esempio, se nella giornata odierna sono state aggiunte 500 cache ed il numero massimo di giorni specificato è 10, una parte delle cache scadrà il giorno successivo e tutte le altre nei giorni successivi. Il decimo giorno, tutte le cache rimaste scadranno. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni globali di scansione Le impostazioni globali di scansione possono essere applicate agli agenti in vari modi. • Un'impostazione di scansione particolare può essere applicata a tutti gli agenti gestiti dal server o solo agli agenti con determinati privilegi di scansione. Ad esempio, se si è configurato di rinviare la durata di Scansione pianificata, solo gli agenti con tale privilegio utilizzeranno questa impostazione. • Un'impostazione di scansione particolare può essere applicata a tutti i tipi di scansione o a uno in particolare. Ad esempio, negli dispositivo in cui sono installati sia il server OfficeScan sia l'agente OfficeScan, è possibile escludere il database del 7-70 Analisi dei rischi per la sicurezza server OfficeScan dalla scansione. Questa opzione, tuttavia, viene applicata solo durante Scansione in tempo reale. • Un'impostazione di scansione particolare può essere applicata alla scansione per rilevare virus/minacce informatiche o a quella per rilevare spyware/grayware oppure a entrambe. Ad esempio, la modalità di valutazione viene applicata durante la scansione per rilevare spyware/grayware. Configurazione delle impostazioni di scansione globali Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Configurare le Impostazioni globali di scansione in ciascuna delle sezioni variabili. 3. • Sezione impostazioni di scansione a pagina 7-71 • Sezione Impostazioni scansione pianificata a pagina 7-78 • Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche a pagina 7-81 Fare clic su Salva. Sezione impostazioni di scansione La sezione Impostazioni di scansione delle Impostazioni globali agente consente agli amministratori di configurare quanto segue: • Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan a pagina 7-72 • Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale a pagina 7-72 • Escludi cartelle e file del server Microsoft Exchange dalla scansione a pagina 7-73 • Attiva Scansione differita in operazioni su file a pagina 7-73 7-71 Guida per l'amministratore di OfficeScan™ 11.0 • Configurare le impostazioni di scansione per file compressi di grandi dimensioni a pagina 7-74 • Disinfetta/Elimina file infetti all'interno dei file compressi a pagina 7-74 • Attiva modalità di valutazione a pagina 7-77 • Esegui scansione cookie a pagina 7-78 Aggiungere Scansione manuale al menu dei collegamenti di Windows negli agenti OfficeScan Quando questa impostazione è attivata, in tutti gli agenti OfficeScan gestiti dal server viene aggiunta l'opzione Esegui scansione con OfficeScan al menu di scelta rapida in Esplora risorse. Quando gli utenti fanno clic con il pulsante destro del mouse su un file o una cartella nel desktop di Windows o in Esplora risorse e selezionano questa opzione, Scansione manuale esegue la scansione del file o della cartella per rilevare virus/minacce informatiche e spyware/grayware. FIGURA 7-6. Opzione Esegui scansione con OfficeScan Escludi la cartella del database del server OfficeScan dalla scansione in tempo reale Se l'agente OfficeScan e il server OfficeScan coesistono nello stesso dispositivo, con Scansione in tempo reale l'agente OfficeScan non eseguirà la scansione del database del server per rilevare virus/minacce informatiche e spyware/grayware. 7-72 Analisi dei rischi per la sicurezza Suggerimento Attivare questa impostazione per impedire il verificarsi di eventuali danni al database durante la scansione. Escludi cartelle e file del server Microsoft Exchange dalla scansione Se l'agente OfficeScan e un server Microsoft Exchange 2000/2003 coesistono nello stesso dispositivo, durante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione OfficeScan non esegue la scansione delle seguenti cartelle Microsoft Exchange per rilevare virus/minacce informatiche e spyware/ grayware. • Le seguenti cartelle in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp e BadMail • .\Exchsrvr\mdbdata, inclusi i seguenti file: priv1.stm, priv1.edb, pub1.stm e pub1.edb • .\Exchsrvr\Gruppo di archiviazione Le cartelle Microsoft Exchange 2007 o versione successiva devono essere aggiunte all'elenco di esclusione dalla scansione manualmente. Per maggiori dettagli sulle esclusioni dalla scansione, visitare il sito Web riportato di seguito: http://technet.microsoft.com/en-us/library/bb332342.aspx Per informazioni sulla procedura per configurare l'elenco di esclusione dalla scansione, vedere Esclusioni scansione a pagina 7-32. Attiva Scansione differita in operazioni su file Gli amministratori possono configurare OfficeScan per posticipare la scansione dei file. OfficeScan consente all'utente di copiare i file effettuando la scansione dopo il completamento del processo di copia. Tale scansione differita migliora le prestazioni dei processi di copia e scansione. 7-73 Guida per l'amministratore di OfficeScan™ 11.0 Nota La scansione differita richiede che la versione del motore di scansione virus (VSAPI) 9.713 o versioni successive. Per maggiori dettagli sull'aggiornamento del server, vedere Aggiornamento manuale del server OfficeScan a pagina 6-28. Configurare le impostazioni di scansione per file compressi di grandi dimensioni Durante la scansione dei file compressi per rilevare virus/minacce informatiche e spyware/grayware mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione, tutti gli agenti OfficeScan gestiti dal server controllano le impostazioni seguenti: • Configura le impostazioni di scansione per file compressi di grandi dimensioni: selezionare questa opzione per attivare la gestione dei file compressi. • Configurare le impostazioni seguenti separatamente per Scansione in tempo reale e per gli altri tipi di scansione (Scansione manuale, Scansione pianificata ed Esegui scansione): • Non esaminare i file presenti in file compressi se la dimensione supera i __ MB: OfficeScan non esegue la scansione dei file che superano questo limite. • Nei file compressi, esamina solo i primi __ file: dopo aver decompresso un file compresso, OfficeScan esegue la scansione del numero di file specificato e ignora gli altri file. Disinfetta/Elimina file infetti all'interno dei file compressi Quando tutti gli agenti gestiti dal server rilevano virus/minacce informatiche all'interno dei file compressi mediante Scansione manuale, Scansione in tempo reale, Scansione pianificata ed Esegui scansione e si verificano le condizioni riportate di seguito, i file infetti vengono disinfettati o eliminati dagli agenti. • 7-74 "Disinfetta" o "Elimina" è l'operazione da eseguire impostata su OfficeScan. Per verificare l'azione che OfficeScan esegue sui file infetti, accedere alla scheda Agenti Analisi dei rischi per la sicurezza > Gestione agente > Impostazioni > Impostazioni scansione > {Tipo di scansione} > Azione. • Attivare questa impostazione. Se si attiva questa impostazione, l'utilizzo delle risorse dell'dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Ciò dipende dal fatto che OfficeScan deve decomprimere il file compresso, disinfettare/eliminare i file infetti all'interno del file compresso e infine comprimere di nuovo il file. • Il formato file compresso è supportato. OfficeScan supporta solo alcuni formati file compressi, tra cui ZIP e Office Open XML, che utilizza tecnologie di compressione ZIP. Office Open XML è il formato predefinito per le applicazioni Microsoft Office 2007 come Excel, PowerPoint e Word. Nota Per un elenco completo dei formati file compressi supportati, contattare l'assistenza tecnica. Scansione in tempo reale, ad esempio, elimina i file infetti che contengono un virus. Quando Scansione in tempo reale decomprime un file compresso denominato abc.zip e rileva un file infetto 123.doc all'interno di esso, OfficeScan elimina il file 123.doc e comprime di nuovo abc.zip, che a questo punto viene considerato sicuro e può essere aperto. La tabella seguente descrive cosa accade se una delle condizioni non viene soddisfatta. 7-75 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 7-19. Scenari e risultati dei file compressi STATO DI "DISINFETTA/ ELIMINA FILE INFETTI ALL'INTERNO DEI FILE OPERAZIONE CHE FORMATO FILE OFFICESCAN COMPRESSO RISULTATO DEVE ESEGUIRE COMPRESSI" Attivato Disattivato Disinfetta o elimina Non supportato Disinfetta o elimina Supportato/Non supportato Esempio: def.rar contiene un file infetto 123.doc. Esempio: abc.zip contiene un file infetto 123.doc. 7-76 OfficeScan codifica def.rar ma non disinfetta, elimina o esegue altre operazioni su 123.doc. OfficeScan non disinfetta, elimina o esegue altre operazioni su abc.zip e 123.doc. Analisi dei rischi per la sicurezza STATO DI "DISINFETTA/ ELIMINA FILE INFETTI ALL'INTERNO DEI FILE OPERAZIONE CHE FORMATO FILE OFFICESCAN COMPRESSO RISULTATO DEVE ESEGUIRE COMPRESSI" Attivato/ Disattivato Non disinfettare o eliminare (in altre parole, una delle seguenti: Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) Supportato/Non supportato Esempio: abc.zip contiene un file infetto 123.doc. OfficeScan esegue l'operazione configurata (Rinomina, Metti in quarantena, Impedisci l'accesso o Ignora) su abc.zip, non su 123.doc. Se l'operazione è: Rinomina: OfficeScan rinomina abc.zip in abc.vir, ma non rinomina 123.doc. Quarantena: OfficeScan mette in quarantena abc.zip (123.doc e tutti i file non infetti vengono messi in quarantena). Ignora: OfficeScan non esegue alcuna operazione su abc.zip e 123.doc ma registra il rilevamento del virus. Impedisci l'accesso: OfficeScan impedisce l'accesso a abc.zip quando è aperto (123.doc e tutti i file non infetti non possono essere aperti). Attiva modalità di valutazione Durante la modalità di valutazione, tutti gli agenti gestiti dal server registreranno spyware e grayware individuati mediante le operazioni Scansione Manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione ma i componenti spyware e grayware non verranno disinfettati. La disinfezione interrompe i processi o elimina registri, file, cookie e collegamenti. 7-77 Guida per l'amministratore di OfficeScan™ 11.0 La modalità di valutazione di Trend Micro consente di valutare gli elementi che Trend Micro considera spyware/grayware e di prendere provvedimenti in base alla valutazione. Ad esempio, se vengono rilevati spyware/grayware non considerati a rischio per la sicurezza, è possibile aggiungerli all'elenco di spyware/grayware approvati. In modalità di valutazione, OfficeScan esegue le seguenti azioni di scansione: • Ignora: Durante l'utilizzo di Scansione manuale, Scansione pianificata ed Esegui scansione • Impedisci l'accesso: Durante l'utilizzo di Scansione in tempo reale Nota La modalità di valutazione ha la priorità su tutte le altre operazioni di scansione configurate dall'utente. Ad esempio, anche se si seleziona "Disinfetta" come operazione di scansione durante Scansione manuale, "Ignora" resta l'operazione di scansione quando l'agente è in modalità di valutazione. Esegui scansione cookie Selezionare questa opzione se i cookie vengono considerati un potenziale rischio per la sicurezza. Quando l'opzione è selezionata, tutti gli agenti gestiti dal server eseguiranno la scansione dei cookie per rilevare spyware/grayware con Scansione manuale, Scansione pianificata, Scansione in tempo reale ed Esegui scansione. Sezione Impostazioni scansione pianificata Le impostazioni riportate di seguito vengono utilizzate esclusivamente dagli agenti impostati per l'esecuzione di Scansione pianificata. Scansione pianificata è in grado di rilevare virus/minacce informatiche e spyware/grayware. La sezione Impostazioni scansione pianificata delle Impostazioni globali di scansione consente agli amministratori di configurare quanto segue: • Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione a pagina 7-79 • Rimanda scansione pianificata fino a __ ore e __ minuti a pagina 7-79 7-78 Analisi dei rischi per la sicurezza • Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti a pagina 7-80 • Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è inferiore a __ % e l'adattatore è scollegato dall'alimentazione a pagina 7-80 • Riprendi una scansione pianificata non effettuata a pagina 7-80 Ricorda agli utenti la scansione pianificata __ minuti prima dell'esecuzione OfficeScan può visualizzare un messaggio di notifica pochi minuti prima dalla scansione pianificata per avvertire gli utenti che l'operazione è imminente (data e ora) e per ricordargli i privilegi della scansione pianificata concessi. Il messaggio di notifica può essere attivato/disattivato dalla scheda Agenti > Gestione agente > Impostazioni > Privilegi e altre impostazioni > Altre impostazioni > Impostazioni scansione pianificata. Se l'opzione è disattivata, il promemoria non viene visualizzato. Rimanda scansione pianificata fino a __ ore e __ minuti Solo gli utenti che dispongono del privilegio "Rimanda scansione pianificata" possono eseguire le operazioni riportate di seguito: • Rimandare la scansione pianificata prima che venga eseguita e specificare quindi la durata del ritardo. • Se Scansione pianificata è in esecuzione, gli utenti possono interrompere la scansione e riavviarla successivamente. Specificare quindi il lasso di tempo che deve intercorrere prima del riavvio della scansione. Al riavvio, i file analizzati in precedenza vengono di nuovo sottoposti a scansione. La durata massima del ritardo o del lasso di tempo che l'utente può specificare è di 12 ore e 45 minuti; per ridurlo, specificare il numero di ore e/o minuti negli appositi campi. 7-79 Guida per l'amministratore di OfficeScan™ 11.0 Interrompi automaticamente la scansione pianificata quando l'operazione dura più di __ ore e __ minuti Quando viene superato il periodo di tempo massimo specificato e la scansione non è ancora completata, OfficeScan la interrompe. OfficeScan notifica immediatamente agli utenti i rischi per la sicurezza rilevati durante la scansione. Saltare la scansione pianificata quando la durata residua della batteria dell'dispositivo wireless è inferiore a __ % e l'adattatore è scollegato dall'alimentazione Se viene rilevato che la durata residua della batteria dell'dispositivo wireless si sta esaurendo e l'adattatore non è collegato all'alimentazione, all'avvio di Scansione pianificata OfficeScan ignora immediatamente la scansione. Se la durata residua della batteria è limitata ma l'adattatore è collegato all'alimentazione, la scansione prosegue. Riprendi una scansione pianificata non effettuata Quando la Scansione pianificata non viene avviata perché OfficeScan non è in esecuzione nel giorno e all'ora specificati per la Scansione pianificata, è possibile specificare quando OfficeScan riprenderà la scansione: • Stessa ora giorno successivo: se OfficeScan viene eseguito alla stessa ora del giorno successivo, la scansione riprende. • __ minuti dopo l'avvio dell'dispositivo: OfficeScan riprende la scansione qualche minuto dopo l'accensione dell'dispositivo. Il numero di minuti è compreso tra 10 e 120. Nota Gli utenti possono rimandare o saltare la ripresa della Scansione pianificata se dispongono dei privilegi di amministratore. Per i dettagli, consultare Privilegi scansione pianificata e altre impostazioni a pagina 7-58. 7-80 Analisi dei rischi per la sicurezza Sezione impostazioni della larghezza di banda del registro virus/minacce informatiche La sezione delle Impostazioni di banda del registro virus/minacce informatiche delle Impostazioni globali di scansione consente agli amministratori di configurare: Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora a pagina 7-81 Consentire agli agenti OfficeScan di creare una sola voce sul registro di virus/minacce informatiche per i rilevamenti ricorrenti dello stesso virus/minaccia informatica in un'ora OfficeScan consolida le voci del registro dei virus quando rileva diverse infezioni derivanti dallo stesso virus o dalla stessa minaccia informatica in un breve periodo di tempo. OfficeScan potrebbe rilevare lo stesso virus o la stessa minaccia informatica più volte compilando rapidamente il registro relativo a virus/minacce informatiche e consumando larghezza di banda quando l'agente OfficeScan invia le informazioni del registro al server. L'attivazione di questa funzione consente di ridurre il numero di voci di registro relative a virus/minacce informatiche e la quantità di larghezza di banda utilizzata dagli agenti OfficeScan quando segnalano le informazioni del registro dei virus al server. Sezione Servizio certificato Safe Software La sezione Servizio Certified Safe Software di Impostazioni globali di scansione consente agli amministratori di configurare: Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus a pagina 7-81 Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, 7-81 Guida per l'amministratore di OfficeScan™ 11.0 Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. Nota Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di collegarsi ai datacenter Trend Micro. Notifiche sui Rischi per la sicurezza OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente, altri amministratori OfficeScan e gli utenti agente OfficeScan sui rischi per la sicurezza rilevati. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-82. Per ulteriori informazioni sulle notifiche inviate agli utenti agente OfficeScan, vedere Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-87. Notifiche dei rischi per la sicurezza per gli amministratori Configurare OfficeScan in modo da inviare all'utente e ad altri amministratori di OfficeScan una notifica al rilevamento di un rischio per la sicurezza o solo quando l'azione di contrasto del rischio non viene effettuata correttamente e richiede, pertanto, l'intervento dell'utente. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan dei rilevamenti dei rischi per la sicurezza. È possibile 7-82 Analisi dei rischi per la sicurezza modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. TABELLA 7-20. Tipi di notifiche sui rischi per la sicurezza TIPO RIFERIMENTO Virus/minacce informatiche Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-83 Spyware/Grayware Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-83 Trasmissioni di risorse digitali Configurazione delle notifiche di Prevenzione perdita di dati per gli amministratori a pagina 10-50 Callback C&C Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-18 Nota OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. Configurazione delle notifiche dei rischi per la sicurezza per gli amministratori Procedura 1. Accedere a Amministrazione > Notifiche > Amministratore. 2. Nella scheda Criteri: 3. a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware. b. Specificare se devono essere inviate notifiche quando OfficeScan rileva virus/ minacce informatiche e spyware/grayware o solo quando l'azione eseguita contro i rischi per la sicurezza non è riuscita. Nella scheda E-mail: 7-83 Guida per l'amministratore di OfficeScan™ 11.0 a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. È possibile usare l'RBA (Role-based Administration) per assegnare agli utenti autorizzazioni al dominio della struttura agente. Se un rilevamento si verifica in un agente OfficeScan appartenente a un dominio specifico, il messaggio email viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: TABELLA 7-21. Autorizzazioni e domini della struttura agente DOMINIO DELLA STRUTTURA AGENTE Dominio A Dominio B RUOLI CON AUTORIZZAZIONI PER IL DOMINIO ACCOUNT UTENTE CON IL RUOLO INDIRIZZO E-MAIL DELL'ACCOUNT UTENTE Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Se un agente OfficeScan appartenente al Dominio A rileva un virus, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se un agente OfficeScan appartenente al Dominio B rileva uno spyware, il messaggio e-mail viene inviato a [email protected] e [email protected]. 7-84 Analisi dei rischi per la sicurezza Nota Se si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi email sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 7-22. Variabili token per notifiche dei rischi per la sicurezza VARIABILE DESCRIZIONE Rilevamenti di virus/minacce informatiche %v Nome virus/minaccia informatica %s Dispositivo con virus/minaccia informatica %i Indirizzo IP dell'dispositivo %c Indirizzo MAC dell'dispositivo %m Dominio dell'dispositivo %p Posizione di virus/minaccia informatica %y Data e ora del rilevamento virus/minaccia informatica %e Versione motore di scansione virus %r Versione del pattern dei virus %a Azione eseguita per contrastare il rischio per la sicurezza %n Nome dell'utente che ha effettuato l'accesso nell'dispositivo infetto Rilevamenti di spyware/grayware 7-85 Guida per l'amministratore di OfficeScan™ 11.0 VARIABILE 4. 5. 6. 7-86 DESCRIZIONE %s Dispositivo con spyware/grayware %i Indirizzo IP dell'dispositivo %m Dominio dell'dispositivo %y Data e ora del rilevamento di spyware/grayware %n Nome dell'utente collegato all'dispositivo infetto al momento del rilevamento %T Risultato della scansione e presenza di spyware e grayware Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 per ulteriori dettagli. Nella scheda Registro eventi NT: a. Andare alle sezioni Virus e minacce informatiche e Rilevamenti di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 7-22: Variabili token per notifiche dei rischi per la sicurezza a pagina 7-85 per ulteriori dettagli. Fare clic su Salva. Analisi dei rischi per la sicurezza Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan OfficeScan è in grado di visualizzare i messaggi di notifica sull'dispositivo agente OfficeScan: • Subito dopo, la Scansione in tempo reale e la Scansione pianificata rilevano virus/ minacce informatiche e spyware/grayware. Attivare il messaggio di notifica e, se lo si desidera, modificarne il contenuto. • Se il riavvio di un dispositivo agente è necessario per completare la disinfezione dei file infetti. Con Scansione in tempo reale il messaggio viene visualizzato dopo la scansione di un rischio per la sicurezza specifico. Con Scansione manuale, Scansione pianificata ed Esegui scansione il messaggio viene visualizzato una volta e solo dopo che OfficeScan ha completato la scansione di tutte le destinazioni della scansione. TABELLA 7-23. Tipi di notifiche agente sui rischi per la sicurezza TIPO RIFERIMENTO Virus/minacce informatiche Configurazione delle notifiche di virus/minacce informatiche a pagina 7-89 Spyware/Grayware Configurazione delle notifiche di spyware/grayware a pagina 7-89 Violazioni del firewall Modifica del contenuto del messaggio di notifica del firewall a pagina 12-29 Violazioni della reputazione Web Modifica delle notifiche di minacce Web a pagina 11-17 Violazioni del controllo dispositivo Modifica delle notifiche di controllo dispositivo a pagina 9-18 Violazione ai criteri di monitoraggio del comportamento Modifica del contenuto del messaggio di notifica a pagina 8-14 Trasmissioni di risorse digitali Configurazione delle notifiche di Prevenzione perdita di dati per gli agenti a pagina 10-53 7-87 Guida per l'amministratore di OfficeScan™ 11.0 TIPO Callback C&C RIFERIMENTO Modifica delle notifiche di minacce Web a pagina 11-17 Notifica agli utenti del rilevamento di spyware/grayware e virus/minacce informatiche Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale o su Impostazioni > Impostazioni di scansione > Impostazioni scansione pianificata. 4. Fare clic sulla scheda Operazione. 5. Selezionare le seguenti opzioni: 6. • Visualizza un messaggio di notifica sull'dispositivo agente al rilevamento di virus/minacce informatiche • Visualizza un messaggio di notifica sull'dispositivo agente al rilevamento di probabili virus/minacce informatiche Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • 7-88 ) per includere Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. Analisi dei rischi per la sicurezza • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle notifiche di virus/minacce informatiche Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Virus/minacce informatiche 3. Configurare le impostazioni di rilevamento. a. b. 4. Scegliere di visualizzare una notifica per tutti gli eventi legati ai virus/minacce informatiche o separare le notifiche in base ai seguenti livelli di gravità: • Alto: l'agente OfficeScan non è stato in grado di gestire una minaccia informatica grave • Medio: l'agente OfficeScan non è stato in grado di gestire una minaccia informatica • Basso: l'agente OfficeScan ha risolto tutte le minacce Accettare o modificare i messaggi predefiniti. Fare clic su Salva. Configurazione delle notifiche di spyware/grayware Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Spyware/grayware. 3. Accettare o modificare il messaggio predefinito. 7-89 Guida per l'amministratore di OfficeScan™ 11.0 4. Fare clic su Salva. Notifica agli agenti del riavvio per completare la disinfezione dei file infetti Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Altre impostazioni, andare alla sezione Riavvia notifica. 5. Selezionare Visualizza un messaggio di notifica se è necessario un riavvio dell'dispositivo per completare la disinfezione dei file infetti. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per includere • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Registri dei rischi per la sicurezza OfficeScan crea i registri quando rileva virus/minacce informatiche o spyware/grayware e quando ripristina spyware/grayware. 7-90 Analisi dei rischi per la sicurezza Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di virus/minacce informatiche Quando rileva virus e minacce informatiche, l'agente OfficeScan genera i registri e li invia al server. Procedura 1. Accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza • Agenti > Gestione agente 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri virus/minacce o su Visualizza registri > Registri virus/minacce. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: ) per includere • Data e ora del rilevamento virus/minaccia informatica • Dispositivo • Minacce alla sicurezza • Origine dell'infezione • File o oggetto infetto • Tipo di scansione che ha rilevato il virus o la minaccia informatica • Risultati scansione 7-91 Guida per l'amministratore di OfficeScan™ 11.0 Nota Per ulteriori informazioni sui risultati della scansione, vedere Risultati della scansione antivirus/minacce informatiche a pagina 7-92. 6. • Indirizzo IP • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato all'dispositivo al momento del rilevamento Risultati della scansione antivirus/minacce informatiche I seguenti risultati della scansione vengono visualizzati nei registri di virus/minacce informatiche: TABELLA 7-24. Risultati scansione RISULTATO Eliminati In quarantena Disinfettati 7-92 DESCRIZIONE • La prima azione è “Elimina” e il file infetto è stato eliminato. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Elimina” e il file infetto è stato eliminato. • La prima azione è “Metti in quarantena” e il file infetto è stato messo in quarantena. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Metti in quarantena” e il file infetto è stato messo in quarantena. È stato disinfettato un file infetto. Analisi dei rischi per la sicurezza RISULTATO Rinominati Accesso negato Ignorati Ignorato un potenziale rischio per la sicurezza DESCRIZIONE • La prima azione è “Rinomina” e il file infetto è stato rinominato. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Rinomina” e il file infetto è stato rinominato. • La prima azione è “Impedisci l'accesso” e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Impedisci l'accesso” e l'accesso al file infetto è stato impedito quando l'utente ha tentato di aprire il file. • Probabile virus/minaccia informatica individuato durante Scansione in tempo reale. • La scansione in tempo reale impedisce l'accesso ai file che sono stati infettati da virus boot anche nel caso in cui l'azione di scansione sia impostata su “Disinfetta” (prima azione) e “Metti in quarantena” (seconda azione). Ciò è dovuto al fatto che il tentativo di disinfettare il virus potrebbe danneggiare il Master Boot Record (MBR) dell'dispositivo infetto. eseguire la scansione manuale per permettere a OfficeScan di disinfettare o mettere in quarantena il file. • La prima azione è “Ignora”. OfficeScan non ha eseguito alcuna azione sul file infetto. • La prima azione è “Disinfetta”, ma la disinfezione non è riuscita. La seconda azione è “Ignora”, quindi OfficeScan non ha eseguito alcuna azione sul file infetto. Questo risultato di scansione viene visualizzato quando OfficeScan individua un "probabile virus/minaccia informatica" durante Scansione manuale, Scansione pianificata ed Esegui scansione. Per informazioni su probabili virus/minacce informatiche e su come inviare file sospetti a Trend Micro per l'analisi, fare riferimento all'Enciclopedia dei virus online di Trend Micro disponibile alla pagina seguente. 7-93 Guida per l'amministratore di OfficeScan™ 11.0 RISULTATO DESCRIZIONE http://www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=POSSIBLE_VIRUS&VSect=Sn Impossibile disinfettare o mettere in quarantena il file “Disinfetta” è la prima azione. “Metti in quarantena” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile disinfettare o eliminare il file “Disinfetta” è la prima azione. “Elimina” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile disinfettare o rinominare il file “Disinfetta” è la prima azione. “Rinomina” è la seconda azione e non è stato possibile effettuare nessuna delle due azioni. Impossibile mettere in quarantena il file/ Impossibile rinominare il file Spiegazione 1. Soluzione: consultare Impossibile mettere in quarantena il file/ Impossibile rinominare il file a pagina 7-94. Soluzione: consultare Impossibile eliminare il file a pagina 7-94. Soluzione: consultare Impossibile mettere in quarantena il file/ Impossibile rinominare il file a pagina 7-94. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potrà metterlo in quarantena/rinominarlo. Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. Spiegazione 2. Il file infetto si trova nella cartella dei file Internet temporanei dell'dispositivo agente. Poiché l'dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà metterlo in quarantena o rinominarlo. Soluzione: nessuna Impossibile eliminare il file 7-94 Spiegazione 1. Analisi dei rischi per la sicurezza RISULTATO DESCRIZIONE Il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione Disinfetta/Elimina file infetti all'interno dei file compressi in Agenti > Impostazioni globali agente è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota Se si attiva questa impostazione, l'utilizzo delle risorse dell'dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Spiegazione 2. Il file infetto potrebbe essere bloccato da un'altra applicazione, potrebbe essere in esecuzione oppure essere contenuto in un CD. Non appena l'applicazione avrà rilasciato il file o non appena questo non sarà più in esecuzione, OfficeScan potrà eliminarlo. Soluzione Per i file infetti contenuti in un CD, si consiglia di non utilizzare più il CD in questione in quanto il virus potrebbe infettare altri computer della rete. Spiegazione 3. Il file infetto si trova nella cartella dei file Internet temporanei dell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà eliminarlo. Soluzione: Nessuna Impossibile inviare il file da mettere in quarantena alla cartella di Anche se OfficeScan ha messo correttamente in quarantena un file nella cartella \Suspect dell'dispositivo agente OfficeScan, non riesce a inviare il file alla directory di quarantena designata. 7-95 Guida per l'amministratore di OfficeScan™ 11.0 RISULTATO quarantena specificata DESCRIZIONE Soluzione Determinare quale tipo di scansione (Scansione manuale, Scansione in tempo reale o Scansione pianificata) ha rilevato il virus/minaccia informatica e quindi fare clic sulla directory di quarantena specificata nella scheda Agenti > Gestione agente > Impostazioni > {Tipo di scansione} > Azione. Se la directory di quarantena di trova nel computer server OfficeScan o in un altro computer server OfficeScan: 1. Verificare che l'agente sia in grado di collegarsi al server. 2. Se per indicare la directory di quarantena si utilizza il formato URL: a. Assicurarsi che il nome dell'dispositivo specificato dopo http:// sia corretto. 3. b. Controllare la dimensione del file infetto. Se questa supera la dimensione massima per i file specificata in Amministrazione > Impostazioni > Gestione della quarantena, modificare l'impostazione adattandola al file. È anche possibile decidere di compiere altri azioni come eliminare il file. c. Verificare la dimensione della directory di quarantena e determinare se ha superato la capacità di cartella specificata in Amministrazione > Impostazioni > Gestione della quarantena. Modificare la capacità della cartella o eliminare manualmente dei file nella directory di quarantena. Se si utilizza il percorso UNC, assicurarsi che la directory di quarantena sia condivisa per il gruppo “Tutti” e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. Verificare inoltre che la directory di quarantena esista e che il percorso UNC sia corretto. Se la directory di quarantena si trova su un altro dispositivo della rete (per questo scenario è consentito solo il percorso UNC): 1. 7-96 Verificare che l'agente OfficeScan sia in grado di collegarsi all'dispositivo. Analisi dei rischi per la sicurezza RISULTATO DESCRIZIONE 2. Assicurarsi che la directory di quarantena sia condivisa per tutto il gruppo “Tutti” e che tutti i membri del gruppo abbiano i permessi di lettura e scrittura. 3. Verificare che la directory di quarantena esista. 4. Verificare che il percorso UNC sia corretto. Se la directory di quarantena si trova in una directory diversa dell'dispositivo agente OfficeScan (per questo scenario è consentito solo il percorso assoluto), verificare che la cartella della directory di quarantena esista. Impossibile disinfettare il file Spiegazione 1. Il file infetto potrebbe trovarsi all'interno di un file compresso e l'impostazione “Disinfetta/Elimina” file infetti all'interno dei file compressi in Agenti > Impostazioni globali agente è disattivata. Soluzione Attivare l'opzione Disinfetta/Elimina file infetti all'interno dei file compressi. Quando questa opzione è attivata, OfficeScan decomprime un file compresso, disinfetta/elimina i file infetti nel file compresso e lo comprime di nuovo. Nota Se si attiva questa impostazione, l'utilizzo delle risorse dell'dispositivo durante la scansione potrebbe aumentare e la scansione potrebbe richiedere più tempo. Spiegazione 2. Il file infetto si trova nella cartella dei file Internet temporanei dell'dispositivo agente OfficeScan. Poiché l'dispositivo scarica i file durante l'accesso ai siti Web, è possibile che il browser abbia bloccato il file infetto. Non appena il browser Web avrà rilasciato il file, OfficeScan potrà disinfettarlo. Soluzione: Nessuna Spiegazione 3. 7-97 Guida per l'amministratore di OfficeScan™ 11.0 RISULTATO DESCRIZIONE Il file potrebbe essere non disinfettabile. Per dettagli e soluzioni, vedere File non disinfettabili a pagina E-16. Operazione richiesta OfficeScan non riesce a completare l'operazione configurata nel file infetto senza l'intervento dell'utente. Passare il puntatore del mouse sulla colonna Operazione richiesta per visualizzare le seguenti informazioni. • “Operazione richiesta: contattare il supporto per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Disinfetta boot" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: contattare l'assistenza per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Disco di ripristino" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: contattare l'assistenza per maggiori dettagli sulla rimozione di questa minaccia con lo strumento "Buster rootkit" di Anti-Threat Tool Kit in Strumenti di utilità di OfficeScan” • “Operazione richiesta: OfficeScan rileva una minaccia in un agente infetto. Riavviare l'dispositivo per completare la disinfezione delle minacce alla sicurezza” • “Operazione richiesta: eseguire una scansione completa del sistema” Visualizzazione dei registri di ripristino files in quarantena Dopo la disinfezione delle minacce informatiche, gli agenti OfficeScan effettuano il backup dei dati delle minacce informatiche. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati di backup ripristinati delle minacce informatiche, sull'dispositivo interessato e sui risultati del ripristino. Procedura 1. 7-98 Accedere a Registri > Agenti > Ripristino Files in Quarantena. Analisi dei rischi per la sicurezza 2. Selezionare le colonne Completato, Operazione non riuscita e In sospeso per verificare se OfficeScan ha ripristinato correttamente i dati della quarantena. 3. Fare clic sui collegamenti dei conteggi per visualizzare le informazioni dettagliate su ciascun dispositivo interessato. Nota Per il ripristino di Operazione non riuscita, è possibile provare a ripristinare di nuovo il file nella schermata Dettagli ripristino files in quarantena facendo clic su Ripristina tutto. 4. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Visualizzazione dei registri di spyware/grayware Quando rileva spyware e grayware, l'agente OfficeScan genera i registri e li invia al server. Procedura 1. Accedere a una delle seguenti sezioni: • Registri > Agenti > Rischi per la sicurezza • Agenti > Gestione agente 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di spyware/grayware o su Visualizza registri > Registri di spyware/grayware. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: • ) per includere Data e ora del rilevamento di spyware/grayware 7-99 Guida per l'amministratore di OfficeScan™ 11.0 • Dispositivo interessato • Nome spyware/grayware • Tipo di scansione che ha rilevato il programma spyware/grayware • Dettagli su risultati della scansione spyware/grayware (se l'azione di scansione è riuscita o meno). Per informazioni, vedere Risultati della scansione spyware/ grayware a pagina 7-100. • Indirizzo IP • Indirizzo MAC • Dettagli registro (per vedere i dettagli, fare clic su Visualizza) 6. Aggiungere spyware/grayware considerati innocui a Elenco Approvati spyware/ grayware. 7. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Il file CSV contiene le seguenti informazioni: • Tutte le informazioni dei registri • Il nome dell'utente collegato all'dispositivo al momento del rilevamento Risultati della scansione spyware/grayware I seguenti risultati della scansione vengono visualizzati nei registri di spyware/grayware: TABELLA 7-25. Risultati della scansione spyware/grayware di primo livello RISULTATO DESCRIZIONE Operazione riuscita, non sono necessarie azioni Questo è il risultato di primo livello se l'azioni di scansione è stata completata correttamente. Il risultato di secondo livello può essere uno dei seguenti: 7-100 • Disinfettati • Accesso negato Analisi dei rischi per la sicurezza RISULTATO Richieste ulteriori azioni DESCRIZIONE Questo è il risultato di primo livello se l'azioni di scansione non è stata completata correttamente. I risultati di secondo livello conterranno almeno uno dei seguenti messaggi: • Ignorati • Disinf. spyware/grayware non sicura • La scansione di spyware/grayware è stata interrotta manualmente. Effettuare una scansione completa • Spyware/grayware disinfettato. È necessario riavviare il computer. Riavviare il computer • Impossibile disinfettare spyware/grayware • Risultati scansione spyware/grayware non identificati. Contattare l'assistenza tecnica di Trend Micro TABELLA 7-26. Risultati della scansione spyware/grayware di secondo livello RISULTATO DESCRIZIONE SOLUZIONE Disinfettati OfficeScan interrompe i processi o elimina registri, file, cookie e collegamenti. N.D. Accesso negato OfficeScan ha negato all'utente l'accesso (per copia e apertura) ai componenti grayware e spyware rilevati. N.D. Ignorati OfficeScan non ha eseguito alcuna operazione, ma ha registrato il rilevamento di spyware e grayware per successive valutazioni. aggiungere spyware/grayware considerati innocui all'Elenco Approvati spyware/grayware. 7-101 Guida per l'amministratore di OfficeScan™ 11.0 RISULTATO DESCRIZIONE SOLUZIONE Disinf. spyware/ grayware non sicura : questo messaggio viene visualizzato nel caso in cui il motore di scansione spyware tenti di disinfettare ogni singola cartella e siano rispettati i criteri di seguito riportati. Contattare il provider del supporto per ricevere assistenza. • Gli elementi da disinfettare superano i 250 MB. • Il sistema operativo utilizza i file contenuti nella cartella. La cartella potrebbe essere necessaria per il normale funzionamento del sistema. • La cartella è una directory principale (come C: o F:) La scansione di spyware/grayware è stata interrotta manualmente. Effettuare una scansione completa un utente interrompe la scansione prima del completamento. eseguire una scansione manuale e attenderne la conclusione. Spyware/grayware disinfettato. È necessario riavviare il computer. Riavviare il computer OfficeScan ha disinfettato i componenti spyware/grayware, ma per completare l'attività è necessario riavviare l'dispositivo. Riavviare immediatamente l'dispositivo. Impossibile disinfettare spyware/grayware Sono stati rilevati spyware/grayware su un CD-ROM o un'unità di rete. OfficeScan disinfetta solo spyware/grayware rilevati in queste posizioni. rimuovere manualmente il file infetto Risultati scansione spyware/grayware non identificati. Contattare l'assistenza tecnica di Trend Micro una nuova versione del motore di scansione spyware fornisce un nuovo risultato della scansione che la configurazione di OfficeScan non è in grado di gestire. contattare l'assistenza tecnica per capire come determinare il nuovo risultato della scansione. 7-102 Analisi dei rischi per la sicurezza Visualizzazione dei registri di ripristino spyware/grayware Dopo aver eseguito la disinfezione da spyware/grayware, gli agenti OfficeScan eseguono il backup dei dati. Notificare a un agente online di ripristinare i dati di backup, se sono considerati innocui. I registri contengono le informazioni sui dati di backup di spyware/ grayware ripristinati, sull'dispositivo interessato e sui risultati del ripristino. Procedura 1. Accedere a Registri > Agenti > Ripristino spyware/grayware. 2. Controllare la colonna Risultato per verificare che OfficeScan abbia ripristinato correttamente i dati di spyware e grayware. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Registri di scansione Quando viene eseguita Scansione manuale, Scansione pianificata o Esegui scansione, l'agente OfficeScan crea un registro della scansione che contiene informazioni sulla scansione. È possibile visualizzare il registro della scansione accedendo alla console dell'agente OfficeScan. Gli agenti non inviano il registro della scansione al server. I registri della scansione mostrano le seguenti informazioni: • Data e ora di inizio della scansione di OfficeScan • Data e ora di fine della scansione di OfficeScan • Stato della scansione • Completato: la scansione è stata completata correttamente. • Operazione interrotta: la scansione è stata interrotta dall'utente prima del completamento. • Operazione interrotta in modo imprevisto: la scansione è stata interrotta dall'utente, dal sistema o da un evento imprevisto. Ad esempio, il servizio 7-103 Guida per l'amministratore di OfficeScan™ 11.0 Scansione in tempo reale di OfficeScan potrebbe essersi interrotto in modo imprevisto oppure l'utente ha forzato il riavvio dell'agente. • Tipo di scansione • Numero di oggetti esaminati • Numero di file infetti • Numero di azioni non riuscite • Numero di azioni riuscite • Versione di Smart Scan Agent Pattern • Versione del pattern dei virus • Versione del pattern spyware Rischi per la sicurezza Un rischio per la sicurezza si presenta quando i rilevamenti di virus/minacce informatiche, spyware/grayware e le sessioni di cartelle condivise superano una determinata soglia in un determinato intervallo di tempo. Esistono vari modi per reagire e contenere un'infezione nella rete, tra i quali: • Attivazione del monitoraggio della rete da parte di OfficeScan alla ricerca di attività sospette • Blocco di porte e cartelle dell'dispositivo agente principale • lnvio di messaggi di avviso di infezione agli agenti • Disinfezione degli dispositivi infetti Notifiche e criteri dei rischi per la sicurezza Configurare OfficeScan per inviare una notifica all'utente e agli amministratori di OfficeScan quando si verificano i seguenti eventi: 7-104 Analisi dei rischi per la sicurezza TABELLA 7-27. Tipi di notifiche di infezione sui rischi per la sicurezza TIPO • Virus/minacce informatiche • Spyware/Grayware • Sessione di condivisione delle cartelle RIFERIMENTO Configurazione delle notifiche e dei criteri dei rischi per la sicurezza a pagina 7-106 Violazioni del firewall Configurazione delle notifiche e dei criteri di infezione da violazione del firewall a pagina 12-31 Callback C&C Configurazione delle notifiche e dei criteri delle infezioni dei callback C&C a pagina 11-21 • Infezioni di virus/minacce informatiche • Infezioni di spyware/grayware • Infezioni da violazioni del firewall • Infezioni di sessioni di condivisione delle cartelle Definire i parametri di un'infezione in base al numero di rilevamenti e al periodo di rilevamento. Un infezione viene rilevata quando viene superato il numero di rilevamenti nel periodo di rilevamento stabilito. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Nota OfficeScan è in grado di inviare notifiche di infezione riguardanti i rischi per la sicurezza tramite e-mail, trap SNMP e i registri eventi di Windows NT. Per le infezioni delle sessioni di cartelle condivise, OfficeScan invia le notifiche tramite posta elettronica. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. 7-105 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle notifiche e dei criteri dei rischi per la sicurezza Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri: a. Andare alle sezioni Virus e minacce informatiche e Spyware/Grayware: b. Specificare il numero di origini uniche dei rilevamenti. c. Specificare il numero di rilevamenti e il periodo di rilevamento per ogni rischio per la sicurezza. Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia un messaggio di notifica quando il numero di rilevamenti fissato viene superato. Ad esempio, nella sezione Virus e minacce informatiche, se vengono specificate 10 origini univoche, 100 rilevamenti e un periodo di tempo di 5 ore, OfficeScan invia la notifica quando 10 diversi agenti hanno segnalato un totale di 101 rischi per la sicurezza nell'arco di 5 ore. Se tutte le istanze sono state rilevate nello stesso agente nell'arco di 5 ore, OfficeScan non invia la notifica. 3. 7-106 Nella scheda Criteri: a. Andare alla sezione Sessioni di condivisione delle cartelle. b. Selezionare Controlla le sessioni di condivisione delle cartelle sulla rete. c. In Sessioni di condivisione cartelle registrate, fare clic sul collegamento del numero per visualizzare i computer con cartelle condivise e i computer con accesso alle cartelle condivise. d. Specificare il numero di sessioni di condivisione cartelle e il periodo di rilevamento. Analisi dei rischi per la sicurezza OfficeScan invia un messaggio di notifica quando il numero di sessioni di condivisione cartelle fissato viene superato. 4. Nella scheda E-mail: a. Andare alle sezioni Infezioni di virus/minacce informatiche, Infezioni di spyware/grayware e Infezioni delle sessioni di condivisione delle cartelle. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 7-28. Variabili token per le notifiche dei rischi per la sicurezza VARIABILE DESCRIZIONE Infezioni di virus/minacce informatiche %CV Numero totale di virus/minacce informatiche rilevati %CC Numero totale di computer con virus/minacce informatiche Infezioni di spyware/grayware %CV Numero totale di spyware/grayware rilevati %CC Numero totale di computer con spyware/grayware Infezioni delle sessioni di condivisione delle cartelle e. %S Numero di sessioni di condivisione delle cartelle %T Totale periodo di durata delle sessioni di condivisione delle cartelle %M Periodo di tempo in minuti Selezionare ulteriori informazioni su virus/minacce informatiche e spyware/ grayware da includere nel messaggio e-mail. È possibile includere il nome dell'agente/dominio, il nome del rischio per la sicurezza, la data e l'ora del rilevamento, il file infetto e il percorso e il risultato della scansione. 7-107 Guida per l'amministratore di OfficeScan™ 11.0 f. 5. 6. 7. Accettare o modificare i messaggi di notifica predefiniti. Fare clic sulla scheda Trap SNMP: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-107. Nella scheda Registro eventi NT: a. Andare alle sezioni Infezioni di virus e minacce informatiche e Infezioni di spyware/grayware. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Per informazioni, vedere Tabella 7-28: Variabili token per le notifiche dei rischi per la sicurezza a pagina 7-107. Fare clic su Salva. Configurazione della prevenzione dei rischi per la sicurezza Quando si verifica un'infezione, per reagire e contenerla occorre implementare le misure di prevenzione dell'infezione. Prestare particolare attenzione alla configurazione delle impostazioni di prevenzione, poiché eventuali errori di configurazione possono provocare problemi imprevisti nella rete. Procedura 1. 7-108 Accedere a Agenti > Prevenzione delle infezioni. Analisi dei rischi per la sicurezza 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. ) per includere 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su uno dei seguenti criteri per la prevenzione delle infezioni e configurare le impostazioni per il criterio: • Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110 • Blocco delle porte vulnerabili a pagina 7-111 • Divieto di accesso in scrittura a file e cartelle a pagina 7-113 • Divieto di accesso ai file compressi eseguibili a pagina 7-115 • Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-114 5. Selezionare i criteri da applicare. 6. Selezionare il numero di ore per cui la prevenzione delle infezioni resterà attiva. Il valore predefinito è 48 ore. È possibile ripristinare manualmente le impostazioni di rete prima che il periodo di prevenzione delle infezioni scada. AVVERTENZA! Non lasciare attivata la prevenzione delle infezioni per un tempo indeterminato. Per bloccare o impedire l'accesso a determinati file, cartelle o porte per un periodo di tempo indeterminato, anziché utilizzare OfficeScan si consiglia di modificare direttamente le impostazioni dell'dispositivo e della rete. 7. Accettare o modificare il messaggio di notifica dell'agente predefinito. Nota Per configurare OfficeScan per l'invio di notifiche durante un'infezione, accedere a Amministrazione > Notifiche > Infezione. 8. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. 7-109 Guida per l'amministratore di OfficeScan™ 11.0 9. Nella struttura agente Prevenzione delle infezioni, selezionare la colonna Prevenzione delle infezioni. Accanto ai computer a cui vengono applicate le misure di prevenzione delle infezioni viene visualizzato un segno di spunta. OfficeScan registra i seguenti eventi nei registri eventi di sistema: • Eventi server (avvio della prevenzione delle infezioni e notifica agli agenti per l'attivazione della prevenzione delle infezioni) • Evento agente OfficeScan (attivazione della prevenzione delle infezioni) Criteri per la prevenzione delle infezioni Quando si verificano le infezioni, implementare i seguenti criteri: • Limitazione/Negazione dell'accesso alle cartelle condivise a pagina 7-110 • Blocco delle porte vulnerabili a pagina 7-111 • Divieto di accesso in scrittura a file e cartelle a pagina 7-113 • Divieto di accesso ai file compressi eseguibili a pagina 7-115 • Creazione del trattamento di esclusione reciproca sui file/processi di minacce informatiche a pagina 7-114 Limitazione/Negazione dell'accesso alle cartelle condivise Durante le infezioni virali è possibile limitare o impedire l'accesso alle cartelle condivise della rete per impedire che i rischi per la sicurezza si diffondano attraverso le cartelle condivise. Quando questo criterio viene applicato, gli utenti possono ancora condividere le cartelle, ma il criterio non viene applicato alle nuove cartelle condivise. Occorre quindi avvisare gli utenti di non condividere le cartelle durante un'infezione oppure implementare di nuovo il criterio per applicarlo alle nuove cartelle condivise. 7-110 Analisi dei rischi per la sicurezza Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Limita/impedisci l'accesso alle cartelle condivise. 5. Selezionare una delle opzioni seguenti: ) per includere • Consenti solo accesso alla lettura: limita l'accesso alle cartelle condivise • Impedisci accesso completo Nota l'impostazione di accesso in sola lettura non si applica alle cartelle condivise già configurate per impedire l'accesso completo. 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Blocco delle porte vulnerabili Durante le infezioni, è necessario bloccare le porte vulnerabili che virus e minacce informatiche potrebbero utilizzare per accedere ai computer dell'agente OfficeScan. 7-111 Guida per l'amministratore di OfficeScan™ 11.0 AVVERTENZA! Configurare le impostazioni di prevenzione delle infezioni virali con la massima attenzione. Se si bloccano le porte in uso, i servizi di rete da esse dipendenti non sono più disponibili. Ad esempio, se viene bloccata la porta affidabile, OfficeScan non riesce a comunicare con l'agente per tutta la durata dell'infezione. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Blocco delle porte. 5. Decidere se selezionare l'opzione Blocca porta affidabile. 6. Selezionare le porte da bloccare nella colonna Porte bloccate. a. 7-112 ) per includere Se non vi sono porte nella tabella, fare clic su Aggiungi. Nella schermata che si apre, selezionare le porte da bloccare e fare clic su Salva. • Tutte le porte (ICMP incluso): blocca tutte le porte eccetto quella affidabile. Se si desidera bloccare anche la porta affidabile, selezionare la casella di controllo Blocca porta affidabile nella schermata precedente. • Porte comunemente usate: selezionare almeno un numero di porta da salvare nelle impostazioni per il blocco delle porte di OfficeScan. • Porte dei cavalli di Troia: blocca le porte normalmente utilizzate dai programmi cavalli di Troia. Per informazioni, vedere Porta dei cavalli di Troia a pagina E-14. • Un numero o intervallo di porte: è possibile specificare la direzione del traffico da bloccare e alcuni commenti, come il motivo per cui devono essere bloccate le porte specificate. • Protocollo ping (respingi ICMP): fare clic su questa opzione se si desidera soltanto bloccare i pacchetti ICMP, come ad esempio le richieste ping. Analisi dei rischi per la sicurezza 7. b. Per modificare le impostazioni per le porte bloccate, fare clic sul numero di porta. c. Nella schermata che si apre, modificare le impostazioni e fare clic su Salva. d. Per rimuovere una porta dall'elenco, selezionare la casella di controllo accanto al numero di porta e fare clic su Elimina. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 8. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Divieto di accesso in scrittura a file e cartelle I virus e le minacce informatiche sono in grado di modificare o eliminare file e cartelle sui computer host. Durante un'infezione è possibile configurare OfficeScan per impedire a virus e minacce informatiche di modificare o eliminare file e cartelle sui computer agente OfficeScan. AVVERTENZA! OfficeScan non supporta il divieto dell'accesso in scrittura sulle unità di rete collegate. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Impedisci accesso alla scrittura di file e cartelle. ) per includere 7-113 Guida per l'amministratore di OfficeScan™ 11.0 5. Inserire il percorso directory. Dopo avere digitato il percorso directory da proteggere, fare clic su Aggiungi. Nota Digitare il percorso assoluto (non quello virtuale) della directory. 6. Specificare i file da proteggere nelle directory protette. Selezionare tutti i file o i file con determinate estensioni. Per le estensioni dei file, per specificare un'estensione non compresa nell'elenco, digitarla nella casella di testo e fare clic su Aggiungi. 7. Per proteggere file specifici, in File da proteggere, inserire il nome file completo e fare clic su Aggiungi. 8. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 9. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Creazione del trattamento di esclusione reciproca sui file/ processi di minacce informatiche È possibile configurare Prevenzione delle infezioni virali, come protezione contro le minacce per la sicurezza che utilizzano i processi mutex sovrascrivendo le risorse richieste dalla minaccia per diffondere l'infezione in tutto il sistema. La prevenzione delle infezioni virali crea esclusioni reciproche su file e processi relazionati alle minacce informatiche note, prevenendone l'accesso a queste risorse. Suggerimento Trend Micro consiglia di conservare queste esclusioni fino all'implementazione di una soluzione per le minacce informatiche. Contattare l'assistenza per ottenere i nomi mutex corretti da proteggere durante un'infezione. 7-114 Analisi dei rischi per la sicurezza Nota Il trattamento di esclusione reciproca richiede il Servizio prevenzione modifiche non autorizzate e supporta solo le piattaforme a 32 bit. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Crea trattamento (mutex) di esclusione reciproca sui file/ processi malware. 5. Digitare il nome mutex come protezione contro il campo del testo fornito. ) per includere Aggiungere o rimuovere i nomi mutex dall'elenco usando i pulsanti + e -. Nota Prevenzione delle infezioni virali supporta il trattamento di esclusione reciproca per un massimo di sei minacce mutex. 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Divieto di accesso ai file compressi eseguibili Durante le infezioni, impedire l'accesso ai file compressi eseguibili può prevenire la diffusione nella rete di possibili rischi per la sicurezza che questi file possono contenere. 7-115 Guida per l'amministratore di OfficeScan™ 11.0 È possibile scegliere di consentire l'accesso ai file affidabili creati dai programmi packer eseguibili supportati. Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Avvia Prevenzione delle infezioni. 4. Fare clic su Impedisci l'accesso a file compressi eseguibili. 5. Selezionare dall'elenco dei programmi packer eseguibili supportati e fare clic su Aggiungi, per consentire l'accesso ai relativi file eseguibili creati da tali programmi packer. ) per includere Nota È possibile approvare solo l'uso dei file compressi creati dai programmi packer nell'elenco Packer eseguibili. La Prevenzione delle infezioni virali nega l'accesso a tutti gli altri formati di file compressi eseguibili. 6. Fare clic su Salva. Viene nuovamente visualizzata la schermata Impostazioni di prevenzione delle infezioni. 7. Fare clic su Avvia Prevenzione delle infezioni. Le misure di prevenzione delle infezioni selezionate vengono visualizzate in una nuova finestra. Disattivazione della prevenzione delle infezioni Se si è certi che l'infezione è stata arginata e tutti i file infetti sono stati disinfettati o messi in quarantena da OfficeScan, ripristinare le normali impostazioni di rete disattivando la funzione di prevenzione delle infezioni. 7-116 Analisi dei rischi per la sicurezza Procedura 1. Accedere a Agenti > Prevenzione delle infezioni. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Ripristina impostazioni. 4. Per informare gli utenti che l'infezione è terminata, selezionare Invia una notifica agli utenti dopo il ripristino delle impostazioni originali. 5. Accettare o modificare il messaggio di notifica dell'agente predefinito. 6. Fare clic su Ripristina impostazioni. ) per includere Nota Se non si ripristinano manualmente le impostazioni di rete, OfficeScan le ripristina automaticamente trascorso il numero di ore specificato in Ripristina automaticamente le normali impostazioni di rete dopo __ ore nella schermata Impostazioni di prevenzione delle infezioni. L'impostazione predefinita è 48 ore. OfficeScan registra i seguenti eventi nei registri eventi di sistema: 7. • Eventi server (avvio della prevenzione delle infezioni e notifica agli agenti OfficeScan per l'attivazione della prevenzione delle infezioni) • Evento agente OfficeScan (attivazione della prevenzione delle infezioni) Dopo aver disattivato la prevenzione dalle infezioni, effettuare la scansione dei computer di rete per contrastare eventuali rischi per la prevenzione. 7-117 Capitolo 8 Uso di Monitoraggio del comportamento Questo capitolo descrive come proteggere i computer dai rischi di sicurezza utilizzando la funzione di Monitoraggio del comportamento. Di seguito sono riportati gli argomenti trattati: • Monitoraggio del comportamento a pagina 8-2 • Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-8 • Privilegi di monitoraggio del comportamento a pagina 8-10 • Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-13 • Registri di Monitoraggio del comportamento a pagina 8-14 8-1 Guida per l'amministratore di OfficeScan™ 11.0 Monitoraggio del comportamento Il Monitoraggio del comportamento controlla costantemente gli dispositivo alla ricerca di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del comportamento protegge gli dispositivo con il Blocco del comportamento malware e il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di eccezioni configurato dall'utente e il servizio Certified Safe software. Importante • Il Monitoraggio del comportamento non supporta le piattaforme Windows XP o Windows 2003 a 64 bit. • Il Monitoraggio del comportamento supporta le piattaforme Windows Vista a 64 bit con SP1 o versioni successive. • Per impostazione predefinita, il Monitoraggio del comportamento è disattivato in tutte le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di attivare il Monitoraggio del comportamento su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7. Blocco del comportamento malware Il Blocco del comportamento malware offre uno strato necessario di protezione aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso. Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa funzione per garantire un livello più alto di protezione contro le minacce nuove, sconosciute ed emergenti. Monitoraggio del comportamento malware fornisce le tre opzioni di scansione a livello di minaccia seguenti: 8-2 • Minacce note: blocca i comportamenti associati alle minacce informatiche conosciute • Minacce note e potenziali: blocca il comportamento associato alle minacce conosciute e intraprende azioni sul comportamento potenzialmente dannoso Uso di Monitoraggio del comportamento Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sull'dispositivo agente OfficeScan. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-13. Monitoraggio degli eventi Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi software e malware non autorizzati. Controlla le aree di sistema alla ricerca di determinati eventi, consentendo agli amministratori di regolare i programmi che attivano questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento malware. La tabella seguente contiene l'elenco degli eventi di sistema monitorati. TABELLA 8-1. Eventi di sistema controllati EVENTI DESCRIZIONE Duplicazione dei file di sistema Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. Modifica del file Hosts Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga reindirizzato verso siti Web infetti, inesistenti o falsificati. Comportamento sospetto Il comportamento sospetto può essere rappresentato da un'operazione specifica o una serie di operazioni raramente svolte da programmi legittimi. I programmi che rivelano un comportamento sospetto devono essere utilizzati con cautela. Nuovo plug-in per Internet Explorer I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). 8-3 Guida per l'amministratore di OfficeScan™ 11.0 EVENTI 8-4 DESCRIZIONE Modifica delle impostazioni di Internet Explorer Molti virus/minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. Modifica dei criteri di protezione Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema. Caricamento di librerie di programma Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. Modifica della shell Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l'utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. Nuovo servizio I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. Modifica dei file di sistema Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. Modifica dei criteri del firewall I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. Modifica dei processi di sistema Molti programmi dannosi eseguono varie operazioni sui processi integrati di Windows. Esempi di tali operazioni sono l'interruzione o la modifica dei processi in esecuzione. Uso di Monitoraggio del comportamento EVENTI Nuovo programma di avvio DESCRIZIONE Le applicazioni dannose solitamente aggiungono o modificano voci di avvio automatiche nel registro Windows che vengono avviate automaticamente ogni volta che il computer viene acceso. Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione configurata per l'evento. La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventi di sistema monitorati. TABELLA 8-2. Azioni per eventi di sistema controllati AZIONE Valuta DESCRIZIONE OfficeScan autorizza sempre i programmi associati a un evento ma tiene traccia dell'operazione nei registri ai fini della valutazione. Questa è l'azione predefinita per tutti gli eventi di sistema controllati. Nota Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit. Consenti OfficeScan autorizza sempre i programmi associati a un evento. 8-5 Guida per l'amministratore di OfficeScan™ 11.0 AZIONE Chiedi se necessario DESCRIZIONE OfficeScan chiede agli utenti se consentire o negare i programmi associati a un evento e aggiungere i programmi all'elenco di eccezioni Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Il periodo di tempo predefinito è 30 secondi. Per modificare il periodo di tempo, vedere Configurazione delle impostazioni del monitoraggio del comportamento globale a pagina 8-8. Nota Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit. Impedisci OfficeScan blocca sempre i programmi associati a un evento e tiene traccia dell'operazione nei registri. Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer OfficeScan. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan a pagina 8-13. Elenco eccezioni Monitoraggio del comportamento L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che non vengono controllati da Monitoraggio del comportamento. • Programmi approvati: i programmi contenuti in questo elenco possono essere eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione. • Programmi bloccati: non è possibile avviare i programmi inclusi in questo elenco. Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi. Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agli utenti il privilegio di configurare il proprio elenco di eccezioni dalla console agente 8-6 Uso di Monitoraggio del comportamento OfficeScan. Per i dettagli, consultare Privilegi di monitoraggio del comportamento a pagina 8-10. Configurazione del Blocco del comportamento malware, del Monitoraggio degli eventi e dell'Elenco di Eccezione Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni del monitoraggio del comportamento. 4. Selezionare Attiva il Blocco del comportamento malware per minacce note e potenziali e una delle opzioni seguenti: 5. 6. ) per includere • Minacce note: blocca i comportamenti associati alle minacce informatiche conosciute • Minacce note e potenziali: blocca il comportamento associato alle minacce conosciute e intraprende azioni sul comportamento potenzialmente dannoso Configurare le impostazioni del monitoraggio degli eventi. a. Selezionare Attiva Monitoraggio degli eventi. b. Scegliere gli eventi di sistema da controllare e selezionare un'azione per ciascuno degli eventi selezionati. Per informazioni sugli eventi di sistema controllati e le azioni, vedere Monitoraggio degli eventi a pagina 8-3. Configurare gli elenchi delle eccezioni. a. In Digitare il percorso completo del programma, digitare l'intero percorso del programma da approvare o da bloccare. Separare le diverse voci con un punto e virgola (;). b. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco Bloccati. 8-7 Guida per l'amministratore di OfficeScan™ 11.0 c. Per eliminare dall'elenco un programma bloccato o approvato, fare clic sull'icona del cestino ( ) accanto al programma. Nota OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi bloccati. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle impostazioni del monitoraggio del comportamento globale OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti con determinati privilegi. Procedura 8-8 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Impostazioni del monitoraggio del comportamento . 3. Configurare le seguenti impostazioni, in base alle necessità: Uso di Monitoraggio del comportamento OPZIONE DESCRIZIONE Autorizza automaticamente il programma se l'utente non risponde entro __ secondi Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi e l'azione per un evento di sistema controllato è "Chiedi se necessario". Questa azione chiede all'utente se consentire o negare i programmi associati all'evento. Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Per i dettagli, consultare Monitoraggio degli eventi a pagina 8-3. Chiedi all'utente prima di eseguire nuovi programmi scaricati tramite HTTP o applicazioni email (escluse piattaforme server) Il Monitoraggio del comportamento, insieme ai Servizi di reputazione Web, verifica la prevalenza di file scaricati tramite le applicazioni e-mail o i canali HTTP. Dopo aver rilevato un file "nuovo", gli amministratori possono scegliere di chiedere conferma agli utenti prima di eseguire il file. Trend Micro classifica un programma come nuovo in base al numero di rilevamenti del file o all'età storica del file determinata da Smart Protection Network. Monitoraggio del comportamento effettua la scansione dei tipi di file seguenti per ciascun canale: • HTTP: esegue la scansione dei file .exe. • Applicazioni e-mail: esegue la scansione dei file .exe e dei file .exe compressi nei file .zip e .rar non crittografati. Nota • Gli amministratori devono attivare Servizi di reputazione Web sull'agente per consentire a OfficeScan di effettuare la scansione del traffico HTTP prima che venga visualizzata la richiesta. • Per i sistemi Windows 7, Vista e XP, questo prompt supporta solo le porte 80, 81 e 8080. • OfficeScan abbina i nomi dei file scaricati tramite applicazioni e-mail durante il processo di esecuzione. Se il nome del file è stato modificato, l'utente non riceve alcun prompt. 8-9 Guida per l'amministratore di OfficeScan™ 11.0 4. Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare il Servizio certificato Safe Software, come necessario. Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. Nota Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di collegarsi ai datacenter Trend Micro. 5. Fare clic su Salva. Privilegi di monitoraggio del comportamento Se gli agenti dispongono dei privilegi di Monitoraggio del comportamento, l'opzione Monitoraggio del comportamento viene visualizzata nella schermata Impostazioni nella 8-10 Uso di Monitoraggio del comportamento console dell'agente OfficeScan. Gli utenti possono, quindi, gestire il proprio elenco di eccezioni. FIGURA 8-1. Opzione Monitoraggio del comportamento nella console dell'agente OfficeScan 8-11 Guida per l'amministratore di OfficeScan™ 11.0 Concessione dei privilegi di monitoraggio del comportamento Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, passare alla sezione Privilegi di monitoraggio del comportamento. 5. Selezionare Visualizza le impostazioni Monitoraggio del comportamento nella console agente OfficeScan. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: 8-12 ) per includere • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Uso di Monitoraggio del comportamento Notifiche di Monitoraggio del comportamento per gli utenti degli agenti OfficeScan OfficeScan può visualizzare un messaggio di notifica sul computer agente OfficeScan subito dopo che Monitoraggio del comportamento ha bloccato un programma. Attivare l'invio dei messaggi di notifica e, se si desidera, modificare il contenuto del messaggio. Attivazione dell'invio di messaggi di notifica Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e passare alla sezione Impostazioni del monitoraggio del comportamento . 5. Selezionare Visualizza una notifica quando un programma viene bloccato. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per includere • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 8-13 Guida per l'amministratore di OfficeScan™ 11.0 Modifica del contenuto del messaggio di notifica Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni dei criteri di monitoraggio del comportamento. 3. Modificare il messaggio predefinito nella casella di testo disponibile. 4. Fare clic su Salva. Registri di Monitoraggio del comportamento Gli agenti OfficeScan registrano le istanze di accesso non autorizzato ai programmi e inviano i registri al server. Un agente OfficeScan che è sempre in esecuzione raccoglie i registri e li invia a intervalli specificati, per impostazione predefinita ogni 60 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di Monitoraggio del comportamento Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 8-14 ) per includere Uso di Monitoraggio del comportamento 3. Fare clic su Registri > Registri di Monitoraggio del comportamento oppure Visualizza registri > Registri di Monitoraggio del comportamento. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: 6. • Data/Ora di rilevamento del processo non autorizzato • Dispositivo in cui il processo non autorizzato è stato rilevato • Dominio dell'dispositivo • Violazione, ossia la regola di monitoraggio dell'evento violata dal processo • Azione eseguita al rilevamento della violazione • Evento, ossia il tipo di oggetto al quale il programma ha avuto accesso • Livello di rischio del programma non autorizzato • Programma, ossia il programma non autorizzato • Operazione, ossia l'azione eseguita dal programma non autorizzato • Destinazione, ossia il processo al quale è stato eseguito l'accesso Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Configurazione della pianificazione dell'invio dei registri di Monitoraggio del comportamento: Procedura 1. Accedere a <Cartella di installazione del server>\PCCSRV. 2. Con un editor di testo, ad esempio il Blocco note, aprire il file ofcscan.ini. 3. Cercare la stringa "SendBMLogPeriod" e controllare il valore riportato accanto ad essa. 8-15 Guida per l'amministratore di OfficeScan™ 11.0 Il valore predefinito è 3600 secondi e la stringa completa è SendBMLogPeriod=3600. 4. Specificare il valore in secondi. Ad esempio, per cambiare il periodo del registro in 2 ore, cambiare il valore in 7200. 5. Salvare il file. 6. Accedere a Agenti > Impostazioni globali agente. 7. Fare clic su Salva senza cambiare le impostazioni. 8. Riavviare l'agente. 8-16 Capitolo 9 Utilizzo di Controllo dispositivo Questo capitolo descrive come proteggere i computer dai rischi per la sicurezza utilizzando la funzione di Controllo dispositivo. Di seguito sono riportati gli argomenti trattati: • Controllo dispositivo a pagina 9-2 • Autorizzazioni per dispositivi di archiviazione a pagina 9-4 • Autorizzazioni per dispositivi non di archiviazione a pagina 9-11 • Modifica delle notifiche di controllo dispositivo a pagina 9-18 • Registri di controllo dispositivo a pagina 9-18 9-1 Guida per l'amministratore di OfficeScan™ 11.0 Controllo dispositivo Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza. È possibile configurare i criteri di Controllo dispositivo per gli agenti interni ed esterni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agenti esterni. I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare un singolo criterio a tutti gli agenti. Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti nella schermata Località computer (vedere Posizione dispositivo a pagina 14-2) per determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. Importante • 9-2 Per impostazione predefinita, il Controllo dispositivo è disattivato in tutte le versioni di Windows Server 2003, Windows Server 2008 e Windows Server 2012. Prima di attivare il Controllo dispositivo su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi dell'agente OfficeScan a pagina 14-7. Utilizzo di Controllo dispositivo Importante • I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Per ulteriori informazioni sulla licenza di Protezione dati, vedere Licenza di Protezione dati a pagina 3-4. TABELLA 9-1. Tipi di dispositivo PROTEZIONE DATI PROTEZIONE DATI NON ATTIVATA ATTIVATA Dispositivi mobili Dispositivi mobili Monitorato Non monitorato CD/DVD Monitorato Monitorato Dischi floppy Monitorato Monitorato Unità di rete Monitorato Monitorato Dispositivi USB di archiviazione Monitorato Monitorato Dispositivi di archiviazione Dispositivi non di archiviazione • Adattatori Bluetooth Monitorato Non monitorato Porte COM e LPT Monitorato Non monitorato Interfaccia IEEE 1394 Monitorato Non monitorato Dispositivi per l'acquisizione di immagini Monitorato Non monitorato Dispositivi a infrarossi Monitorato Non monitorato Modem Monitorato Non monitorato Scheda PCMCIA Monitorato Non monitorato Tasto Stamp Monitorato Non monitorato Schede NIC wireless: Monitorato Non monitorato Per un elenco dei modelli di dispositivi supportati, consultare gli elenchi di protezione dati 9-3 su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Guida per l'amministratore di OfficeScan™ 11.0 Autorizzazioni per dispositivi di archiviazione Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono utilizzate per: • Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare il livello di accesso. • Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione, ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso. La seguente tabella contiene un elenco delle autorizzazioni per i dispositivi di archiviazione. TABELLA 9-2. Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione AUTORIZZAZIONI Accesso completo Modifica FILE NEL DISPOSITIVO FILE IN ENTRATA Operazioni consentite: copia, spostamento, apertura, salvataggio, eliminazione, esecuzione Operazioni consentite: salvataggio, spostamento, copia Operazioni consentite: copia, spostamento, apertura, salvataggio, eliminazione Operazioni consentite: salvataggio, spostamento, copia Ciò significa che un file può essere salvato, spostato e copiato nel dispositivo. Operazioni non consentite: esecuzione Lettura ed esecuzione Operazioni consentite: copia, apertura, esecuzione Operazioni non consentite: salvataggio, spostamento, eliminazione 9-4 Operazioni non consentite: salvataggio, spostamento, copia Utilizzo di Controllo dispositivo AUTORIZZAZIONI Lettura FILE NEL DISPOSITIVO Operazioni consentite: copia, apertura FILE IN ENTRATA Operazioni non consentite: salvataggio, spostamento, copia Operazioni non consentite: salvataggio, spostamento, eliminazione, esecuzione Elenca solo contenuto dispositivo Blocca (disponibile dopo l'attivazione della Protezione dati) Operazioni non consentite: tutte le operazioni Operazioni non consentite: salvataggio, spostamento, copia Il dispositivo e i file che contiene sono visibili all'utente (ad esempio, da Esplora risorse di Windows). Operazioni non consentite: tutte le operazioni Operazioni non consentite: salvataggio, spostamento, copia Il dispositivo e i file che contiene non sono visibili all'utente (ad esempio, da Esplora risorse di Windows). La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il file viene eliminato. Suggerimento Il controllo dispositivo per la protezione dati supporta tutte le piattaforme a 64 bit. Per il monitoraggio di Prevenzione modifiche non autorizzate sui sistemi non supportati da OfficeScan, impostare l'autorizzazione dei dispositivi su Blocca per limitare l'accesso a tali dispositivi. 9-5 Guida per l'amministratore di OfficeScan™ 11.0 Autorizzazioni avanzate per i dispositivi di archiviazione Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per la maggior parte dei dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti: • Modifica • Lettura ed esecuzione • Lettura • Elenca solo contenuto dispositivo È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per alcuni programmi sui dispositivi di archiviazione e sull'dispositivo locale. Per definire i programmi, configurare gli elenchi di programmi seguenti. 9-6 Utilizzo di Controllo dispositivo TABELLA 9-3. Elenchi di programmi ELENCO DI DESCRIZIONE VALORI VALIDI Questo elenco contiene i programmi locali e i programmi dei dispositivi di archiviazione che hanno accesso in lettura e scrittura ai dispositivi. Nome e percorso del programma PROGRAMMI Programmi con accesso in lettura e scrittura ai dispositivi Un esempio di programma locale è Microsoft Word (winword.exe), di solito installato in C:\\Programmi\\Microsoft Office\\Office. Se l'autorizzazione per i dispositivi di archiviazione USB è "Elenca solo contenuto dispositivo", ma "C:\ Per i dettagli, consultare Specifica di nome e percorso del programma a pagina 9-9. \Programmi\\Microsoft Office\\Office \\winword.exe" è incluso nell'elenco: Programmi su dispositivi a cui è consentito eseguire • L'utente avrà accesso in lettura e scrittura a tutti i file del dispositivo di archiviazione USB a cui Microsoft Word ha accesso. • L'utente può salvare, spostare o copiare un file Microsoft Word sul dispositivo di archiviazione USB. Questo elenco contiene i programmi dei dispositivi di archiviazione che possono essere eseguiti dagli utenti o dal sistema. Ad esempio, per consentire agli utenti di installare il software da un CD, aggiungere a questo elenco il nome e il percorso del programma di installazione, ad esempio "E: \Installer\Setup.exe", Nome e percorso del programma o provider della firma digitale Per ulteriori dettagli, vedere Specifica di nome e percorso del programma a pagina 9-9 o Specifica di un provider della firma digitale a pagina 9-8. In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi. Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se attivato, richiede agli utenti di specificare un nome utente e una password validi prima 9-7 Guida per l'amministratore di OfficeScan™ 11.0 che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un programma del dispositivo denominato "Password.exe", che è necessario autorizzare affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere accesso in lettura e scrittura al dispositivo in modo tale che gli utenti possano modificare il nome utente o la password. Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100 programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Aggiunta di programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini a pagina 9-16. AVVERTENZA! I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio root e sovrascrivono i programmi nei singoli domini e negli agenti. Specifica di un provider della firma digitale Specificare un provider di firma digitale se si ritengono affidabili i programmi del provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile 9-8 Utilizzo di Controllo dispositivo conoscere il provider della firma digitale verificando le proprietà di un programma (ad esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà). FIGURA 9-1. Provider della firma digitale per il programma agente OfficeScan (PccNTMon.exe) Specifica di nome e percorso del programma Il nome e il percorso di un programma devono essere composti da un massimo di 259 caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile specificare solo il nome del programma. È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo, come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere multiplo, come un nome di un programma. 9-9 Guida per l'amministratore di OfficeScan™ 11.0 Nota I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly: TABELLA 9-4. Uso corretto dei caratteri jolly ESEMPIO DATI CORRISPONDENTI ?:\Password.exe Il file "Password.exe" si trova direttamente sotto una qualsiasi unità C:\Programmi\Microsoft\*.exe Qualsiasi file in C:\Programmi che abbia un'estensione di file C:\Programmi\*.* Qualsiasi file in C:\Programmi che abbia un'estensione di file C:\Programmi\a?c.exe Qualsiasi file .exe in C:\Programmi composto da 3 caratteri che inizi con la lettera "a" e termini con la lettera "c" C:\* Qualsiasi file che si trovi direttamente sotto l'unità C: \Programmi con o senza un'estensione di file Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly: TABELLA 9-5. Uso scorretto dei caratteri jolly ESEMPIO ??:\Buffalo\Password.exe ?? rappresenta due caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. *:\Buffalo\Password.exe * rappresenta dati con più caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. C:\*\Password.exe I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. C:\?\Password.exe 9-10 MOTIVO Utilizzo di Controllo dispositivo Autorizzazioni per dispositivi non di archiviazione L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate. Gestione dell'accesso ai dispositivi esterni (Protezione dati attivata) Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo. 4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agenti interni. 5. Selezionare Attiva controllo dispositivo. 6. Applicare le impostazioni come indicato di seguito: ) per includere • Nella scheda Agenti esterni è possibile applicare le impostazioni agli agenti interni selezionando Applica impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioni agli agenti esterni selezionando Applica impostazioni agli agenti esterni. 7. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 8. Configurare le impostazioni per i dispositivi di archiviazione. 9-11 Guida per l'amministratore di OfficeScan™ 11.0 9. a. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. b. Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a questi dispositivi e possono controllare il livello di accesso usando le autorizzazioni. Consultare Configurazione di un elenco Approvati per i dispositivi USB a pagina 9-13. Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Configurazione delle autorizzazioni avanzate Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione. Nota Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 9-6. 9-12 Utilizzo di Controllo dispositivo Procedura 1. Fare clic su Notifiche e autorizzazioni avanzate. Viene visualizzata una nuova schermata. 2. Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato. 3. Sotto Programmi su dispositivi di archiviazione di cui è consentita l'esecuzione:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi. 4. Selezionare Visualizza un messaggio di notifica sull'dispositivo quando OfficeScan rileva un accesso non autorizzato ai dispositivi. 5. • L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura" gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. • È possibile modificare il messaggio di notifica. Per i dettagli, consultare Modifica delle notifiche di controllo dispositivo a pagina 9-18. Fare clic su Indietro. Configurazione di un elenco Approvati per i dispositivi USB L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco approvati. Procedura 1. Fare clic su Dispositivi approvati. 9-13 Guida per l'amministratore di OfficeScan™ 11.0 2. Immettere il fornitore del dispositivo. 3. Immettere il modello e l'ID di serie del dispositivo. Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14. 4. Selezionare l'autorizzazione per ciascun dispositivo. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni per dispositivi di archiviazione a pagina 9-4. 5. Per aggiungere altri dispositivi, fare clic sull'icona (+). 6. Fare clic su < Indietro. Strumento elenco dispositivi Eseguire lo Strumento elenco dispositivi localmente su ogni singolo dispositivo per eseguire query sui dispositivi esterni collegati all'dispositivo. Lo strumento analizza un dispositivo alla ricerca di dispositivi esterni, quindi visualizza le informazioni sul dispositivo in una finestra del browser. Tali informazioni possono quindi essere utilizzate durante la configurazione delle impostazioni dei dispositivi per la Prevenzione perdita di dati e il Controllo dispositivo. Esecuzione dello Strumento elenco dispositivi Procedura 1. Nel computer server OfficeScan, accedere a \PCCSRV\Admin\Utility \ListDeviceInfo. 2. Copiare listDeviceInfo.exe nell'dispositivo di destinazione. 3. Sull'dispositivo, eseguire listDeviceInfo.exe. 9-14 Utilizzo di Controllo dispositivo 4. Le informazioni sul dispositivo vengono visualizzate nella finestra del browser. La Prevenzione predita di dati e il Controllo dispositivo utilizzano le seguenti informazioni: • Fornitore (obbligatorio) • Modello (facoltativo) • ID di serie (facoltativo) Gestione dell'accesso ai dispositivi esterni (Protezione dati non attivata) Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di controllo dispositivo. 4. Fare clic sulla scheda Agenti esterni per configurare le impostazioni per gli agenti esterni o sulla scheda Agenti interni per configurare le impostazioni per gli agenti interni. 5. Selezionare Attiva controllo dispositivo. 6. Applicare le impostazioni come indicato di seguito: 7. ) per includere • Nella scheda Agenti esterni è possibile applicare le impostazioni agli agenti interni selezionando Applica impostazioni agli agenti interni. • Nella scheda Agenti interni, è possibile applicare le impostazioni delle azioni agli agenti esterni selezionando Applica impostazioni agli agenti esterni. Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB. 9-15 Guida per l'amministratore di OfficeScan™ 11.0 8. Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. 9. Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo di archiviazione è una delle seguenti: Modifica, Lettura ed esecuzione, Lettura o Elenca solo contenuto dispositivo. Consultare Configurazione delle autorizzazioni avanzate a pagina 9-12. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Aggiunta di programmi agli elenchi di controllo dispositivo con ofcscan.ini Nota Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di archiviazione a pagina 9-6. Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV. 2. 9-16 Aprire il file ofcscan.ini usando un editor di testo. Utilizzo di Controllo dispositivo 3. Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di archiviazione: a. Individuare le righe seguenti: [DAC_APPROVED_LIST] Count=x b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<numero>=<nome e percorso del programma o provider della firma digitale> Ad esempio: [DAC_APPROVED_LIST] Count=3 Item0=C:\Program Files\program.exe Item1=?:\password.exe Item2=Microsoft Corporation 4. Per aggiungere i programmi su dispositivi di archiviazione di cui è consentita l'esecuzione: a. Individuare le righe seguenti: [DAC_EXECUTABLE_LIST] Count=x b. Sostituire "x" con il numero di programmi dell'elenco dei programmi. c. Sotto "Count=x", aggiungere i programmi digitando quanto segue: Item<numero>=<nome e percorso del programma o provider della firma digitale> Ad esempio: 9-17 Guida per l'amministratore di OfficeScan™ 11.0 [DAC_EXECUTABLE_LIST] Count=3 Item0=?:\Installer\Setup.exe Item1=E:\*.exe Item2=Trend Micro, Inc. 5. Salvare e chiudere il file ofcscan.ini . 6. Aprire la console Web OfficeScan e accedere a Agenti > Impostazioni globali agente. 7. Fare clic su Salva per implementare gli elenchi di programmi in tutti gli agenti. Modifica delle notifiche di controllo dispositivo I messaggi di notifica sono visualizzati negli dispositivo quando si verificano violazioni del Controllo dispositivo. Se necessario, gli amministratori possono modificare il messaggio di notifica predefinito. Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni del controllo dispositivo 3. Modificare i messaggi predefiniti nella casella di testo disponibile. 4. Fare clic su Salva. Registri di controllo dispositivo Gli agenti OfficeScan registrano le istanze di accesso non autorizzato ai dispositivi e inviano i registri al server. Qualsiasi agente che è sempre in esecuzione raccoglie i registri 9-18 Utilizzo di Controllo dispositivo e li invia dopo 1 ore. Qualsiasi agente che è stato riavviato controlla l'ultima volta che i registri sono stati inviati al server. Se il tempo trascorso è superiore a 1 ora, l'agente invia i registri immediatamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di controllo dispositivo Nota I dati dei registri vengono generati solo dai tentativi di accedere ai Dispositivi di archiviazione. Gli agenti OfficeScan bloccano o consentono l'accesso ai Dispositivi non di archiviazione come da configurazione ma non registrano l'operazione. Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di controllo dispositivo oppure Visualizza registri > Registri di controllo dispositivo. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: ) per includere • Data/Ora di rilevamento dell'accesso non autorizzato • Dispositivo al quale è connesso un dispositivo esterno o è mappata una risorsa di rete • Dominio dell'dispositivo al quale è connesso un dispositivo esterno o è mappata una risorsa di rete • Tipo di dispositivo o risorsa di rete a cui è stato eseguito l'accesso 9-19 Guida per l'amministratore di OfficeScan™ 11.0 6. 9-20 • Destinazione, ossia l'elemento del dispositivo o della risorsa di rete a cui è stato eseguito l'accesso • Accesso eseguito da, ossia il punto da dove è stato eseguito l'accesso • Autorizzazioni impostate per la destinazione Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Capitolo 10 Utilizzo di Prevenzione perdita di dati In questo capitolo vengono descritte le modalità di utilizzo della funzione Prevenzione perdita di dati Di seguito sono riportati gli argomenti trattati: • Informazioni sulla Prevenzione perdita di dati a pagina 10-2 • Criteri di Prevenzione perdita di dati a pagina 10-3 • Tipi di identificatore di dati a pagina 10-5 • Modelli di Prevenzione perdita di dati a pagina 10-20 • Canali DLP a pagina 10-25 • Azioni di Prevenzione perdita di dati a pagina 10-37 • Eccezioni di Prevenzione perdita di dati a pagina 10-38 • Configurazione dei criteri Prevenzione perdita di dati a pagina 10-44 • Notifiche di Prevenzione perdita di dati a pagina 10-49 • Registri di Prevenzione perdita di dati a pagina 10-53 10-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni sulla Prevenzione perdita di dati Le soluzioni per la sicurezza tradizionali impediscono alle minacce alla sicurezza esterne di raggiungere la rete. Nell'ambiente odierno della protezione dati, questa è solo metà della storia. Le violazioni dei dati sono diventate di ordinaria amministrazione ed espongono i dati riservati e sensibili delle aziende – le cosiddette risorse digitali – a persone esterne non autorizzate. Una violazione dei dati può verificarsi in seguito a errori o negligenze dei dipendenti, esternalizzazione dei dati, dispositivi rubati o smarriti, oppure attacchi maligni. Le violazioni dei dati possono: • Danneggiare la reputazione del marchio. • Minare la fiducia del cliente nell'azienda. • Causare spese superflue a copertura dei rimedi e delle multe per violazione della normativa in materia di conformità. • Causare la perdita di opportunità commerciali e mancati guadagni a seguito di furto della proprietà intellettuale. Vista la prevalenza e i danni causati dalle violazioni dei dati, le aziende considerano oggi la protezione delle risorse digitali come un elemento fondamentale dell'infrastruttura di sicurezza. Prevenzione perdita di dati protegge le risorse digitali di un'organizzazione da perdite accidentali o intenzionali. Prevenzione perdita di dati consente di: • Identificare le informazioni sensibili che devono essere protette utilizzando gli identificatori di dati. • Creare criteri che limitano o impediscono la trasmissione delle risorse digitali attraverso i comuni canali di trasmissione, ad esempio posta elettronica e dispositivi esterni. • Implementare la conformità alle norme vigenti sulla privacy Prima di poter monitorare le informazioni sensibili per perdite potenziali, è necessario essere in grado di rispondere alle domande seguenti: • 10-2 Quali dati è necessario proteggere dagli utenti non autorizzati? Utilizzo di Prevenzione perdita di dati • Dove risiedono i dati sensibili? • Come sono trasmessi i dati sensibili? • Quali utenti sono autorizzati ad accedere o a trasmettere i dati sensibili? • Quale azione deve essere intrapresa se si verifica una violazione della sicurezza? Queste importanti domande, in genere, riguardano diversi reparti e impiegati che utilizzano i dati sensibili nell'ambito dell'organizzazione. Se le informazioni sensibili e i criteri di sicurezza sono stati già definiti, è possibile iniziare a definire gli identificatori di dati e i criteri aziendali. Criteri di Prevenzione perdita di dati OfficeScan valuta un file o dei dati in base a una serie di regole definite nei criteri DLP. I criteri determinano quali file e dati richiedono una protezione dalla trasmissione non autorizzata e l'azione che OfficeScan esegue quando rileva la trasmissione. Nota OfficeScan non monitora le trasmissioni di dati tra il server e gli agenti OfficeScan. OfficeScan consente agli amministratori di configurare i criteri per gli agenti OfficeScan interni ed esterni. Gli amministratori in genere configurano criteri più rigidi per gli agenti esterni. Essi hanno la facoltà di far applicare criteri specifici a gruppi di agenti o a singoli agenti. Dopo l'implementazione dei criteri, gli agenti usano i criteri di posizione definiti nella schermata Posizione dispositivo (consultare Posizione dispositivo a pagina 14-2la Guida dell'amministratore di OfficeScan) per determinare le impostazioni di posizione corretta e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. 10-3 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione dei criteri Definire i criteri DLP configurando le seguenti impostazioni e implementandole negli agenti selezionati: TABELLA 10-1. Impostazioni per la definizione di un criterio DLP IMPOSTAZIONI Regole DESCRIZIONE Una regola DLP è composta da azioni, canali e modelli multipli. Ciascuna regola è un sottoinsieme del criterio DLP che la include. Nota Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”, Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora ulteriormente tale regola/modello. Modelli I modelli DLP combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. La regola DLP viene applicata solo ai file o ai dati che soddisfano una determinata istruzione condizionale. Prevenzione perdita di dati comprende una serie di modelli predefiniti e consente agli amministratori di creare modelli personalizzati. Una regola DLP può contenere uno o più modelli. Prevenzione perdita di dati utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono agli identificatori di dati in un modello, Prevenzione perdita di dati non esegue la verifica in altri modelli. Canali 10-4 I canali sono entità che trasmettono le informazioni sensibili. Prevenzione perdita di dati supporta i comuni canali di trasmissione, come la posta elettronica, i dispositivi di archiviazione rimovibili e le applicazioni di messaggistica istantanea. Utilizzo di Prevenzione perdita di dati IMPOSTAZIONI DESCRIZIONE Azioni Prevenzione perdita di dati esegue una o più azioni quando rileva un tentativo di trasmissione di informazioni sensibili attraverso uno dei canali. Eccezioni Le eccezioni adottano azioni di sovrascrittura nei confronti delle regole DLP configurate. Configurare le eccezioni per gestire destinazioni non monitorate, destinazioni monitorate e scansioni di file compressi. identificatore di dati Prevenzione perdita di dati utilizza gli identificatori di dati per identificare le informazioni sensibili. Gli identificatori di dati includono espressioni, attributi di file e parole chiave che agiscono come elementi di costruzione per i modelli DLP. Tipi di identificatore di dati Le risorse digitali sono i file e i dati che un'organizzazione deve proteggere da trasmissione non autorizzata. È possibile definire le risorse digitali utilizzando i seguenti identificatori di dati: • Espressioni: dati con una determinata struttura. Per i dettagli, consultare Espressioni a pagina 10-6. • Attributi di file: proprietà dei file, come il tipo e le dimensioni dei file. Per i dettagli, consultare Attributi di file a pagina 10-11. • Elenco di parole chiave: un elenco di parole o frasi speciali. Per i dettagli, consultare Parole chiave a pagina 10-14. Nota Non è possibile eliminare un identificatore di dati utilizzato da un modello DLP. Eliminare il modello prima di eliminare l'identificatore di dati. 10-5 Guida per l'amministratore di OfficeScan™ 11.0 Espressioni Le espressioni sono dati con una determinata struttura. Ad esempio, i numeri delle carte di credito generalmente sono composti da 16 cifre nel formato "nnnn-nnnn-nnnnnnnn", e questo li rende idonei per il rilevamento basato su espressioni. È possibile usare espressioni predefinite e personalizzate. Per ulteriori dettagli, vedere Espressioni predefinite a pagina 10-6 e Espressioni personalizzate a pagina 10-7. Espressioni predefinite In Prevenzione perdita di dati è inclusa una serie di espressioni predefinite. Queste espressioni non possono essere modificate o eliminate. Prevenzione perdita di dati verifica queste espressioni usando equazioni matematiche e associazioni dei pattern. Quando Prevenzione perdita di dati individua possibili dati corrispondenti a un'espressione, tali dati possono essere sottoposti a ulteriori verifiche. Per un elenco completo delle espressioni predefinite, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx. Visualizzazione delle impostazioni per le espressioni predefinite Nota Le espressioni predefinite non possono essere modificate o eliminate. Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic sul nome dell'espressione. 4. Viene visualizzata la schermata delle impostazioni. 10-6 Utilizzo di Prevenzione perdita di dati Espressioni personalizzate Creare espressioni personalizzate se nessuna delle espressioni predefinite soddisfa le proprie esigenze. Le espressioni sono un potente strumento di ricerca delle stringhe. Prima di creare espressioni assicurarsi di conoscerne la sintassi. Le espressioni scritte con una sintassi errata possono avere un impatto negativo sulle prestazioni. Durante la creazione delle espressioni: • Fare riferimento alle espressioni predefinite per ottenere esempi di espressioni valide. Ad esempio, se si crea un'espressione con una data, fare riferimento alle espressioni con il prefisso "Data". • Si noti che Prevenzione perdita di dati segue i formati di espressioni definiti in PCRE (Perl Compatible Regular Expressions). Per ulteriori informazioni su PCRE, visitare il seguente sito Web: http://www.pcre.org/ • Iniziare con espressioni semplici. Modificare le espressioni se generano falsi allarmi o perfezionarle per migliorare i rilevamenti. Sono disponibili vari criteri per la creazione di espressioni. Un'espressione deve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi ad essa un criterio DLP. Per ulteriori informazioni sulle diverse opzioni dei parametri, vedere Criteri per le espressioni personalizzate a pagina 10-7. Criteri per le espressioni personalizzate TABELLA 10-2. Opzioni dei criteri per le espressioni personalizzate CRITERI Nessuna REGOLA Nessuna ESEMPIO Tutti - Nomi provenienti dall'US Census Bureau (Ufficio del censimento degli Stati Uniti) • Espressione: [^\w]([A-Z][a-z]{1,12} (\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z] {1,12})[^\w] 10-7 Guida per l'amministratore di OfficeScan™ 11.0 CRITERI Caratteri specifici REGOLA Un'espressione deve comprendere i caratteri specificati. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. Suffisso Il suffisso si riferisce all'ultimo segmento di un'espressione. Un suffisso deve comprendere i caratteri specificati e contenere un certo numero di caratteri. Inoltre il numero dei caratteri dell'espressione deve essere compreso entro il numero minimo e massimo. 10-8 ESEMPIO Stati Uniti - Numero di registrazione ABA • Espressione: [^\d]([0123678]\d{8}) [^\d] • Caratteri: 0123456789 • Numero minimo di caratteri: 9 • Numero massimo di caratteri: 9 Tutti - Indirizzo abitazione • Espressione: \D(\d+\s[a-z.]+\s([az]+\s){0,2} (lane|ln|street|st| avenue|ave| road|rd|place|pl| drive|dr|circle| cr|court|ct| boulevard|blvd)\.? [0-9a-z,#\s\.] {0,30}[\s|,][a-z]{2}\ s\d{5}(-\d{4})?) [^\d-] • Caratteri suffisso: 0123456789- • Numero di caratteri: 5 • Numero minimo di caratteri nell'espressione: 25 • Numero massimo di caratteri nell'espressione: 80 Utilizzo di Prevenzione perdita di dati CRITERI REGOLA ESEMPIO Separatore a carattere singolo Un'espressione deve avere due segmenti separati da un carattere. La lunghezza del carattere deve essere 1 byte. Tutti - Indirizzo e-mail • Espressione: [^\w.]([\w\.] {1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5} [a-z\.]{0,10})[^\w.] Inoltre il numero dei caratteri a sinistra del separatore deve essere compreso entro il numero minimo e massimo. Il numero di caratteri a destra del separatore non deve superare il numero massimo. • Separatore: @ • Numero minimo di caratteri a sinistra: 3 • Numero massimo di caratteri a sinistra: 15 • Numero massimo di caratteri a destra: 30 Creazione di un'espressione personalizzata Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'espressione. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Immettere l'espressione e specificare se applicare la distinzione tra maiuscole e minuscole. 7. Immettere i dati visualizzati. 10-9 Guida per l'amministratore di OfficeScan™ 11.0 Ad esempio, se si crea un'espressione per i numeri di documenti di identità, immettere un numero di esempio. Questi dati vengono utilizzati solo per riferimento e non vengono visualizzati nel prodotto. 8. 9. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i parametri scelti (vedere Criteri per le espressioni personalizzate a pagina 10-7): • Nessuna • Caratteri specifici • Suffisso • Separatore a carattere singolo Provare l'espressione su dati effettivi. Ad esempio, se l'espressione si riferisce a un documento di identità, digitare un numero del documento di identità nella casella di testo Dati di prova, fare clic su Prova e verificare i risultati. 10. Se i risultati sono soddisfacenti, fare clic su Salva. Nota Salvare le impostazioni solo se la prova riesce. Un'espressione che non è in grado di rilevare dati rappresenta uno spreco delle risorse del sistema e può avere un effetto negativo sulle prestazioni. 11. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 12. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di espressioni personalizzate Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene le espressioni. È possibile generare il file esportando le espressioni dal server a cui si sta accedendo o da un altro server. 10-10 Utilizzo di Prevenzione perdita di dati Nota I file di espressioni .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda espressione. 3. Fare clic su Importa e individuare il file .dat che contiene le espressioni. 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un'espressione da importare esiste già, viene ignorata. 5. Fare clic su Applica a tutti gli agenti. Attributi di file Gli attributi di file sono proprietà specifiche di un file. È possibile utilizzare due attributi di file durante la definizione degli identificatori di dati, ossia il tipo di file e le dimensioni dei file. Ad esempio, una società di sviluppo software potrebbe voler limitare la condivisione del programma di installazione del software della società al reparto di ricerca e sviluppo, i cui membri sono responsabili dello sviluppo e del test del software. In tal caso, l'amministratore OfficeScan può creare un criterio in grado di bloccare la trasmissione dei file eseguibili con dimensioni comprese tra 10 e 40 MB a tutti i reparti ad eccezione di quello di ricerca e sviluppo. Gli attributi di file non sono di per sé sufficienti per identificare file particolari. Nel contesto dell'esempio precedente, anche i programmi di installazione del software di terze parti condivisi da altri reparti saranno bloccati. Trend Micro consiglia di utilizzare gli attributi di file insieme ad altri identificatori di file DLP per rilevare in modo più preciso i file rilevanti. 10-11 Guida per l'amministratore di OfficeScan™ 11.0 Per un elenco completo dei tipi di file supportati, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/enterprise/data-protection-referencedocuments.aspx. Creazione di un elenco di attributi di file Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda attributo di file. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'elenco di attributi di file. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Selezionare i tipi di file effettivi preferiti. 7. Se un tipo di file non è compreso nell'elenco, selezionare Estensioni dei file e digitare l'estensione del tipo di file. Prevenzione perdita di dati verifica i file con l'estensione specificata, ma non ne verifica il tipo di file effettivo. Linee guida per specificare le estensioni dei file: • Ciascuna estensione deve iniziare con un asterisco (*), seguito da un punto (.) e quindi dall'estensione. L'asterisco è un carattere jolly, che rappresenta un nome effettivo di file. Ad esempio, *.pol corrisponde a 12345.pol e test.pol. • Nelle estensioni, è possibile includere i seguenti caratteri jolly. Usare un punto interrogativo (?) per indicare un carattere singolo e un asterisco (*) per indicare due o più caratteri. Vedere gli esempi seguenti: - *.*m corrisponde ai file seguenti: ABC.dem, ABC.prm, ABC.sdcm - *.m*r corrisponde ai file seguenti: ABC.mgdr, ABC.mtp2r, ABC.mdmr 10-12 Utilizzo di Prevenzione perdita di dati - *.fm? corrisponde ai file seguenti: ABC.fme, ABC.fml, ABC.fmp • Prestare attenzione quando si aggiunge un asterisco alla fine di un'estensione in quanto corrispondere a una parte del nome del file o di un'estensione non correlata. Ad esempio: *.do* corrisponde a abc.doctor_john.jpg e abc.donor12.pdf. • Usare il punto e virgola (;) per separare le estensioni dei file. Non è necessario aggiungere uno spazio dopo il punto e virgola. 8. Digitare le dimensioni minime e massime del file in byte. Entrambe le dimensioni del file devono corrispondere a numeri interi maggiori di zero. 9. Fare clic su Salva. 10. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 11. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di un elenco di attributi di file Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di attributi di file. È possibile generare il file esportando gli elenchi di attributi di file dal server a cui si sta accedo o da un altro server. Nota I file di attributi del file .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda attributo di file. 3. Fare clic su Importa e individuare il file .dat che contiene gli elenchi di attributi di file. 10-13 Guida per l'amministratore di OfficeScan™ 11.0 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di attributi di file da importare esiste già, viene ignorato. 5. Fare clic su Applica a tutti gli agenti. Parole chiave Le parole chiave sono parole o frasi speciali. È possibile aggiungere parole chiave correlate ad un elenco per identificare tipi di dati specifici. Ad esempio, "prognosi", "gruppo sanguigno", "vaccinazione" e "medico" sono parole chiave che possono essere presenti in un certificato medico. Per impedire la trasmissione di file contenti certificati medici, è possibile usare queste parole chiave in un criterio DLP e configurare Prevenzione perdita di dati in modo da bloccare i file che contengono tali parole chiave. È possibile combinare parole di uso comune in modo da formare parole chiave significative. Ad esempio, è possibile combinare "end", "read", "if" e "at" in modo da formare parole chiave che si trovano nei codici sorgente, come "END-IF", "ENDREAD" e "AT END". È possibile usare parole chiave predefinite e personalizzate. Per ulteriori dettagli, vedere Elenchi parole chiave predefinite a pagina 10-14 e Elenchi parole chiave personalizzate a pagina 10-16. Elenchi parole chiave predefinite In Prevenzione perdita di dati è inclusa una serie di elenchi di parole chiave predefinite. Questi elenchi di parole chiave non possono essere modificati o eliminati. Ciascun elenco ha delle condizioni incorporate che determinano se il modello deve innescare una violazione dei criteri Per maggiori dettagli sugli elenchi di parole chiave predefinite su Prevenzione perdita di dati, consultare il documento Elenchi di protezione dati su http://docs.trendmicro.com/enus/enterprise/data-protection-reference-documents.aspx. 10-14 Utilizzo di Prevenzione perdita di dati Funzionamento degli elenchi di parole chiave Condizione del numero di parole chiave Ciascun elenco di parole chiave contiene una condizione che richiede la presenza di un determinato numero di parole chiave in un documento prima che l'elenco attivi una violazione. La condizione del numero di parole chiave contiene i seguenti valori: • Tutti: tutte le parole chiave dell'elenco devono essere presenti nel documento. • Qualsiasi: una qualsiasi parola chiave dell'elenco deve essere presente nel documento. • Numero specifico: nel documento, deve essere presente almeno il numero di parole chiave specificato. Se nel documento è presente un numero di parole superiore a quello specificato, Prevenzione perdita di dati attiva una violazione. Condizione di distanza Alcuni elenchi contengono una condizione di “distanza” per determinare se è presente una violazione. la “distanza” indica il numero di caratteri tra il primo carattere di una parola chiave e il primo carattere di un'altra parola chiave. Tenere presente la voce seguente: First Name:_John_ Last Name:_Smith_ La condizione di “distanza” dell'elenco Moduli - Nome e cognome è cinquanta (50) e i campi di uso comune dei moduli: “Nome” e “Cognome”. Nell'esempio precedente, Prevenzione perdita di dati attiva una violazione poiché il numero di caratteri tra "F" nel campo First Name and e "L" nel campo Last Name è uguale diciotto (18). Di seguito viene riportato un esempio che non costituisce una violazione: The first name of our new employee from Switzerland is John. His last name is Smith. 10-15 Guida per l'amministratore di OfficeScan™ 11.0 In questo esempio, il numero di caratteri tra “f” nel campo “first name” e “l” nel campo “last name” è sessantuno (61). In questo caso, viene superata la soglia della distanza e non si verifica una violazione. Elenchi parole chiave personalizzate Creare elenchi di parole chiave personalizzati se nessuno degli elenchi di parole chiave predefiniti soddisfa le proprie esigenze. Sono disponibili vari criteri per la creazione di un elenco di parole chiave. Tale elenco deve soddisfare i criteri scelti prima che Prevenzione perdita di dati applichi l'elenco ad un criterio. Per ciascun elenco di parole chiave scegliere uno dei criteri seguenti: • Qualsiasi parola chiave • Tutte le parole chiave • Tutte le parole chiave comprese tra <x> caratteri • Il punteggio combinato per le parole chiave supera la soglia Per maggiori dettagli sulle regole dei parametri, vedere Elenchi di parole chiave personalizzate a pagina 10-16. Elenchi di parole chiave personalizzate TABELLA 10-3. Criteri per un elenco di parole chiave CRITERI REGOLA Qualsiasi parola chiave Un file deve contenere almeno una parola chiave dell'elenco di parole chiave. Tutte le parole chiave Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. 10-16 Utilizzo di Prevenzione perdita di dati CRITERI REGOLA Tutte le parole chiave comprese tra <x> caratteri Un file deve contenere tutte le parole chiave dell'elenco di parole chiave. Inoltre ogni coppia di parole chiave deve essere separata da un massimo di <x> caratteri. Ad esempio, si supponga che le tre parole chiave siano WEB, DISK e USB e che il numero di caratteri specificato sia 20. Se Prevenzione perdita di dati rileva tutte le parole chiave nell'ordine DISK, WEB e USB, il numero di caratteri dalla "D" (in DISK) alla "W" (in WEB) e dalla "W" alla "U" (in USB) deve essere inferiore o pari a 20 caratteri. I dati seguenti soddisfano i criteri: DISK####WEB############USB I dati seguenti non soddisfano i criteri: DISK*******************WEB****USB (23 caratteri tra "D" e "W") Quando si determina il numero dei caratteri, si tenga presente che un numero basso, quale 10, consente di ottenere tempi di scansione ridotti ma copre un'area relativamente piccola. Ciò riduce le probabilità di rilevamento di dati sensibili, in particolare nei file di grandi dimensioni. A un numero maggiore corrisponde un'area maggiore, ma i tempi di scansione potrebbero essere maggiori. Il punteggio combinato per le parole chiave supera la soglia Un file deve contenere una o più parole chiave dell'elenco di parole chiave. Se viene rilevata solo una parola chiave, il punteggio deve essere maggiore della soglia. Se esistono più parole chiave, il punteggio combinato deve essere maggiore della soglia. Assegnare a ogni parola chiave un punteggio compreso tra 1 e 10. Una parola o frase riservata, quale "aumento di stipendio" per il reparto Risorse umane, deve avere un punteggio relativamente alto. Parole o frasi che non sono molto rilevanti possono avere un punteggio minore. Quando viene configurata la soglia, occorre considerare i punteggi assegnati alle parole chiave. Ad esempio, se esistono cinque parole chiave e tre hanno una priorità alta, la soglia può essere uguale o minore del punteggio combinato delle tre parole chiave di priorità alta. Ciò significa che il rilevamento di queste tre parole chiave è sufficiente a considerare il file come sensibile. 10-17 Guida per l'amministratore di OfficeScan™ 11.0 Creazione di un elenco di parole chiave Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda parola chiave. 3. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 4. Digitare un nome per l'elenco di parole chiave. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: • ><*^|&?\/ 5. Immettere una descrizione la cui lunghezza non superi i 256 byte. 6. Scegliere uno dei criteri seguenti e configurare le impostazioni aggiuntive per i criteri scelti: 7. 8. • Qualsiasi parola chiave • Tutte le parole chiave • Tutte le parole chiave comprese tra <x> caratteri • Il punteggio combinato per le parole chiave supera la soglia Per aggiungere parole chiave all'elenco in modo manuale: a. Immettere una parola chiave la cui lunghezza sia compresa tra 3 e 40 byte e specificare se si applica la distinzione tra maiuscole e minuscole. b. Fare clic su Aggiungi. Per aggiungere parole chiave con l'opzione "importa": Nota Utilizzare questa opzione se è disponibile un file .csv in formato corretto che contiene le parole chiave. È possibile generare il file esportando le parole chiave dal server a cui si sta accedendo o da un altro server. 10-18 Utilizzo di Prevenzione perdita di dati a. Fare clic su Importa e individuare il file .csv che contiene le parole chiave. b. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se una parola chiave da importare esiste già nell'elenco, viene ignorata. 9. Per eliminare le parole chiave, selezionarle e fare clic su Elimina. 10. Per esportare le parole chiave: Nota Usare la funzione di "esportazione" per eseguire il backup delle parole chiave oppure per importarle su un altro server. Saranno esportate le parole chiave presenti nell'elenco. Non è possibile esportare singole parole chiave. a. Fare clic sul pulsante Esporta. b. Salvare il file .csv risultante nel percorso desiderato. 11. Fare clic su Salva. 12. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 13. Nella schermata Identificatori di dati DLP, fare clic su Applica a tutti gli agenti. Importazione di un elenco di parole chiave Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene gli elenchi di parole chiave. È possibile generare il file esportando gli elenchi di parole chiave dal server a cui si sta accedendo o da un altro server. Nota I file dell'elenco di parole chiave .dat generati da questa versione di Prevenzione perdita di dati non sono compatibili con le versioni precedenti. 10-19 Guida per l'amministratore di OfficeScan™ 11.0 Procedura 1. Accedere a Prevenzione perdita di dati > Identificatori di dati. 2. Fare clic sulla scheda parola chiave. 3. Fare clic su Importa e individuare il file .dat che contiene le parole chiave. 4. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un elenco di parole chiave da importare esiste già, viene ignorato. 5. Fare clic su Applica a tutti gli agenti. Modelli di Prevenzione perdita di dati I modelli DLP combinano identificatori di dati DLP e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Il criterio DLP sarà applicato solo ai file o ai dati che soddisfano una determinata istruzione condizionale. Ad esempio, un file deve essere un file Microsoft Word (attributo di file) E deve contenere determinati termini legali (parole chiave) E deve contenere numeri ID (espressioni) in osservanza dei criteri dei "Contratti di assunzione". Questo criterio consente al personale delle Risorse umane di trasmettere il file stampandolo in modo che la copia stampata possa essere firmata da un dipendente. La trasmissione attraverso tutti gli altri canali disponibili, ad esempio la posta elettronica, viene bloccata. Se sono stati configurati degli identificatori di dati DLP, è possibile creare i propri modelli. È possibile inoltre usare i modelli predefiniti. Per ulteriori dettagli, vedere Modelli DLP personalizzati a pagina 10-21 e Modelli DLP predefiniti a pagina 10-21. Nota Non è possibile eliminare un modello utilizzato da un criterio DLP. Rimuovere il modello dal criterio prima di eliminarlo. 10-20 Utilizzo di Prevenzione perdita di dati Modelli DLP predefiniti Prevenzione perdita di dati viene fornito con i seguenti modelli predefiniti che possono essere utilizzati per conformarsi ai diversi standard normativi. Questi modelli non possono essere modificati o eliminati. • GLBA: Gramm-Leach-Billey Act • HIPAA: Health Insurance Portability and Accountability Act • PCI-DSS: Payment Card Industry Data Security Standard • SB-1386: US Senate Bill 1386 • US PII: United States Personally Identifiable Information Per un elenco dettagliato degli scopi dei modelli predefiniti e dei dati che vengono protetti, consultare gli elenchi di protezione dati su http://docs.trendmicro.com/en-us/ enterprise/data-protection-reference-documents.aspx. Modelli DLP personalizzati Creare modelli personalizzati se sono stati configurati identificatori di dati. I modelli combinano identificatori di dati e operatori logici (E, O, Eccetto) per formare istruzioni condizionali. Per ulteriori informazioni ed esempio sulle istruzioni condizionali e gli operatori logici, vedere Istruzioni condizionali e operatori logici a pagina 10-21. Istruzioni condizionali e operatori logici Prevenzione perdita di dati valuta le istruzioni condizionali da sinistra a destra. Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. Vedere alcuni esempi nella tabella seguente. 10-21 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 10-4. Esempi di istruzioni condizionali ISTRUZIONE CONDIZIONALE [Identificatore di dati 1] E [Identificatore di dati 2] Eccetto [Identificatore di dati 3] INTERPRETAZIONE ED ESEMPIO Un file deve soddisfare [Identificatore di dati 1] e [Identificatore di dati 2] ma non [Identificatore di dati 3]. Ad esempio: Un file deve essere [un documento Adobe PDF] e deve contenere [un indirizzo e-mail] ma non deve contenere [tutte le parole chiave dell'elenco di parole chiave]. [Identificatore di dati 1] O [Identificatore di dati 2] Il file deve soddisfare la [Identificatore di dati 1] o [Identificatore di dati 2]. Ad esempio: Il file deve essere [un documento Adobe PDF] o [un documento Microsoft Word]. Eccetto [Identificatore di dati 1] Un file non deve soddisfare [Identificatore di dati 1]. Ad esempio: Un file non deve essere [un file multimediale]. Come indicato nell'ultimo esempio della tabella, il primo identificatore di dati nell'istruzione condizionale può avere l'operatore "Eccetto" se un file non deve soddisfare tutti gli identificatori di dati contenuti nell'istruzione. Nella maggior parte dei casi, tuttavia, il primo identificatore di dati non ha un operatore. Creazione di un modello Procedura 1. Accedere a Prevenzione perdita di dati > Modelli DLP. 2. Fare clic su Aggiungi. Viene visualizzata una nuova schermata. 3. 10-22 Inserire un nome per il modello. La lunghezza del nome non deve superare 100 byte e il nome non deve contenere i seguenti caratteri: Utilizzo di Prevenzione perdita di dati • ><*^|&?\/ 4. Immettere una descrizione la cui lunghezza non superi i 256 byte. 5. Selezionare gli identificatori di dati e fare clic sull'icona "aggiungi". Durante la selezione delle definizioni: • Selezionare più voci mantenendo premuto il tasto CTRL, quindi, selezionare gli identificatori di dati. • Utilizzare la funzionalità di ricerca per cercare una definizione specifica. È possibile immettere il nome completo o una parte del nome dell'identificatore di dati. • Ogni modello può comprende al massimo 40 identificatori di dati. 6. Per creare una nuova espressione, fare clic su espressioni, quindi su Aggiungi nuova espressione. Configurare le impostazioni dell'espressione nella schermata visualizzata. 7. Per creare un nuovo elenco di attributi di file, fare clic su attributi di file, quindi su Aggiungi nuovo attributo del file. Configurare le impostazioni per l'elenco di attributi di file nella schermata visualizzata. 8. Per creare un nuovo elenco di parole chiave, fare clic su Parole chiave, quindi su Aggiungere nuova parola chiave. Configurare le impostazioni per l'elenco delle keyword nella schermata visualizzata. 9. Se si seleziona un'espressione, digitare il numero di occorrenze che corrisponde al numero di volte che un'espressione deve ricorrere prima che Prevenzione perdita di dati la applichi a un criterio. 10. Scegliere un operatore logico per ciascuna definizione. Nota Prestare attenzione all'uso degli operatori logici durante la configurazione delle istruzioni condizionali. L'uso non corretto genera un'istruzione condizionale non corretta che può produrre risultati imprevisti. Per esempi di uso corretto, vedere Istruzioni condizionali e operatori logici a pagina 10-21. 10-23 Guida per l'amministratore di OfficeScan™ 11.0 11. Per rimuovere un identificatore di dati da un elenco di identificatori selezionati, fare clic sull'icona del cestino. 12. Sotto Anteprima, selezionare l'istruzione condizionale e modificarla se non corrisponde all'istruzione desiderata. 13. Fare clic su Salva. 14. Viene visualizzato un messaggio che ricorda di implementare le impostazioni sugli agenti. Fare clic su Chiudi. 15. Nella schermata Modelli DLP, fare clic su Applica a tutti gli agenti. Importazione di modelli Utilizzare questa opzione se è disponibile un file .dat in formato corretto che contiene i modelli. È possibile generare il file esportando i modelli dal server a cui si sta accedendo o da un altro server. Nota Per importare i modelli DLP da OfficeScan 10.6, importare prima gli identificatori di dati associati (precedentemente denominati Definizioni). Prevenzione perdita di dati non può importare i modelli che non dispongono dei relativi identificatori di dati associati. Procedura 1. Accedere a Prevenzione perdita di dati > Modelli DLP. 2. Fare clic su Importa e individuare il file .dat che contiene i modelli. 3. Fare clic sul pulsante Apri. Viene visualizzato un messaggio di notifica che l'importazione è riuscita. Se un modello da importare esiste già, viene ignorato. 4. 10-24 Fare clic su Applica a tutti gli agenti. Utilizzo di Prevenzione perdita di dati Canali DLP Gli utenti possono trasmettere informazioni sensibili attraverso vari canali. OfficeScan può monitorare i seguenti canali: • Canali di rete: le informazioni sensibili vengono trasmesse utilizzando i protocolli di rete, come HTTP e FTP. • Canali di applicazioni e sistemi: le informazioni sensibili vengono trasmesse utilizzando le periferiche e le applicazioni di un dispositivo locale. Canali di rete OfficeScan può monitorare la trasmissione dei dati attraverso i seguenti canali di rete: • Client di posta elettronica • FTP • HTTP e HTTPS • Applicazioni di messaggistica istantanea • Protocollo SMB • Webmail Per determinare quali trasmissioni di dati monitorare, OfficeScan verifica l'ambito della trasmissione, che deve essere configurata dall'utente. A seconda dell'ambito selezionato, OfficeScan monitora tutte le trasmissioni di dati o solo le trasmissioni al di fuori della rete locale (LAN). Per ulteriori informazioni sull'ambito della trasmissione, vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29. Client di posta elettronica OfficeScan controlla la posta elettronica trasmessa attraverso vari agenti di posta. OfficeScan controlla l'oggetto, il corpo del messaggio e gli allegati per identificare eventuali identificatori di dati. Per un elenco degli agenti di posta elettronica supportati, consultare il documento Elenchi di protezione dati su: 10-25 Guida per l'amministratore di OfficeScan™ 11.0 http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Il controllo ha luogo nel momento in cui un utente tenta di inviare il messaggio di posta elettronica. Se il messaggio contiene identificatori di dati, OfficeScan autorizza oppure blocca il messaggio e-mail. È possibile definire i domini di posta elettronica interni monitorati e non monitorati. • Domini di posta elettronica monitorati: quando OfficeScan rileva posta elettronica trasmessa a un dominio monitorato, verifica l'azione per il criterio. In base all'azione, la trasmissione viene consentita o bloccata. Nota Se si selezionano agenti di posta elettronica come canali monitorati, affinché un messaggio e-mail sia monitorato, è necessario che corrisponda a un criterio. Al contrario, un messaggio e-mail inviato a un dominio di posta elettronica monitorato viene automaticamente monitorato, anche se non corrisponde ad un criterio. • Domini di posta elettronica non monitorati: OfficeScan consente immediatamente la trasmissione dei messaggi e-mail inviati ai domini non monitorati. Nota Le trasmissioni di dati ai domini di posta elettronica monitorati e non monitorati in cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per i domini di posta elettronica non monitorati, OfficeScan non registra la trasmissione, mentre per i domini di posta elettronica monitorati, la trasmissione viene sempre registrata. Specificare i domini usando i seguenti formati; usare la virgola per separare più domini: • Formato X400, come /O=Trend/OU=USA, /O=Trend/OU=Cina • Domini di posta elettronica, come example.com Per i messaggi e-mail inviati tramite il protocollo SMTP, OfficeScan verifica se il server SMTP di destinazione è presente negli elenchi seguenti: 1. Destinazioni monitorate 2. Destinazioni non monitorate 10-26 Utilizzo di Prevenzione perdita di dati Nota Per ulteriori informazioni sulle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38. 3. Domini di posta elettronica monitorati 4. Domini di posta elettronica non monitorati Questo significa che se un messaggio e-mail viene inviato a un server SMTP presente nell'elenco delle destinazioni monitorate, il messaggio e-mail viene monitorato. Se il server SMTP non è presente nell'elenco delle destinazioni monitorate, OfficeScan verifica gli altri elenchi. Per i messaggi e-mail inviati tramite altri protocolli, OfficeScan verifica solo gli elenchi seguenti: 1. Domini di posta elettronica monitorati 2. Domini di posta elettronica non monitorati FTP Se OfficeScan rileva che un client FTP sta tentando di caricare dei file su un server FTP, controlla l'eventuale presenza di identificatori di dati nei file. A questo punto non è stato caricato nessun file. A seconda del criterio DLP, OfficeScan autorizza oppure blocca il caricamento. Se si configura un criterio che blocca l'upload di file, ricordare quanto segue: • Quando OfficeScan blocca un upload, alcuni client FTP tentano di caricare di nuovo i file. In questo caso, OfficeScan chiude il client FTP per impedire che carichi di nuovo i file. Gli utenti non ricevono nessuna notifica dopo che è stato chiuso il client FTP. Informare gli utenti di questa situazione quando vengono implementati i criteri DLP. • Se un file da caricare deve sovrascrivere un file sul server FTP, il file sul server FTP potrebbe essere eliminato. Per un elenco dei client FTP supportati, consultare gli elenchi di protezione dati su: 10-27 Guida per l'amministratore di OfficeScan™ 11.0 http://docs.trendmicro.com/it-it/enterprise/officescan.aspx HTTP e HTTPS OfficeScan controlla i dati da trasmettere attraverso HTTP e HTTPS. Per HTTPS, OfficeScan controlla i dati prima che vengano crittografati e trasmessi. Per un elenco di applicazioni e browser Web supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Applicazioni di messaggistica istantanea OfficeScan controlla i messaggi e i file inviati dagli utenti attraverso le applicazioni di messaggistica istantanea. I messaggi e i file che gli utenti ricevono non vengono controllati. Per un elenco di applicazioni di messaggistica istantanea supportate, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Quando OfficeScan blocca un messaggio o un file inviato tramite AOL Instant Messenger, MSN, Windows Messenger o Windows Live Messenger, chiude anche l'applicazione. Se OfficeScan non chiude l'applicazione, questa comunque non risponde e gli utenti sono costretti a chiuderla in ogni caso. Gli utenti non ricevono nessuna notifica dopo che è stata chiusa l'applicazione. Informare gli utenti di questa situazione quando vengono implementati i criteri DLP. Protocollo SMB OfficeScan controlla la trasmissione dei dati attraverso il protocollo Server Message Block (SMB) che agevola l'accesso ai file condivisi. Se un altro utente tenta di aprire, salvare, spostare o eliminare il file condiviso di un utente, OfficeScan controlla se il file è o contiene identificatori di dati e poi autorizza oppure blocca l'operazione. 10-28 Utilizzo di Prevenzione perdita di dati Nota L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad esempio, Controllo dispositivo non consente lo spostamento di file su unità di rete mappate, la trasmissione dei dati sensibili non viene eseguita anche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. Per un elenco delle applicazioni monitorate da OfficeScan per l'accesso ai file condivisi, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Webmail I servizi di posta elettronica basati sul Web trasmettono i dati tramite HTTP. Se OfficeScan rileva dati in uscita da servizi supportati, controlla i dati per vedere se contengono identificatori di dati. Per un elenco di servizi basati sul Web supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Ambito e destinazioni della trasmissione per i canali di rete L'ambito e le destinazioni della trasmissione definiscono le trasmissioni di dati sui canali di rete che OfficeScan deve monitorare. Per le trasmissioni che devono essere monitorate, OfficeScan verifica la presenza di identificatori di dati prima di consentire o bloccare la trasmissione. Per le trasmissioni che non devono essere monitorate, OfficeScan non verifica la presenza di identificatori di dati e consente subito la trasmissione. Ambito trasmissione: Tutte le trasmissioni OfficeScan esegue il monitoraggio dei dati trasmessi all'esterno del computer host. 10-29 Guida per l'amministratore di OfficeScan™ 11.0 Nota Trend Micro consiglia di scegliere questo ambito per gli agenti esterni. Se non si desidera monitorare le trasmissioni di dati per determinate destinazioni esterne al computer host, definire quanto segue: • Destinazioni non monitorate: OfficeScan non monitora i dati trasmessi a queste destinazioni. Nota Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. • Destinazioni monitorate: destinazioni specifiche nell'ambito delle destinazioni non monitorate che devono essere monitorate. Le destinazioni monitorate sono: • Facoltative, se sono state definite destinazioni non monitorate. • Non configurabili se non sono state definite le destinazioni non monitorate. Ad esempio: Gli indirizzi IP sono assegnati all'ufficio legale dell'azienda: • da 10.201.168.1 a 10.201.168.25 Si desidera creare un criterio che monitora la trasmissione dei permessi di lavoro a tutti gli impiegati, ad eccezione del personale a tempo pieno dell'ufficio legale. Per farlo, è necessario selezionare Tutte le trasmissioni come ambito della trasmissione, quindi: Opzione 1: 1. Aggiungere 10.201.168.1-10.201.168.25 alle destinazioni non monitorate. 2. Aggiungere gli indirizzi IP del personale part-time dell'ufficio legale alle destinazioni monitorate. Si assuma che siano disponibili 3 indirizzi IP, 10.201.168.21-10.201.168.23. 10-30 Utilizzo di Prevenzione perdita di dati Opzione 2: Aggiungere gli indirizzi IP del personale a tempo pieno dell'ufficio legale alle destinazioni non monitorate: • 10.201.168.1-10.201.168.20 • 10.201.168.24-10.201.168.25 Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38. Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area Network) OfficeScan monitora i dati trasmessi a qualsiasi destinazione esterna alla LAN (Local Area Network). Nota Trend Micro consiglia di scegliere questo ambito per gli agenti interni. Per "Rete" si intende la rete locale di un'azienda. Comprende il network attuale (indirizzo IP dell'dispositivo e netmask) e i seguenti indirizzi IP privati standard: • Classe A: da 10.0.0.0 a 10.255.255.255 • Classe B: da 172.16.0.0 a 172.31.255.255 • Classe C: da 192.168.0.0 a 192.168.255.255 Se si seleziona questo ambito di trasmissione, è possibile definire quanto segue: • Destinazioni non monitorate: definire destinazioni esterne alla LAN considerate sicure e che non devono essere monitorate. 10-31 Guida per l'amministratore di OfficeScan™ 11.0 Nota Le trasmissioni di dati alle destinazioni non monitorate e monitorate in cui l'azione è "Monitoraggio" sono simili a quelle in cui la trasmissione è consentita. La sola differenza è che, per le destinazioni non monitorate, OfficeScan non registra la trasmissione, mentre per le destinazioni monitorate, la trasmissione viene sempre registrata. • Destinazioni monitorate: definire le destinazioni della LAN da monitorare. Per le linee guide relative alla definizione delle destinazioni monitorate e non monitorate, consultare Definizione di destinazioni non monitorate e monitorate a pagina 10-38. Risoluzione dei conflitti Se le impostazioni per l'ambito della trasmissione, le destinazioni monitorate e le destinazioni non monitorate sono in conflitto, OfficeScan riconosce le seguenti priorità, in ordine decrescente: • Destinazioni monitorate • Destinazioni non monitorate • Ambito trasmissione Canali di applicazioni e sistemi OfficeScan può monitorare i seguenti canali di applicazioni e sistemi: • Archiviazione cloud • Supporti di registrazione dati (CD/DVD) • Applicazioni peer-to-peer • Crittografia PGP • Stampante • Dispositivi di archiviazione rimovibili • Software di sincronizzazione (ActiveSync) 10-32 Utilizzo di Prevenzione perdita di dati • Appunti di Windows Archiviazione cloud OfficeScan effettua il monitoraggio di file ai quali gli utenti accedono utilizzando le origini di archiviazione cloud. Per un elenco delle origini di archiviazione cloud supportate, consultare il documento Elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Supporti di registrazione dati (CD/DVD) OfficeScan controlla i dati registrati su CD o DVD. Per un elenco di software e di dispositivi di registrazione dei dati supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Se OfficeScan rileva un comando di masterizzazione avviato su uno dei dispositivi o software supportati e l'azione è "Ignora", la registrazione dei dati procede. Se l'azione è Blocca, OfficeScan verifica se i file da registrare sono o contengono identificatori di dati. Se OfficeScan rileva almeno un identificatore di dati, tutti i file, compresi quelli che non sono né contengono identificatori di dati, non verranno registrati. OfficeScan può anche impedire l'espulsione del CD o DVD. Se si verifica questo problema, avvertire gli utenti che devono riavviare il processo del software o il dispositivo. OfficeScan implementa altre regole di registrazione di CD/DVD: • Per ridurre i falsi positivi, OfficeScan non controlla i seguenti file: .bud .dll .gif .gpd .htm .ico .jpg .lnk .sys .ttf .url .xml .ini • Due tipi di file usati dai supporti di registrazione dati Roxio (*.png e *.skn) non vengono controllati per aumentare le prestazioni. • OfficeScan non controlla i file nelle seguenti directory: *:\autoexec.bat *:\Windows 10-33 Guida per l'amministratore di OfficeScan™ 11.0 ..\Dati applicazioni ..\Cookies ..\Impostazioni locali ..\ProgramData ..\Programmi ..\Users\*\AppData ..\WINNT • Le immagini ISO create dalle unità e dal software non vengono controllate. Applicazioni peer-to-peer OfficeScan controlla i file condivisi dagli utenti attraverso le applicazioni peer-to-peer. Per un elenco di applicazioni peer-to-peer supportate, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Crittografia PGP OfficeScan controlla i dati che devono essere crittografati dal software di crittografia PGP. OfficeScan controlla i dati prima della crittografia. Per un elenco dei software di crittografia PGP supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Stampante OfficeScan controlla le operazioni della stampante avviate da varie applicazioni. OfficeScan non blocca le operazioni della stampante sui nuovi file che non sono stati salvati perché a questo punto le informazioni di stampa sono solo state salvate in memoria. Per un elenco di applicazioni di avvio delle operazioni di stampa supportate, consultare gli elenchi di protezione dati su: 10-34 Utilizzo di Prevenzione perdita di dati http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Dispositivi di archiviazione rimovibili OfficeScan controlla la trasmissione dei dati su o all'interno dei dispositivi di archiviazione rimovibili. Attività correlate alla trasmissione dei dati comprendono: • Creazione di un file nel dispositivo • Copia di un file dal computer host al dispositivo • Chiusura di un file modificato nel dispositivo • Modifica delle informazioni sul file (ad esempio, l'estensione) nel dispositivo Se un file da trasmettere contiene un identificatore di dati, OfficeScan blocca oppure autorizza la trasmissione. Nota L'azione di Controllo dispositivo ha una priorità maggiore rispetto all'azione DLP. Se, ad esempio, Controllo dispositivo non autorizza la copia dei file su un dispositivo di archiviazione rimovibile, la trasmissione delle informazioni sensibili non viene eseguita anche se DLP la autorizza. Per ulteriori informazioni sulle azioni di Controllo dispositivo, vedere Autorizzazioni per dispositivi di archiviazione a pagina 9-4. Per un elenco dei dispositivi di archiviazione rimovibili e delle applicazioni che facilitano le attività di trasmissione di dati supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx La gestione della trasmissione di file su un dispositivo di archiviazione rimovibile è un processo semplice e lineare. Ad esempio, un utente che crea un file da Microsoft Word potrebbe voler salvare il file su una scheda SD (non importa il tipo di file con il quale l'utente salva il file). Se il file contiene un identificatore di dati che non deve essere trasmesso, OfficeScan impedisce il salvataggio del file. Per la trasmissione di file all'interno del dispositivo, OfficeScan esegue prima il backup del file (se le dimensioni non superano i 75 MB) in %WINDIR%\system32\dgagent \temp prima di elaborarlo. OfficeScan elimina il file di backup se ha autorizzato la trasmissione del file. Se OfficeScan ha bloccato la trasmissione, è possibile che il file 10-35 Guida per l'amministratore di OfficeScan™ 11.0 possa essere stato eliminato nel corso del processo. In questo caso, OfficeScan copia il file di backup nella cartella che contiene il file originale. OfficeScan consente di definire le eccezioni. OfficeScan consente sempre la trasmissione dei dati su o tra i dispositivi di archiviazione rimovibili. Identificare i dispositivi in base ai fornitori e, facoltativamente, specificare l'ID di serie e il modello dei dispositivi. Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14. Software di sincronizzazione (ActiveSync) OfficeScan controlla i dati trasmessi a un dispositivo portatile attraverso il software di sincronizzazione. Per un elenco dei software di sincronizzazione supportati, consultare gli elenchi di protezione dati su: http://docs.trendmicro.com/it-it/enterprise/officescan.aspx Se i dati hanno un indirizzo IP di origine di 127.0.0.1 e vengono inviati attraverso la porta 990 o 5678 (le porte usate per la sincronizzazione), OfficeScan controlla se i dati sono identificatori di dati prima di autorizzarne o bloccarne la trasmissione. Se OfficeScan blocca un file trasmesso sulla porta 990, potrebbe comunque essere creato un file con lo stesso nome contenente caratteri in formato non corretto nella cartella di destinazione sul dispositivo portatile. Questo è perché parti del file sono state copiate sul dispositivo prima che OfficeScan bloccasse la trasmissione. Appunti di Windows OfficeScan controlla i dati da trasmettere agli appunti di Windows prima di consentirne o bloccarne la trasmissione. OfficeScan può anche controllare le attività degli appunti tra l'host e VMWare o desktop remoto. Il monitoraggio avviene sull'entità con l'agente OfficeScan. L'agente OfficeScan 10-36 Utilizzo di Prevenzione perdita di dati su una macchina virtuale VMware, ad esempio, può impedire la trasmissione dei dati degli appunti della macchina virtuale al computer host. Allo stesso modo, un computer host con l'agente OfficeScan non può copiare i dati degli appunti su un dispositivo a cui si accede da desktop remoto. Azioni di Prevenzione perdita di dati Quando Prevenzione perdita di dati rileva la trasmissione di identificatori di dati, controlla il criterio DLP per gli identificatori di dati rilevati ed esegue l'azione configurata per il criterio. Nella tabella riportata è riportato un elenco delle azioni di Prevenzione perdita di dati. TABELLA 10-5. Azioni di Prevenzione perdita di dati AZIONE DESCRIZIONE Azioni Ignora Prevenzione perdita di dati consente e registra la trasmissione. Blocca Prevenzione perdita di dati blocca e registra la trasmissione. Ulteriori azioni Notifica all'utente agente Prevenzione perdita di dati visualizza un messaggio di notifica per informare l'utente della trasmissione di dati e se tale operazione è stata bloccata o consentita. Registra dati Indipendentemente dall'azione primaria, Prevenzione perdita di dati registra le informazioni sensibili nella <Cartella di installazione del client>\DLPLite \Forensic. Selezionare questa azione per valutare le informazioni sensibili da contrassegnate da Prevenzione perdita di dati. Le informazioni sensibili registrate possono utilizzare troppo spazio su disco. Quindi, Trend Micro consiglia vivamente di scegliere questa opzione solo per informazioni particolarmente sensibili. 10-37 Guida per l'amministratore di OfficeScan™ 11.0 AZIONE Giustificazione utente Nota Questa opzione è disponibile solo dopo aver selezionato l'azione Blocca. DESCRIZIONE Prevenzione perdita di dati chiede conferma all'utente prima di eseguire l'azione “Blocca”. L'utente può scegliere di sovrascrivere l'azione “Blocca” fornendo una spiegazione del perché sia sicuro ignorare i dati sensibili. Le giustificazioni disponibili sono le seguenti: • Si tratta di un processo aziendale definito. • Il responsabile ha approvato il trasferimento dei dati. • I dati di questo file non sono riservati. • L'utente non sapeva che il trasferimento dei dati fosse vietato. • Altro: Gli utenti forniscono una spiegazione alternativa nel campo del testo disponibile. Eccezioni di Prevenzione perdita di dati Le eccezioni DLP si applicano all'intero criterio, incluse tutte le regole definite all'interno del criterio. Prevenzione perdita di dati applica le impostazioni delle eccezioni a tutte le trasmissioni prima della scansione delle risorse digitali. Se una trasmissione corrisponde a una delle regole di eccezione, Prevenzione perdita di dati consente immediatamente la trasmissione o la scansione, in base al tipo di eccezione. Definizione di destinazioni non monitorate e monitorate Definire le destinazioni non monitorate e monitorate in base all'ambito di trasmissione nella scheda Canale. Per ulteriori informazioni su come definire le destinazioni non monitorate e monitorate per Tutte le trasmissioni, vedere Ambito trasmissione: Tutte le trasmissioni a pagina 10-29. Per ulteriori informazioni su come definire le destinazioni non monitorate e monitorate per Solo trasmissioni esterne alla LAN (Local Area Network), vedere Ambito trasmissione: Solo trasmissioni esterne alla LAN (Local Area Network) a pagina 10-31. 10-38 Utilizzo di Prevenzione perdita di dati Seguire queste istruzioni quando si definiscono le destinazioni monitorate e non monitorate: 1. Definire ciascuna destinazione secondo: • Indirizzo IP • Nome host • FQDN • Indirizzo di rete e subnet mask, ad esempio 10.1.1.1/32 Nota Per la subnet mask, Prevenzione perdita di dati supporta solo una porta di tipo CIDR (Classless Inter-Domain Routing). Questo significa che si dovrà immettere semplicemente un numero come 32 invece di 255.255.255.0. 2. Per utilizzare come destinazione canali specifici, includere i numeri di porta predefiniti o i numeri di porta definiti dall'azienda per tali canali. Ad esempio, la porta 21 in genere è riservata al traffico FTP, la porta 80 al traffico HTTP e la porta 443 al traffico HTTPS. Utilizzare i due punti per separare la destinazione dai numeri di porta. 3. È possibile includere anche intervalli di porte. Per includere tutte le porte, ignorare l'intervallo di porte. Di seguito sono riportati alcuni esempi di destinazioni con numeri di porta e intervalli di porte: 4. • 10.1.1.1:80 • host:5-20 • host.domain.com:20 • 10.1.1.1/32:20 Separare le destinazioni con delle virgole. 10-39 Guida per l'amministratore di OfficeScan™ 11.0 Regole di decompressione I file inclusi all'interno di file compressi possono essere sottoposti a scansione per individuare risorse digitali. Per determinare i file da sottoporre a scansione, Prevenzione perdita di dati applica le seguenti regole a un file compresso: • Le dimensioni del file decompresso superano: __ MB (1-512MB) • I livelli di compressione superano: __ (1-20) • Il numero di file da analizzare supera: __ (1-2000) Regola 1: Dimensioni massime di un file decompresso Un file compresso, una volta decompresso, deve soddisfare il limite specificato. Esempio: il limite è impostato a 20 MB. Scenario 1: se le dimensioni di archive.zip dopo la decompressioni sono di 30 MB, nessuno dei file di archive.zip viene sottoposto a scansione. Le altre due regole non vengono verificate. Scenario 2: se le dimensioni di my_archive.zip dopo la decompressioni sono di 10 MB: • Se my_archive.zip non contiene file compressi, OfficeScan ignora la Regola 2 e procede con la Regola 3. • Se my_archive.zip contiene file compressi, le dimensioni di tutti i file decompressi devono essere entro il limite. Ad esempio, se my_archive.zip contiene AAA.rar, BBB.zip e EEE.zip, e EEE.zip contiene 222.zip: = 10 MB dopo la decompressione my_archive.z ip 10-40 \AAA.rar = 25 MB dopo la decompressione \BBB.zip = 3 MB dopo la decompressione \EEE.zip = 1 MB dopo la decompressione Utilizzo di Prevenzione perdita di dati \222.zi p = 2 MB dopo la decompressione my_archive.zip, BBB.zip, EEE.zip e 222.zip vengono verificati in base alla Regola 2 perché le dimensioni combinate di questi file sono entro il limite di 20 MB. AAA.rar viene ignorato. Regola 2: Numero massimo di livelli di compressione I file compresi nel numero specificato di livelli vengono contrassegnati per la scansione. Ad esempio: my_archive.zip \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è impostato su due livelli: • OfficeScan ignora 333.txt perchè si trova al terzo livello. • OfficeScan contrassegna i seguenti file per la scansione e verifica la Regola 3: • DDD.txt (nel primo livello) • CCC.xls (nel secondo livello) • 111.pdf (nel secondo livello) Regola 3: Numero massimo di file da sottoporre a scansione OfficeScan esegue la scansione dei file fino al limite specificato. OfficeScan esegue la scansione di file e cartelle prima in ordine numerico e poi alfabetico. Continuando l'esempio della Regola 2, OfficeScan ha contrassegnato i file evidenziati per la scansione: 10-41 Guida per l'amministratore di OfficeScan™ 11.0 my_archive.zip \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Inoltre, my_archive.zip contiene una cartella denominata 7Folder, che non viene controllata in base alla Regola 2. Questa cartella contiene FFF.doc e GGG.ppt. In tal modo, il numero totale di file da anlizzare diventa 5, come indicato di seguito: my_archive.zip \7Folder \FFF.doc \7Folder \GGG.ppt \BBB.zip \CCC.xls \DDD.txt \EEE.zip \111.pdf \222.zip \333.txt Se il limite è stato impostato a 4 file, viene eseguita la scansione dei seguenti file: • FFF.doc • GGG.ppt • CCC.xls • DDD.txt 10-42 Utilizzo di Prevenzione perdita di dati Nota Se i file contengono file incorporati, OfficeScan estrae il contenuto dei file incorporati. Se il contenuto estratto è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.txt e xyz.xls) vengono contati come un solo file. Se il contenuto estratto non è testo, il file che lo contiene (ad esempio, 123.doc) e i file incorporati (ad esempio, abc.exe) vengono contati come file separati. Eventi che innescano le regole di decompressione I seguenti eventi innescano le regole di decompressione: TABELLA 10-6. Eventi che innescano le regole di decompressione Un file compresso che deve essere trasmesso corrisponde a un criterio e l'azione per il file compresso è Ignora (trasmetti il file). Ad esempio, per monitorare i file .ZIP trasmessi dagli utenti, è stato definito un attributo di file (.ZIP) e aggiunto a un modello, quindi il modello è stato usato in un criterio e l'azione è stata impostata su Ignora. Nota Se l'azione è Blocca, l'intero file compresso non viene trasmesso e, quindi, non è necessario eseguire la scansione dei file che questo contiene. Un file compresso che deve essere trasmesso non corrisponde a un criterio. In questo caso, OfficeScan applica comunque le regole di decompressione al file compresso per determinare quali file in esso contenuti devono essere sottoposti a scansione per verificare la presenza di risorse digitali e stabilire se l'intero file compresso deve essere trasmesso o meno. Entrambi gli eventi hanno gli stessi risultati. Quando OfficeScan rileva un file compresso: 10-43 Guida per l'amministratore di OfficeScan™ 11.0 • Se la Regola 1 non viene soddisfatta, OfficeScan consente la trasmissione dell'intero file compresso. • Se la Regola 1 viene soddisfatta, viene eseguita la verifica per le altre due regole. OfficeScan consente la trasmissione dell'intero file compresso se: • Tutti i file sottoposti a scansione non corrispondono a un criterio. • Tutti i file sottoposti a scansione corrispondono a un criterio e l'azione Ignora. La trasmissione dell'intero file compresso viene bloccata se almeno uno dei file sottoposti a scansione corrisponde a un criterio e l'azione è Blocca. Configurazione dei criteri Prevenzione perdita di dati È possibile iniziare a creare criteri di Prevenzione perdita di dati dopo aver configurato gli identificatori di dati e averli organizzati in modelli. Oltre agli identificatori di dati e ai modelli, quando si crea un criterio, è necessario configurare canali e azioni. Per ulteriori informazioni sui criteri, vedere Criteri di Prevenzione perdita di dati a pagina 10-3. Creazione di un criterio di Prevenzione perdita di dati Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni DLP. 4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti interni. 10-44 ) per includere Utilizzo di Prevenzione perdita di dati Nota Configurare le impostazioni della posizione agente se non sono state già configurate. Gli agenti utilizzeranno tali impostazioni per determinare il corretto criterio di Prevenzione perdita di dati da applicare. Per maggiori dettagli, consultare la Posizione dispositivo a pagina 14-2. 5. Selezionare Attiva Prevenzione perdita di dati. 6. Scegliere una delle seguenti opzioni: 7. • Nella scheda Agenti esterni è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti interni selezionando Applica tutte le impostazioni agli agenti interni. • Nella scheda Agenti interni è possibile applicare tutte le impostazioni di Prevenzione perdita di dati agli agenti esterni selezionando Applica tutte le impostazioni agli agenti esterni. Nella scheda Regole, fare clic su Aggiungi. Un criterio può contenere un massimo di 40 regole. 8. Configurare le impostazioni delle regole. Per maggiori dettagli sulla creazione delle regole DLP, vedere Creazione di regole di Prevenzione perdita di dati a pagina 10-46. 9. Fare clic sulla scheda Eccezioni e configurare eventuali impostazioni di eccezione necessarie. Per ulteriori informazioni sulle impostazioni di eccezione disponibili, vedere Eccezioni di Prevenzione perdita di dati a pagina 10-38. 10. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. 10-45 Guida per l'amministratore di OfficeScan™ 11.0 • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Creazione di regole di Prevenzione perdita di dati Nota Modelli e regole dei processi di Prevenzione perdita di dati in base alla priorità. Se una regola è impostata su “Ignora”, Prevenzione perdita di dati elabora la regola successiva dell'elenco. Se una regola è impostata su “Blocca” o su “Giustificazione utente”, Prevenzione perdita di dati blocca o accetta l'operazione dell'utente e non elabora ulteriormente tale regola/modello. Procedura 1. Selezionare Attiva questa regola. 2. Specificare un nome per la regola. Configurare le impostazioni dei modelli: 3. Fare clic sulla scheda Modello. 4. Selezionare i modelli dall'elenco Modelli disponibili, quindi fare clic su Aggiungi. Quando si selezionano i modelli: • Selezionare più voci facendo clic sui nomi dei modelli che evidenziano il nome. • Usare la funzione di ricerca se si pensa a un modello specifico. È possibile digitare il nome del modello per intero o parziale. Nota Ogni regola può comprendere un massimo di 200 modelli. 5. 10-46 Se il modello che si preferisce utilizzare non si trova nell'elenco Modelli disponibili: Utilizzo di Prevenzione perdita di dati a. Fare clic su Aggiungi nuovo modello. Viene visualizzata la schermata Modelli di Prevenzione perdita di dati. Per istruzioni su come aggiungere i modelli nella schermata Modelli di Prevenzione dati, vedere Modelli di Prevenzione perdita di dati a pagina 10-20. b. Dopo aver creato il modello, selezionarlo e fare clic su Aggiungi. Nota OfficeScan utilizza la prima regola corrispondente quando verifica i modelli. Questo significa che se un file o dei dati corrispondono alla definizione di un modello, OfficeScan non esegue la verifica in altri modelli. La priorità è data dall'ordine dei modelli nell'elenco. Configurare le impostazioni dei canali: 6. Fare clic sulla scheda Canale. 7. Selezionare i canali per la regola. Per ulteriori informazioni sui canali, vedere Canali di rete a pagina 10-25 e Canali di applicazioni e sistemi a pagina 10-32. 8. Se sono stati selezionati dei canali di rete, selezionare l'ambito di trasmissione: • Tutte le trasmissioni • Solo trasmissioni esterne alla LAN (Local Area Network) Vedere Ambito e destinazioni della trasmissione per i canali di rete a pagina 10-29 per maggiori dettagli sull'ambito della trasmissione, sul modo in cui le destinazioni dipendono dall'ambito della trasmissione e su come definire le destinazioni correttamente. 9. Se si seleziona Client di posta elettronica: a. Fare clic su Eccezioni. b. Specificare domini di posta elettronica interni monitorati e non monitorati. Per maggiori dettagli sui domini di posta elettronica monitorati e non monitorati, vedere Client di posta elettronica a pagina 10-25. 10-47 Guida per l'amministratore di OfficeScan™ 11.0 10. Se si seleziona Dispositivi di archiviazione rimovibili: a. Fare clic su Eccezioni. b. Aggiungere dispositivi di archiviazione rimovibili non monitorati e identificarli in base al fornitore. L'ID di serie e il modello and serial ID sono facoltativi. L'elenco Approvati per i dispositivi USB supporta l'uso dell'asterisco (*) come carattere jolly. Sostituire qualsiasi campo con l'asterisco (*) per includere tutti i dispositivi che soddisfano gli altri campi. Ad esempio, [fornitore]-[modello]-* inserisce tutti i dispositivi USB del fornitore e modello specificati, indipendentemente dall'ID di serie, nell'elenco approvati. c. Per aggiungere altri dispositivi, fare clic sull'icona (+). Suggerimento Utilizzare lo Strumento elenco dispositivi per verificare i dispositivi connessi agli dispositivo. Lo strumento fornisce il fornitore, il modello e l'ID di serie per ciascun dispositivo. Per i dettagli, consultare Strumento elenco dispositivi a pagina 9-14. Configurare le impostazioni delle azioni: 11. Fare clic sulla scheda Operazione. 12. Selezionare un'azione primaria ed eventuali azioni aggiuntive. Per ulteriori informazioni sulle azioni, vedere Azioni di Prevenzione perdita di dati a pagina 10-37. 13. Dopo aver configurato le impostazioni Modello, Canale e Azione, fare clic su Salva. Importazione, esportazione e copia delle regole DLP Gli amministratori possono importare le regole precedentemente definite, contenute in un file .dat adeguatamente formattato, o esportare l'elenco delle regole DLP configurate. Con la copia di una regola DLP, l'amministratore può modificare i contenuti di una regola precedentemente definita per risparmiare tempo. La seguente tabella descrive in che modo opera una funzione. 10-48 Utilizzo di Prevenzione perdita di dati TABELLA 10-7. Funzioni di importazione, esportazione e copia per le regole DLP FUNZIONE DESCRIZIONE Importa L'importazione di un elenco di regole aggiunge regole non esistenti all'elenco di regole DLP esistenti. Prevenzione perdita di dati ignora le regole che esistono già nell'elenco di destinazione. Prevenzione perdita di dati gestisce tutte le impostazioni preconfigurate per ciascuna regola, incluso lo stato di attivato o disattivato. Esporta L'esportazione di un elenco di regole esporta tutto l'elenco in un file .dat che gli amministratori possono importare e implementare in altri domini o agenti. Prevenzione perdita di dati salva tutte le impostazioni delle regole sulla base della configurazione corrente. Nota Copia • Gli amministratori devono salvare o applicare eventuali regole nuove o modificate prima di esportare l'elenco. • Prevenzione perdita di dati non esporta nessuna eccezione configurata per il criterio ma solo le impostazioni configurate per ciascuna regola. Con la copia di una regola viene creata una replica esatta delle impostazioni di configurazione correnti per la regola. Gli amministratori devono digitare un nuovo nome per la regola e possono effettuare modifiche di configurazione necessarie per la nuova regola. Notifiche di Prevenzione perdita di dati OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare gli amministratori di OfficeScan e gli utenti agente sulle trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche inviate agli amministratori, vedere Notifiche di Prevenzione perdita di dati per gli amministratori a pagina 10-50. Per ulteriori informazioni sulle notifiche inviate agli utenti agente, vedere Notifiche di Prevenzione perdita di dati per gli utenti agente a pagina 10-53. 10-49 Guida per l'amministratore di OfficeScan™ 11.0 Notifiche di Prevenzione perdita di dati per gli amministratori Configurare OfficeScan in modo da inviare agli amministratori un messaggio di notifica quando viene rilevata la trasmissione di risorse digitali o quando la trasmissione viene bloccata. OfficeScan viene fornito con una serie di messaggi di notifica predefiniti per informare gli amministratori sulle trasmissioni di risorse digitali. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle esigenze aziendali. Nota OfficeScan è in grado di inviare notifiche tramite e-mail, trap SNMP e Registro Eventi di Windows NT. Configurare le impostazioni quando OfficeScan invia i messaggi di notifica attraverso tali canali. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. Configurazione delle notifiche di Prevenzione perdita di dati per gli amministratori Procedura 1. Accedere a Amministrazione > Notifiche > Amministratore. 2. Sulla scheda Criteri: 3. 10-50 a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Specificare se inviare le notifiche per il rilevamento della trasmissione delle risorse digitali o solo quando la trasmissione è bloccata. Sulla scheda E-mail: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. Utilizzo di Prevenzione perdita di dati Utilizzare il Role-based Administration (RBA) per assegnare agli utenti autorizzazioni al dominio della struttura agente. Se la trasmissione avviene in un agente appartenente ad un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: TABELLA 10-8. Autorizzazioni e domini della struttura agente DOMINIO DELLA STRUTTURA AGENTE Dominio A Dominio B RUOLI CON AUTORIZZAZIONI PER IL DOMINIO ACCOUNT UTENTE CON IL RUOLO INDIRIZZO E-MAIL DELL'ACCOUNT UTENTE Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Se qualsiasi agente OfficeScan appartenente al Dominio A rileva una trasmissione di risorse digitali, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se qualsiasi agente OfficeScan appartenente al Dominio B rileva la trasmissione, il messaggio e-mail viene inviato a [email protected] e [email protected]. Nota Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. 10-51 Guida per l'amministratore di OfficeScan™ 11.0 e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Usare solo variabili token per rappresentare i dati nei campi Oggetto e Messaggio. TABELLA 10-9. Variabili token per le notifiche di Prevenzione perdita di dati VARIABILE 4. 5. 10-52 DESCRIZIONE %USER% L'utente che accede all'dispositivo quando la trasmissione viene rilevata %COMPUTER% Dispositivo in cui è stata rilevata la trasmissione %DOMAIN% Dominio dell'dispositivo %DATETIME% Data e ora di rilevamento della trasmissione %CHANNEL% Il canale attraverso il quale viene rilevata la trasmissione %TEMPLATE% Il modello di risorse digitali che ha avviato il rilevamento %RULE% Il nome della regola che ha attivato l'incidente. Sulla scheda Trap SNMP: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina 10-52 per ulteriori dettagli. Sulla scheda Registro eventi NT: a. Fare clic sulla sezione Trasmissioni di risorse digitali. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 10-9: Variabili token per le notifiche di Prevenzione perdita di dati a pagina 10-52 per ulteriori dettagli. Utilizzo di Prevenzione perdita di dati 6. Fare clic su Salva. Notifiche di Prevenzione perdita di dati per gli utenti agente OfficeScan è in grado di visualizzare i messaggi di notifica sui computer agente immediatamente dopo aver consentito o bloccato la trasmissione delle risorse digitali. Per notificare agli utenti che la trasmissione di una risorsa digitale è stata bloccata o consentita, selezionare l'opzione Notifica all'utenteagente quando si crea un criterio di Prevenzione perdita di dati. Per istruzioni sulla creazione di criteri, vedere Configurazione dei criteri Prevenzione perdita di dati a pagina 10-44. Configurazione delle notifiche di Prevenzione perdita di dati per gli agenti Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Trasmissioni di risorse digitali 3. Accettare o modificare il messaggio predefinito. 4. Fare clic su Salva. Registri di Prevenzione perdita di dati Gli agenti registrano le trasmissioni (bloccate e consentite) delle risorse digitali e inviano immediatamente i registri al server. Se l'agente non è in grado di inviare i registri, riprova dopo 5 minuti. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. 10-53 Guida per l'amministratore di OfficeScan™ 11.0 Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di Prevenzione perdita di dati Procedura 1. Accedere a Agenti > Gestione agente oppure Registri > Agenti > Rischi per la sicurezza. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri di Prevenzione perdita di dati o su Visualizza registri > Registri DLP. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. ) per includere I registri contengono le seguenti informazioni: TABELLA 10-10. Informazioni del registro Prevenzione perdita di dati COLONNA 10-54 DESCRIZIONE Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registrato l'incidente Utente Il nome utente che ha effettuato l'accesso all'dispositivo Dispositivo Il nome dell'dispositivo in cui Prevenzione perdita di dati ha rilevato la trasmissione Dominio Il dominio dell'dispositivo IP L'indirizzo IP dell'dispositivo Utilizzo di Prevenzione perdita di dati COLONNA Nome regola DESCRIZIONE I nomi delle regole che hanno generato l'incidente. Nota I criteri creati in una versione precedente di OfficeScan visualizzano come nome predefinito LEGACY_DLP_Policy. Canale Il canale attraverso il quale si è verificata la trasmissione Processo Il processo che ha facilitato la trasmissione di una risorsa digitale (il processo dipende dal canale) Per i dettagli, consultare Processi per canale a pagina 10-55. Origine L'origine del file contenente la risorsa digitale o il canale (se non è presente alcuna risorsa disponibile) Destinazione La destinazione designata del file contenente la risorsa digitale o il canale (se non è disponibile alcuna risorsa ) Azione L'azione eseguita sulla trasmissione Dettagli Un collegamento che include ulteriori informazioni sulla trasmissione Per i dettagli, consultare Dettagli del registro per Prevenzione della perdita di dati a pagina 10-58. 6. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Processi per canale La tabella seguente contiene un elenco dei processi che vengono visualizzati nella colonna Processo dei registri di Prevenzione perdita di dati. 10-55 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 10-11. Processi per canale CANALE Software di sincronizzazione (ActiveSync) PROCESSO Il percorso completo e il nome del processo del software di sincronizzazione. Esempio: C:\Windows\system32\WUDFHost.exe Supporto di registrazione dati (CD/DVD) Percorso completo e nome di processo del supporto di registrazione dati Esempio: C:\Windows\Explorer.exe Appunti di Windows Non pertinente Client di posta elettronica - Lotus Notes Percorso completo e nome di processo di Lotus Notes Esempio: C:\Program Files\IBM\Lotus\Notes\nlnotes.exe Client di posta elettronica Microsoft Outlook Percorso completo e nome di processo di Microsoft Outlook Esempio: C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE Client di posta elettronica - Tutti i client che usano il protocollo SMTP Percorso completo e nome di processo del client di posta elettronica Esempio: C:\Programmi\Mozilla Thunderbird\thunderbird.exe Dispositivi di archiviazione rimovibili Nome di processo dell'applicazione che ha trasmesso i dati al dispositivo di archiviazione oppure all'interno dello stesso Esempio: explorer.exe 10-56 Utilizzo di Prevenzione perdita di dati CANALE FTP PROCESSO Percorso completo e nome di processo del client FTP Esempio: D:\Programmi\FileZilla FTP Client\filezilla.exe HTTP "Applicazione HTTP" HTTPS Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Internet Explorer\iexplore.exe Applicazione IM Percorso completo e nome di processo dell'applicazione di messaggistica istantanea Esempio: C:\Program Files\Skype\Phone\Skype.exe Applicazione di messaggistica istantanea - MSN • Percorso completo e nome di processo di MSN Esempio: C:\Programmi\Windows Live\Messenger\ msnmsgr.exe • Applicazione peerto-peer "Applicazione HTTP" se i dati sono trasmessi da una finestra di chat Percorso completo e nome di processo dell'applicazione peer-topeer Esempio: D:\Program Files\BitTorrent\bittorrent.exe Crittografia PGP Percorso completo e nome di processo del software di crittografia PGP Esempio: C:\Programmi\PGP Corporation\PGP Desktop\ PGPmnApp.exe 10-57 Guida per l'amministratore di OfficeScan™ 11.0 CANALE Stampante PROCESSO Percorso completo e nome di processo dell'applicazione che ha avviato un'operazione della stampante Esempio: C:\Programmi\Microsoft Office\Office12\ WINWORD.EXE Protocollo SMB Percorso completo e nome di processo dell'applicazione da cui è stato effettuato l'accesso ai file condivisi (copia o creazione di un nuovo file) Esempio: C:\Windows\Explorer.exe Webmail (modalità HTTP) "Applicazione HTTP" Webmail (modalità HTTPS) Percorso completo e nome di processo del browser o dell'applicazione Esempio: C:\Programmi\Mozilla Firefox\firefox.exe Dettagli del registro per Prevenzione della perdita di dati La schermata dei dettagli Registri di Prevenzione perdita di dati visualizza dati aggiuntivi sulla trasmissione della risorsa digitale. I dati di una trasmissione variano in base al canale e al processo attraverso il quale OfficeScan ha rilevato l'incidente. Nella seguente tabella sono riporta i dati che vengono visualizzati. TABELLA 10-12. Dettagli del registro per Prevenzione della perdita di dati DETTAGLI DESCRIZIONE Data/Ora La data e l'ora in cui Prevenzione perdita di dati ha registrato l'incidente ID violazione L'ID univoco dell'incidente Utente Il nome utente che ha effettuato l'accesso all'dispositivo 10-58 Utilizzo di Prevenzione perdita di dati DETTAGLI DESCRIZIONE Dispositivo Il nome dell'dispositivo in cui Prevenzione perdita di dati ha rilevato la trasmissione Dominio Il dominio dell'dispositivo IP L'indirizzo IP dell'dispositivo Canale Il canale attraverso il quale si è verificata la trasmissione Processo Il processo che ha facilitato la trasmissione di una risorsa digitale (il processo dipende dal canale) Per i dettagli, consultare Processi per canale a pagina 10-55. Origine L'origine del file contenente la risorsa digitale o il canale (se non è presente alcuna risorsa disponibile) Mittente e-mail L'indirizzo e-mail dal quale la trasmissione proviene Oggetto e-mail La riga dell'oggetto del messaggio e-mail contenente la risorsa digitale Destinatario e-mail Gli indirizzi e-mail di destinazione del messaggio e-mail URL L'URL di un sito Web o di una pagina Web Utente FTP Il nome utente usato per accedere al server FTP Classe file Il tipo di file nel quale Prevenzione perdita di dati ha rilevato la risorsa digitale Regola/Modello Un elenco di nomi di regole e modelli esatti che hanno attivato il rilevamento Nota Ciascuna regola contiene modelli multipli che hanno generato l'incidente. I nomi dei modelli multipli sono separati dalle virgole. Azione L'azione eseguita sulla trasmissione 10-59 Guida per l'amministratore di OfficeScan™ 11.0 DETTAGLI Motivo giustificazione utente DESCRIZIONE Il motivo fornito dall'utente per il trasferimento continuo di dati sensibili Attivazione del registro di debug per il modulo Protezione dati Procedura 1. Richiedere il file logger.cfg all'assistenza tecnica. 2. Aggiungere i dati seguenti in HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro \PC-cillinNTCorp\DlpLite: • Tipo: Stringa • Nome: debugcfg • Valore: C:\Log\logger.cfg 3. Creare una cartella denominata “Log” nella directory C:\ 4. Copiare logger.cfg nella cartella “Log”. 5. Implementare le impostazioni di Prevenzione perdita di dati e Controllo dispositivo della console Web per avviare la raccolta dei registri. Nota Per disattivare il registro di debug per il modulo Protezione dati, eliminare debugcfg nella chiave di registro e riavviare l'dispositivo. 10-60 Capitolo 11 Protezione dei computer dalle minacce Web In questo capitolo si descrivono le minacce basate su Web e l'uso di OfficeScan per proteggere la rete e i computer dalle minacce Web. Di seguito sono riportati gli argomenti trattati: • Minacce Web a pagina 11-2 • Servizi di avvisi contatti Command & Control a pagina 11-2 • Reputazione Web a pagina 11-4 • Criteri di reputazione Web a pagina 11-5 • Notifiche di minacce Web per utenti agente a pagina 11-16 • Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-18 • Infezioni dei callback C&C a pagina 11-21 • Registri delle minacce Web a pagina 11-23 11-1 Guida per l'amministratore di OfficeScan™ 11.0 Minacce Web Le minacce Web comprendono un'ampia gamma di minacce che hanno origine su Internet. Le minacce Web sono sofisticate nei loro metodi in quanto utilizzano una combinazione di diversi file e tecniche e non un solo file o approccio. Gli sviluppatori di minacce Web modificano, ad esempio, in modo continuo la versione o la variante di una minaccia utilizzata. Poiché la minaccia Web si trova in una posizione fissa di un sito Web anziché sull'dispositivo infetto, l'autore della minaccia modifica continuamente il suo codice affinché non venga rilevata. Negli ultimi anni, gli hacker, i creatori di virus e spyware, gli autori di spam e spyware sono noti come criminali informatici. Le minacce Web consentono a questi individui di perseguire uno o due obiettivi. Il primo obiettivo è ottenere informazioni a scopo di lucro. Il risultato di tali azioni è la perdita di informazioni private e la perdita di identità. L'dispositivo infettato può essere utilizzato per un attacco di phishing o per altre attività volte a carpire informazioni. Altro effetto di queste attività è la creazione di un clima di insicurezza generale nei confronti delle transazioni via Internet e la conseguente perdita di fiducia nel commercio elettronico da parte degli utenti. Il secondo obiettivo è impossessarsi delle risorse della CPU di un utente per condurre attività a scopo di lucro. Alcuni esempi di queste sono l'invio di spam o attività di estorsione quali attacchi Denial-of-Service distribuiti o abuso di annunci "pay-per-click". Servizi di avvisi contatti Command & Control I servizi di avvisi contatti Trend Micro Command & Control (C&C) forniscono funzionalità migliorate di avviso e rilevamento per ridurre i danni causati da minacce costanti e avanzate e attacchi mirati. I servizi di avvisi contatti C&C sono integrati con i Servizi di reputazione Web che determinano l'azione da compiere sugli indirizzi di callback rilevati in base al livello di sicurezza di Reputazione Web. L'elenco IP C&C migliora ulteriormente i rilevamenti di callback C&C utilizzando il Motore di ispezione contenuti della rete per identificare i contatti C&C tramite qualsiasi canale di rete. Per i dettagli di configurazione del livello di sicurezza dei servizi di reputazione Web, consultare Configurazione dei Criteri di reputazione Web a pagina 11-5. 11-2 Protezione dei computer dalle minacce Web TABELLA 11-1. Funzioni dei servizi di avvisi contatti C&C FUNZIONE DESCRIZIONE Elenco Global Intelligence Trend Micro Smart Protection Network compila l'elenco Global Intelligence da origini di tutto il mondo e verifica e valuta il livello di rischio di ciascun indirizzo di callback C&C. I servizi di reputazione Web utilizzano l'elenco Global Intelligence insieme ai punteggi di reputazione per i siti Web dannosi al fine di fornire una maggiore sicurezza dalle minacce avanzate. Il livello di sicurezza della reputazione Web determina l'azione eseguita sui siti Web dannosi o sui server C&C in base ai livelli di rischio assegnati. Integrazione di Deep Discovery Advisor e dell'elenco Virtual Analyzer Gli Smart Protection Server possono essere integrati con Deep Discovery Advisor per ottenere l'elenco di server Virtual Analyzer C&C. Virtual Analyzer di Deep Discovery Advisor valuta i potenziali rischi in un ambiente protetto e, utilizzando euristica avanzata e metodi di verifica dei comportamenti, assegna un livello di rischio alle minacce analizzate. Virtual Analyzer popola l'elenco Virtual Analyzer con le minacce che tentano di connettersi a un possibile server C&C. L'elenco Virtual Analyzer è altamente specifico per ciascuna azienda e offre una difesa più personalizzata dagli attacchi mirati. Gli Smart Protection Server recuperano l'elenco da Deep Discovery Advisor e sono in grado di valutare tutte le possibili minacce C&C sia attraverso l'elenco Global Intelligence sia attraverso l'elenco Virtual Analyzer locale. Per maggiori dettagli sulla connessione dello Smart Protection Server integrato a Deep Discovery Advisor, consultare Configurazione delle impostazioni di Integrated Smart Protection Server a pagina 4-23. Servizio di connessione sospetta Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti dall'utente e monitora il comportamento delle connessioni che gli dispositivo stabiliscono con i potenziali server C&C. Per i dettagli, consultare Servizio di connessione sospetta a pagina 11-12. Notifiche amministratore Gli amministratori possono scegliere di ricevere notifiche dettagliate e personalizzabili una volta rilevato un callback C&C. Per i dettagli, consultare Configurazione delle notifiche di callback C&C per gli amministratori a pagina 11-18. 11-3 Guida per l'amministratore di OfficeScan™ 11.0 FUNZIONE Notifiche dispositivo DESCRIZIONE Gli amministratori possono scegliere di inviare notifiche dettagliate e personalizzabili agli utenti finali una volta rilevato un callback C&C in un dispositivo. Per i dettagli, consultare Attivazione del messaggio di notifica di minacce Web a pagina 11-16. Notifiche di infezione Gli amministratori possono personalizzare le notifiche di infezione specifiche degli eventi di callback C&C e specificare se l'infezione avviene in un solo dispositivo o nell'intera rete. Per i dettagli, consultare Infezioni dei callback C&C a pagina 11-21. Registri dei callback C&C I registri forniscono informazioni dettagliate relative a tutti gli eventi di callback C&C. Per i dettagli, consultare Visualizzazione dei registri dei callback C&C a pagina 11-25. Reputazione Web La tecnologia di reputazione Web tiene traccia della credibilità dei domini Web assegnando un punteggio di reputazione basato su fattori quali la maturità del sito Web, i cambiamenti di posizione e le indicazioni di attività sospette rilevate mediante l'analisi del comportamento delle minacce informatiche. I siti sono continuamente sottoposti a scansione e l'accesso ai siti infetti viene bloccato. Gli agenti OfficeScan inviano query alle origini Smart Protection per determinare la reputazione dei siti Web ai quali gli utenti tentano di accedere. La reputazione di un sito Web è correlata al criterio di reputazione Web specifico applicato sull'dispositivo. A seconda del criterio utilizzato, l'agente OfficeScan blocca o consente l'accesso a un sito Web. Nota Per ulteriori informazioni sulle origini Smart Protection, vedere Elenco delle origini Smart Protection a pagina 4-25. 11-4 Protezione dei computer dalle minacce Web Aggiungere all'elenco dei siti approvati o bloccati, i siti Web considerati sicuri o pericolosi. Quando un agente OfficeScan rileva un accesso a tali siti Web, consente o blocca automaticamente l'accesso e non invia altre query alle origini Smart Protection. Criteri di reputazione Web I criteri di reputazione Web indicano se OfficeScan bloccherà o consentirà l'accesso a un sito Web. È possibile configurare i criteri per gli agenti esterni e interni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per gli agenti esterni. I criteri sono impostazioni flessibili nella struttura agente OfficeScan. È possibile applicare criteri specifici a gruppi di agenti o a singoli agenti. È inoltre possibile applicare un singolo criterio a tutti gli agenti. Dopo aver implementato i criteri, gli agenti utilizzano i parametri della posizione definiti nella schermata Posizione dispositivo (vedere Posizione dispositivo a pagina 14-2) per determinarne la posizione e il criterio da applicare. Gli agenti cambiano criteri ogni volta che cambia la posizione. Configurazione dei Criteri di reputazione Web Informazioni preliminari Se è stato impostato un server proxy per gestire la comunicazione HTTP aziendale ed è necessaria l'autenticazione per consentire l'accesso Web, specificare le credenziali per l'autenticazione del server proxy. Per le istruzioni per la configurazione delle impostazioni proxy, vedere Proxy esterno per gli agenti OfficeScan a pagina 14-51. Procedura 1. Accedere a Agenti > Gestione agente. 2. Selezionare le destinazioni nella struttura agente. 11-5 Guida per l'amministratore di OfficeScan™ 11.0 • Per configurare un criterio per gli agenti con Windows XP, Vista 7, 8 o 8.1, selezionare l'icona del dominio root ( ) oppure specificare domini o agenti specifici. Nota Quando si seleziona un dominio root o domini specifici, l'impostazione sarà applicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazione non sarà applicata agli agenti che eseguono Windows Server 2003, Windows Server 2008 o Windows Server 2012 anche se fanno parte dei domini. • Per configurare un criterio per gli agenti con Windows Server 2003, Windows Server 2008 o Windows Server 2012, selezionare un agente specifico. 3. Fare clic su Impostazioni > Impostazioni di reputazione Web. 4. Fare clic sulla scheda Agenti esterni per configurare un criterio per gli agenti esterni oppure sulla scheda Agenti interni per configurare un criterio per gli agenti interni. Suggerimento Configurare le impostazioni della posizione agente se non sono state già configurate. Gli agenti useranno queste impostazioni per determinare i rispettivi percorsi e applicare il criterio di reputazione Web corretto. Per i dettagli, consultare Posizione dispositivo a pagina 14-2. 5. Selezionare Attiva criterio di reputazione Web sui seguenti sistemi operativi. I sistemi operativi elencati nella schermata variano in base alle destinazioni selezionate nel passaggio 1. Suggerimento Trend Micro consiglia di disattivare la reputazione Web per gli agenti interni nel caso in cui si stia già utilizzando un prodotto Trend Micro con funzionalità di reputazione Web, come InterScan Web Security Virtual Appliance. Quando un criterio di reputazione Web è attivato: • 11-6 Gli agenti esterni inviano query di reputazione Web a Smart Protection Network. Protezione dei computer dalle minacce Web • 6. Gli agenti interni inviano query di reputazione Web a: • Gli Smart Protection Server se l'opzione Invia query a Smart Protection Server è attivata. Per ulteriori informazioni su questa opzione, vedere il passaggio 7. • Gli Smart Protection Network se l'opzione Invia query a Smart Protection Server è attivata. Selezionare Attiva valutazione. Nota In modalità di valutazione, gli agenti consentono l'accesso a tutti i siti Web, ma registrano gli accessi ai siti Web che sarebbero bloccati se la modalità di valutazione fosse disattivata. La modalità di valutazione fornita da Trend Micro consente di valutare i siti Web e prendere provvedimenti in base alla valutazione. È possibile, ad esempio, aggiungere i siti Web considerati sicuri all'elenco dei siti approvati. 7. Selezionare Verifica URL HTTPS. Le comunicazioni HTTPS utilizzano i certificati per identificare i server Web. Codificano i dati per prevenire furti e intercettazioni. Sebbene sia più sicuro, accedere ai siti Web utilizzando HTTPS comporta comunque dei rischi. I siti compromessi, anche quelli con certificati validi, possono ospitare minacce informatiche e sottrarre informazioni personali. Inoltre, i certificati sono relativamente semplici da ottenere, rendendo altrettanto semplice l'impostazione di server Web dannosi che utilizzano HTTPS. Attivare la verifica degli URL HTTPS per ridurre l'esposizione a siti compromessi o dannosi che usano l'HTTPS. OfficeScan è in grado di monitorare il traffico HTTPS sui seguenti browser: 11-7 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 11-2. Browser supportati per il traffico HTTPS BROWSER Microsoft Internet Explorer VERSIONE • 6 con SP2 o successivo • 7.x • 8.x • 9.x • 10.x • 11.x Mozilla Firefox 3.5 o versioni successive Chrome N.D. Importante • La scansione HTTPS supporta solo le piattaforme Windows 8, Windows 8.1 o Windows 2012 in modalità desktop. • Dopo aver attivato la scansione HTTPS per la prima volta sugli agenti OfficeScan con Internet Explorer 9, 10 o 11, gli utenti devono attivare il componente aggiuntivo TmIEPlugInBHO Class nella finestra di popup del browser prima che la scansione HTTPS sia operativa. Per informazioni sulla configurazione delle impostazioni di Internet Explorer per la reputazione Web, consultare il seguente articolo della Knowledge Base: • http://esupport.trendmicro.com/solution/en-us/1060643.aspx 8. Selezionare Esegui scansione solo delle porte HTTP comuni per limitare la scansione della reputazione Web al traffico nelle porte 80, 81 e 8080. Per impostazione predefinita, OfficeScan esegue la scansione di tutto il traffico in tutte le porte. 9. Selezionare Invia query a Smart Protection Server se si desidera che gli agenti interni inviino query di reputazione Web agli Smart Protection Server. • Se si attiva questa opzione: • 11-8 Gli agenti fanno riferimento all'elenco delle origini Smart Protection per determinare a quale Smart Protection Server connettersi. Per ulteriori Protezione dei computer dalle minacce Web informazioni sull'elenco delle origini Smart Protection, consultare Elenco delle origini Smart Protection a pagina 4-25. • • Accertarsi che gli Smart Protection Server siano disponibili. Se nessuno Smart Protection Server è disponibile, gli agenti non inviano query a Smart Protection Network. Le sole origini rimanenti di dati di reputazione Web per gli agenti sono gli elenchi di URL approvati e bloccati (configurati nel passaggio 10). • Se si desidera che gli agenti si connettano agli Smart Protection Server tramite un server proxy, specificare le impostazioni del proxy nella scheda Amministrazione > Impostazioni > Proxy > Proxy interno. • Aggiornare gli Smart Protection Server regolarmente in modo da mantenere aggiornata la protezione. • Gli agenti non bloccano i siti Web non testati. Gli Smart Protection Server non memorizzano i dati di reputazione Web per questi siti Web. Se si disattiva questa opzione: • Gli agenti inviano query di reputazione Web a Smart Protection Network. I computer agente devono essere dotati di una connessione Internet per poter inviare query correttamente. • Se la connessione a Smart Protection Network richiede l'autenticazione del server proxy, specificare le credenziali di autenticazione nella scheda Amministrazione > Impostazioni > Proxy > scheda Proxy esterno > Aggiornamenti server OfficeScan. • Gli agenti bloccheranno i siti Web non testati se si seleziona Blocca le pagine che non sono state testate da Trend Micro nel passaggio 9. 10. Selezionare uno dei livelli di sicurezza disponibili per la reputazione Web: Alto, Medio o Basso 11-9 Guida per l'amministratore di OfficeScan™ 11.0 Nota I livelli di sicurezza determinano se OfficeScan consentirà o bloccherà l'accesso a un URL. Se, ad esempio, si imposta il livello di sicurezza su Basso, OfficeScan blocca solo gli URL considerati come minaccia Web. Impostando il livello di sicurezza più elevato, il rilevamento di minacce Web migliora ma aumentano anche le possibilità di falsi allarmi. 11. Se è stata disattivata l'opzione Invia query a Smart Protection Server nel passaggio 7, è possibile selezionare Blocca le pagine che non sono state testate da Trend Micro. Nota Anche se Trend Micro verifica attivamente le pagine Web per la garantire la sicurezza, gli utenti possono trovare pagine non verificate quando visitano pagine Web nuove o poco conosciute. Bloccando le pagine non verificate si migliora la sicurezza, ma si impedisce anche l'accesso alle pagine sicure. 12. Selezionare Blocca le pagine che contengono script dannosi per identificare vulnerabilità dei browser Web e script dannosi e impedire che l'uso di tali minacce comprometta il browser Web. OfficeScan utilizza sia il pattern Prevenzione minaccia browser sia il pattern Script Analyzer, per identificare e bloccare le pagine Web prima di esporre il sistema. TABELLA 11-3. Browser supportati per Prevenzione minaccia browser BROWSER Microsoft Internet Explorer 11-10 VERSIONE • 7.x • 8.x • 9.x • 10.x • 11.x Protezione dei computer dalle minacce Web Importante La funzione Prevenzione minaccia browser richiede che venga attivato il Servizio di protezione avanzata (accedere a Agenti > Gestione agenti, fare clic su click Impostazioni > Impostazioni aggiuntive del servizio). 13. Configurare gli elenchi approvati e bloccati. Nota L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati. Quando un URL corrisponde a una voce nell'elenco degli URL approvati, gli agenti consentono sempre l'accesso all'URL, anche se questo è presente nell'elenco degli URL bloccati. a. Selezionare Attiva elenco approvati/bloccati. b. Immettere un URL. È possibile utilizzare i caratteri jolly (*) in qualsiasi punto dell'URL. Ad esempio: • Se si immette www.trendmicro.com/*, tutte le pagine del sito Web Trend Micro saranno approvate. • Se si immette *.trendmicro.com/*, tutte le pagine di un qualsiasi sottodominio di trendmicro.com saranno approvate. È possibile immettere URL che contengono indirizzi IP. Se un URL contiene un indirizzo IPv6, racchiudere l'indirizzo tra parentesi. c. Fare clic su Aggiungi all'elenco Approvati o su Aggiungi all'elenco Bloccati. d. Per esportare l'elenco in un file .dat, fare clic su Esporta, quindi fare clic su Salva. e. Se l'elenco è stato esportato da un altro server e occorre importarlo in questa schermata, fare clic su Importa e selezionare il file .dat. L'elenco viene importato nella schermata. 11-11 Guida per l'amministratore di OfficeScan™ 11.0 Importante Reputazione Web non esegue alcuna scansione sugli indirizzi presenti negli elenchi Approvati e Bloccati. 14. Per inviare un commento sulla reputazione Web, fare clic sull'URL fornito in Valuta di nuovo l'URL. Si aprirà una finestra del browser con il sistema di query della reputazione Web di Trend Micro. 15. Selezionare se consentire che l'agente OfficeScan invii i registri di reputazione Web al server. Se si desidera analizzare gli URL che vengono bloccati da OfficeScan ed eseguire le azioni appropriate per gli URL che si considerano sicuri per l'accesso, consentire agli agenti di inviare i registri. 16. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Servizio di connessione sospetta Il Servizio di connessione sospetta gestisce gli elenchi C&C IP globali e definiti dall'utente e monitora il comportamento delle connessioni che gli dispositivo stabiliscono con i potenziali server C&C. • 11-12 Gli elenchi di indirizzi IP bloccati e approvati definiti dall'utente consentono un ulteriore controllo sulla possibilità per gli dispositivo di accedere a indirizzi IP specifici. Configurare questi elenchi quando si desidera consentire l'accesso a un indirizzo bloccato dall'elenco IP C&C globale oppure bloccare l'accesso a un indirizzo che può rappresentare un rischio per la sicurezza. Protezione dei computer dalle minacce Web Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-13. • L'elenco IP C&C globale, insieme al Motore di ispezione contenuti della rete (Network Content Inspection Engine, NCIE), rileva le connessioni di rete con i server C&C confermati da Trend Micro. Il motore NCIE rileva il contatto del server C&C attraverso qualsiasi canale di rete. Il Servizio di connessione sospetta registra tutte le informazioni delle connessioni ai server nell'elenco IP C&C globale per una valutazione. Per informazioni sull'attivazione dell'elenco di indirizzi IP C&C globale, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14. • Dopo aver rilevato la minaccia informatica sugli dispositivo tramite il pattern regola di pertinenza corrispondente sui pacchetti di rete, il Servizio di connessione sospetta può effettuare ulteriori ricerche sul comportamento della connessione, per determinare se si è verificato un callback C&C. Dopo aver individuato un callback C&C, il Servizio di connessione sospetta può cercare di bloccare e disinfettare l'origine della connessione utilizzando la tecnologia GeneriClean. Per maggiori dettagli sulla configurazione del Servizio di connessione sospetta, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14. Per ulteriori informazioni su GeneriClean, vedere GeneriClean a pagina E-4. Attivare il Servizio di connessione sospetta nella schermata Impostazioni aggiuntive del servizio per proteggere gli agenti dai callback del server C&C. Per i dettagli, consultare Attivazione o disattivazione dei servizi dell'agente dalla console Web a pagina 14-8. Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente Gli amministratori possono configurare OfficeScan per consentire, bloccare o registrare tutte le connessioni tra agenti e indirizzi IP C&C definiti dall'utente. Nota Gli elenchi degli indirizzi IP definiti dall'utente supportano solo gli indirizzi IPv4. 11-13 Guida per l'amministratore di OfficeScan™ 11.0 Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Accedere alla sezione Impostazioni connessione sospetta. 3. Fare clic su Modifica elenco IP definito dall'utente. 4. Nella scheda Elenco approvati o in quella Elenco bloccati, aggiungere gli indirizzi IP che si desidera monitorare. Suggerimento È possibile configurare OfficeScan solo per registrare le connessioni effettuate verso gli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. Per registrare solo le connessioni effettuate verso indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente, vedere Configurazione delle impostazioni di connessione sospetta a pagina 11-14. a. Fare clic su Aggiungi. b. Nella nuova schermata che viene visualizzata, digitare l'indirizzo IP, l'intervallo dell'indirizzo IP o l'indirizzo IPv4 e la subnet mask per l'OfficeScan da monitorare. c. Fare clic su Salva. 5. Per rimuovere gli indirizzi IP dall'elenco, selezionare la casella di controllo accanto all'indirizzo e fare clic su Elimina. 6. Dopo aver configurato gli elenchi, fare clic su Chiudi per tornare alla schermata Impostazioni globali agente. Configurazione delle impostazioni di connessione sospetta OfficeScan è in grado di registrare tutte le connessioni effettuate tra agenti e indirizzi nell'elenco IP C&C globale. La schermata impostazioni di connessione sospetta consente effettivamente la registrazione ma permette ancora di accedere agli indirizzi IP configurati nell'elenco di indirizzi IP bloccati definito dall'utente 11-14 Protezione dei computer dalle minacce Web OfficeScan è inoltre in grado di monitorare le connessioni che possono essere risultato di un botnet o di un'altra minaccia informatica. Dopo aver rilevato una minaccia informatica, OfficeScan può tentare di eliminare l'infezione. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Impostazioni di connessione sospetta. ) per includere Viene visualizzata la schermata Impostazioni di connessione sospetta. 4. Attivare l'impostazione Registra connessioni di rete effettuate agli indirizzi nell'elenco IP C&C globali per monitorare le connessioni effettuate sui server C&C confermati di Trend Micro. Per ulteriori informazioni sull'elenco IP C&C globale, consultare Servizio di connessione sospetta a pagina 11-12. • Per consentire agli agenti di connettere gli indirizzi nell'elenco di indirizzi IP bloccati definito dall'utente, attivare l'impostazione Registra e consenti l'accesso agli indirizzi dell'elenco IP bloccati definito dall'utente. Nota È necessario attivare il registro della connessione di rete prima che OfficeScan consenta l'accesso agli indirizzi dell'elenco di indirizzi IP bloccati definito dall'utente. 5. Attivare l'impostazione Registra connessioni mediante l’impronta di rete della minaccia per eseguire la corrispondenza di pattern sulle intestazioni dei pacchetti. OfficeScan registra tutte le connessioni effettuate dai pacchetti con le intestazioni che corrispondono alle minacce informatiche con l'uso del pattern regola di pertinenza. • Per consentire a OfficeScan di disinfettare le connessioni effettuate sui server C&C, attivare l'impostazione Disinfetta connessioni sospette quando viene rilevato un callback C&C. OfficeScan usa GeneriClean per disinfettare le minacce informatiche e interrompere la connessione al server C&C. 11-15 Guida per l'amministratore di OfficeScan™ 11.0 Nota È necessario attivare Registra connessioni mediante l’impronta di rete della minaccia prima che OfficeScan tenti di disinfettare le connessioni effettuate sui server C&C rilevate dalla corrispondenza della struttura dei pacchetti. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Notifiche di minacce Web per utenti agente OfficeScan può visualizzare un messaggio di notifica sull'dispositivo agente OfficeScan subito dopo aver bloccato un URL che viola un criterio di reputazione Web. È necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto di tale messaggio. Attivazione del messaggio di notifica di minacce Web Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 11-16 ) per includere Protezione dei computer dalle minacce Web 4. Fare clic sulla scheda Altre impostazioni. 5. Nella sezione Impostazioni di reputazione Web, selezionare Visualizza una notifica quando un sito Web viene bloccato. 6. Nella sezione Impostazioni callback C&C, selezionare Visualizza una notifica quando un callback C&C viene rilevato. 7. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Modifica delle notifiche di minacce Web Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dall'elenco a discesa Tipo, selezionare il tipo di notifica di minaccia Web da modificare: • Violazioni della reputazione Web • Callback C&C 3. Modificare il messaggio predefinito nella casella di testo disponibile. 4. Fare clic su Salva. 11-17 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle notifiche di callback C&C per gli amministratori OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan dei rilevamenti dei callback C&C. È possibile modificare i messaggi di notifica e configurare impostazioni aggiuntive in base alle proprie esigenze. Procedura 1. Accedere a Amministrazione > Notifiche > Amministratore. 2. Sulla scheda Criteri: 3. a. Andare alla sezione Callback C&C. b. Specificare se inviare le notifiche quando OfficeScan rileva un callback C&C (l'azione può essere bloccata o registrata) o solo quando il livello di rischio dell'indirizzo di callback è Alto. Sulla scheda E-mail: a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante e-mail. c. Selezionare Invia notifiche agli utenti con autorizzazioni per i domini della struttura agente. Utilizzare il Role-based Administration (RBA) per assegnare agli utenti autorizzazioni al dominio della struttura agente. Se la trasmissione avviene in un agente appartenente ad un dominio specifico, il messaggio e-mail viene inviato all'indirizzo e-mail degli utenti con autorizzazioni per il dominio. La tabella seguente illustra alcuni esempi: 11-18 Protezione dei computer dalle minacce Web TABELLA 11-4. Autorizzazioni e domini della struttura agente DOMINIO DELLA STRUTTURA AGENTE Dominio A Dominio B RUOLI CON AUTORIZZAZIONI PER IL DOMINIO ACCOUNT UTENTE CON IL RUOLO INDIRIZZO E-MAIL DELL'ACCOUNT UTENTE Amministratore (integrato) root [email protected] Role_01 admin_john [email protected] admin_chris [email protected] Amministratore (integrato) root [email protected] Role_02 admin_jane [email protected] Se un agente OfficeScan appartenente al Dominio A rileva un callback C&C, il messaggio e-mail viene inviato a [email protected], [email protected] e [email protected]. Se qualsiasi agente OfficeScan appartenente al Dominio B rileva il callback C&C, il messaggio e-mail viene inviato a [email protected] e [email protected]. Nota Quando si attiva questa opzione, tutti gli utenti con autorizzazioni per il dominio devono avere un indirizzo e-mail corrispondente. Il messaggio e-mail di notifica non sarà inviato agli utenti senza un indirizzo e-mail. Gli utenti e gli indirizzi e-mail sono configurati da Amministrazione > Gestione account > Account utente. d. Selezionare Invia notifiche ai seguenti indirizzi e-mail e immettere gli indirizzi e-mail. e. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio. Utilizzare le variabili token per rappresentare i dati nei campi Oggetto e Messaggio. 11-19 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 11-5. Variabili token per notifiche dei callback C&C VARIABILE 4. 5. 11-20 DESCRIZIONE %CLIENTCOMPU TER% Dispositivo di destinazione che ha inviato il callback %IP% Indirizzo IP dell'dispositivo di destinazione %DOMAIN% Dominio del computer %DATETIME% Data e ora di rilevamento della trasmissione %CALLBACKADD RESS% Indirizzo di callback del server C&C %CNCRISKLEVE L% Livello di rischio del server C&C %CNCLISTSOUR CE% Indica l'elenco di origine C&C %ACTION% Operazione eseguita Sulla scheda Trap SNMP: a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. Utilizzare variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili token per notifiche dei callback C&C a pagina 11-20 per ulteriori dettagli. Sulla scheda Registro eventi NT: a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-5: Variabili token per notifiche dei callback C&C a pagina 11-20 per ulteriori dettagli. Protezione dei computer dalle minacce Web 6. Fare clic su Salva. Notifiche di avvisi contatti C&C per gli utenti degli agenti OfficeScan può visualizzare un messaggio di notifica sui computer agente OfficeScan subito dopo il blocco dell'URL del server C&C. È necessario attivare il messaggio di notifica e, se lo si desidera, modificare il contenuto del messaggio Infezioni dei callback C&C Definire un'infezione dei callback C&C per numero, origine e livello di rischio dei callback. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica in base alle diverse esigenze. Nota OfficeScan è in grado di inviare notifiche di infezione dei callback C&C tramite posta elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. Configurazione delle notifiche e dei criteri delle infezioni dei callback C&C Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri, configurare le opzioni riportate di seguito: 11-21 Guida per l'amministratore di OfficeScan™ 11.0 OPZIONE DESCRIZIONE Stesso host compromesso Selezionare per definire un'infezione basata sui rilevamenti di callback per dispositivo Livello di rischio C&C Specificare se generare un'infezione in tutti i callback C&C o solo sulle origini ad alto rischio Azione Selezionare tra Qualsiasi azione, Registrata o Bloccata Rilevamenti Indicare il numero di rilevamenti richiesto che definisce un'infezione Periodo di tempo Indicare il numero di ore entro il quale deve avvenire il numero di rilevamenti Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. 3. Nella scheda E-mail: a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 11-6. Variabili token per notifiche delle infezioni dei callback C&C VARIABILE e. 4. 11-22 DESCRIZIONE %C Numero di registri dei callback C&C %T Periodo di tempo di accumulo dei registri dei callback C&C Selezionare le informazioni aggiuntive disponibili sui callback C&C da includere nel messaggio e-mail. Fare clic sulla scheda Trap SNMP: Protezione dei computer dalle minacce Web 5. 6. a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante trap SNMP. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina 11-22 per ulteriori dettagli. Nella scheda Registro eventi NT: a. Andare alla sezione Callback C&C. b. Selezionare Attiva notifica mediante registro eventi NT. c. Accettare o modificare il messaggio predefinito. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Messaggio. Consultare Tabella 11-6: Variabili token per notifiche delle infezioni dei callback C&C a pagina 11-22 per ulteriori dettagli. Fare clic su Salva. Registri delle minacce Web Configurare gli agenti esterni e interni in modo che inviino i registri di reputazione Web al server. Se si desidera analizzare gli URL che OfficeScan blocca e stabilire delle azioni appropriate per gli URL considerati sicuri, consentire tale operazione. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. 11-23 Guida per l'amministratore di OfficeScan™ 11.0 Visualizzazione dei registri di reputazione Web Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri reputazione Web o su Registri > Registri reputazione Web. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: ELEMENTO ) per includere DESCRIZIONE Data/Ora Ora del rilevamento Dispositivo L'dispositivo su cui si è verificato il rilevamento Dominio Il dominio dell'dispositivo oggetto del rilevamento URL L'URL bloccato dai servizi di reputazione Web Livello di rischio Il livello di rischio dell'URL Descrizione Una descrizione della minaccia per la sicurezza Processo Il processo tramite il quale è stato tentato il contatto (path\application_name) 6. Per fare in modo che un URL non venga bloccato, fare clic sul pulsante Aggiungi all'elenco Approvati per aggiungere il sito Web all'Elenco URL approvati. 7. Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. 11-24 Protezione dei computer dalle minacce Web Visualizzazione dei registri dei callback C&C Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri dei callback C&C o Registri > Registri dei callback C&C. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: ELEMENTO ) per includere DESCRIZIONE Data/Ora Ora del rilevamento Utente L'utente ha effettuato l'accesso all'ora del rilevamento Host compromesso L'dispositivo origine del callback Indirizzo IP L'indirizzo IP dell'host compromesso Dominio Il dominio dell'dispositivo oggetto del rilevamento Indirizzo di callback L'indirizzo a cui l'dispositivo ha inviato il callback Origine elenco C&C L'origine dell'elenco C&C che ha identificato il server C&C Livello di rischio C&C Il livello di rischio del server C&C Protocollo Il protocollo Internet usato per la trasmissione Processo Il processo che ha avviato la trasmissione (path \application_name) Azione L'azione eseguita sul callback 11-25 Guida per l'amministratore di OfficeScan™ 11.0 6. Se reputazione Web ha bloccato un URL che non si desidera sia bloccato, fare clic sul pulsante Aggiungi a elenco reputazione Web approvati per aggiungere l'indirizzo all'elenco reputazione Web approvati. Nota OfficeScan può aggiungere solo gli URL all'elenco reputazione Web approvati. Per i rilevamenti effettuati dall'elenco di indirizzi IP C&C globale o dall'elenco IP C&C Virtual Analyzer, aggiungere manualmente tali indirizzi IP all'elenco di IP approvati C&C definito dall'utente. Per i dettagli, consultare Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-13. 7. Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. Visualizzazione dei registri delle connessioni sospette Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Visualizza registri > Registri delle connessioni sospette oppure Registri > Registri delle connessioni sospette. 4. Specificare i parametri del registro e fare clic su Visualizza registri. 5. Visualizzare i registri. I registri contengono le seguenti informazioni: ELEMENTO 11-26 ) per includere DESCRIZIONE Data/Ora Ora del rilevamento Dispositivo L'dispositivo su cui si è verificato il rilevamento Protezione dei computer dalle minacce Web ELEMENTO 6. DESCRIZIONE Dominio Il dominio dell'dispositivo oggetto del rilevamento Processo Il processo che ha avviato la trasmissione (path \application_name) IP locale e porta L'indirizzo IP e il numero di porta dell'dispositivo di origine IP remoto e porta L'indirizzo IP e il numero di porta dell'dispositivo di destinazione Risultato Il risultato dell'azione effettuata Rilevato da L'origine dell'elenco C&C che ha identificato il server C&C Direzione del traffico La direzione della trasmissione Per salvare i registri in un file CSV, fare clic su Esporta tutti in CSV. Aprire il file o salvarlo in una posizione specifica. 11-27 Capitolo 12 Utilizzo del firewall di OfficeScan In questo capitolo vengono descritte le configurazioni e le funzioni del firewall OfficeScan. Di seguito sono riportati gli argomenti trattati: • Informazioni sul Firewall di OfficeScan a pagina 12-2 • Attivazione o disattivazione del Frewall di OfficeScan a pagina 12-6 • Criteri e profili del firewall a pagina 12-8 • Privilegi firewall a pagina 12-23 • Impostazioni firewall globali a pagina 12-25 • Notifiche di violazione del firewall per utenti agente OfficeScan a pagina 12-28 • Registri del firewall a pagina 12-29 • Infezioni da violazione del firewall a pagina 12-31 • Test del firewall OfficeScan a pagina 12-32 12-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni sul Firewall di OfficeScan Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection" e alle scansioni di virus della rete ad elevate prestazioni. Con la console di gestione centrale, è possibile creare regole per filtrare le connessioni per applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a gruppi diversi di utenti. Nota È possibile attivare, configurare e utilizzare il firewall di OfficeScan su dispositivo Windows XP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessario gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare la documentazione Microsoft. Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito: • Filtraggio del traffico a pagina 12-2 • Filtro di applicazioni a pagina 12-3 • Elenco software sicuro certificato a pagina 12-3 • Scansione dei virus di rete a pagina 12-4 • Profili e criteri personalizzabili a pagina 12-4 • Stateful Inspection a pagina 12-4 • Sistema di prevenzione intrusioni a pagina 12-4 • Monitoraggio delle infezioni di violazione del firewall a pagina 12-6 • Privilegi del firewall dell'agente OfficeScan a pagina 12-6 Filtraggio del traffico Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri: 12-2 Utilizzo del firewall di OfficeScan • Direzione (in entrata/in uscita) • Protocollo (TCP/UDP/ICMP/ICMPv6) • Porte di destinazione • Dispositivo di origine e destinazione Filtro di applicazioni Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni, consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai criteri impostati dall'amministratore. Nota OfficeScan non supporta eccezioni di applicazioni specifiche sulle piattaforme Windows 8, Windows 8.1 e Windows Server 2012. OfficeScan consente o impedisce il traffico di tutte le applicazioni sui computer con tali piattaforme. Elenco software sicuro certificato L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete. Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro. Nota Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. 12-3 Guida per l'amministratore di OfficeScan™ 11.0 Scansione dei virus di rete Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per i dettagli, consultare Virus e minacce informatiche a pagina 7-2. Profili e criteri personalizzabili Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili, che poi potranno essere implementati negli agenti OfficeScan specificati. Questo costituisce un metodo molto personalizzabile per l'organizzazione e la configurazione delle impostazioni di firewall per gli agenti. Stateful Inspection Il firewall di OfficeScan è di tipo Stateful Inspection: ovvero, monitora tutte le connessioni dell'agente OfficeScan e archivia tutti gli stati di connessione. È in grado di identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno e individuare le interruzioni in una connessione normale. L'uso efficace del firewall, quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e il filtro dei pacchetti che passano attraverso il firewall. Sistema di prevenzione intrusioni Il firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS). Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco all'agente OfficeScan. Il firewall di OfficeScan consente di prevenire le seguenti intrusioni note: INTRUSIONE Frammento troppo grande 12-4 DESCRIZIONE Attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto TCP/UDP di dimensioni eccessive sull'dispositivo di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sull'dispositivo, causandone il blocco o il riavvio. Utilizzo del firewall di OfficeScan INTRUSIONE DESCRIZIONE Ping of Death Attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto ICMP/ICMPv6 di dimensioni eccessive sull'dispositivo di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sull'dispositivo, causandone il blocco o il riavvio. Conflitto ARP Tipo di attacco in cui un hacker invia una richiesta ARP (Address Resolution Protocol) a un dispositivo utilizzando lo stesso indirizzo IP come origine e come destinazione. Il computer oggetto dell'attacco, quindi, invia continuamente una risposta ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco del sistema. Flooding SYN Attacco DoS (Denial of Service) in cui un programma invia a un dispositivo dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un invio continuo di risposte di riconoscimento (SYN/ ACK) da parte dell'dispositivo. Questi invii possono provocare l'esaurimento della memoria dell'dispositivo con conseguente blocco del sistema. Frammenti sovrapposti Questo attacco DoS (Denial of Service) simile al teardrop, invia a un dispositivo dei frammenti TCP sovrapposti. Questo causa la sovrascrittura delle informazioni di intestazione del primo frammento TCP che potrebbe così oltrepassare un firewall. Il firewall quindi potrebbe consentire l'accesso ai successivi frammenti contenenti il codice dannoso, permettendo loro di raggiungere l'dispositivo di destinazione. Teardrop questo attacco DoS (Denial of Service) simile all'attacco a frammenti sovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno del secondo o di altri frammenti IP può causare il blocco del sistema operativo dell'dispositivo ricevente nel momento in cui tenta di riassemblare i frammenti. Attacco frammento minuscolo tipo di attacco in cui un frammento TCP di dimensioni minime forza le informazioni di intestazione del primo pacchetto TCP all'interno del frammento successivo. I router che filtrano il traffico ignorano pertanto il frammento successivo, che potrebbe invece contenere dati maligni. 12-5 Guida per l'amministratore di OfficeScan™ 11.0 INTRUSIONE DESCRIZIONE IGMP frammentato Attacco DoS (Denial of Service) che invia pacchetti IGMP frammentati a un dispositivo di destinazione che non riesce a elaborarli correttamente, con conseguente rallentamento o blocco dell'dispositivo. Attacco LAND Tipo di attacco che invia a un dispositivo dei pacchetti di sincronizzazione (SYN) IP contenenti lo stesso indirizzo di origine e di destinazione; l'dispositivo invia pertanto la risposta di riconoscimento (SYN/ACK) a se stesso, con conseguente rallentamento o blocco dell'dispositivo. Monitoraggio delle infezioni di violazione del firewall Quando le violazioni del firewall superano determinate soglie che potrebbero far pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a specifici destinatari. Privilegi del firewall dell'agente OfficeScan È possibile concedere agli utenti agente OfficeScan le autorizzazioni necessarie per visualizzare le impostazioni del firewall sulla console dell'agente OfficeScan, nonché quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il messaggio di notifica della violazione del firewall. Attivazione o disattivazione del Frewall di OfficeScan Durante l'installazione del server OfficeScan, viene richiesto all'utente di attivare o disattivare il firewall OfficeScan. Se il firewall è stato attivato durante l'installazione e si è notato un impatto sulle prestazioni, in particolare sulle piattaforme del server (Windows Server 2003, Windows Server 2008 e Windows Server 2012), valutare la possibilità di disattivare il firewall. 12-6 Utilizzo del firewall di OfficeScan Se il firewall è stato disattivato durante l'installazione, ma si desidera attivarlo per proteggere gli agenti da intrusioni, leggere prima le linee guida e le istruzioni in Servizi dell'agente OfficeScan a pagina 14-7. È possibile attivare o disattivare il firewall su tutti gli dispositivo agente OfficeScan o solo su alcuni. Attivazione o disattivazione del firewall di OfficeScan sugli dispositivo selezionati Per attivare o disattivare il firewall, usare uno dei metodi seguenti. METODO PROCEDURA Creare un nuovo criterio e applicarlo agli agenti OfficeScan 1. Creare un nuovo criterio per attivare o disattivare il firewall. Per istruzioni sulla creazione di un nuovo criterio, vedere Aggiunta o modifica di un criterio firewall a pagina 12-11. 2. Applicare il criterio agli agenti OfficeScan. Attivare o disattivare il servizio e il driver del firewall 1. Attivare o disattivare il driver del firewall. 2. Attivare o disattivare il servizio del firewall dalla console Web. a. Aprire le Proprietà delle Connessioni di rete Windows. b. Selezionare o deselezionare la casella di controllo Driver comune Firewall Trend Micro nella scheda di rete. Attivare o disattivare il servizio del firewall. a. Aprire il prompt dei comandi e digitare services.msc. b. Avviare o interrompere OfficeScan NT Firewall da Microsoft Management Console (MMC). Per la procedura dettagliata, vedere Servizi dell'agente OfficeScan a pagina 14-7. 12-7 Guida per l'amministratore di OfficeScan™ 11.0 Attivazione o disattivazione del firewall di OfficeScan su tutti gli dispositivo Procedura 1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto. 2. Andare alla sezione Servizi aggiuntivi. 3. Nella sezione Servizi aggiuntivi, accanto alla riga Firewall per dispositivo, fare clic su Attiva o Disattiva. Criteri e profili del firewall Il firewall di OfficeScan utilizza criteri e profili per organizzare e personalizzare i metodi di protezione degli dispositivo collegati in rete. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri e i profili di domini specifici. Suggerimento Installazioni di firewall diversi sullo stesso dispositivo possono produrre risultati inaspettati. Prima di implementare e attivare il firewall di OfficeScan è opportuno disinstallare altri firewall basati su software presenti sugli agenti OfficeScan. Per utilizzare correttamente il firewall di OfficeScan è necessario effettuare le seguenti operazioni: 1. Creare un criterio. Il criterio consente di selezionare un livello di sicurezza che blocca o consente il traffico sugli dispositivo collegati in rete e attiva le funzioni del firewall. 2. Aggiungere delle eccezioni al criterio. Le eccezioni consentono agli agenti OfficeScan di ignorare quanto stabilito da un criterio. Grazie alle eccezioni, è possibile specificare gli agenti e consentire o bloccare determinati tipi di traffico 12-8 Utilizzo del firewall di OfficeScan indipendentemente dalle impostazioni del livello di sicurezza stabilite nel criterio. È possibile, ad esempio, bloccare tutto il traffico per un determinato gruppo di agenti tramite un criterio, ma creare un'eccezione che consenta il traffico HTTP in modo che gli agenti possano accedere al server Web. 3. Creare e assegnare dei profili agli agenti OfficeScan. Un profilo di firewall comprende una serie di attributi agente ed è associato a un criterio. Quando un agente corrisponde agli attributi specificati nel profilo, il criterio a esso associato viene attivato. Criteri firewall I criteri del firewall consentono di bloccare o consentire alcuni tipi di traffico di rete non specificati nell'eccezione ai criteri. Un criterio inoltre definisce quali funzioni del firewall vengono attivate o disattivate. Assegnare un criterio a uno o più profili firewall. OfficeScan comprende una serie di criteri predefiniti che è possibile modificare o eliminare. Grazie all'integrazione con Active Directory e a Role-based Administration (RBA, amministrazione basata sui ruoli), a seconda dell'autorizzazione ogni ruolo utente può creare, configurare o eliminare i criteri di domini specifici. Nella tabella seguente è riportato un elenco dei criteri predefiniti del firewall. TABELLA 12-1. Criteri del firewall predefiniti LIVELLO NOME CRITERIO IMPOSTAZI DI ONI SICUREZZA AGENTE ECCEZIONI USO CONSIGLIATO Tutti i tipi di accesso Basso Attiva firewall Nessuna Da utilizzare per consentire agli agenti un accesso illimitato alla rete Porte di comunicazione per Trend Micro Control Manager Basso Attiva firewall Permette tutto il traffico TCP/UDP in entrata e in uscita tramite le porte 80 e 10319 Da utilizzare per gli agenti che sui quali è installato un MCP Agent 12-9 Guida per l'amministratore di OfficeScan™ 11.0 LIVELLO NOME CRITERIO IMPOSTAZI DI ONI SICUREZZA AGENTE ECCEZIONI USO CONSIGLIATO Console ScanMail per Microsoft Exchange Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 16372 Da utilizzare quando gli agenti devono accedere alla console ScanMail Console InterScan Messaging Security Suite (IMSS) Basso Attiva firewall Permette tutto il traffico TCP in entrata e in uscita tramite la porta 80 Da utilizzare quando gli agenti devono accedere alla console IMSS Se i propri requisiti non sono sufficientemente soddisfatti nei criteri predefiniti, creare nuovi criteri. Tutti i criteri predefiniti e creati dall'utente vengono visualizzati nell'elenco dei criteri del firewall nella console Web. Configurazione dell'elenco dei criteri del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se il nuovo criterio che si desidera creare contiene impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. Per modificare un criterio esistente, fare clic sul nome del criterio. Viene visualizzata la schermata per la configurazione del criterio. Per ulteriori informazioni, consultare Aggiunta o modifica di un criterio firewall a pagina 12-11. 3. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 4. Per modificare il modello di eccezione del firewall, fare clic su Modifica modello di eccezione. 12-10 Utilizzo del firewall di OfficeScan Per ulteriori informazioni, consultare Modifica del modello di eccezione del firewall a pagina 12-14. Viene visualizzato l'editor del modello di eccezione. Aggiunta o modifica di un criterio firewall Per ciascun criterio, configurare le impostazioni riportate di seguito: • Livello di sicurezza: impostazione generale che blocca o consente tutto il traffico in entrata e/o in uscita nell'dispositivo agente OfficeScan. • Caratteristiche del firewall: specificare se attivare o disattivare il firewall di OfficeScan, il Sistema rilevamento anti-intrusione (IDS) e il messaggio di notifica di violazione del firewall. Per ulteriori informazioni su IDS, consultare Sistema di prevenzione intrusioni a pagina 12-4. • Elenco software sicuro certificato: specificare se consentire alle applicazioni sicure certificate di connettersi alla rete. Consultare Elenco software sicuro certificato a pagina 12-3 per ulteriori informazioni su Elenco software sicuro certificato. • Elenco eccezioni al criterio: elenco di eccezioni configurabili che consentono di bloccare o consentire vari tipi di traffico di rete. Aggiunta di un criterio del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Per aggiungere un nuovo criterio, fare clic su Aggiungi. Se un nuovo criterio da creare ha impostazioni simili a un criterio esistente, selezionare il criterio esistente e fare clic su Copia. 3. Inserire un nome per il criterio. 4. Selezionare un livello di sicurezza. 12-11 Guida per l'amministratore di OfficeScan™ 11.0 Il livello di sicurezza selezionato non si applica al traffico che soddisfa i parametri delle eccezioni ai criteri del firewall. 5. Selezionare le funzioni del firewall da utilizzare per il criterio. • Quando il firewall blocca un pacchetto in uscita, viene visualizzato un messaggio di notifica di violazione del firewall. Per modificare il messaggio, vedere Modifica del contenuto del messaggio di notifica del firewall a pagina 12-29. • L'attivazione di tutte le funzioni del firewall consente agli utenti agente OfficeScan di attivare/disattivare le funzioni e modificare le impostazioni del firewall nella console dell'agente OfficeScan. AVVERTENZA! Non è possibile utilizzare la console Web OfficeScan per sovrascrivere le impostazioni della console dell'agente OfficeScan configurate dall'utente. 6. • Se non si attivano queste funzioni, le impostazioni del firewall configurate dalla console Web OfficeScan vengono visualizzate in Elenco schede di rete nella console dell'agente OfficeScan. • Le informazioni che si trovano in Impostazioni nella scheda Firewall della console dell'agente OfficeScan corrispondono sempre alle impostazioni configurate nella console del'agente OfficeScan, non a quelle della console Web del server. Attiva l'elenco software sicuro certificato globale o locale. Nota Prima di attivare questo servizio, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software. 7. In Eccezione, selezionare le eccezioni ai criteri del firewall. Le eccezioni ai criteri qui incluse si basano sul modello di eccezione del firewall. Per informazioni, vedere Modifica del modello di eccezione del firewall a pagina 12-14. • 12-12 Per modificare un'eccezione ai criteri esistente fare clic sul nome dell'eccezione ai criteri e modificare le impostazioni nella pagina visualizzata. Utilizzo del firewall di OfficeScan Nota L'eccezione modificata si applica solo al criterio da creare. Se si desidera rendere permanente la modifica all'eccezione, è necessario apportare la stessa modifica all'eccezione nel modello di eccezione del firewall. • Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre. Nota Anche l'eccezione ai criteri si applica solo al criterio da creare. Per applicare questa eccezione criteri ad altri criteri, è necessario prima aggiungerla all'elenco delle eccezioni criteri nel modello di eccezione del firewall. 8. Fare clic su Salva. Modifica di di un criterio del firewall esistente Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su un criterio. 3. Modificare gli elementi riportati di seguito: • Nome criterio • Livello di sicurezza • Funzioni firewall da utilizzare per il criterio • Stato dell'elenco Servizio Certified Safe Software • Eccezioni ai criteri del firewall da includere nei criteri • Modificare un'eccezione esistente (fare clic sul nome dell'eccezione e modificare le impostazioni nella pagina che si apre) • Fare clic su Aggiungi per creare una nuova eccezione ai criteri. Specificare le impostazioni nella pagina che si apre. 12-13 Guida per l'amministratore di OfficeScan™ 11.0 4. Fare clic su Salva per applicare le modifiche ai criteri esistenti. Modifica del modello di eccezione del firewall Il modello di eccezioni del firewall contiene eccezioni ai criteri che possono essere configurate per consentire o bloccare vari tipi di traffico di rete in base ai numeri di porta degli dispositivo agente OfficeScan e agli indirizzi IP. Una volta creata un'eccezione ai criteri, modificare i criteri a cui si applica l'eccezione. Decidere il tipo di eccezione da utilizzare. Esistono due tipi di eccezione: • Restrittiva Blocca solo determinati tipi di traffico di rete e si applica ai criteri che consentono tutto il traffico di rete. Un esempio di utilizzo di eccezione dei criteri restrittiva è il blocco delle porte degli agenti OfficeScan vulnerabili all'attacco, ad esempio le porte utilizzate in genere dai cavalli di Troia. • Permissiva Consente solo determinati tipi di traffico di rete e si applica ai criteri che bloccano tutto il traffico di rete. Ad esempio, è possibile consentire agli agenti OfficeScan di accedere solo al server OfficeScan e a un server Web. In questo caso, è necessario consentire il traffico dalla porta affidabile (la porta utilizzata per comunicare con il server OfficeScan) e dalla porta che l'agente OfficeScan utilizza per la comunicazione HTTP. Porta di ascolto dell'agente OfficeScan: Agenti > Gestione agente > Stato. Il numero di porta è reperibile in Informazioni di base. Porta di ascolto del server: Amministrazione > Impostazioni > Connessione agente. Il numero di porta è reperibile in Impostazioni connessione agente. OfficeScan comprende una serie di eccezioni predefinite ai criteri del firewall che è possibile modificare o eliminare. 12-14 Utilizzo del firewall di OfficeScan TABELLA 12-2. Eccezioni predefinite ai criteri del firewall NOME ECCEZIONE AZIONE PROTOCOLLO PORTA DIREZIONE DNS Consenti TCP/UDP 53 In entrata e in uscita NetBIOS Consenti TCP/UDP 137, 138, 139, 445 In entrata e in uscita HTTPS Consenti TCP 443 In entrata e in uscita HTTP Consenti TCP 80 In entrata e in uscita Telnet Consenti TCP 23 In entrata e in uscita SMTP Consenti TCP 25 In entrata e in uscita FTP Consenti TCP 21 In entrata e in uscita POP3 Consenti TCP 110 In entrata e in uscita LDAP Consenti TCP/UDP 389 In entrata e in uscita Nota Le eccezioni predefinite vengono applicate a tutti gli agenti. Per applicare un'eccezione predefinita soltanto a determinati agenti, modificare l'eccezione e specificare gli indirizzi IP degli agenti. L'eccezione LDAP non è disponibile se si esegue l'aggiornamento da un versione precedente di OfficeScan. Se questa eccezione non è disponibile nell'elenco delle eccezioni, aggiungerla manualmente. Aggiunta di un'eccezione dei criteri del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su Aggiungi. 12-15 Guida per l'amministratore di OfficeScan™ 11.0 4. Digitare un nome per l'eccezione ai criteri. 5. Selezionare il tipo di applicazione. È possibile selezionare tutte le applicazioni oppure specificare il percorso o le chiavi del registro di sistema delle applicazioni. Nota Verificare il nome e i percorsi completi immessi. L'eccezione dell'applicazione non supporta i caratteri jolly. 6. Selezionare l'azione che OfficeScan deve eseguire sul traffico di rete (bloccare o consentire il traffico che corrisponde ai criteri dell'eccezione) e la direzione del traffico (traffico di rete in entrata o in uscita sull'dispositivo agente OfficeScan). 7. Selezionare il tipo di protocollo di rete: TCP, UDP, ICMP o ICMPv6. 8. Specificare le porte dell'dispositivo agente OfficeScan sulle quali effettuare l'azione. 9. Selezionare gli indirizzi IP degli dispositivo agente OfficeScan da includere nell'eccezione. Ad esempio, se si sceglie di bloccare tutto il traffico di rete (in entrata e in uscita) e si immette l'indirizzo IP di un singolo dispositivo della rete, qualsiasi agente OfficeScan con questa eccezione tra i criteri non potrà inviare o ricevere dati da quell'indirizzo IP. • Tutti gli indirizzi IP: include tutti gli indirizzi IP • Indirizzo IP singolo: immettere un nome host o un indirizzo IPv4 o IPv6. • Intervallo (per IPv4 o IPv6): immettere un intervallo di indirizzi IPv4 o IPv6. • Intervallo (per IPv6): immettere una lunghezza o un prefisso di indirizzo IPv6. • Maschera subnet: immettere un indirizzo IPv4 e la relativa subnet mask. 10. Fare clic su Salva. 12-16 Utilizzo del firewall di OfficeScan Modifica di un'eccezione dei criteri del firewall Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su un criterio di eccezione. 4. Modificare gli elementi riportati di seguito: 5. • Nome eccezione ai criteri • Tipo, nome o percorso dell'applicazione • Operazione che OfficeScan deve effettuare su traffico di rete e direzione del traffico • Tipo di protocollo di rete • Numeri di porta relativi all'eccezione • Indirizzi IP dell'dispositivo agente OfficeScan Fare clic su Salva. Salvataggio delle impostazioni dell'elenco eccezioni al criterio Procedura 1. Accedere a Agenti > Firewall > Criteri. 2. Fare clic su Modifica modello di eccezione. 3. Fare clic su una delle opzioni di salvataggio riportate di seguito: • Salva modifiche al modello: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello solo ai criteri creati in futuro, non a quelli esistenti. 12-17 Guida per l'amministratore di OfficeScan™ 11.0 • Salva e applica ai criteri esistenti: salva il modello eccezioni con le eccezioni e le impostazioni correnti. Questa opzione applica il modello a criteri esistenti e futuri. Profili firewall I profili firewall sono flessibili in quanto consentono di scegliere quali attributi un agente o un gruppo di agenti deve avere affinché il criterio venga applicato. Creare ruoli utente che permettano di creare, configurare o eliminare i profili di specifici domini. Gli utenti con account di amministratore predefinito o con le autorizzazioni per la gestione completa possono attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo agente OfficeScan con le impostazioni del server. I profili comprendono i seguenti elementi: • Criterio associato: ogni profilo utilizza un singolo criterio. • Attributi dell'agente: il criterio associato viene applicato agli agenti OfficeScan che dispongono di almeno uno degli attributi riportati di seguito: 12-18 • Indirizzo IP: un indirizzo IP specifico dell'agente OfficeScan, un indirizzo IP compreso in un determinato intervallo di indirizzi IP o indirizzo IP appartenente a una subnet specifica • Dominio: dominio specifico di OfficeScan al quale l'agente OfficeScan appartiene • Dispositivo: l'agente OfficeScan con un nome di dispositivo specifico • Piattaforma: piattaforma specifica utilizzata da qualsiasi agente OfficeScan • Nome accesso: dispositivo agente OfficeScan a cui utenti specifici hanno effettuato l'accesso • Descrizione NIC: un dispositivo agente OfficeScan con una descrizione NIC corrispondente • Stato connessione agente: indica lo stato online o offline dell'agente OfficeScan Utilizzo del firewall di OfficeScan Nota L'agente OfficeScan è online se è in grado di connettersi al server OfficeScan o a un server di riferimento, mentre è offline se non è in grado di connettersi ad alcun server. OfficeScan include un profilo predefinito denominato "Profilo di tutti gli agenti" che utilizza il criterio "Tutti i tipi di accesso". È possibile modificare o eliminare questo profilo predefinito. È inoltre possibile creare profili nuovi. Tutti i profili di firewall predefiniti e creati dagli utenti, nonché i criteri associati a ciascun profilo e lo stato attuale del profilo, vengono visualizzati nell'elenco di profili di firewall nella console Web. Gestire l'elenco dei profili e implementare tutti i profili sugli agenti OfficeScan. Gli agenti OfficeScan archiviano tutti i profili del firewall nell'dispositivo agente. Configurazione dell'elenco profili del firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Gli utenti che utilizzano l'account di amministratore predefinito o gli utenti con le autorizzazioni per la gestione completa, facoltativamente possono attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni per sostituire le impostazioni del profilo agente OfficeScan con le impostazioni del server. 3. Per aggiungere un nuovo profilo, fare clic su Aggiungi. Per modificare un profilo esistente, selezionare il nome del profilo. Viene visualizzata la schermata per la configurazione del profilo. Per ulteriori informazioni, consultare Aggiunta e modifica di un profilo firewall a pagina 12-21. 4. Per eliminare un criterio esistente, selezionare la casella di controllo accanto al criterio e fare clic su Elimina. 5. Per modificare l'ordine dei profili nell'elenco, selezionare la casella di controllo accanto al profilo da spostare e fare clic su Sposta su o Sposta giù. OfficeScan applica i profili firewall agli agenti OfficeScan nell'ordine in cui i profili compaiono nell'elenco dei profili. Ad esempio, se un agente corrisponde al primo 12-19 Guida per l'amministratore di OfficeScan™ 11.0 profilo, OfficeScan applica all'agente le operazioni configurate per quel profilo. Per quell'agente OfficeScan ignora gli altri profili configurati. Suggerimento Più esclusivo è il criterio, più in alto si trova nell'elenco. Ad esempio, spostare il criterio creato per un unico agente in cima all'elenco, seguito da quelli relativi a un intervallo di agenti, a un dominio di rete e a tutti gli agenti. 6. Per gestire i server di riferimento, fare clic su Modifica elenco server di riferimento. Quando si applicano i profili firewall, i server di riferimento sono dispositivo che fungono da sostituti per il server OfficeScan. Qualsiasi dispositivo della rete può fungere da server di riferimento (per ulteriori informazioni, consultare Server di riferimento a pagina 13-29). Quando si attivano i server di riferimento, OfficeScan parte dai seguenti presupposti: • Gli agenti OfficeScan collegati a server di riferimento sono online, anche se non possono comunicare con il server OfficeScan. • I profili firewall applicati agli agenti OfficeScan online si applicano anche agli agenti OfficeScan collegati a server di riferimento. Nota Solo gli utenti con account di amministratore predefinito o quelli con autorizzazioni di gestione completa possono visualizzare e configurare l'elenco dei server di riferimento. 7. 8. Per salvare le impostazioni correnti e assegnare i profili agli agenti OfficeScan: a. Decidere se attivare l'opzione Sovrascrivi il livello di sicurezza dell'agente/l'elenco delle eccezioni. Questa opzione sovrascrive tutte le impostazioni del firewall configurate dall'utente. b. Fare clic su Assegna profilo agli utenti. OfficeScan assegna tutti i profili dell'elenco dei profili a tutti gli agenti OfficeScan. Per verificare di aver assegnato i profili agli agenti OfficeScan: a. 12-20 Accedere a Agenti > Gestione agente. Nell'elenco a discesa disponibile nella visualizzazione della struttura agente, selezionare Visualizzazione firewall. Utilizzo del firewall di OfficeScan b. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura agente. Se i criteri associati al profilo consentono di utilizzare il sistema IDS (Intrusion Detection System), è presente un segno di spunta verde anche nella colonna IDS. c. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura agente. Aggiunta e modifica di un profilo firewall Gli dispositivo agente OfficeScan possono richiedere livelli diversi di protezione. I profili del Firewall consentono di specificare gli dispositivo agente ai quali si applica un criterio associato. In linea di massima, per ogni criterio in uso è necessario un profilo. Aggiunta di un profilo di firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Fare clic su Aggiungi. 3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il profilo sugli agenti OfficeScan. 4. Inserire un nome per identificare il profilo e una descrizione opzionale. 5. Specificare un criterio per questo profilo. 6. Specificare gli dispositivo agente a cui OfficeScan deve applicare il criterio. Selezionare gli dispositivo in base ai seguenti parametri: • Indirizzo IP • Dominio: fare clic sul pulsante per aprire e selezionare i domini dalla struttura agente. Nota Solo gli utenti con autorizzazioni complete per i domini possono selezionarli. 12-21 Guida per l'amministratore di OfficeScan™ 11.0 • Nome Dispositivo: fare clic sul pulsante per aprire e selezionare gli dispositivo agente OfficeScan dalla struttura agente. • Piattaforma • Nome accesso • Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri jolly. Suggerimento Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. • 7. Stato connessione agente Fare clic su Salva. Modifica di un profilo di firewall Procedura 1. Accedere a Agenti > Firewall > Profili. 2. Fare clic su un profilo. 3. Fare clic su Attiva questo profilo per consentire a OfficeScan di implementare il profilo sugli agenti OfficeScan. Modificare gli elementi riportati di seguito: • Nome profilo e descrizione • Criterio assegnato al profilo • Dispositivo agente OfficeScan, in base ai seguenti criteri: • 12-22 Indirizzo IP Utilizzo del firewall di OfficeScan • Dominio: fare clic sul pulsante per aprire la struttura agente e selezionare i domini. • Nome Dispositivo: fare clic sul pulsante per aprire la struttura agente e selezionare gli dispositivo agente. • Piattaforma • Nome accesso • Descrizione NIC: immettere una descrizione totale o parziale, senza caratteri jolly. Suggerimento Trend Micro consiglia di immettere il prodottore della scheda NIC perché le descrizioni NIC in genere iniziano con il nome del produttore. Ad esempio, se si digita "Intel", tutte le NIC Intel corrisponderanno a questo criterio. Se si digita un particolare modello di NIC, ad esempio"Intel(R) Pro/100", solo le descrizioni di NIC che iniziano con "Intel(R) Pro/100" corrisponderanno a questo criterio. • 4. Stato connessione agente Fare clic su Salva. Privilegi firewall Consentono agli utenti di configurare le proprie impostazioni del firewall. Le impostazioni configurate dagli utenti hanno la precedenza sulle impostazioni implementate dal server OfficeScan. Ad esempio, se l'utente disattiva il Sistema rilevamento anti-intrusione (IDS, Intrusion Detection System) e nel server OfficeScan esso viene attivato, IDS rimane disattivato nell'dispositivo agente OfficeScan. Attivare le seguenti impostazioni per consentire agli utenti di configurare il firewall: • Visualizza le impostazioni del firewall nella console agente OfficeScan L'opzione Firewall visualizza tutte le impostazioni del firewall nell'agente OfficeScan. 12-23 Guida per l'amministratore di OfficeScan™ 11.0 • Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall Il firewall OfficeScan protegge gli agenti e i server della rete grazie a un sistema di "stateful inspection", alla scansione antivirus della rete ad elevate prestazioni e all'eliminazione. Se si concede agli utenti il privilegio di attivare o disattivare il firewall e le relative funzioni, è necessario avvertirli di non disattivare il firewall per un periodo di tempo prolungato per evitare di esporre l'dispositivo a intrusioni e attacchi di hacker. Se non si concedono agli utenti tali privilegi, le impostazioni del firewall configurate dalla console Web del server OfficeScan vengono visualizzate in Elenco schede di rete nella console dell'agente OfficeScan. • Consenti agli agenti di inviare i registri di firewall al server OfficeScan Selezionare questa opzione per analizzare il traffico bloccato e consentito dal firewall OfficeScan. Per ulteriori informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-29. Se si seleziona questa opzione, configurare la pianificazione dell'invio del registro in Agenti > Impostazioni globali agente. Andare alla sezione Impostazioni firewall. La pianificazione si applica solamente agli agenti dotati di privilegio di invio del registro. Per le istruzioni, vedere Impostazioni firewall globali a pagina 12-25. Concessione dei privilegi firewall Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi firewall. 5. Selezionare le seguenti opzioni: 12-24 ) per includere Utilizzo del firewall di OfficeScan 6. • Visualizza la scheda Firewall nella console agente OfficeScan a pagina 12-23 • Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento antiintrusione e il messaggio di notifica di violazione del firewall a pagina 12-24 • Consenti agli agenti OfficeScan di inviare i registri del firewall al server OfficeScan a pagina 12-24 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni firewall globali Le impostazioni globali del firewall possono essere applicate agli agenti OfficeScan in diversi modi. • Una determinata impostazione del firewall può essere applicata a tutti gli agenti gestiti dal server. • Un'impostazione può essere applicata solo agli agenti OfficeScan con determinati privilegi firewall. Ad esempio, la pianificazione di invio del registro del firewall si applica solo agli agenti OfficeScan che hanno il privilegio di inviare registri al server. Attivare le impostazioni globali seguenti, in base alle necessità. • Invia i registri del firewall al server È possibile assegnare a determinati agenti OfficeScan il privilegio di inviare registri firewall al server OfficeScan. Configurare la pianificazione per l'invio del registro. 12-25 Guida per l'amministratore di OfficeScan™ 11.0 Solo gli agenti con privilegi per inviare registri firewall potranno usare questa pianificazione. Per informazioni sui privilegi del firewall disponibili per gli agenti selezionati, vedere Privilegi firewall a pagina 12-23. • Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema Attivare l'agente OfficeScan per aggiornare il Driver comune Firewall solo dopo il riavvio dell'dispositivo agente OfficeScan. Attivare questa opzione per impedire che si verifichino interruzioni (ad esempio la disconnessione temporanea dalla rete) per gli dispositivo agente durante gli aggiornamenti di Driver comune Firewall durante l'aggiornamento dell'agente. Nota Questa funzione supporta solo gli agenti aggiornati da OfficeScan 8.0 SP1 e versioni successive. • Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall Quando viene attivata questa opzione gli agenti OfficeScan inviano i conteggi del registro del firewall al server OfficeScan a intervalli di un'ora. Per ulteriori informazioni sui registri del firewall, consultare Registri del firewall a pagina 12-29. OfficeScan utilizza i conteggi del registro e i criteri delle infezioni da violazione del firewall per determinare la possibilità di un'infezione da violazione del firewall. OfficeScan invia un messaggio e-mail di notifica agli amministratori OfficeScan se si verifica un'infezione. • Accedere alla sezione Impostazioni servizio certificato Safe Software e attivare il Servizio certificato Safe Software, come necessario. Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware, Monitoraggio degli eventi, Firewall o scansioni antivirus. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi. 12-26 Utilizzo del firewall di OfficeScan Nota Assicurarsi che le impostazioni proxy degli agenti OfficeScan siano corrette (per maggiori dettagli, consultare Impostazioni proxy agente OfficeScan a pagina 14-50) prima di attivare il Servizio certificato Safe Software. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai datacenter Trend Micro. Di conseguenza, i programmi controllati non rispondono. Inoltre, gli agenti OfficeScan IPv6 puri non possono inviare query direttamente ai datacenter Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire agli agenti OfficeScan di collegarsi ai datacenter Trend Micro. Configurazione delle impostazioni firewall globali Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Andare alla sezione seguente e configurare le impostazioni: TABELLA 12-3. Impostazioni firewall globali SEZIONE 3. IMPOSTAZIONI Impostazioni del firewall • Invia i registri del firewall al server a pagina 12-25 • Aggiorna il driver del firewall OfficeScan solo dopo aver riavviato il sistema a pagina 12-26 Conteggio registro firewall Invia le informazioni del registro firewall al server OfficeScan ogni ora per rilevare possibili violazioni del firewall a pagina 12-26 Impostazioni di Certified Safe Software Attiva il servizio Certified Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus a pagina 12-26 Fare clic su Salva. 12-27 Guida per l'amministratore di OfficeScan™ 11.0 Notifiche di violazione del firewall per utenti agente OfficeScan OfficeScan può visualizzare un messaggio di notifica sugli agenti subito dopo che il firewall di OfficeScan ha bloccato il traffico in uscita che ha violato i criteri del firewall. Concedere agli utenti il privilegio di attivare/disattivare il messaggio di notifica. Nota È anche possibile attivare la notifica quando si configura un particolare criterio del firewall. Per configurare un criterio del firewall, vedere Aggiunta o modifica di un criterio firewall a pagina 12-11. Concessione agli utenti del privilegio di attivare/ disattivare il messaggio di notifica Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, andare alla sezione Privilegi firewall. 5. Selezionare Consenti agli utenti di attivare/disattivare il firewall, il sistema di rilevamento anti-intrusione e il messaggio di notifica di violazione del firewall. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • 12-28 ) per includere Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini Utilizzo del firewall di OfficeScan futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Modifica del contenuto del messaggio di notifica del firewall Procedura 1. Accedere a Amministrazione > Notifiche > Agente. 2. Dal menu a discesa Tipo, selezionare Violazioni del firewall 3. Modificare i messaggi predefiniti nella casella di testo disponibile. 4. Fare clic su Salva. Registri del firewall I registri del firewall disponibili nel server vengono inviati dagli agenti OfficeScan che dispongono dei privilegi per tale invio. Per monitorare e analizzare il traffico negli dispositivo che il firewall di OfficeScan blocca, è possibile concedere questo privilegio ad alcuni agenti specifici. Per informazioni sui privilegi del firewall, vedere Privilegi firewall a pagina 12-23. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. 12-29 Guida per l'amministratore di OfficeScan™ 11.0 Visualizzazione dei registri firewall Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza oppure Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Registri > Registri del firewall o su Visualizza registri > Registri del firewall. 4. Per avere a disposizione i registri più recenti, fare clic su Invia una notifica agli agenti. Prima di procedere al passaggio successivo, attendere il tempo necessario per consentire agli agenti di inviare i registri del firewall. 5. Specificare i parametri del registro e fare clic su Visualizza registri. 6. Visualizzare i registri. I registri contengono le seguenti informazioni: 12-30 ) per includere • Data e ora del rilevamento della violazione del firewall • Dispositivo in cui si è verificata la violazione del firewall • Dominio dell'dispositivo in cui si è verificata la violazione del firewall • Indirizzo IP host remoto • Indirizzo IP host locale • Protocollo • Numero di porta • Direzione: indica se la violazione dei criteri del firewall è stata effettuata dal traffico in entrata (ricezione) o in uscita (invio) • Processo: il programma eseguibile o il servizio in esecuzione sull'dispositivo che ha causato la violazione del firewall • Descrizione: specifica il rischio alla protezione reale (quali virus di rete o attacchi IDS) o la violazione dei criteri del firewall Utilizzo del firewall di OfficeScan 7. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Infezioni da violazione del firewall Definire i parametri di un'infezione da violazione del firewall in base al numero di violazioni del firewall e al periodo di rilevamento. OfficeScan dispone di una serie di messaggi di notifica predefiniti per informare l'utente e altri amministratori di OfficeScan della presenza di un'infezione. È possibile modificare i messaggi di notifica in base alle diverse esigenze. Nota OfficeScan è in grado di inviare notifiche di violazioni del firewall tramite posta elettronica. Configurare le impostazioni della posta elettronica in modo da consentire a OfficeScan di inviare messaggi e-mail. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. Configurazione delle notifiche e dei criteri di infezione da violazione del firewall Procedura 1. Accedere a Amministrazione > Notifiche > Infezione. 2. Nella scheda Criteri: a. Andare alla sezione Violazioni del firewall. b. Selezionare Controlla le violazioni del firewall negli agenti OfficeScan. c. Specificare il numero dei registri di IDS, dei registri di firewall e dei registri dei virus di rete. d. Specificare un periodo di rilevamento. 12-31 Guida per l'amministratore di OfficeScan™ 11.0 Suggerimento Trend Micro consiglia di accettare i valori predefiniti di questa schermata. OfficeScan invia un messaggio di notifica quando il numero di registri viene superato. Ad esempio, se si specificano 100 registri di IDS, 100 registri di firewall, 100 registri di virus di rete e un periodo di tempo di 3 ore, OfficeScan invia la notifica quando il server riceve 301 registri in 3 ore. 3. Nella scheda E-mail: a. Andare alla sezione Infezioni da violazioni del firewall. b. Selezionare Attiva notifica mediante e-mail. c. Specificare i destinatari del messaggio e-mail. d. Accettare o modificare il contenuto e l'oggetto predefiniti del messaggio email. È possibile utilizzare solo variabili token per rappresentare i dati nel campo Oggetto e Messaggio. TABELLA 12-4. Variabili token per notifiche di infezione da violazione del firewall VARIABILE 4. DESCRIZIONE %A Tipo di registro superato %C Numero di registri di violazione del firewall %T Totale periodo di durata dei registri di violazione del firewall Fare clic su Salva. Test del firewall OfficeScan Per avere la certezza che il firewall di OfficeScan funzioni correttamente, eseguire un test su un agente OfficeScan o un gruppo di agenti OfficeScan. 12-32 Utilizzo del firewall di OfficeScan AVVERTENZA! Eseguire il test delle impostazioni del programma agente OfficeScan solo in un ambiente controllato. Non eseguire test su dispositivo collegati alla rete o a Internet. Questa operazione potrebbe esporre gli dispositivo agente OfficeScan a virus, attacchi di hacker e altri rischi. Procedura 1. Creare e salvare un criterio per il test. Configurare le impostazioni affinché vengano bloccati tutti i tipi di traffico su cui eseguire il test. Ad esempio, per impedire la connessione dell'agente OfficeScan a Internet, effettuare le operazioni riportate di seguito: a. Impostare il livello di sicurezza su Basso (per consentire tutto il traffico in entrata e in uscita). b. Selezionare Invia una notifica agli utenti quando si verifica una violazione del firewall. c. Creare un'eccezione che blocchi il traffico HTTP (o HTTPS). 2. Creare e salvare un profilo per il test, selezionando gli agenti su cui si desiderano controllare le funzioni del firewall. Associare i criteri del test al profilo del test. 3. Fare clic su Assegna profilo agli utenti. 4. Verificare l'implementazione. a. Fare clic su Agenti > Gestione agente. b. Selezionare il dominio a cui appartiene l'agente. c. Selezionare Visualizzazione firewall dalla visualizzazione della struttura agente. d. Verificare che sia presente un segno di spunta verde nella colonna Firewall della struttura agente. Se è stato attivato il sistema IDS (Intrusion Detection System) per l'agente, verificare che sia presente un segno di spunta verde anche nella colonna IDS. e. Controllare che l'agente abbia applicato i criteri di firewall corretti. I criteri sono visualizzati nella colonna Criteri del firewall della struttura agente. 12-33 Guida per l'amministratore di OfficeScan™ 11.0 5. Eseguire il test del firewall nell'dispositivo agente tentando di inviare o ricevere il tipo di traffico configurato nei criteri. 6. Per eseguire il test di un criterio configurato per evitare che l'agente acceda a Internet, aprire un browser Web sull'dispositivo agente. Se OfficeScan è stato configurato per visualizzare un messaggio di notifica per le violazioni del firewall, il messaggio viene visualizzato sull'dispositivo agente quando si verifica una violazione del traffico in uscita. 12-34 Parte III Gestione degli agenti e del server OfficeScan Capitolo 13 Gestione del server OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione del server OfficeScan. Di seguito sono riportati gli argomenti trattati: • Role-based Administration (RBA) a pagina 13-2 • Server di riferimento a pagina 13-29 • Impostazioni notifica amministratore a pagina 13-31 • Registri eventi di sistema a pagina 13-33 • Gestione dei registri a pagina 13-34 • OfficeScan Database Backup a pagina 13-41 • Strumento di migrazione SQL Server a pagina 13-42 • Impostazioni connessione agente/server Web OfficeScan a pagina 13-47 • Password della console Web a pagina 13-48 • Server Tuner a pagina 13-55 • Smart Feedback a pagina 13-58 13-1 Guida per l'amministratore di OfficeScan™ 11.0 Role-based Administration (RBA) Utilizzare la Role-based Administration per garantire e controllare l'accesso alla console Web OfficeScan. Se sono presenti diversi amministratori OfficeScan nella propria organizzazione, è possibile utilizzare questa funzionalità per assegnare specifici privilegi di console Web agli amministratori e fornire loro solo gli strumenti e le autorizzazioni necessarie ad eseguire le specifiche operazioni. È inoltre possibile controllare l'accesso alla struttura agente assegnando loro uno o più domini da gestire. Inoltre, è possibile concedere ai non amministratori l'accesso alla console Web in modalità "sola lettura". A ciascun utente (amministratore o non amministratore) viene assegnato un ruolo specifico. Il ruolo definisce il livello di accesso alla console Web. Gli utenti accedono alla console Web utilizzando gli account utente personalizzati o gli account Active Directory. Role-based Administration comprende le operazioni riportate di seguito: 1. Definire i ruoli utente. Per ulteriori dettagli, consultare Ruoli utente a pagina 13-2. 2. Configurare gli account utente e assegnare un ruolo particolare a ciascun account utente. Per maggiori dettagli, consultare Account utente a pagina 13-12. Visualizzare le attività della console Web di tutti gli utenti nei registri eventi di sistema. Vengono registrate le attività riportate di seguito: • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (l'utente viene disconnesso automaticamente) Ruoli utente Le voci di menu disponibili nella console Web dipendono dal ruolo utente. As un ruolo viene assegnata un'autorizzazione per ciascuna voce di menu. Assegnare le autorizzazioni per i seguenti elementi: • 13-2 Autorizzazioni per le voci di menu a pagina 13-3 Gestione del server OfficeScan • Tipi di voci di menu a pagina 13-3 • Voci di menu per server e agenti a pagina 13-4 • Voci menu per domini gestiti a pagina 13-6 Autorizzazioni per le voci di menu Le autorizzazioni determinano il livello di accesso a ciascuna voce di menu. L'autorizzazione per una voce di menu può essere: • Configura: consente l'accesso completo a una voce di menu. Gli utenti sono in grado di configurare tutte le impostazioni, eseguire tutte le operazioni e visualizzare i dati di una voce di menu. • Visualizza: consente agli utenti di visualizzare soltanto le impostazioni, le operazioni e i dati di una voce di menu. • Nessun accesso: la voce di menu viene nascosta. Tipi di voci di menu Sono disponibili due tipi di voci di menu configurabili per i ruoli utenti OfficeScan. TABELLA 13-1. Tipi di voci di menu TIPO Voci menu per server/agenti AMBITO • Dati, operazioni e impostazioni del server • Dati, operazioni e impostazioni globali dell'agente Per un elenco completo delle voci di menu disponibili, vedere Voci di menu per server e agenti a pagina 13-4. Voci menu per domini gestiti Dati, operazioni e impostazioni granulari dell'agente disponibili al di fuori della struttura agente Per un elenco completo delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 13-6. 13-3 Guida per l'amministratore di OfficeScan™ 11.0 Voci di menu per server e agenti Nella seguente tabella sono riportate le voci di menu per server/agenti. Nota Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. Un programma plug-in aggiuntivo viene visualizzato nella voce di menu Plug-in. Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu Plug-in. TABELLA 13-2. Voci menu Agenti VOCE DI MENU DI PRIMO LIVELLO Agenti VOCE DI MENU • Gestione agente • Raggruppamento agenti • Impostazioni globali agente • Posizione dispositivo • Verifica connessione • Prevenzione delle infezioni virali TABELLA 13-3. Voci menu Registri VOCE DI MENU DI PRIMO LIVELLO Registri 13-4 VOCE DI MENU • Agenti • Rischi per la sicurezza • Aggiornamento dei componenti • Aggiornamenti server • Eventi di sistema • Manutenzione registri Gestione del server OfficeScan TABELLA 13-4. Voci menu Aggiornamenti VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Aggiornamenti Server Agenti Rollback VOCE DI MENU SECONDARIO • Aggiornamento pianificato • Aggiornamento manuale • Origine aggiornamenti • Aggiornamento automatico • Origine aggiornamenti N.D. TABELLA 13-5. Voci menu Amministrazione VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Amministrazion e Gestione account VOCE DI MENU SECONDARIO • Account utente • Ruoli utente Nota Solo gli utenti che utilizzano l'account di amministratore integrato possono accedere ad Account utente e Ruoli utente. Smart Protection Active Directory Notifiche • Origini Smart Protection • Server integrato • Smart Feedback • Active Directory Integration • Sincronizzazione pianificata • Impostazioni generali • Infezione 13-5 Guida per l'amministratore di OfficeScan™ 11.0 VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Impostazioni Strumenti VOCE DI MENU SECONDARIO • Agente • Impostazioni proxy • Impostazioni connessione agente • Agenti inattivi • Gestore della quarantena • Licenza del prodotto • Impostazioni Control Manager • Impostazioni della console Web • Database Backup • Strumenti amministrativi • Strumenti agente Voci menu per domini gestiti Nella seguente tabella sono riportate le voci di menu per i domini gestiti. TABELLA 13-6. Voce di menu Dashboard VOCE DI MENU PRINCIPALE Dashboard Nota Tutti gli utenti possono accedere a questa pagina, indipendentemente dall'autorizzazione. 13-6 VOCE DI MENU N.D. Gestione del server OfficeScan TABELLA 13-7. Voci menu Valutazione VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Valutazione Conformità sicurezza Dispositivo non gestiti VOCE DI MENU SECONDARIO • Segnalazione manuale • Segnalazione pianificata N.D. TABELLA 13-8. Voci menu Agenti VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Agenti Firewall Installazione agente VOCE DI MENU SECONDARIO • Criteri • Profili • Basato su browser • Remota TABELLA 13-9. Voci menu Registri VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Registri Agenti VOCE DI MENU SECONDARIO • Verifica connessione • Ripristino Files in Quarantena • Ripristino spyware/grayware TABELLA 13-10. Voci menu Aggiornamenti VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Aggiornamenti VOCE DI MENU SECONDARIO Riepilogo N.D. Agenti Aggiornamento manuale 13-7 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 13-11. Voci menu Amministrazione VOCE DI MENU DI VOCE DI MENU PRIMO LIVELLO Amministrazion e Notifiche VOCE DI MENU SECONDARIO Amministratore Ruoli utente integrati OfficeScan comprende una serie di ruoli utente integrati che non possono essere modificati o eliminati. I ruoli integrati sono riportati di seguito: TABELLA 13-12. Ruoli utente integrati NOME RUOLO Amministratore DESCRIZIONE È possibile concedere questo ruolo agli utenti o amministratori di OfficeScan che hanno una buona conoscenza di OfficeScan. Gli utenti con tale ruolo hanno autorizzazioni "Configura" per tutte le voci di menu. Nota Solo gli utenti con il ruolo “Amministratore (integrato)” hanno accesso alla voce di menu Plug-in. Utente ospite È possibile concedere questo ruolo agli utenti che desiderano visualizzare la console Web per riferimento. • • 13-8 Gli utenti con questo ruolo non hanno accesso alle voci di menu seguenti: • Plug-in • Amministrazione > Gestione account > Ruoli utente • Amministrazione > Gestione account > Account utente Gli utenti con accesso di visualizzazione a tutte le altre voci di menu. Gestione del server OfficeScan NOME RUOLO DESCRIZIONE Utente esperto Trend Questo ruolo è disponibile solamente se si esegue l'aggiornamento della versione da OfficeScan 10. (ruolo solo aggiornamento) Questo ruolo eredita le autorizzazioni del ruolo "Utente esperto" in OfficeScan 10. Gli utenti con questo ruolo hanno l'autorizzazione "Configura" per tutti i domini della struttura agente, ma non hanno accesso alle nuove funzioni di questa versione. Ruoli personalizzati Se i ruoli integrati non soddisfano le proprie esigenze, è possibile creare ruoli personalizzati. Solo gli utenti con il ruolo di amministratore integrato e gli utenti che utilizzano l'account principale (root) creato durante l'installazione di OfficeScan possono creare ruoli utente personalizzati ed assegnare tali ruoli agli account utente. Aggiunta di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Fare clic su Aggiungi. Se il ruolo che si desidera ha impostazioni simili a un ruolo esistente, selezionare il ruolo esistente e fare clic su Copia. Viene visualizzata una nuova schermata. 3. Immettere il nome del ruolo e, se lo si desidera, una descrizione. 4. Fare clic su Voci menu per server/agenti e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci di menu per server e agenti a pagina 13-4. 5. Fare clic su Voci menu per domini gestiti e specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu per domini gestiti a pagina 13-6. 13-9 Guida per l'amministratore di OfficeScan™ 11.0 6. Fare clic su Salva. Il nuovo ruolo viene visualizzato nell'elenco Ruoli utente. Modifica di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Fare clic sul nome del ruolo. Viene visualizzata una nuova schermata. 3. 4. Modificare una delle voci riportate di seguito: • Descrizione • Autorizzazioni ruolo • Voci menu per server/agenti • Voci menu per domini gestiti Fare clic su Salva. Eliminazione di una regola personalizzata Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Selezionare la casella di controllo accanto al ruolo. 3. Fare clic su Elimina. 13-10 Gestione del server OfficeScan Nota Non è possibile eliminare un ruolo se è assegnato ad almeno un account utente. Importazione o esportazione di regole personalizzate Procedura 1. Accedere a Amministrazione > Gestione account > Ruoli utente. 2. Per esportare i ruoli personalizzati in un file .dat: a. Selezionare i ruoli e fare clic su Esporta. b. Salvare il file .dat. Se si gestisce un altro server OfficeScan, utilizzare il file .dat per importare i ruoli personalizzati in quel server. Nota È possibile esportare i ruoli solo tra server con la stessa versione. 3. 4. Per esportare i ruoli personalizzati in un file .csv: a. Selezionare i ruoli e fare clic su Esporta impostazioni ruolo. b. Salvare il file .csv. Utilizzare questo file per verificare le informazioni e le autorizzazioni per i ruoli selezionati. Se sono stati salvati ruoli personalizzati da un server OfficeScan diverso e si desidera importarli nel server OfficeScan attuale, fare clic su Importa e individuare il file .dat contenente i ruoli personalizzati. • Un ruolo nella schermata Ruoli utente viene sovrascritto se si importa un ruolo con lo stesso nome. • È possibile importare i ruoli solo tra server con la stessa versione. • Ruolo importato da un altro server OfficeScan: • Conserva le autorizzazioni per le voci di menu per server/agenti e le voci di menu per i domini gestiti. 13-11 Guida per l'amministratore di OfficeScan™ 11.0 • Applica le autorizzazioni predefinite per le voci di menu di gestione degli agenti. Sull'altro server, registrare le autorizzazioni del ruolo per le voci di menu di gestione dell'agente, quindi riapplicarle al ruolo che è stato importato. Account utente Configurare gli account utente e assegnare un ruolo particolare a ciascun utente. Il ruolo utente determina le voci di menu della console Web che un utente può visualizzare o configurare. Durante l'installazione del server OfficeScan, il programma di installazione crea un account integrato denominato "root" (account principale). Gli utenti che accedono utilizzando l'account principale (root) possono accedere a tutte le voci dei menu. Non è consentito eliminare l'account principale (root) ma è possibile modificare i dettagli dell'account quali la password e il nome completo oppure la descrizione dell'account. Qualora si dimenticasse la password dell'account principale (root), contattare l'assistenza tecnica per reimpostarla. Aggiungere account personalizzati o account Active Directory. Tutti gli account utente vengono visualizzati nell'elenco Account utente della console Web. Assegnare le autorizzazioni agli account utenti per visualizzare o configurare per gli agenti dati, operazioni e impostazioni dettagliate che sono disponibili nella struttura agente. Per un elenco completo delle voci di menu della struttura agente disponibili, vedere Voci menu Gestione agente a pagina 13-12. Gli account utente OfficeScan possono essere utilizzati per eseguire il "Single Sign-On". Il Single Sign-On consente agli utenti di accedere alla console Web OfficeScan dalla console di Trend Micro Control Manager. Per maggiori dettagli, vedere la procedura riportata di seguito. Voci menu Gestione agente La seguente tabella elenca le voci di menu di Gestione agente: 13-12 Gestione del server OfficeScan Nota Le voci di menu vengono visualizzate solo dopo l'attivazione dei rispettivi programmi plugin. Ad esempio, se il modulo Prevenzione perdita di dati non è attivato, nell'elenco non viene visualizzata alcuna voce di menu per Prevenzione perdita di dati. TABELLA 13-13. Voci menu Gestione agente VOCE DI MENU MENU SECONDARI PRINCIPALE Stato N.D. Operazioni • Esegui scansione • Disinstallazione dell'agente • Ripristino Files in Quarantena • Ripristino spyware/grayware 13-13 Guida per l'amministratore di OfficeScan™ 11.0 VOCE DI MENU MENU SECONDARI PRINCIPALE Impostazioni 13-14 • Impostazioni di scansione • Metodi di scansione • Impostazioni scansione manuale • Impostazioni scansione in tempo reale • Impostazioni scansione pianificata • Impostazioni funzione Esegui scansione • Impostazioni di reputazione Web • Impostazioni connessione sospetta • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni DLP • Impostazioni Update Agent • Privilegi e altre impostazioni • Impostazioni aggiuntive del servizio • Elenco Approvati spyware/grayware • Esporta impostazioni • Importa impostazioni Gestione del server OfficeScan VOCE DI MENU MENU SECONDARI PRINCIPALE Registri Gestione struttura agente Esporta • Registri di virus/minacce informatiche • Registri di spyware/grayware • Registri del firewall • Registri di reputazione Web • Registri delle connessioni sospette • Registri di Monitoraggio del comportamento • Registri di controllo dispositivo • Registri di Prevenzione perdita di dati • Elimina registri • Aggiungi dominio • Rinomina dominio • Sposta agente • Rimuovi dominio/agente Nessuna Aggiunta di un account personalizzato Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare clic su Aggiungi. Viene visualizzata la schermata Fase 1 Informazioni utente. 3. Selezionare Attiva questo account. 4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo. Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a pagina 13-9. 13-15 Guida per l'amministratore di OfficeScan™ 11.0 5. Digitare il nome utente, la descrizione, la password e la password di conferma. 6. Digitare un indirizzo e-mail per l'account. Nota OfficeScan invia le notifiche a questo indirizzo e-mail. Le notifiche informano il destinatario sui rilevamenti dei rischi per la sicurezza e le trasmissioni di risorse digitali. Per ulteriori informazioni sulle notifiche, vedere Notifiche dei rischi per la sicurezza per gli amministratori a pagina 7-82. 7. Fare clic su Avanti. Viene visualizzata la schermata Fase 2 Controllo dominio agente. 8. Definire l'ambito della struttura agente selezionando il dominio root oppure uno o più domini nella struttura agente. A questo punto sono stati definiti solo i domini. Il livello di accesso ai domini selezionati viene definito nella Fase 10. 9. Fare clic su Avanti. Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente. 10. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina 13-12. L'ambito della struttura agente configurato nella fase 8 determina il livello di autorizzazione delle voci di menu e definisce le destinazioni per l'autorizzazione. L'ambito della struttura agente può essere il dominio root (tutti gli agenti) oppure i domini specifici della struttura agente. TABELLA 13-14. Voci di menu gestione agente e ambito della struttura agente CRITERI Autorizzazione per le voci di menu 13-16 AMBITO DELLA STRUTTURA AGENTE DOMINIO ROOT DOMINI SPECIFICI Configura, Visualizza o Nessun accesso Configura, Visualizza o Nessun accesso Gestione del server OfficeScan CRITERI Destinazione AMBITO DELLA STRUTTURA AGENTE DOMINIO ROOT Dominio root (tutti gli agenti) o domini specifici È, ad esempio, possibile concedere ad un ruolo l'autorizzazione "Configura" per la voce di menu "Operazioni" della struttura agente. Se la destinazione è il dominio root, l'utente può avviare le operazioni su tutti gli agenti. Se le destinazioni sono i domini A e B, le operazioni possono essere avviate soltanto sugli agenti dei domini A e B. DOMINI SPECIFICI Solo domini selezionati È, ad esempio, possibile concedere a un ruolo l'autorizzazione "Configura" per la voce di menu "Impostazioni" della struttura agente. Ciò significa che l'utente può implementare le impostazioni, ma solo verso gli agenti nei domini selezionati. La struttura agente verrà visualizzata solo se l'autorizzazione alla voce di menu Gestione agente in "Voci menu per server/agenti" è "Visualizza". • Se viene selezionata la casella di controllo in Configura, la casella di controllo in Visualizza viene configurata automaticamente. • Se non si seleziona nessuna casella di controllo, l'autorizzazione sarà "Nessun accesso". • Se si configurano autorizzazioni per un dominio specifico, è possibile copiare le autorizzazioni su altri domini facendo clic su Copiare le impostazioni del dominio selezionato negli altri domini. 11. Fare clic su Fine. 12. Inviare i dettagli dell'account all'utente. Definizione delle autorizzazioni per i domini Quando si definiscono le autorizzazioni per i domini, OfficeScan applica automaticamente le autorizzazioni di un dominio principale a tutti i sottodomini che 13-17 Guida per l'amministratore di OfficeScan™ 11.0 gestisce. Un sottodominio non può avere meno autorizzazioni del suo dominio principale. Ad esempio, se l'amministratore di sistema ha l'autorizzazione per visualizzare e configurare tutti gli agenti gestiti da OfficeScan (il dominio “Server OfficeScan”), le autorizzazioni per i sottodomini devono consentire all'amministratore di sistema di accedere a queste funzioni di configurazione. Se si rimuove un'autorizzazione da un sottodominio, l'amministratore di sistema non avrà le autorizzazioni complete per la configurazione di tutti gli agenti. Per la procedura seguente, la struttura del dominio è come segue: Ad esempio, per concedere all'account utente “Chris” le autorizzazioni per visualizzare e configurare voci di menu specifiche per il sottodominio “Dipendenti” ma soltanto l'autorizzazione per visualizzare i registri nel dominio principale “Manager”, eseguire la procedura seguente. TABELLA 13-15. Autorizzazioni per l'account utente “Chris” DOMINIO AUTORIZZAZIONI DESIDERATE Server OfficeScan Nessuna autorizzazione particolare Manager Visualizza registri Dipendenti Visualizza e configura operazioni Visualizza e configura registri Visualizza impostazioni: Vendite 13-18 Nessuna autorizzazione particolare Gestione del server OfficeScan Procedura 1. Accedere alla schermata Account utente: Passaggio 3 Definire l'ambito della struttura agente. 2. Fare clic sul dominio “Server OfficeScan”. 3. Deselezionare tutte le caselle di controllo Visualizza e Configura. Nota Il dominio “Server OfficeScan” può essere configurato solo se sono selezionati tutti i relativi sottodomini nella schermata Account utente: Passaggio 2 Controllo dominio agente 4. Fare clic sul dominio “Vendite”. 5. Deselezionare tutte le caselle di controllo Visualizza e Configura. Nota Il dominio “Vendite” viene visualizzato solo se viene selezionato nella schermata Account utente: Passaggio 2 Controllo dominio agente 6. Fare clic sul dominio “Manager”. 7. Selezionare “Visualizza registri” e deselezionare tutte le altre caselle di controllo Visualizza e Configura. 8. Fare clic sul dominio “Dipendenti”. 9. Selezionare una delle seguenti voci di menu per Chris: • Operazioni: visualizza e configura • Registri: visualizza e configura • Impostazioni: Visualizza Chris ora può visualizzare e configurare le voci di menu selezionate per il dominio “Dipendenti” e può soltanto visualizzare i Registri per il dominio “Manager”. 13-19 Guida per l'amministratore di OfficeScan™ 11.0 Se Chris ha le autorizzazioni per visualizzare e configurare il dominio “Manager”, OfficeScan concede automaticamente le stesse autorizzazioni anche al sottodominio “Dipendenti”. Questo accade perché il dominio “Manager” gestisce tutti i suoi sottodomini. Modifica di un account personalizzato Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare sull'account dell'utente. 3. Attivare o disattivare l'account utilizzando la relativa casella di controllo. 4. Modificare gli elementi riportati di seguito: • Ruolo • Descrizione • Password • Indirizzo e-mail 5. Fare clic su Avanti. 6. Definire l'ambito della struttura agente. 7. Fare clic su Avanti. 8. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina 13-12. 9. Fare clic su Fine. 10. Inviare i dettagli del nuovo account all'utente. 13-20 Gestione del server OfficeScan Aggiunta di gruppi o account Active Directory Procedura 1. Accedere a Amministrazione > Gestione account > Account utente. 2. Fare clic su Aggiungi. Viene visualizzata la schermata Fase 1 Informazioni utente. 3. Selezionare Attiva questo account. 4. Scegliere un ruolo configurato in precedenza nel menu a discesa Seleziona ruolo. Per maggiori dettagli sulla creazione dei ruoli utente, vedere Ruoli personalizzati a pagina 13-9. 5. Selezionare Utente o gruppo Active Directory. 6. Cercare un account (nome utente o gruppo) specificando il nome utente e il dominio di appartenenza. Nota Per cercare più account, utilizzare il carattere (*). Se non si utilizza il carattere jolly, specificare il nome di account completo. OfficeScan non restituisce alcun risultato se i nomi dell'account sono incompleti o se è in uso il gruppo predefinito "Utenti di domini". 7. Quando OfficeScan trova un account valido, il nome dell'account viene visualizzato in Utenti e gruppi. Fare clic sulla freccia avanti (>) per spostare l'account in Utenti e gruppi selezionati. Se viene specificato un gruppo Active Directory, tutti i membri appartenenti a un gruppo ottengono lo stesso ruolo. Se un account particolare appartiene ad almeno due gruppi e i ruoli dei due gruppi sono diversi: • Le autorizzazioni di entrambi i ruoli vengono unite. Se un utente configura un'impostazione particolare e le autorizzazioni entrano in conflitto rispetto a tale impostazione, viene applicata l'autorizzazione di livello più alto. 13-21 Guida per l'amministratore di OfficeScan™ 11.0 • 8. Tutti i ruoli utente vengono visualizzati nei registri degli eventi di sistema. Ad esempio l'utente Mario Rossi accede con i ruoli seguenti: Amministratore, Utente esperto". Fare clic su Avanti. Viene visualizzata la schermata Fase 2 Controllo dominio agente. 9. Definire l'ambito della struttura agente. 10. Fare clic su Avanti. Viene visualizzata la schermata Fase 3 Definire il menu della struttura agente. 11. Fare clic sui comandi Voci menu disponibili, quindi specificare l'autorizzazione per ciascuna voce di menu disponibile. Per un elenco delle voci di menu disponibili, vedere Voci menu Gestione agente a pagina 13-12. 12. Fare clic su Fine. 13. Chiedere all'utente di accedere alla console Web utilizzando il proprio nome di dominio e password. Trend Micro Control Manager Trend Micro Control Manager™ è una console di gestione centralizzata che consente di gestire i prodotti e i servizi Trend Micro a livello di gateway, server di posta, server di file e di desktop aziendale. La console di gestione basata su Web di Control Manager costituisce un punto unico per il monitoraggio di prodotti e dei servizi gestiti nella rete. Control Manager consente agli amministratori di sistema di monitorare ed emettere rapporti su attività quali infezioni, violazioni alla sicurezza o punti di accesso dei virus. Gli amministratori di sistema possono scaricare e implementare i componenti attraverso la rete e così essere sicuri di disporre di una protezione coerente e aggiornata. Control Manager consente aggiornamenti manuali e pianificati e inoltre la possibilità di configurare e amministrare i prodotti individualmente o a gruppi per una maggiore flessibilità. 13-22 Gestione del server OfficeScan Integrazione di Control Manager in questa versione di OfficeScan Le funzioni e caratteristiche riportate di seguito sono disponibili in questa versione di OfficeScan per la gestione dei server OfficeScan da Control Manager. • Creare, gestire e implementare criteri Antivirus, di Prevenzione perdita di dati e Controllo dispositivo per OfficeScan e assegnare i privilegi direttamente agli agenti OfficeScan dalla console di Control Manager. La tabella seguente elenca le configurazioni dei criteri in Control Manager 6.0. TABELLA 13-16. Tipi di gestione dei criteri OfficeScan in Control Manager TIPO DI CRITERIO Impostazioni dell'agente e antivirus OfficeScan CARATTERISTICHE • Impostazioni aggiuntive del servizio • Impostazione del monitoraggio del comportamento • Impostazioni di controllo dispositivo • Impostazioni scansione manuale • Privilegi e altre impostazioni • Impostazioni scansione in tempo reale • Elenco Approvati spyware/grayware • Metodi di scansione • Impostazioni funzione Esegui scansione • Impostazioni scansione pianificata • Impostazioni connessione sospetta • Impostazioni Update Agent • Impostazioni di reputazione Web 13-23 Guida per l'amministratore di OfficeScan™ 11.0 TIPO DI CRITERIO CARATTERISTICHE Protezione dati Impostazioni dei criteri Prevenzione perdita di dati Nota Gestione delle autorizzazioni di Controllo dispositivo per la Protezione dati nei criteri degli agenti OfficeScan. • Replicare le impostazioni riportate di seguito da un server OfficeScan a un altro utilizzando la console di Control Manager: • Tipi di identificatore di dati a pagina 10-5 • Modelli di Prevenzione perdita di dati a pagina 10-20 Nota Se queste impostazioni vengono replicate sui server OfficeScan in cui non è stata attivata la licenza di Protezione dati, le impostazioni saranno valide solo dopo l'attivazione della licenza. Versioni di Control Manager supportate Questa versione di OfficeScan supporta le seguenti versioni di Control Manager. TABELLA 13-17. Versioni di Control Manager supportate VERSIONE DI CONTROL MANAGER SERVER OFFICESCAN 6.0 SP1 6.0 5.5 SP1 Dual-stack Sì Sì Sì IPv4 puro Sì Sì Sì IPv6 puro Sì Sì No 13-24 Gestione del server OfficeScan Nota Il supporto IPv6 per Control Manager è stato introdotto nella versione 5.5 Service Pack 1. Per dettagli sugli indirizzi IP che il server OfficeScan e gli agenti OfficeScan segnalano a Control Manager, vedere Schermate che visualizzano gli indirizzi IP a pagina A-7. Applicare le patch più recenti e le hot fix critiche per queste versioni di Control Manager per consentire a Control Manager di gestire OfficeScan. Per ottenere le patch e le hot fix più recenti, contattare l'assistenza tecnica o visitare il Centro aggiornamenti Trend Micro all'indirizzo seguente: http://downloadcenter.trendmicro.com/index.php?regs=it Dopo aver installato OfficeScan, registrare il prodotto in Control Manager e configurare le impostazioni per OfficeScan nella console di gestione di Control Manager. Per informazioni sulla gestione dei server OfficeScan, consultare la documentazione di Control Manager. Registrazione di OfficeScan al servizio Control Manager Procedura 1. Accedere a Amministrazione > Impostazioni > Control Manager. 2. Specificare il nome di entità visualizzato, che corrisponde al nome del server OfficeScan visualizzato in Control Manager. Per impostazione predefinita il nome di entità visualizzato comprende il nome host del computer server e il nome di questo prodotto (ad esempio, Server01_OSCE). Nota In Control Manager i server OfficeScan e gli altri prodotti gestiti tramite Control Manager vengono definiti "entità". 3. Specificare il nome FQDN o l'indirizzo IP del server Control Manager e il numero di porta da utilizzare per collegarsi a questo server. In alternativa, collegarsi in modo più sicuro con HTTPS. 13-25 Guida per l'amministratore di OfficeScan™ 11.0 • Per il server OfficeScan dual-stack, immettere l'FQDN di Control Manager o l'indirizzo IP (IPv4 o IPv6, se disponibile). • Per un server OfficeScan IPv4 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv4. • Per un server OfficeScan IPv6 puro, immettere l'FQDN di Control Manager o l'indirizzo IPv6. Nota Solo Control Manager 5.5 SP1 e versioni successive supportano l'IPv6. 4. Se il server Web IIS di Control Manager richiede l'autenticazione, immettere nome utente e password. 5. Se si utilizza un server proxy per collegarsi al server Control Manager, specificare le seguenti impostazioni proxy: • Protocollo proxy • FQDN del server o porta e indirizzo IPv4/IPv6 • ID utente e password per l'autenticazione del server proxy 6. Decidere se utilizzare il reindirizzamento porte di comunicazione unidirezionali o bidirezionali e specificare l'indirizzo IPv4/IPv6 e la porta. 7. Per verificare che OfficeScan si colleghi al server Control Manager in base alle impostazioni specificate, fare clic su Test di connessione. Se il tentativo di connessione è riuscito, fare clic su Registra. 8. Se la versione del server Control Manager è 6.0 SP1 o successiva, viene visualizzato un messaggio che chiede all'utente di usare il server Control Manager come origini aggiornamenti per OfficeScan integrated Smart Protection Server. Fare clic su OK per usare il server Control Manager come origine aggiornamenti di Integrated Smart Protection Server o Annulla per continuare a usare l'origine aggiornamenti corrente (per impostazione predefinita, il server ActiveUpdate). 9. Se si modificano le impostazioni in questa schermata dopo la registrazione, fare clic su Impostazioni di aggiornamento dopo aver modificato le impostazioni per notificare le modifiche al server Control Manager. 13-26 Gestione del server OfficeScan 10. Se si desidera che il server Control Manager non gestisca più OfficeScan, fare clic su Annulla registrazione. Verifica dello stato di OfficeScan nella console di gestione Control Manager Procedura 1. Aprire la console di gestione Control Manager. Per aprire la console di Control Manager in qualsiasi dispositivo della rete, aprire un browser Web e immettere: https://<nome server Control Manager>/Webapp/login.aspx dove <nome server Control Manager> è l'indirizzo IP o il nome host del server Control Manager 2. Nel menu principale fare clic su Directory > Prodotti. 3. Controllare che venga visualizzata l'icona del server OfficeScan. Strumento di esportazione dei criteri Lo Strumento di esportazione dei criteri del server OfficeScan di Trend Micro consente agli amministratori di esportare le impostazioni dei criteri OfficeScan supportati da Control Manager 6.0 o versioni successive. Gli amministratori inoltre si servono dello strumento di importazione di Control Manager per importare i criteri. Lo strumento di esportazione dei criteri supporta OfficeScan 10.6 Service Pack 1 e versioni successive. • Impostazioni scansione in tempo reale • Impostazione del monitoraggio del comportamento • Impostazioni scansione pianificata • Impostazioni di controllo dispositivo • Impostazioni scansione manuale • Impostazioni di Prevenzione perdita di dati 13-27 Guida per l'amministratore di OfficeScan™ 11.0 • Impostazioni funzione Esegui scansione • Privilegi e altre impostazioni • Impostazioni Update Agent • Impostazioni aggiuntive del servizio • Impostazioni di reputazione Web • Elenco approvati spyware/grayware • Impostazioni connessione sospetta • Metodo di scansione Utilizzo dello strumento di esportazione dei criteri Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\PolicyExportTool. 2. Fare doppio clic su PolicyExportTool.exe per avviare lo Strumento di esportazione dei criteri. Viene aperta una schermata CLI (Command Line Interface, interfaccia della linea di comando) e lo Strumento di esportazione dei criteri avvia l'esportazione delle impostazioni. Lo strumento crea due cartelle (PolicyClient e PolicyDLP) nella cartella PolicyExportTool che contiene le impostazioni esportate. 3. Copiare le due cartelle nella cartella di installazione di Control Manager. 4. Eseguire lo Strumento di importazione dei criteri nel server Control Manager. Per ulteriori informazioni riguardanti lo Strumento di importazione dei criteri, vedere il Readme dello Strumento di importazione dei criteri. Nota Lo Strumento di esportazione dei criteri non esporta gli identificatori di dati o i modelli DLP personalizzati. Gli amministratori che necessitano di esportare gli identificatori di dati personalizzati e dei modelli DLP possono eseguire l'esportazione manuale dalla console OfficeScan, quindi importare manualmente il file utilizzando la console Control Manager. 13-28 Gestione del server OfficeScan Server di riferimento Uno dei modi con cui l'agente OfficeScan determina quale criterio o profilo utilizzare consiste nella verifica dello stato della connessione con il server OfficeScan. Se un agente OfficeScan interno (o un agente nella rete aziendale) non riesce a connettersi con il server, lo stato dell'agente diventa offline. L'agente quindi applica un criterio o un profilo destinato agli agenti esterni. I server di riferimento risolvono questo problema. Un agente OfficeScan che perde la connessione con il server OfficeScan proverà a collegarsi ai server di riferimento. Se l'agente riesce a stabilire una connessione con un server di riferimento, applica il profilo o il criterio per gli agenti interni. Criteri e profili gestiti dai server di riferimento includono: • Profili firewall • Criteri di reputazione Web • Criteri di protezione dati • Criteri di controllo dispositivo È necessario ricordare quanto segue: • Assegnare come server di riferimento computer con funzionalità server, come un server Web, un server SQL o un server FTP. È possibile specificare un massimo di 32 server di riferimento. • Gli agenti OfficeScan si collegano al primo server dell'elenco dei server di riferimento. Se il collegamento non riesce, l'agente prova a collegarsi al server successivo dell'elenco. • Gli agenti OfficeScan utilizzano i server di riferimento per determinare le impostazioni da utilizzare per la protezione dati o l'antivirus (Monitoraggio del comportamento, Controllo dispositivo, profili di firewall, criterio di reputazione Web). I server di riferimento non gestiscono gli agenti né implementano aggiornamenti e impostazioni agenti. Il server OfficeScan esegue queste operazioni. • Un agente OfficeScan non è in grado di inviare registri ai server di riferimento o utilizzare i server come origini aggiornamenti 13-29 Guida per l'amministratore di OfficeScan™ 11.0 Gestione dell'elenco server di riferimento Procedura 1. Accedere a Agenti > Firewall > Profili o Agenti > Posizione dispositivo. 2. In base alla schermata visualizzata, attenersi alle seguenti istruzioni. • Sulla schermata Profili firewall per agenti, fare clic su Modifica elenco server di riferimento. • Sulla schermata Posizione dispositivo, fare clic su Elenco server di riferimento. 3. Selezionare Attiva l'elenco server di riferimento. 4. Per aggiungere un dispositivo all'elenco, fare clic su Aggiungi. a. b. Specificare l'indirizzo IPv4/IPv6, il nome o il nome FQDN (Fully Qualified Domain Name) dell'dispositivo, ad esempio: • computer.nomerete • 12.10.10.10 • ilmiocomputer.dominio.com Inserire la porta attraverso la quale gli agenti comunicano con l'dispositivo. Specificare una porta di contatto aperta (come le porte 20, 23 o 80) sul server di riferimento. Nota Per specificare un altro numero di porta per lo stesso server di riferimento, ripetere i passaggi 2a e 2b. L'agente OfficeScan utilizza il primo numero di porta dell'elenco e, se la connessione non riesce, passa al numero di porta successivo. c. 5. 13-30 Fare clic su Salva. Per modificare le impostazioni di un dispositivo dell'elenco, fare clic sul nome dell'dispositivo. Modificare il nome o la porta dell'dispositivo e fare clic su Salva. Gestione del server OfficeScan 6. Per rimuovere un dispositivo dall'elenco, selezionare la casella di controllo accanto al nome dell'dispositivo e fare clic su Elimina. 7. Per consentire agli dispositivo di agire come server di riferimento, fare clic su Assegna agli agenti. Impostazioni notifica amministratore Configurare le impostazioni di notifica per l'amministratore per consentire a OfficeScan di inviare notifiche mediante messaggio e-mail e trap SNMP. OfficeScan è anche in grado di inviare notifiche tramite il registro eventi di Windows NT, ma per questo canale di notifica non sono configurate impostazioni. OfficeScan è in grado di inviare notifiche agli amministratori di OfficeScan quando rileva: TABELLA 13-18. Rilevamenti che determinano l'invio di notifiche all'amministratore CANALI DI NOTIFICA RILEVAMENTI E-MAIL TRAP SNMP REGISTRI EVENTI DI WINDOWS NT Virus e minacce informatiche Sì Sì Sì Spyware e grayware Sì Sì Sì Trasmissioni di risorse digitali Sì Sì Sì Callback C&C Sì Sì Sì Infezioni da spyware e minacce informatiche Sì Sì Sì Infezioni da spyware e grayware Sì Sì Sì Infezioni da violazione del firewall Sì No No 13-31 Guida per l'amministratore di OfficeScan™ 11.0 CANALI DI NOTIFICA RILEVAMENTI Infezioni delle sessioni di condivisione delle cartelle E-MAIL Sì TRAP SNMP No REGISTRI EVENTI DI WINDOWS NT No Configurazione delle impostazioni di notifica generali Procedura 1. Accedere a Amministrazione > Notifiche > Impostazioni generali. 2. Configurare le impostazioni di notifica e-mail a. Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campo Server SMTP. b. Specificare un numero di porta compreso tra 1 e 65535. c. Specificare un nome o un indirizzo e-mail. Se si desidera attivare l'ESMTP nel passaggio successivo, specificare un indirizzo e-mail valido. 13-32 d. Facoltativamente, attivare ESMTP. e. Specificare il nome utente e la password per l'indirizzo e-mail specificato nel campo Da. f. Scegliere un metodo per autenticare l'agente sul server: • Accesso: la funzione di accesso è una vecchia versione di Mail User Agent. Il server e l'agente usano entrambi BASE64 per l'autenticazione del nome utente e della password. • Testo semplice: il testo semplice è il più facile, ma anche il meno sicuro perché il nome utente e la password vengono inviati come una stringa e codificati come BASE64 prima di essere inviati tramite Internet. Gestione del server OfficeScan • 3. 4. CRAM-MD5: CRAM-MD5 utilizza una combinazione di un meccanismo di autenticazione con risposta e di un algoritmo Message Digest 5 crittografato per scambiare e autenticare le informazioni. Configurare le impostazioni di notifica mediante trap SNMP. a. Specificare l'indirizzo IPv4/IPv6 o il nome dell'dispositivo nel campo Indirizzo IP del server. b. Specificare un nome community difficile da indovinare. Fare clic su Salva. Registri eventi di sistema OfficeScan trascrive nei registri gli eventi correlati al programma server, come ad esempio l'avvio e l'arresto. Utilizzare questi registri per verificare che il server e i servizi OfficeScan funzionino correttamente. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri degli eventi di sistema Procedura 1. Accedere a Registri > Eventi di sistema. 2. Nella sezione Evento, controllare i registri che richiedono un'azione. OfficeScan registra i seguenti eventi: 13-33 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 13-19. Registri eventi di sistema TIPO DI REGISTRO Servizio principale OfficeScan e server database Prevenzione delle infezioni virali Database backup Accesso alla console Web basato sui ruoli Autenticazione del server 3. EVENTI • Servizio principale avviato • Servizio principale interrotto correttamente • Servizio principale interrotto correttamente • Prevenzione delle infezioni attivata • Prevenzione delle infezioni disattivata • Numero di sessioni di cartelle condivise negli ultimi <numero di minuti> • Backup del database riuscito • Backup del database non riuscito • Accesso alla console Web • Modifica della password • Disconnessione dalla console • Timeout di sessione (utente automaticamente disconnesso) • L'agente OfficeScan ha ricevuto comandi non validi dal server • Certificato di autenticazione non valido o scaduto Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Gestione dei registri OfficeScan tiene dei registri completi e aggiornati sul rilevamento dei rischi per la sicurezza, sugli eventi e sugli aggiornamenti. Questi registri consentono di valutare i criteri di protezione della propria organizzazione e di identificare gli agenti OfficeScan esposti a maggiori rischi di infezione o di attacco. I registri permettono inoltre di 13-34 Gestione del server OfficeScan controllare la connessione agente-server e di verificare che gli aggiornamenti dei componenti siano stati completati. OfficeScan inoltre utilizza un meccanismo centralizzato di verifica dell'orario per garantire la coerenza temporale tra gli agenti e il server OfficeScan. Tale verifica previene le incoerenze nei registri provocate dalle differenze di orario, fuso orario e ora legale che possono generare confusione nell'analisi dei registri. Nota OfficeScan esegue la verifica temporale per tutti i registri ad eccezione dei registri degli aggiornamenti del server e degli eventi di sistema. Il server OfficeScan riceve i seguenti registri dagli agenti OfficeScan: • Visualizzazione dei registri di virus/minacce informatiche a pagina 7-91 • Visualizzazione dei registri di spyware/grayware a pagina 7-99 • Visualizzazione dei registri delle connessioni sospette a pagina 11-26 • Visualizzazione dei registri di ripristino spyware/grayware a pagina 7-103 • Visualizzazione dei registri firewall a pagina 12-30 • Visualizzazione dei registri di reputazione Web a pagina 11-24 • Visualizzazione dei registri dei callback C&C a pagina 11-25 • Visualizzazione dei registri di Monitoraggio del comportamento a pagina 8-14 • Visualizzazione dei registri di controllo dispositivo a pagina 9-19 • Visualizzazione dei registri di Prevenzione perdita di dati a pagina 10-54 • Visualizzazione dei registri dei aggiornamento dell'agente OfficeScan a pagina 6-55 • Visualizzazione dei registri di verifica connessione a pagina 14-45 Il server OfficeScan genera i seguenti registri: • Registri di aggiornamento del server OfficeScan a pagina 6-29 • Registri eventi di sistema a pagina 13-33 13-35 Guida per l'amministratore di OfficeScan™ 11.0 I seguenti registri sono inoltre disponibili sul server OfficeScan e sugli agenti OfficeScan: • Registri eventi di Windows a pagina 16-23 • Registri del server OfficeScan a pagina 16-3 • Registri dell'agente OfficeScan a pagina 16-15 Manutenzione registri Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli dalla console Web. Eliminazione dei registri in base alla pianificazione Procedura 1. Accedere a Registri > Manutenzione registri. 2. Selezionare Attiva eliminazione pianificata dei registri. 3. Selezionare i tipi di registro da eliminare. Tutti i registri generati con OfficeScan, ad eccezione dei registri di debug, possono essere eliminati in base ad una pianificazione. Per i registri di debug, disattivare la registrazione di debug per interrompere la raccolta dei registri. Nota Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15. 4. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. 5. Specificare la frequenza e l'ora di eliminazione dei registri. 13-36 Gestione del server OfficeScan 6. Fare clic su Salva. Eliminazione manuale dei registri Procedura 1. Accedere a Registri > Agenti > Rischi per la sicurezza o Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Eseguire una delle operazioni riportate di seguito. 4. ) per includere • Se si accede alla schermata Registri dei rischi per la sicurezza, fare clic su Elimina registri . • Se si accede alla schermata Gestione agente, fare clic Registri > Elimina registri. Selezionare i tipi di registro da eliminare. È possibile eliminare manualmente solo i seguenti registri: • Registri di virus/minacce informatiche • Registri di spyware/grayware • Registri del firewall • Registri di reputazione Web • Registri delle connessioni sospette • Registri dei callback C&C • Registri di Monitoraggio del comportamento • Registri di controllo dispositivo • Registri di Prevenzione perdita di dati 13-37 Guida per l'amministratore di OfficeScan™ 11.0 Nota Per i registri di virus e minacce informatiche, è possibile eliminare i registri generati da alcuni tipi di scansione e da Damage Cleanup Services. Per i registri di spyware e grayware, è possibile eliminare i registri di alcuni tipi di scansione. Per ulteriori informazioni sui tipi di scansione, vedere Tipi di scansione a pagina 7-15. 5. Selezionare se eliminare i registri di tutti i tipi di registri selezionati o solo quelli precedenti a un certo numero di giorni. 6. Fare clic su Elimina. Licenze Tramite la console Web è possibile visualizzare, attivare e rinnovare i servizi della licenza OfficeScan e attivare/disattivare il firewall OfficeScan. Il firewall OfficeScan fa parte del servizio antivirus, che comprende anche l'assistenza per la prevenzione delle infezioni. Nota Alcune funzioni native di OfficeScan, come la Protezione dati e il Supporto Virtual Desktop, sono dotate di licenze proprie. Le licenze per queste funzioni sono attivate e gestite da Plug-in Manager. Per dettagli sulle licenze per queste funzioni, vedere Licenza di Protezione dati a pagina 3-4 e Licenza del supporto Virtual Desktop a pagina 14-78. Un server OfficeScan IPv6 puro non è in grado di connettersi al server di registrazione online Trend Micro per attivare o rinnovare la licenza. Per consentire al server OfficeScan di connettersi al server per la registrazione, è necessario un server proxy dual-stack in grado di convertire gli indirizzi IP, come ad esempio DeleGate. Visualizzazione delle informazioni sulla Licenza del prodotto Procedura 1. 13-38 Accedere a Amministrazione > Impostazioni > Licenza del prodotto. Gestione del server OfficeScan 2. Visualizzare il riepilogo dello stato delle licenze situato nella parte superiore della schermata. Nei seguenti casi verranno visualizzati dei promemoria sulle licenze: TABELLA 13-20. Promemoria per le licenze TIPO DI LICENZA Versione completa Versione di prova 3. PROMEMORIA • Durante il periodo di proroga per il prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica o effettuare l'aggiornamento dei componenti. I motori di scansione continueranno a effettuare l'analisi dei computer, ma con componenti non aggiornati. Tali componenti obsoleti potrebbero non proteggere in maniera completa dai più recenti rischi per la sicurezza. Alla scadenza della licenza. In questo periodo OfficeScan disattiva l'aggiornamento dei componenti, la scansione e tutte le funzionalità dell'agente OfficeScan. Visualizzare le informazioni sulla licenza. La sezione Informazioni sulla licenza contiene le seguenti informazioni: • Servizi: comprende tutti i servizi di licenza OfficeScan • Stato: indica se lo stato è "Attivato", "Non attivato", "Scaduto" o "In periodo di proroga". Se un servizio prevede diverse licenze e almeno una di queste è ancora attiva, lo stato di tale servizio sarà "Attivato". • Versione: Indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se un servizio prevede diverse licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2007 e 30/06/2008, verrà visualizzata la data 30/06/2008. 13-39 Guida per l'amministratore di OfficeScan™ 11.0 Nota Per servizi non attivati, il valore relativo alla versione e alla data di scadenza sarà "N.D.". 4. OfficeScan consente di attivare diverse licenze per un servizio di licenza. Per visualizzare tutte le licenze relative a un servizio (sia quelle attive che quelle scadute), fare clic sul nome del servizio stesso. Attivazione o rinnovo della licenza Procedura 1. Accedere a Amministrazione > Impostazioni > Licenza del prodotto. 2. Fare clic sul nome del servizio di licenza. 3. Nella schermata visualizzata Dettagli della licenza del prodotto, fare clic su Nuovo codice di attivazione. 4. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su Salva. Nota Prima di attivare un servizio è necessario registrarlo. Per ulteriori informazioni sulla chiave di registrazione e sul codice di attivazione, contattare un rappresentante Trend Micro. 5. 13-40 Nella schermata Dettagli della licenza del prodotto, fare clic su Aggiorna informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il nuovo stato del servizio. Questa schermata contiene anche un collegamento al sito Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla propria licenza. Gestione del server OfficeScan OfficeScan Database Backup Il database del server OfficeScan contiene tutte le impostazioni OfficeScan, comprese le impostazioni e i privilegi di scansione. Qualora il database del server dovesse subire un danno, se si dispone di un backup sarà possibile ripristinarlo. Eseguire il backup manuale del database in qualsiasi momento oppure configurare una pianificazione per il backup. Quando si esegue il backup del database, OfficeScan contribuisce automaticamente alla deframmentazione del database e ripara eventuali danni al file dell'indice. Per determinare lo stato del backup, consultare i registri degli eventi di sistema. Per ulteriori informazioni, consultare Registri eventi di sistema a pagina 13-33. Suggerimento Trend Micro consiglia di configurare una pianificazione per il backup automatico. Si consiglia di effettuare il backup del database durante ore non di punta quando il traffico del server è ridotto. AVVERTENZA! Non eseguire il backup con altri strumenti o software. Configurare il backup del database solo dalla console Web OfficeScan. Backup del database di OfficeScan Procedura 1. Accedere a Amministrazione > Impostazioni > Database Backup. 2. Indicare il percorso in cui salvare il database. Se la cartella ancora non esiste, selezionare Crea la cartella se non esiste. Includere l'unità e il percorso completo della directory, ad esempio C:\OfficeScan\DatabaseBackup. Per impostazione predefinita, OfficeScan salva la copia di backup nella seguente directory: <Cartella di installazione del server>\DBBackup 13-41 Guida per l'amministratore di OfficeScan™ 11.0 Nota OfficeScan crea una cartella secondaria nel percorso di backup. Il nome della cartella indica l'ora del backup ed è nel formato seguente: GGMMAAAA_HHMMSS. OfficeScan conserva le 7 cartelle di backup più recenti ed elimina automaticamente le cartelle precedenti. 3. Se il percorso di backup è su un computer remoto (con un percorso UNC), inserire un nome account adeguato e la password corrispondente. Accertarsi che l'account disponga dei privilegi di scrittura sul computer. 4. Per configurare una pianificazione per il backup: a. Selezionare Attiva pianificazione di Database Backup. b. Specificare la frequenza e l'orario del backup. c. Per eseguire il backup del database e salvare le modifiche apportate, fare clic su Esegui backup. Per salvare soltanto senza eseguire il backup del database, fare clic su Salva. Ripristino dei file di backup database Procedura 1. 2. Interrompere il servizio principale OfficeScan. Sovrascrivere i file del database in <Cartella di installazione del server>\PCCSRV \HTTPDB con i file di backup. 3. Riavviare il servizio principale OfficeScan. Strumento di migrazione SQL Server Gli amministratori possono eseguire la migrazione del database OfficeScan esistente dallo stile CodeBase nativo al database di SQL Server utilizzando lo strumento di 13-42 Gestione del server OfficeScan migrazione di SQL Server. Lo Strumento di migrazione di SQL Server supporta le seguenti migrazioni di database: • Database OfficeScan CodeBase al nuovo database SQL Server Express • Database OfficeScan CodeBase al database SQL Server preesistente • Database OfficeScan SQL (precedentemente migrato) che è stato spostato in un'altra posizione Utilizzo dello strumento di migrazione SQL Server Lo Strumento di migrazione SQL Server esegue la migrazione del database CodeBase esistente al database SQL utilizzando SQL Server 2008 R2 SP2 Express. Suggerimento Dopo la migrazione del database OfficeScan, è possibile spostare in un altro SQL Server il database SQL di cui è stata appena effettuata la migrazione. Eseguire di nuovo lo Strumento di migrazione SQL Server e selezionare Passare a un database OfficeScan SQL esistente per usare l'altro SQL Server. Importante Prima di eseguire lo Strumento di migrazione SQL Server su Windows Server 2008 o versioni successive con le credenziali di autenticazione Windows dell'utente del dominio: • Controllo dell'accesso degli utenti deve essere attivato • Non è possibile eseguire il Servizio principale OfficeScan utilizzando l'account utente del dominio utilizzato per accedere a SQL Server Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SQL. 2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe. La console di Strumento di migrazione del server SLQ viene aperta. 13-43 Guida per l'amministratore di OfficeScan™ 11.0 3. Scegliere il tipo di migrazione: OPZIONE Installare un nuovo SQL Server 2008 R2 SP2 Express ed eseguire la migrazione del database OfficeScan DESCRIZIONE Installa automaticamente SQL Server 2008 R2 SP2 Express ed esegue la migrazione del database OfficeScan esistente su un nuovo database SQL Nota OfficeScan assegna automaticamente la porta 1433 a SQL Server. 4. Eseguire la migrazione del database OfficeScan su un SQL Server esistente Esegue la migrazione del database OfficeScan esistente su un nuovo database SQL, su un SQL Server esistente Passare a un database OfficeScan SQL esistente Modifica le impostazioni di configurazione OfficeScan per selezionare un database SQL OfficeScan esistente su un SQL Server esistente Specificare il nome server nel modo seguente: • Per le nuove installazioni SQL: <nome host o indirizzo IP di SQL Server> \<nome istanza> • Per le migrazioni di SQL Server: <nome host o indirizzo IP di SQL Server>,<numero_porta>\<nome istanza> • Quando si passa a un database OfficeScan SQL esistente: <nome host o indirizzo IP di SQL Server>,<numero_porta>\<nome istanza> Importante OfficeScan crea automaticamente un'istanza per il database OfficeScan quando SQL Server si installa. Quando viene effettuata la migrazione verso un database o un SQL Server esistente, digitare il nome istanza preesistente per l'istanza di OfficeScan su SQL Server. 5. 13-44 Fornire le credenziali di autenticazione per il database SQL Server. Gestione del server OfficeScan Importante Quando si usa l'Account Windows per accedere al server: • • 6. Per un account di amministratore di dominio predefinito: • Formato nome utente: nome_dominio\amministratore • I requisiti per l'account sono i seguenti: • Gruppi: “gruppo di amministratori” • Ruoli utente: “Accedi come servizio” e “Accedi come processo batch” • Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner” Per un account utente di dominio: • Formato nome utente: nome_dominio\nome_utente • I requisiti per l'account sono i seguenti: • Gruppi: “gruppo di amministratori” e “amministratori di dominio” • Ruoli utente: “Accedi come servizio” e “Accedi come processo batch” • Ruoli del database: “dbcreator”, “bulkadmin” e “db_owner” Per le installazioni SQL Server nuove, digitare una nuova password e confermare. Nota Le password devono soddisfare i requisiti minimi di complessità elencati di seguito: 7. a. Lunghezza minima: 6 caratteri b. Devono contenere almeno 3 dei seguenti elementi: • Lettere maiuscole: A - Z • Lettere minuscole: a - z • Numeri: 0 - 9 • Caratteri speciali: !@#$^*?_~-();.+: Specificare il Nome database OfficeScan su SQL Server. 13-45 Guida per l'amministratore di OfficeScan™ 11.0 Quando viene effettuata la migrazione del database CodeBase OfficeScan verso un nuovo database SQL, OfficeScan crea automaticamente il nuovo database, con il nome. 8. 9. Eseguire, facoltativamente, le operazioni riportate di seguito: • Fare clic su Test di connessione per verificare le credenziali di autenticazione per l'SQL Server o il database esistente. • Fare clic su Avviso non disponibile database SQL… per configurare le impostazioni di notifica del database SQL. Per i dettagli, consultare Configurazione di Avviso non disponibile database SQL a pagina 13-46. Per applicare le modifiche della configurazione, fare clic su Avvia. Configurazione di Avviso non disponibile database SQL OfficeScan invia automaticamente questo avviso ogni volta che il database SQL diventa non disponibile. AVVERTENZA! OfficeScan interrompe automaticamente tutti i servizi quando il database diventa non disponibile. OfficeScan non riesce a registrare informazioni relative ad agenti o eventi, a eseguire aggiornamenti o a configurare gli agenti quando il database non è disponibile. Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SQL. 2. Per eseguire lo strumento, fare doppio clic su SQLTxfr.exe. La console di Strumento di migrazione del server SLQ viene aperta. 3. Fare clic su Avviso non disponibile database SQL…. La schermata di Avviso non disponibile per SQL Server viene aperta. 4. 13-46 Digitare gli indirizzi e-mail dei destinatari dell'avviso. Gestione del server OfficeScan Separare le diverse voci con un punto e virgola (;). 5. Modificare Oggetto e Messaggio in base alle esigenze. OfficeScan offre le seguenti variabili token: TABELLA 13-21. Token di Avviso non disponibile database SQL VARIAB DESCRIZIONE ILE 6. %x Il nome dell'istanza SQL Server OfficeScan %s Il nome del server OfficeScan infetto Fare clic su OK. Impostazioni connessione agente/server Web OfficeScan Nel corso dell'installazione del server OfficeScan, il programma di installazione imposta automaticamente un server Web (server IIS o Apache Web) che consente ai computer della rete di collegarsi al server OfficeScan. Configurare il server Web a cui si collegheranno gli agenti dispositivo collegati in rete. Se si modificano le impostazioni del server Web esternamente (ad esempio, dalla console di gestione IIS), replicare le modifiche in OfficeScan. Ad esempio, se si modifica manualmente l'indirizzo IP del server per i computer in rete o se si assegna al server un indirizzo IP dinamico, è necessario riconfigurare le impostazioni di OfficeScan relative al server. AVVERTENZA! La modifica delle impostazioni di connessione può determinare la perdita permanente della connessione tra il server e gli agenti e rende necessaria una nuova implementazione degli agenti OfficeScan. 13-47 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle impostazioni di connessione Procedura 1. Accedere a Amministrazione > Impostazioni > Connessione agente. 2. Immettere il nome del dominio o l'indirizzo IPv4/IPv6 e il numero di porta del server Web. Nota Il numero di porta è quello della porta affidabile che il server OfficeScan utilizza per comunicare con gli agenti OfficeScan. 3. Fare clic su Salva. Password della console Web La schermata per la gestione della password della console Web (o la password per l'account principale (root) creato durante l'installazione del server OfficeScan) è disponibile solo se il computer server non dispone delle risorse necessarie per utilizzare l'RBA (Role-based Administration). Ad esempio se sul computer server è installato Windows Server 2003 e Authorization Manager Runtime non è installato, la schermata non è accessibile. Se le risorse sono adeguate, questa schermata non viene visualizzata e la password può essere gestita modificando l'account principale (root) nella schermata Account utente. Se OfficeScan non è registrato con Control Manager, contattare l'assistenza tecnica per ottenere istruzioni su come accedere alla console Web. Autenticazione delle comunicazioni avviate dal server OfficeScan usa la crittografia di chiave pubblica per autenticare le comunicazioni che il server OfficeScan avvia sugli agenti. Grazie alla crittografia di chiave pubblica, il server 13-48 Gestione del server OfficeScan detiene una chiave privata e implementa quella pubblica su tutti gli agenti. Gli agenti usano la chiave pubblica per verificare che le comunicazioni in entrata siano avviate dal server e siano valide. Gli agenti rispondono se la verifica è corretta. Nota OfficeScan non autentica le comunicazioni che gli agenti avviano nel server. Le chiavi pubbliche e private sono associate a un certificato Trend Micro. Durante l'installazione del server OfficeScan, il programma di installazione ripristina il certificato nell'archivio dei certificati dell'host. Utilizzare lo strumento Authentication Certificate Manager per gestire le chiavi e i certificati Trend Micro. Quando si decide di usare una singola chiave di autenticazione per tutti i server OfficeScan, tenere presente quanto segue: • L'implementazione di un singolo certificato è una prassi comune per tutti i livelli di sicurezza standard. Questo approccio compensa il livello di sicurezza di un'organizzazione e riduce il sovraccarico associato alla gestione di più chiavi. • L'implementazione di più certificati sui server OfficeScan fornisce il livello di sicurezza massimo. Questo approccio aumenta la gestione necessaria quando le chiavi dei certificati scadono e devono essere ridistribuite sui server. Importante Prima di reinstallare il server OfficeScan, assicurarsi che venga effettuato il backup per il certificato esistente. Una volta completata la nuova installazione, importare la copia del certificato per consentire che l'autenticazione delle comunicazioni tra il server OfficeScan e gli agenti OfficeScan non subisca interruzioni. Se viene creato un nuovo certificato durante l'installazione del server, gli agenti OfficeScan non riescono ad autenticare le comunicazioni del server perché utilizzano ancora il vecchio certificato, che non esiste più. Per informazioni sull'esecuzione del backup, del ripristino, dell'esportazione e dell'importazione dei certificati, vedere Uso di Authentication Certificate Manager a pagina 13-50. 13-49 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione dell'autenticazione delle comunicazioni avviate dal server Procedura 1. 2. Sul server OfficeScan, accedere a <Cartella_installazione_server \PCCSRV e aprire ofcscan.ini con un editor di testo. Aggiungere o modificare la stringa di testo SGNF nella sezione [Global Settings]. Per attivare l'autenticazione: SGNF=1 Per disattivare l'autenticazione: SGNF=0 Nota OfficeScan attivare l'autenticazione per impostazione predefinita. Aggiungere la chiave SGNF al file ofcscan.ini solo se si desidera disattivare questa funzione. 3. Nella console Web, accedere a Agenti > Impostazioni globali agente e fare clic su Salva per implementare le impostazioni su tutti gli agenti. Uso di Authentication Certificate Manager Il server OfficeScan gestisce i certificati scaduti per gli agenti con chiavi pubbliche scadute. Ad esempio, gli agenti che non hanno effettuato la connessione al server per un periodo di tempo prolungato, hanno chiavi pubbliche scadute. Quando gli agenti eseguono di nuovo la connessione, associano la chiave pubblica scaduta al certificato scaduto, consentendo il riconoscimento delle comunicazioni avviate dal server. Il server quindi implementa la chiave pubblica più recente sugli agenti. Quando vengono configurati i certificati, ricordare quanto segue: • Per il percorso del certificato, vengono accettati percorsi UNC e unità collegate. • Scegliere una password complessa e registrarla per riferimenti futuri. 13-50 Gestione del server OfficeScan Importante Quando si usa lo strumento Authentication Certificate Manager, sono necessari i seguenti requisiti: • L'utente deve avere i privilegi di amministratore • Lo strumento è in grado di gestire solo i certificati che si trovano sull'dispositivo locale Procedura 1. Nel server OfficeScan, aprire il prompt dei comandi e modificare la directory in <Cartella di installazione del server>\PCCSRV\Admin\Utility \CertificateManager. 2. Eseguire uno dei seguenti comandi: COMANDO ESEMPIO DESCRIZIONE CertificateMana ger.exe -c [Password_Backu p] CertificateMana ger.exe -c strongpassword Genera un nuovo certificato Trend Micro e sostituisce il certificato esistente CertificateMana ger.exe -b [Password] [Percorso certificato] CertificateMana ger.exe -b strongpassword D:\Test \TrendMicro.zip Nota Il certificato è in formato ZIP. Effettuare questa operazione se il certificato esistente è scaduto o se è passato a parti non autorizzate. Esegue il backup di tutti i certificati Trend Micro emessi dal server OfficeScan corrente Effettuare il backup per ripristinare il certificato su un server OfficeScan. Nota Effettuando il backup dei certificati del server OfficeScan consente di usarli se è necessario reinstallare il server OfficeScan. 13-51 Guida per l'amministratore di OfficeScan™ 11.0 COMANDO ESEMPIO DESCRIZIONE CertificateMana ger.exe -r [Password] [Percorso certificato] CertificateMana ger.exe -r strongpassword D:\Test \TrendMicro.zip Ripristina tutti i certificati Trend Micro sul server CertificateMana ger.exe -e <Cartella_insta llazione_agente >\OfcNTCer.dat Esporta la chiave pubblica associata all'agente OfficeScan attualmente utilizzato Effettuare tale operazione per ripristinare il certificato su un server OfficeScan reinstallato. Nota Il certificato è in formato ZIP. CertificateMana ger.exe -e [Percorso certificato] Effettuare tale operazione se la chiave pubblica utilizzata dagli agenti viene danneggiata. Copiare il file .dat nella cartella principale dell'agente, sovrascrivendo il file esistente. Importante Il percorso del file del certificato nell'agente OfficeScan deve essere: <Cartella_installazione_agen te>\OfcNTCer.dat 13-52 Gestione del server OfficeScan COMANDO ESEMPIO DESCRIZIONE CertificateMana ger.exe -i [Password] [Percorso certificato] CertificateMana ger.exe -i strongpassword D:\Test \OfcNTCer.pfx Importa un certificato Trend Micro nell'archivio dei certificati CertificateMana ger.exe -l D: \Test \MismatchedAgen tList.csv Elenca gli agenti (in formato CSV) che stanno usando un certificato non corrispondente Nota Il nome predefinito del file del certificato è: OfcNTCer.p fx CertificateMana ger.exe -l [Percorso CSV] Impostazioni della console Web Utilizzare la schermata Impostazioni della console Web per effettuare le operazioni riportate di seguito: • Configurare il server OfficeScan per l'aggiornamento periodico della dashboard Riepilogo. Per impostazione predefinita, il server aggiorna la dashboard ogni 30 secondi. Il numero di secondi deve essere compreso tra 10 e 300. • Specificare le impostazioni di timeout della console Web. Per impostazione predefinita, l'utente viene disconnesso automaticamente dalla console Web dopo 30 minuti di inattività. È possibile impostare un numero di minuti compreso tra 10 e 60. 13-53 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle impostazioni della console Web Procedura 1. Accedere a Amministrazione > Impostazioni > Console Web. 2. Selezionare Attiva aggiornamento automatico e selezionare l'intervallo di aggiornamento. 3. Selezionare Attiva disconnessione automatica dalla console Web e selezionare l'intervallo di timeout. 4. Fare clic su Salva. Gestore della quarantena Quando l'agente OfficeScan rileva un rischio per la sicurezza e l'azione di scansione è la messa in quarantena, il file infetto viene crittografato, spostato nella cartella di quarantena locale in <Cartella di installazione dell'agente>\SUSPECT. Dopo aver spostato il file nella directory di quarantena locale, l'agente OfficeScan lo invia alla directory di quarantena designata. Specificare la directory in Agenti > Gestione agente > Impostazioni > Impostazioni {Tipo di scansione} > Azione. I file nella directory di quarantena vengono crittografati per evitare che infettino altri file. Per ulteriori informazioni, consultare Directory di quarantena a pagina 7-41. Se la directory di quarantena designata si trova nel computer server OfficeScan, modificare le impostazioni della directory di quarantena dalla console Web. Il server memorizza i file messi in quarantena in <Cartella di installazione del server>\PCCSRV \Virus. Nota Se per qualche motivo (come ad esempio un problema di connessione), l'agente OfficeScan non è in grado di inviare il file crittografato al server OfficeScan, il file crittografato rimane nella cartella di quarantena dell'agente OfficeScan. L'agente OfficeScan tenta un nuovo invio del file al successivo collegamento al server OfficeScan. 13-54 Gestione del server OfficeScan Configurazione delle impostazioni della directory di quarantena Procedura 1. Accedere a Amministrazione > Impostazioni > Gestore della quarantena. 2. Accettare o modificare la capacità predefinita della cartella di quarantena e le dimensioni massime di un file infetto che OfficeScan è in grado di mettere in quarantena. In questa schermata vengono visualizzati i valori predefiniti. 3. Fare clic su Salva impostazioni di quarantena. 4. Per rimuovere tutti i file contenuti nella cartella di quarantena, fare clic su Elimina tutti i file in quarantena. Server Tuner Server Tuner permette di ottimizzare le prestazioni del server OfficeScan utilizzando dei parametri per le seguenti problematiche prestazionali relative al server: • Download Quando il numero di agenti OfficeScan (compresi gli Update Agent) che richiedono aggiornamenti dal server OfficeScan supera le risorse disponibili sul server, il server sposta la richiesta di aggiornamento degli agenti in una coda ed elabora le richieste quando le risorse diventano disponibili. Dopo il corretto aggiornamento dei componenti dal server OfficeScan, l'agente notifica al server il completamento dell'aggiornamento. Impostare il numero massimo di minuti per i quali il server OfficeScan deve attendere la notifica di aggiornamento dall'agente. Impostare anche il numero massimo di tentativi che il server deve effettuare per richiedere all'agente di eseguire un aggiornamento e di applicare le nuove impostazioni di configurazione. Il server effettua nuovi tentativi soltanto se non riceve notifiche dall'agente. • Buffer 13-55 Guida per l'amministratore di OfficeScan™ 11.0 Quando il server OfficeScan riceve più richieste dall'agente OfficeScan come, ad esempio, la richiesta di eseguire un aggiornamento, il server elabora il numero massimo di richieste possibili, spostando le richieste restanti in un buffer. Il server elabora quindi le richieste salvate nel buffer una per volta, man mano che si rendono disponibili le risorse. Specificare le dimensioni del buffer per gli eventi, ad esempio, le richieste di aggiornamento degli agenti, e per i report dei registri degli agenti. • Traffico di rete La quantità di traffico della rete varia nel corso della giornata. Per controllare il flusso del traffico di rete verso il server OfficeScan e verso altre origini aggiornamenti, specificare il numero di agenti OfficeScan che possono essere aggiornati contemporaneamente in un determinato orario. Server Tuner richiede il seguente file: SvrTune.exe Esecuzione di Server Tuner Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\SvrTune. 2. Fare doppio clic su SvrTune.exe per avviare Server Tuner. Si apre la console di Server Tuner. 3. 13-56 Nella sezione Download modificare le seguenti impostazioni: • Timeout per client: Digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento dagli agenti. Se l'agente non risponde entro questo intervallo, il server OfficeScan non considera l'agente come dotato di componenti aggiornati. Quando si verifica il timeout su un agente notificato, si rende disponibile lo spazio per un altro agente in attesa di notifica. • Timeout per Update Agent: digitare il numero di minuti per i quali il server OfficeScan deve attendere una risposta di aggiornamento da un Update Gestione del server OfficeScan Agent. Quando si verifica il timeout su un agente notificato, si rende disponibile lo spazio per un altro agente in attesa di notifica. 4. • Numero tentativi: Digitare il numero massimo di tentativi che il server OfficeScan deve effettuare per richiedere a un agente di eseguire un aggiornamento o di applicare nuove impostazioni di configurazione. • Intervallo tra i tentativi: digitare il numero di minuti che il server OfficeScan deve attendere tra un tentativo di notifica e quello successivo. Nella sezione Buffer, modificare le seguenti impostazioni: • Buffer eventi: Digitare il numero massimo di segnalazioni di eventi di agenti inviati al server (ad esempio l'aggiornamento dei componenti) che OfficeScan deve conservare nel buffer. Mentre la richiesta dell'agente resta in attesa nel buffer, la connessione con l'agente viene interrotta. OfficeScan stabilisce una connessione con un agente quando elabora la segnalazione dell'agente e lo rimuove dal buffer. • Buffer registro: Digitare il numero massimo di segnalazioni informative sui registri degli agenti inviati al server che OfficeScan deve conservare nel buffer. Mentre la richiesta dell'agente resta in attesa nel buffer, la connessione con l'agente viene interrotta. OfficeScan stabilisce una connessione con un agente quando elabora la segnalazione dell'agente e lo rimuove dal buffer. Nota Se il numero degli agenti che inviano segnalazioni al server è elevato, aumentare le dimensioni del buffer. Tuttavia, maggiori dimensioni del buffer comportano un maggiore utilizzo di memoria sul server. 5. Nella sezione Traffico di rete, modificare le seguenti impostazioni: • Orari a traffico normale: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato normale. • Orario a traffico ridotto: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato minimo. • Ore a traffico intenso: fare clic sui pulsanti di opzione che rappresentano le ore del giorno in cui il traffico di rete è considerato massimo. 13-57 Guida per l'amministratore di OfficeScan™ 11.0 • 6. Numero massimo connessioni client: digitare il numero massimo di client che possono simultaneamente aggiornare i componenti da "altra origine aggiornamenti" e dal server OfficeScan. Digitare il numero massimo di client per ciascuno dei periodi di tempo. Quando viene raggiunto il numero massimo di connessioni, gli OfficeScan possono aggiornare i componenti soltanto dopo la chiusura di una connessione in corso dell'agente (a causa del completamento dell'aggiornamento o del fatto che la risposta dell'agente ha raggiunto il valore di timeout specificato nel campo Timeout per client o Timeout per Update Agent). Fare clic su OK. Viene visualizzata la richiesta di riavviare il servizio principale OfficeScan. Nota Viene riavviato soltanto il servizio, non il computer. 7. Selezionare una delle opzioni di riavvio seguenti: • fare clic su Sì per salvare le impostazioni di Server Tuner e riavviare il servizio. Le impostazioni hanno immediatamente effetto dopo il riavvio del servizio. • Fare clic su No per salvare le impostazioni di Server Tuner senza riavviare il servizio. Per fare in modo che le impostazioni abbiano effetto, riavviare il servizio principale OfficeScan o riavviare il computer su cui è installato il server OfficeScan. Smart Feedback Trend Micro Smart Feedback condivide le informazioni su minacce anonime con Smart Protection Network, consentendo a Trend Micro di identificare e trattare rapidamente le nuove minacce. È possibile disattivare Smart Feedback in qualsiasi momento tramite questa console. 13-58 Gestione del server OfficeScan Partecipazione al programma Smart Feedback Procedura 1. Accedere a Amministrazione > Smart Protection > Smart Feedback. 2. Fare clic su Attiva Trend Micro Smart Feedback. 3. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare un valore nel campo Settore. 4. Per inviare le informazioni sulle minacce potenziali per la sicurezza nei file degli agenti OfficeScan, selezionare la casella di controllo Attiva feedback per i file di programma sospetti. Nota I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati solo per eseguire le analisi delle minacce. 5. Per configurare i criteri per l'invio del feedback, selezionare il numero di rilevamenti effettuati nel periodo di tempo specificato che generano il feedback. 6. Specificare il valore massimo dell'ampiezza di banda utilizzabile da OfficeScan per inviare feedback e ridurre le interruzioni della rete. 7. Fare clic su Salva. 13-59 Capitolo 14 Gestione dell'agente OfficeScan In questo capitolo vengono descritte le configurazioni e la gestione dell'agente OfficeScan. Di seguito sono riportati gli argomenti trattati: • Posizione dispositivo a pagina 14-2 • Gestione del programma agente OfficeScan a pagina 14-6 • Connessione agente-server a pagina 14-26 • Impostazioni proxy agente OfficeScan a pagina 14-50 • Visualizzazione delle informazioni dettagliate sull'agente OfficeScan a pagina 14-55 • Importazione ed esportazione delle impostazioni degli agenti a pagina 14-55 • Conformità sicurezza a pagina 14-57 • Supporto Trend Micro Virtual Desktop a pagina 14-75 • Impostazioni globali agente a pagina 14-89 • Configurazione dei privilegi dell'agente e altre impostazioni a pagina 14-90 14-1 Guida per l'amministratore di OfficeScan™ 11.0 Posizione dispositivo OfficeScan fornisce una funzione di Location Awareness in grado di determinare se la posizione dell'agente OfficeScan è interna o esterna. Location Awareness viene utilizzata nelle seguenti funzioni e servizi di OfficeScan: TABELLA 14-1. Funzioni e servizi che usano Location Awareness FUNZIONE/SERVIZIO Servizi di reputazione Web DESCRIZIONE La posizione dell'agente OfficeScan determina il criterio di reputazione Web che sarà applicato dall'agente OfficeScan. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri di reputazione Web, vedere Criteri di reputazione Web a pagina 11-5. Servizi di reputazione file Per gli agenti che usano Smart Scan, la posizione dell'agente OfficeScan stabilisce l'origine Smart Protection a cui gli agenti inviano query di scansione. Gli agenti OfficeScan esterni inviano query di scansione a Smart Protection Network mentre gli agenti interni inviano le query alle origini definite nell'elenco delle origini Smart Protection. Per ulteriori informazioni sulle origini Smart Protection, vedere Origini Smart Protection a pagina 4-6. Prevenzione perdita di dati La posizione dell'agente OfficeScan determina il criterio di Prevenzione perdita di dati applicato dall'agente. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri Prevenzione perdita di dati, vedere Criteri di Prevenzione perdita di dati a pagina 10-3. Controllo dispositivo La posizione dell'agente OfficeScan determina il criterio di Controllo dispositivo applicato dall'agente. Gli amministratori in genere applicano criteri più rigidi per gli agenti esterni. Per ulteriori informazioni sui criteri di Controllo dispositivo, vedere Controllo dispositivo a pagina 9-2. 14-2 Gestione dell'agente OfficeScan Criteri di località Specificare se il percorso si basa sull'indirizzo IP del gateway dell'dispositivo agente OfficeScan o sullo stato della connessione dell'agente OfficeScan con il server OfficeScan o un server di riferimento. • Stato connessione agente: Se l'agente OfficeScan può collegarsi al server OfficeScan o a uno dei server di riferimento della intranet, la posizione dell'dispositivo è interna. Inoltre se un dispositivo al di fuori della rete aziendale è in grado di stabilire una connessione al server OfficeScan o al server di riferimento, anche quella posizione è interna. Se non si applica nessuna di queste condizioni, la posizione dell'dispositivo è esterna. • Indirizzo MAC e IP gateway: se l'indirizzo IP del gateway dell'dispositivo agente OfficeScan corrisponde a uno degli indirizzi IP del gateway specificati nella schermata Posizione dispositivo, la posizione del computer è interna. Altrimenti la posizione dell'dispositivo è esterna. Configurazione delle impostazioni della località Procedura 1. Accedere a Agenti > Posizione dispositivo. 2. Indicare se il percorso si basa su Stato della connessione agente o Indirizzo IP e MAC del gateway. 3. Se si sceglie Stato della connessione agente, occorre decidere se utilizzare un server di riferimento. Per informazioni, vedere Server di riferimento a pagina 13-29. a. Se non viene specificato un server di riferimento, l'agente OfficeScan verifica lo stato della connessione con il server OfficeScan se si verificano gli eventi seguenti: • L'agente OfficeScan passa dalla modalità roaming a quella normale (online/offline) e viceversa. 14-3 Guida per l'amministratore di OfficeScan™ 11.0 b. 4. • L'agente OfficeScan passa da un metodo di scansione a un altro. Per informazioni, vedere Tipi di metodi di scansione a pagina 7-8. • L'agente OfficeScan rileva una variazione di indirizzo IP nell'dispositivo. • L'agente OfficeScan viene riavviato. • Il server avvia una verifica della connessione. Per informazioni, vedere Icone dell'agente OfficeScan a pagina 14-26. • I parametri della località di reputazione Web vengono modificati durante l'applicazione delle impostazioni globali • I criteri di difesa dalle infezioni non vengono più applicati e vengono ripristinate le impostazioni precedenti all'infezione. Se si specifica un server di riferimento, l'agente OfficeScan verifica lo stato della connessione prima con il server OfficeScan, poi con il server di riferimento se la connessione al server OfficeScan non riesce. L'agente OfficeScan verifica lo stato della connessione ogni ora e quando si verificano gli eventi sopra citati. Se si seleziona l'indirizzo IP e MAC del gateway: a. Digitare l'indirizzo IPv4/IPv6 del gateway nell'apposita casella di testo. b. Inserire l'indirizzo MAC. c. Fare clic su Aggiungi. Se non si inserisce un indirizzo MAC, OfficeScan includerà tutti gli indirizzi MAC appartenenti all'indirizzo IP specificato. d. Ripetere i passaggi da a a c fino a inserire tutti gli indirizzi IP del gateway che si desidera aggiungere. e. Utilizzare lo strumento Utilità di importazione impostazioni gateway per importare un elenco delle impostazioni del gateway. Per informazioni, vedere Utilità di importazione impostazioni gateway a pagina 14-5. 14-4 Gestione dell'agente OfficeScan 5. Fare clic su Salva. Utilità di importazione impostazioni gateway OfficeScan verifica la posizione dell'dispositivo per determinare il criterio di reputazione Web da utilizzare e l'origine Smart Protection a cui connettersi. Una delle modalità con cui OfficeScan identifica la posizione è la verifica dell'indirizzo IP e MAC del gateway dell'dispositivo. Configurare le impostazioni del gateway nella schermata Posizione dispositivo oppure utilizzare l'Utilità di importazione impostazioni gateway per importare un elenco delle impostazioni gateway nella schermata Posizione dispositivo. Uso dell'utilità di importazione impostazioni gateway Procedura 1. Preparare un file di testo (.txt) che contenga l'elenco delle impostazioni gateway. In ogni riga, inserire un indirizzo IPv4 o IPv6 e un indirizzo MAC (facoltativo). Separare gli indirizzi IP e MAC con una virgola. Il numero massimo di voci è 4096. Ad esempio: 10.1.111.222,00:17:31:06:e6:e7 2001:0db7:85a3:0000:0000:8a2e:0370:7334 10.1.111.224,00:17:31:06:e6:e7 2. Nel computer server accedere a <Cartella di installazione del server>\PCCSRV\Admin \Utility\GatewaySettingsImporter e fare doppio clic su GSImporter.exe. Nota Non è possibile eseguire lo strumento Utilità di importazione impostazioni gateway dai servizi terminal. 14-5 Guida per l'amministratore di OfficeScan™ 11.0 3. Nella schermata Utilità di importazione impostazioni gateway, trovare il file creato al passaggio 1 e fare clic su Importa. 4. Fare clic su OK. Le impostazioni del gateway vengono visualizzate nella schermata Posizione dispositivo e il server OfficeScan implementa le impostazioni negli agenti OfficeScan. 5. Per eliminare tutte le voci, fare clic su Cancella tutto. Per rimuovere solo una voce specifica, rimuoverla nella schermata Posizione dispositivo. 6. Per esportare le impostazioni in un file, fare clic su Esporta tutto e specificare il nome e il tipo di file. Gestione del programma agente OfficeScan I seguenti argomenti illustrano modi per gestire e proteggere il programma agente OfficeScan: • Servizi dell'agente OfficeScan a pagina 14-7 • Riavvio dei servizi dell'agente OfficeScan a pagina 14-12 • Protezione automatica dell'agente OfficeScan a pagina 14-13 • Sicurezza agente OfficeScan a pagina 14-17 • Restrizione di accesso console agente OfficeScan a pagina 14-18 • Rimozione e sblocco dell'agente OfficeScan a pagina 14-19 • Privilegio di roaming dell'agente OfficeScan a pagina 14-20 • Agent Mover a pagina 14-23 • Agenti OfficeScan inattivi a pagina 14-25 14-6 Gestione dell'agente OfficeScan Servizi dell'agente OfficeScan L'agente OfficeScan gestisce i servizi riportati nella tabella seguente. È possibile visualizzare lo stato di questi servizi da Microsoft Management Console. TABELLA 14-2. Servizi dell'agente OfficeScan SERVIZIO Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) FUNZIONI CONTROLLATE • Monitoraggio del comportamento • Controllo dispositivo • Servizio Certified Safe Software OfficeScan NT Firewall (TmPfw.exe) Firewall di OfficeScan Servizio Protezione dati OfficeScan (dsagent.exe) • Prevenzione perdita di dati • Controllo dispositivo OfficeScan NT Listener (tmlisten.exe) Comunicazione tra l'agente OfficeScan e il server OfficeScan OfficeScan NT Proxy Service (TmProxy.exe) • Reputazione Web • Scansione e-mail POP3 Scansione in tempo reale OfficeScanNT (ntrtscan.exe) • Scansione in tempo reale • Scansione pianificata • Scansione manuale/Esegui scansione Framework soluzione client comune OfficeScan (TmCCSF.exe) Servizio di protezione avanzata • Prevenzione minaccia browser • Scansione memoria I seguenti servizi garantiscono una solida protezione ma i loro meccanismi di controllo possono mettere sotto sforzo le risorse del sistema, specialmente su server che eseguono applicazioni a elevato utilizzo delle risorse del sistema: • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) • OfficeScan NT Firewall (TmPfw.exe) 14-7 Guida per l'amministratore di OfficeScan™ 11.0 • Servizio Protezione dati OfficeScan (dsagent.exe) Per questo motivo, per impostazione predefinita questi servizi sono disattivati sulle piattaforme server (Windows Server 2003, Windows Server 2008 e Windows Server 2012). Se si desidera attivare questi servizi: • Tenere costantemente sotto controllo le prestazioni del sistema e prendere gli opportuni provvedimenti se si nota un calo delle prestazioni. • Per TMBMSRV.exe, è possibile attivare il servizio se si escludono le applicazioni a elevato utilizzo delle risorse del sistema dai criteri di monitoraggio del comportamento. È possibile utilizzare uno strumento di ottimizzazione delle prestazioni per identificare le applicazioni a elevato utilizzo delle risorse del sistema. Per i dettagli, consultare Uso di Trend Micro Performance Tuning Tool a pagina 14-10. Per le piattaforme desktop, disattivare i servizi solo se si nota un significativo calo delle prestazioni. Attivazione o disattivazione dei servizi dell'agente dalla console Web Procedura 1. Accedere a Agenti > Gestione agente. 2. Per gli agenti OfficeScan con sistemi operativi Windows XP, Vista, 7, 8 o 8.1: a. Nella struttura dell'agente, fare clic sull'icona del dominio root ( ) per includere tutti gli agenti oppure selezionare domini o agenti specifici. Nota Quando si seleziona un dominio root o domini specifici, l'impostazione sarà applicata soltanto agli agenti con Windows XP, Vista, 7, 8 o 8.1. L'impostazione non sarà applicata agli agenti che eseguono piattaforme Windows Server anche se fanno parte dei domini. 14-8 b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: Gestione dell'agente OfficeScan d. 3. • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio di connessione sospetta • Servizio Protezione dati • Servizio di protezione avanzata Fare clic su Salva per applicare le impostazioni ai domini. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti Windows XP/Vista/7/8/8.1 esistenti e a qualsiasi nuovo agente aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti Windows XP/Vista/7/8/8.1 aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Per gli agenti OfficeScan con Windows Server 2003, Windows Server 2008 o Windows Server 2012: a. Selezionare un singolo dominio nella struttura agente. b. Fare clic su Impostazioni > Impostazioni aggiuntive del servizio. c. Selezionare o deselezionare la casella di controllo nelle seguenti sezioni: • Servizio prevenzione modifiche non autorizzate • Servizio firewall • Servizio di connessione sospetta • Servizio Protezione dati • Servizio di protezione avanzata 14-9 Guida per l'amministratore di OfficeScan™ 11.0 d. Fare clic su Salva. Uso di Trend Micro Performance Tuning Tool Procedura 1. Scaricare Trend Micro Performance Tuning Tool da: http://esupport.trendmicro.com/solution/en-us/1056425.aspx 2. Decomprimere TMPerfTool.zip per estrarre TMPerfTool.exe. 3. Posizionare TMPerfTool.exe nella <Cartella di installazione dell'agente> o nella stessa cartella di TMBMCLI.dll. 4. Fare clic con il pulsante destro del mouse su TMPerfTool.exe e selezionare Esegui come amministratore. 5. Leggere e accettare il contratto per l'utente finale e fare clic su OK. 6. Fare clic su Analizza. 14-10 Gestione dell'agente OfficeScan FIGURA 14-1. Processo a elevato utilizzo delle risorse del sistema evidenziato Lo strumento inizia a controllare l'utilizzo della CPU e il caricamento degli eventi. I processi a elevato utilizzo delle risorse del sistema sono evidenziati in rosso. 7. Selezionare un processo a elevato utilizzo delle risorse del sistema e fare clic sul ). pulsante Aggiungi a elenco eccezioni (consenti) ( 8. Controllare se le prestazioni del sistema o dell'applicazione migliorano. 9. Se le prestazioni migliorano, selezionare di nuovo il processo e fare clic sul pulsante Rimuovi da elenco eccezioni ( ). 10. Se c'è un nuovo calo delle prestazioni, eseguire le operazioni di seguito: a. Prendere nota del nome dell'applicazione. b. Fare clic su Interrompi. c. Fare clic sul pulsante Genera segnalazione ( ) e salvare il file .xml. 14-11 Guida per l'amministratore di OfficeScan™ 11.0 d. Esaminare le applicazioni identificate come in conflitto e aggiungerle all'elenco eccezioni del monitoraggio del comportamento. Per i dettagli, consultare Elenco eccezioni Monitoraggio del comportamento a pagina 8-6. Riavvio dei servizi dell'agente OfficeScan OfficeScan riavvia i servizi degli agenti OfficeScan che improvvisamente non rispondono senza essere stati interrotti da un processo di sistema normale. Per ulteriori informazioni sui servizi degli agenti, vedere Servizi dell'agente OfficeScan a pagina 14-7. Configurare le impostazioni necessarie per consentire il riavvio dei servizi degli agenti OfficeScan. Configurazione delle impostazioni del servizio di riavvio Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Riavvia Servizio OfficeScan. 3. Selezionare Riavvia automaticamente il servizio agente OfficeScan se viene interrotto in modo imprevisto. 4. Configurare gli elementi riportati di seguito. 14-12 • Riavvia servizio dopo __ minuti: specificare l'intervallo di tempo (in minuti) che deve trascorrere prima che OfficeScan riavvii un servizio. • Se il primo tentativo di riavviare il servizio non riesce, riprovare __ volte: specificare il numero massimo di tentativi di riavviare il servizio. Se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, riavviarlo manualmente. • Azzera il conteggio dei riavvii non riusciti dopo __ ore: se un servizio rimane interrotto dopo il numero massimo di tentativi di riavvio, OfficeScan attende alcune ore prima di azzerare il conteggio dei riavvii non riusciti. Se un Gestione dell'agente OfficeScan servizio rimane interrotto dopo il numero di ore specificato, OfficeScan riavvia il servizio. Protezione automatica dell'agente OfficeScan La protezione automatica dell'agente OfficeScan consente all'agente OfficeScan di proteggere i processi e le altre risorse necessarie per il corretto funzionamento. La protezione automatica dell'agente contribuisce a impedire i tentativi di programmi o di utenti di disattivare la protezione contro le minacce informatiche. La protezione automatica dell'agente OfficeScan fornisce le seguenti opzioni: • Proteggi i servizi dell'agente OfficeScan a pagina 14-14 • Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15 • Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16 • Proteggi i processi dell'agente OfficeScan a pagina 14-16 Configurazione delle impostazioni di protezione automatica dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Protezione automatica dell'agente OfficeScan. 5. Attivare le seguenti opzioni: ) per includere • Proteggi i servizi dell'agente OfficeScan a pagina 14-14 • Proteggi i file nella cartella d'installazione dell'agente OfficeScan a pagina 14-15 14-13 Guida per l'amministratore di OfficeScan™ 11.0 6. • Proteggi le chiavi di registro dell'agente OfficeScan a pagina 14-16 • Proteggi i processi dell'agente OfficeScan a pagina 14-16 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Proteggi i servizi dell'agente OfficeScan OfficeScan blocca tutti i tentativi di interrompere i servizi dell'agente OfficeScan riportati di seguito: • OfficeScan NT Listener (TmListen.exe) • Scansione in tempo reale OfficeScanNT (NTRtScan.exe) • OfficeScan NT Proxy Service (TmProxy.exe) • OfficeScan NT Firewall (TmPfw.exe) • Servizio Protezione dati OfficeScan (dsagent.exe) • Servizio prevenzione modifiche non autorizzate di Trend Micro (TMBMSRV.exe) Nota Se questa opzione è attivata, OfficeScan può impedire l'installazione di prodotti di terzi sugli dispositivo. Se si verifica questo problema, è possibile disattivare temporaneamente l'opzione, quindi riattivarla dopo aver installato il prodotto di terzi. • 14-14 Framework soluzione client comune Trend Micro (TmCCSF.exe) Gestione dell'agente OfficeScan Proteggi i file nella cartella d'installazione dell'agente OfficeScan Per impedire ad altri programmi e anche all'utente di modificare o eliminare i file dell'agente OfficeScan, OfficeScan blocca i file seguenti nella <Cartella di installazione dell'agente> principale: • Tutti i file con firma digitale con estensione .exe, .dll e .sys • Alcuni file senza firma digitale, compresi i seguenti: • bspatch.exe • bzip2.exe • INETWH32.dll • libcurl.dll • libeay32.dll • libMsgUtilExt.mt.dll • msvcm80.dll • MSVCP60.DLL • msvcp80.dll • msvcr80.dll • OfceSCV.dll • OFCESCVPack.exe • patchbld.dll • patchw32.dll • patchw64.dll • PiReg.exe • ssleay32.dll 14-15 Guida per l'amministratore di OfficeScan™ 11.0 • Tmeng.dll • TMNotify.dll • zlibwapi.dll Proteggi le chiavi di registro dell'agente OfficeScan OfficeScan blocca tutti i tentativi di modificare, eliminare o aggiungere nuove voci nelle chiavi e sottochiavi di registro riportate di seguito: • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp \CurrentVersion • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Osprey • HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\AMSP Proteggi i processi dell'agente OfficeScan OfficeScan blocca tutti i tentativi di terminare i processi riportati di seguito: • TmListen.exe: Riceve comandi e notifiche dal server OfficeScan e facilita la comunicazione dall'agente OfficeScan al server • NTRtScan.exe: esegue la scansione in tempo reale, pianificata e manuale sugli agenti OfficeScan • TmProxy.exe: esegue la scansione del traffico di rete prima di passarlo all'applicazione di destinazione • TmPfw.exe: fornisce funzioni di firewall a livello di pacchetti, scansione di virus di rete e rilevamento intrusioni • TMBMSRV.exe: regola l'accesso ai dispositivi di memorizzazione esterni e impedisce le modiche non autorizzate alle chiavi di registro e ai processi • DSAgent.exe: effettua il monitoraggio della trasmissione dei dati sensibili e controlla l'accesso ai dispositivi 14-16 Gestione dell'agente OfficeScan • PccNTMon.exe: Questo processo è responsabile dell'avvio della console dell'agente OfficeScan • TmCCSF.exe: esegue Prevenzione minaccia browser e la scansione della memoria Sicurezza agente OfficeScan Selezionare una delle due impostazioni di sicurezza per controllare l'accesso degli utenti alla directory di installazione dell'agente OfficeScan e alle impostazioni di registro. Controllo dell'accesso alla directory di installazione dell'agente OfficeScan e alle chiavi di registro Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Impostazioni di sicurezza agente. 5. Selezionare una delle autorizzazioni di accesso riportate di seguito: ) per includere • Alto: la directory di installazione dell'agente OfficeScan eredita i diritti della cartella Programmi e le voci di registro dell'agente OfficeScan ereditano le autorizzazioni della chiave HKLM\Software. Per la maggior parte delle configurazioni Active Directory, questo limita automaticamente gli utenti "normali" (senza privilegi di amministratore) all'accesso in sola lettura. • Normale: questa autorizzazione concede a tutti gli utenti (gruppo utenti "Tutti") tutti i diritti alla directory del programma agente OfficeScan e alle voci di registro dell'agente OfficeScan. 14-17 Guida per l'amministratore di OfficeScan™ 11.0 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Restrizione di accesso console agente OfficeScan Questa impostazione disattiva l'accesso alla console dell'agente OfficeScan dalla barra delle applicazioni o dal menu Start di Windows. Gli utenti possono accedere alla console dell'agente OfficeScan soltanto facendo clic su PccNTMon.exe dalla <Cartella di installazione dell'agente>. Dopo aver configurato questa impostazione, caricare di nuovo l'agente OfficeScan per applicarla. Questa impostazione non disattiva l'agente OfficeScan. L'agente OfficeScan è attivo in background e continua a fornire protezione contro i rischi per la sicurezza. Restrizione dell'accesso alla console dell'agente OfficeScan Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Fare clic sulla scheda Altre impostazioni e accedere alla sezione Restrizione di accesso agente OfficeScan. 14-18 ) per includere Gestione dell'agente OfficeScan 5. Selezionare Impedisce agli utenti di accedere alla console agente OfficeScan dalla barra delle applicazioni o dal menu Start di Windows. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Rimozione e sblocco dell'agente OfficeScan Il privilegio di rimozione e sblocco dell'agente OfficeScan consente agli utenti di interrompere l'agente OfficeScan o di accedere alle funzioni avanzate della console Web con o senza password. Concessione del privilegio di rimozione e sblocco dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Rimuovi e sblocca. 5. Per consentire la rimozione dell'agente OfficeScan senza una password, selezionare Password non richiesta. ) per includere 14-19 Guida per l'amministratore di OfficeScan™ 11.0 • 6. Se è necessaria una password, selezionare Richiedi una password, digitare la password e confermarla. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Privilegio di roaming dell'agente OfficeScan Assegnare a determinati utenti il privilegio di roaming dell'agente OfficeScan se eventi agente-server interferiscono con le attività degli utenti. Ad esempio, un utente che fa spesso presentazioni può attivare la modalità roaming prima di iniziare una presentazione per impedire al server OfficeScan di implementare le impostazioni dell'agente OfficeScan e di avviare le scansioni sull'agente OfficeScan. Se gli agenti sono in modalità roaming: • Gli agenti OfficeScan non inviano registri al server OfficeScan, neppure se è presente una connessione funzionante tra il server e gli agenti. • Il server OfficeScan non avvia operazioni né implementa le impostazioni dell'agente OfficeScan sugli agenti, neppure se è presente una connessione funzionante tra il server e gli agenti. • Gli agenti OfficeScan aggiornano i componenti se sono in grado collegarsi a una delle loro origini di aggiornamento. Le origini sono il server OfficeScan, gli Update Agents oppure un origine di aggiornamento personalizzata. Gli eventi seguenti attivano un aggiornamento sugli agenti in roaming: • 14-20 L'utente esegue un aggiornamento manuale. Gestione dell'agente OfficeScan • Viene eseguito l'aggiornamento automatico dell'agente. È possibile disattivare l'aggiornamento automatico dell'agente sugli agenti in roaming. Per ulteriori dettagli, vedere Disattivazione dell'aggiornamento automatico dell'agente negli agenti in roaming a pagina 14-22. • Viene eseguito l'aggiornamento pianificato. Solo gli agenti con i privilegi richiesti possono eseguire aggiornamenti pianificati. È possibile revocare questo privilegio in qualsiasi momento. Per ulteriori dettagli, vedere Revoca dei privilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming a pagina 14-22. Assegnazione dei privilegi di roaming dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Roaming. 5. Selezionare Attiva modalità roaming. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per includere • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 14-21 Guida per l'amministratore di OfficeScan™ 11.0 Disattivazione dell'aggiornamento automatico dell'agente negli agenti in roaming Procedura 1. Accedere a Aggiornamenti > Agenti > Aggiornamento automatico. 2. Passare alla sezione Aggiornamento provocato da un evento. 3. Disattivare Includi agenti in roaming e offline. Nota Questa opzione viene disattivata automaticamente se si disattiva Avvia l'aggiornamento dei componenti degli agenti subito dopo che il server OfficeScan ha scaricato un nuovo componente. Revoca dei privilegi per l'aggiornamento pianificato negli agenti OfficeScan in roaming Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura agente, fare clic sull'icona del dominio root ( domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, passare alla sezione Privilegi aggiornamento componenti . 5. Deselezionare l'opzione Attiva/Disattiva aggiornamenti pianificati. 6. Fare clic su Salva. 14-22 ) oppure selezionare Gestione dell'agente OfficeScan Agent Mover Se nella rete in uso sono presenti più server OfficeScan, utilizzare lo strumento Agent Mover per trasferire gli agenti OfficeScan da un server OfficeScan a un altro. Questo strumento si rivela particolarmente utile quando, dopo avere aggiunto un nuovo server OfficeScan alla rete, si desidera trasferire gli agenti OfficeScan esistenti al nuovo server. Nota I due server devono avere la stessa versione di lingua. Se si usa Agent Mover per spostare un agente OfficeScan con una versione precedente in un server della versione corrente, la versione dell'agente OfficeScan sarà aggiornata automaticamente. Assicurarsi che l'account usato abbia gli strumenti di amministratore prima di usare questo strumento. Esecuzione di Agent Mover Procedura 1. Nel server OfficeScan, accedere a <Cartella di installazione del server>\PCCSRV \Admin\Utility\IpXfer. 2. Copiare IpXfer.exe nell'dispositivo agente OfficeScan. Se l'dispositivo agente OfficeScan esegue una piattaforma di tipo x64, copiare invece IpXfer_x64.exe. 3. Nell'dispositivo agente OfficeScan, aprire un prompt dei comandi e accedere alla cartella nella quale è stato copiato il file eseguibile. 4. Eseguire Agent Mover utilizzando la sintassi riportata di seguito. <nome file eseguibile> -s <nome server> -p <porta di ascolto del server> -c <porta di ascolto dell'agente> -d <dominio o gerarchia dominio> 14-23 Guida per l'amministratore di OfficeScan™ 11.0 TABELLA 14-3. Parametri di Agent Mover PARAMETRO SPIEGAZIONE <nome file eseguibile> IpXfer.exe oppure IpXfer_x64.exe -s <nome server> Il nome del server OfficeScan di destinazione (il server in cui verrà trasferito l'agente OfficeScan) -p <porta di ascolto del server> La porta di ascolto (o porta affidabile) del server OfficeScan di destinazione. Per visualizzare la porta di ascolto della console Web OfficeScan, fare clic su Amministrazione > Impostazioni > Connessione agente nel menu principale. -c <porta di ascolto dell'agente> Il numero della porta usata dall'dispositivo agente OfficeScan per comunicare con il server -d <dominio o gerarchia dominio> Il dominio o sottodominio della struttura agente in cui viene raggruppato l'agente. La gerarchia di domini deve indicare il sottodominio. -e <nome file e posizione del certificato> Importa un nuovo certificato di autenticazione per l'agente OfficeScan durante il processo di spostamento. Se non viene usato questo parametro, l'agente OfficeScan recupera automaticamente il certificato di autenticazione corrente dal suo server di gestione nuovo. Nota La posizione predefinita del certificato nel server OfficeScan è: <Cartella di installazione del server>\PCCSRV \Pccnt\Common\OfcNTCer.dat. Quando viene usato un certificato da un'origine diversa da OfficeScan, assicurarsi che certificato sia in formato DER (Distinguished Encoding Rules). Esempi: 14-24 Gestione dell'agente OfficeScan ipXfer.exe -s Server01 -p 8080 -c 21112 -d Gruppo di lavoro ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Gruppo di lavoro\Gruppo01 5. Per confermare che ora l'agente OfficeScan invia le notifiche all'altro server, effettuare le seguenti operazioni: a. Nell'dispositivo agente OfficeScan, fare clic con il pulsante destro del mouse sull'icona del programma agente OfficeScan nella barra delle applicazioni. b. Selezionare Versioni componenti. c. Verificare il server OfficeScan a cui fa riferimento l'agente OfficeScan nel campo Nome server/porta. Nota Se l'agente OfficeScan non viene visualizzato nella struttura agente del nuovo server OfficeScan che lo gestisce, riavviare il servizio principale del server (ofservice.exe). Agenti OfficeScan inattivi Se per rimuovere un agente OfficeScan dagli dispositivo si utilizza il programma di disinstallazione dell'agente OfficeScan, il programma invia automaticamente una notifica al server. Quando il server riceve la notifica, l'icona dell'agente OfficeScan viene rimossa dalla struttura agente per indicare che l'agente non esiste più. Se tuttavia l'agente OfficeScan viene rimosso con altri metodi, ad esempio riformattando il disco rigido dell'dispositivo oppure eliminando manualmente i file dell'agente OfficeScan, OfficeScan non rileva la rimozione dell'agente OfficeScan, che viene quindi visualizzato come inattivo. Se un utente rimuove o disattiva l'agente OfficeScan per un periodo di tempo prolungato, anche il server visualizza l'agente OfficeScan come inattivo. Per fare in modo che la struttura agente visualizzi soltanto gli agenti attivi, configurare OfficeScan in modo tale che rimuova automaticamente gli agenti inattivi dalla struttura agente. 14-25 Guida per l'amministratore di OfficeScan™ 11.0 Rimozione automatica degli agenti inattivi Procedura 1. Accedere a Amministrazione > Impostazioni > Agenti inattivi. 2. Selezionare Attiva rimozione automatica degli agenti inattivi. 3. Selezionare il numero di giorni che devono trascorrere prima che OfficeScan consideri inattivo un agente OfficeScan. 4. Fare clic su Salva. Connessione agente-server L'agente OfficeScan deve mantenere una connessione continua al server principale in modo da poter aggiornare i componenti, ricevere le notifiche e applicare tempestivamente le modifiche alla configurazione. I seguenti argomenti illustrano come controllare lo stato della connessione dell'agente OfficeScan e risolvere i problemi di connessione: • Indirizzi IP dell'agente a pagina 5-10 • Icone dell'agente OfficeScan a pagina 14-26 • Verifica della connessione agente-server a pagina 14-43 • Registri di verifica connessione a pagina 14-44 • Agenti non raggiungibili a pagina 14-45 Icone dell'agente OfficeScan L'icona dell'agente OfficeScan sulla barra delle applicazioni offre suggerimenti visivi che indicano lo stato corrente dell'agente OfficeScan e chiedono agli utenti di eseguire determinate azioni. In qualsiasi momento, l'icona mostra una combinazione dei seguenti suggerimenti visivi. 14-26 Gestione dell'agente OfficeScan TABELLA 14-4. Stato dell'agente OfficeScan indicato dall'icona dell'agente OfficeScan STATO AGENTE Connession e dell'agente al server OfficeScan DESCRIZIONE SUGGERIMENTO VISIVO Gli agenti online sono connessi al server OfficeScan. Il server può avviare attività e implementare impostazioni su questi agenti L'icona contiene un simbolo che somiglia a un battito cardiaco (Heartbeat). Gli agenti offline vengono disconnessi dal server OfficeScan. Il server non è in grado di gestire questi agenti. L'icona contiene un simbolo che somiglia alla perdita di un battito cardiaco (Hearbeat). Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Un agente può essere offline anche se è connesso alla rete. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-40. Gli agenti in roaming possono essere in grado di comunicare con il server OfficeScan oppure no. L'icona contiene i simboli del desktop e del segnale. Il colore di sfondo è una tonalità di blu o rosso, a seconda dello stato del servizio scansione in tempo reale. Per ulteriori informazioni sugli agenti in roaming, vedere Privilegio di roaming dell'agente OfficeScan a pagina 14-20. 14-27 Guida per l'amministratore di OfficeScan™ 11.0 STATO AGENTE Disponibilità di origini Smart Protection DESCRIZIONE SUGGERIMENTO VISIVO Le origini Smart Protection comprendono gli Smart Protection Server e Trend Micro Smart Protection Network. L'icona comprende un segno di spunta se è disponibile un'origine Smart Protection. Gli agenti con scansione convenzionale si collegano alle origini Smart Protection per le query di reputazione Web. L'icona comprende una barra di avanzamento se non sono disponibili origini Smart Protection e l'agente sta tentando di stabilire la connessione alle origini. Gli agenti Smart Scan si collegano alle origini Smart Protection per le query di scansione e reputazione Web. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-40. Per gli agenti con scansione convenzionale, non viene visualizzato alcun segno di spunta o una barra di avanzamento se la reputazione Web è stata disattivata nell'agente. 14-28 Gestione dell'agente OfficeScan STATO AGENTE Stato servizio scansione in tempo reale DESCRIZIONE OfficeScan utilizza il servizio di scansione in tempo reale non solo per la scansione in tempo reale, ma anche per la scansione manuale e pianificata. Il servizio deve essere funzionante per evitare di esporre l'agente a rischi per la sicurezza. SUGGERIMENTO VISIVO Se il servizio scansione in tempo reale è funzionante, tutta l'icona è ombreggiata di colore blu. Due tonalità di blu vengono usate per indicare il metodo di scansione dell'agente. • Per la scansione convenzionale: • Per Smart Scan: Se il servizio scansione in tempo reale è stato disattivato o non è funzionante, l'intera icona è ombreggiata di colore rosso. Due tonalità di rosso vengono usate per indicare il metodo di scansione dell'agente. • Per la scansione convenzionale: • Per Smart Scan: Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-40. 14-29 Guida per l'amministratore di OfficeScan™ 11.0 STATO AGENTE Stato scansione in tempo reale DESCRIZIONE La scansione in tempo reale offre la protezione proattiva effettuando la scansione dei file per identificare rischi per la sicurezza mentre vengono creati, modificati o recuperati. SUGGERIMENTO VISIVO Non ci sono suggerimenti visivi se è abilitata la scansione in tempo reale. Se la scansione in tempo reale è disabilitata, l'intera icona è circondata da un cerchio rosso e contiene una linea diagonale rossa. Per ulteriori informazioni su questo problema, vedere Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan a pagina 14-40. Stato aggiorname nto pattern Gli agenti devono aggiornare il pattern regolarmente per proteggere l'agente dalle minacce più recenti. Non ci sono suggerimenti visivi se il pattern è aggiornato o leggermente non aggiornato. L'icona comprende un punto esclamativo se il pattern è obsoleto. Significa che il pattern non è stato aggiornato recentemente. Per ulteriori informazioni sulle modalità di aggiornamento degli agenti, vedere Aggiornamenti agente OfficeScan a pagina 6-30. Icone Smart Scan Quando gli agenti OfficeScan usano la scansione smart scan, viene visualizzata una delle seguenti icone. 14-30 Gestione dell'agente OfficeScan TABELLA 14-5. Icone Smart Scan CONNESSION ICONA E AL SERVER OFFICESCAN DISPONIBILITÀ DI ORIGINI SMART PROTECTION SERVIZIO SCANSIONE IN TEMPO REALE SCANSIONE IN TEMPO REALE Online Disponibili Funzionante Attivato Online Disponibili Funzionante Disattivato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Offline Disponibili Funzionante Attivato Offline Disponibili Funzionante Disattivato Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato 14-31 Guida per l'amministratore di OfficeScan™ 11.0 CONNESSION ICONA E AL SERVER OFFICESCAN DISPONIBILITÀ DI ORIGINI SMART PROTECTION SERVIZIO SCANSIONE IN TEMPO REALE SCANSIONE IN TEMPO REALE Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Roaming Disponibili Funzionante Attivato Roaming Disponibili Funzionante Disattivato Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Icone scansione convenzionale Quando gli agenti OfficeScan usano la scansione convenzionale, viene visualizzata una delle seguenti icone. 14-32 Gestione dell'agente OfficeScan TABELLA 14-6. Icone scansione convenzionale CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION Online Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Attivato Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Online Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Online Disponibili Funzionante Disattivato Obsoleto Online Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto 14-33 Guida per l'amministratore di OfficeScan™ 11.0 CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION 14-34 Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Online Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Attivato Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Gestione dell'agente OfficeScan CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION Offline Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Offline Disponibili Funzionante Disattivato Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto 14-35 Guida per l'amministratore di OfficeScan™ 11.0 CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION 14-36 Roaming Disponibili Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Attivato Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Attivato Obsoleto Roaming Disponibili Funzionante Disattivato Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Aggiornato o leggermente non aggiornato Roaming Disponibili Funzionante Disattivato Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Funzionante Disattivato Obsoleto Gestione dell'agente OfficeScan CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Disponibili Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non disponibile, nuova connessione alle origini in corso Disattivato o non funzionante Disattivato o non funzionante Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Aggiornato o leggermente non aggiornato 14-37 Guida per l'amministratore di OfficeScan™ 11.0 CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION 14-38 Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Obsoleto Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Online Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Aggiornato o leggermente non aggiornato Gestione dell'agente OfficeScan CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Obsoleto Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Offline Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Aggiornato o leggermente non aggiornato Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Attivato Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Aggiornato o leggermente non aggiornato 14-39 Guida per l'amministratore di OfficeScan™ 11.0 CONNESSION ICONA SERVIZI DI WEB REPUTAZIONE SERVIZIO E AL SERVER FORNITI DALLE SCANSIONE IN OFFICESCAN ORIGINI SMART TEMPO REALE SCANSIONE IN PATTERN DEI TEMPO REALE VIRUS PROTECTION Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Funzionante Disattivato Obsoleto Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Aggiornato o leggermente non aggiornato Roaming Non applicabile (funzione di reputazione Web disattivata sull'agente) Disattivato o non funzionante Disattivato o non funzionante Obsoleto Soluzioni ai problemi riportati nelle icone dell'agente OfficeScan Se l'icona dell'agente OfficeScan indica una delle seguenti condizioni, eseguire le azioni necessarie: CONDIZIONE Il file di pattern non è stato aggiornato recentemente 14-40 DESCRIZIONE Gli utenti dell'agente OfficeScan devono aggiornare i componenti. Dalla console Web, configurare le impostazioni di aggiornamento dei componenti in Aggiornamenti > Agenti > Aggiornamento automatico oppure concedere agli utenti i privilegi per l'aggiornamento in Agenti > Gestione agente > Impostazioni > Privilegi e altre impostazioni > Privilegi > Privilegi aggiornamento componenti. Gestione dell'agente OfficeScan CONDIZIONE DESCRIZIONE Servizio scansione in tempo reale è stato disattivato o non è funzionante Se Servizio scansione in tempo reale (Scansione in tempo reale OfficeScan NT) è stato disattivato o non è funzionante, gli utenti devono avviare il servizio manualmente da Microsoft Management Console. Scansione in tempo reale disattivata Attivare la scansione in tempo reale dalla console Web (Agenti > Gestione client > Impostazioni > Impostazioni di scansione > Impostazioni scansione in tempo reale). La scansione in tempo reale è stata disattivata e l'agente OfficeScan è in modalità roaming Gli utenti devono disattivare la modalità roaming. Dopo aver disattivato la modalità roaming, attivare la scansione in tempo reale dalla console Web. Un agente OfficeScan è connesso alla rete ma risulta offline. Verificare la connessione tramite la console Web (Registri > Agenti > Verifica connessione) e controllare i registri di verifica della connessione (Registri > Agenti > Verifica connessione) Se dopo la verifica, l'agente OfficeScan è ancora offline: 1. Se lo stato della connessione è offline sia nel server che nell'agente OfficeScan, verificare la connessione di rete. 2. Se lo stato della connessione dell'agente OfficeScan è offline ma online sul server, il nome di dominio del server potrebbe essere stato modificato e l'agente OfficeScan continua a collegarsi al server usando il nome di dominio (se è stato selezionato nome di dominio durante l'installazione del server). Registrare il nome di dominio del server OfficeScan nel server DNS o WINS o aggiungere il nome di dominio e le informazioni IP nei file "hosts" della cartella <cartella Windows>\system32\drivers\etc dell'dispositivo agente. 3. Se lo stato della connessione dell'agente OfficeScan è online ma offline sul server, verificare le impostazioni del firewall OfficeScan. Il firewall potrebbe bloccare la comunicazione dal server all'agente, ma consentire quella dall'agente al server. 4. Se lo stato della connessione dell'agente OfficeScan è online ma offline sul server, è possibile che l'indirizzo IP dell'agente OfficeScan sia stato modificato, ma che il suo stato non sia aggiornato sul server (ad esempio, al caricamento 14-41 Guida per l'amministratore di OfficeScan™ 11.0 CONDIZIONE DESCRIZIONE dell'agente). Provare a implementare di nuovo l'agente OfficeScan. Origini Smart Protection non disponibili Se un agente perde la connessione alle origini Smart Protection, effettuare queste operazioni: 1. 2. 3. 4. Nella console Web, accedere alla schermata Posizione dispositivo (Agenti > Posizione dispositivo) e controllare se sono state configurate correttamente le seguenti impostazioni della posizione dell'dispositivo: • Server di riferimento e numeri di porta • Indirizzi IP gateway Nella console Web, accedere alla schermata Origine Smart Protection (Amministrazione > Smart Protection > Origini Smart Protection), quindi effettuare le seguenti operazioni: a. Verificare se le impostazioni dello Smart Protection Server nell'elenco standard o personalizzato delle origini sono corrette. b. Verificare se la connessione ai server riesce. c. Fare clic su Invia una notifica tutti gli agenti dopo aver configurato l'elenco delle origini. Verificare che i seguenti file di configurazione presenti in Smart Protection Server e nell'agente OfficeScan siano sincronizzati. • sscfg.ini • ssnotify.ini Aprire l'editor del Registro di sistema e verificare che l'agente sia connesso alla rete aziendale. Chiave: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\iCRC Scan\Scan Server • 14-42 Se LocationProfile=1, l'agente OfficeScan è connesso alla rete e dovrebbe essere in grado di collegarsi a Smart Protection Server. Gestione dell'agente OfficeScan CONDIZIONE DESCRIZIONE • Se LocationProfile=2, l'agente OfficeScan non è connesso alla rete e dovrebbe connettersi a Smart Protection Network. Da Internet Explorer, verificare se l'dispositivo agente OfficeScan è in grado di accedere alle pagine Web su Internet. 5. Verificare le impostazioni del proxy interno ed esterno utilizzate per connettersi a Smart Protection Network e agli Smart Protection Server. Per i dettagli, consultare Proxy interno per gli agenti OfficeScan a pagina 14-50 e Proxy esterno per gli agenti OfficeScan a pagina 14-51. 6. Per gli agenti con Scansione convenzionale, verificare che OfficeScan NT Proxy Service (TmProxy.exe) sia in esecuzione. Se questo servizio viene interrotto, gli agenti non sono in grado di connettersi alle origini Smart Protection per la reputazione Web. Verifica della connessione agente-server Lo stato della connessione dell'agente con il server OfficeScan viene visualizzato nella struttura agente della console Web OfficeScan. FIGURA 14-2. Nella struttura agente viene visualizzato lo stato della connessione dell'agente con il server OfficeScan Alcune condizioni potrebbero impedire alla struttura agente di visualizzare correttamente lo stato della connessione dell'agente. Se, ad esempio, il cavo della rete 14-43 Guida per l'amministratore di OfficeScan™ 11.0 dell'dispositivo agente viene involontariamente scollegato, l'agente non sarà in grado di notificare al server di essere offline. Il client verrà pertanto visualizzato ancora come online nella struttura agente. Verificare la connessione agente-server manualmente o eseguire la verifica pianificata mediante OfficeScan. Non è possibile verificare lo stato di connessione di domini o agenti specifici. OfficeScan verifica lo stato di connessione di tutti gli agenti registrati. Verifica delle connessioni tra server e agente Procedura 1. Accedere a Registri > Agenti > Verifica connessione. 2. Per verificare la connessione agente-server manualmente, accedere alla scheda Verifica manuale e fare clic su Verifica ora. 3. Per verificare la connessione tra agente-server automaticamente, accedere alla scheda Verifica pianificata. 4. a. Selezionare Attiva la verifica pianificata. b. Selezionare la frequenza e l'ora di inizio della verifica. c. Fare clic su Salva per salvare la pianificazione della verifica. Controllare la struttura agente per verificare lo stato o visualizzare i registri di verifica della connessione. Registri di verifica connessione OfficeScan mantiene dei registri di verifica della connessione per consentire di determinare se il server OfficeScan è in grado di comunicare con tutti gli agenti registrati. OfficeScan crea una voce di registro ogni volta che si effettua una verifica della connessione agente-server dalla console Web. Per evitare che le dimensioni dei registri occupino troppo spazio nel disco rigido, eliminare i registri manualmente oppure configurare una pianificazione per eliminarli. 14-44 Gestione dell'agente OfficeScan Per ulteriori informazioni sulla gestione dei registri, vedere Gestione dei registri a pagina 13-34. Visualizzazione dei registri di verifica connessione Procedura 1. Accedere a Registri > Agenti > Verifica connessione. 2. I risultati della verifica della connessione sono contenuti all'interno della colonna Stato. 3. Per salvare i registri in un file CSV (comma-separated value), fare clic su Esporta in CSV. Aprire il file o salvarlo in una posizione specifica. Agenti non raggiungibili Gli agenti OfficeScan su reti non raggiungibili, come ad esempio quelli sui segmenti di rete dietro un gateway NAT, sono quasi sempre offline perché il server non riesce a stabilire una connessione diretta con gli agenti. Di conseguenza, il server non è in grado di inviare notifiche agli agenti per: • Scaricare la versione più recente dei componenti. • Applicare le impostazioni degli agenti configurate dalla console Web. Ad esempio, quando si modifica la frequenza della Scansione pianificata dalla console Web, il server invia immediatamente una notifica agli agenti per applicare la nuova impostazione. Gli agenti non raggiungibili quindi non sono in grado di eseguire queste attività tempestivamente. Eseguono queste attività solo quando si connettono al server, ovvero quando: • Eseguono la registrazione sul server dopo l'installazione. • Eseguono il riavvio o il ricaricamento. Questo evento non si verifica frequentemente e in genere richiede l'intervento dell'utente. 14-45 Guida per l'amministratore di OfficeScan™ 11.0 • L'aggiornamento manuale o pianificato viene attivato nell'agente. Anche questo evento non si verifica frequentemente. Solo durante la registrazione, il riavvio o il ricaricamento, il server "rileva" la connettività degli agenti e li considera online. Tuttavia, poiché il server non è ancora è in grado di stabilire una connessione con gli agenti, il server cambia immediatamente lo stato su offline. OfficeScan fornisce le funzioni di "heartbeat" e di polling del server per risolvere i problemi riguardanti gli agenti non raggiungibili. Con queste funzioni, il server interrompe la notifica agli agenti degli aggiornamenti dei componenti e delle modifiche delle impostazioni. Il server assume invece un ruolo passivo, rimanendo in attesa dell'invio di heartbeat o dell'avvio di polling da parte degli agenti. Quando rileva uno di questi eventi, il server considera gli agenti come online. Nota Eventi iniziati dagli agenti e non correlati a heartbeat e polling del server, come l'aggiornamento manuale degli agenti e l'invio del registro, non determinano l'aggiornamento dello stato degli agenti non raggiungibili da parte del server. Heartbeat Gli agenti OfficeScan inviano messaggi heartbeat per notificare al server che la connessione dell'agente è funzionante. Quando riceve un messaggio heartbeat, il server considera gli agenti come online. Nella struttura agente, lo stato dell'agente può essere uno dei seguenti: • Online: per agenti online normali • Non raggiungibile/Online: per agenti online nella rete non raggiungibile Nota Gli agenti OfficeScan non aggiornano i componenti né applicano nuove impostazioni quando inviano messaggi di heartbeat. Gli agenti normali eseguono queste operazioni durante gli aggiornamenti di routine (vedere Aggiornamenti agente OfficeScan a pagina 6-30). Gli agenti nella rete non raggiungibile eseguono queste operazioni durante il polling del server. 14-46 Gestione dell'agente OfficeScan La funzione di heartbeat consente di risolvere il problema degli agenti OfficeScan nelle reti non raggiungibili che risultano sempre offline, anche quando in realtà sono in grado di connettersi al server. Un'impostazione nella console Web controlla la frequenza di invio dei messaggi di heartbeat da parte degli agenti. Se non riceve heartbeat, il server non considera immediatamente l'agente come offline. Un'altra impostazione controlla il periodo di tempo senza heartbeat che deve trascorrere prima di cambiare lo stato dell'agente su: • Offline: per agenti OfficeScan offline normali • Non raggiungibile/Offline: per agenti OfficeScan offline nella rete non raggiungibile Nella scelta delle impostazioni di heartbeat più idonee, è consigliabile trovare il giusto compromesso tra l'esigenza di visualizzare le informazioni di stato aggiornate e le esigenze di gestione delle risorse di sistema. L'impostazione predefinita è adeguata per la maggior parte dei casi. Tuttavia, per la personalizzazione dell'impostazione dell'heartbeat, tenere conto di quanto segue: TABELLA 14-7. Impostazioni consigliate per Heartbeat FREQUENZA HEARTBEAT RACCOMANDAZIONE Intervalli di heartbeat lunghi (maggiori di 60 minuti) Più lungo è l'intervallo tra gli heartbeat, maggiore è il numero di eventi che possono verificarsi prima che il server aggiorni lo stato dell'agente nella console Web. Intervalli di Heartbeat brevi (minori di 60 minuti) Intervalli di tempo brevi consentono di mantenere lo stato dell'agente più aggiornato, ma richiedono un maggiore utilizzo dell'ampiezza di banda. Polling del server La funzione di polling del server consente di risolvere il problema degli agenti OfficeScan non raggiungibili che non ricevono tempestivamente le notifiche relative agli aggiornamenti dei componenti e alle modifiche alle impostazioni degli agenti. Questa funzione è indipendente dalla funzione di heartbeat. Con la funzione di polling del server: 14-47 Guida per l'amministratore di OfficeScan™ 11.0 • Gli agenti OfficeScan avviano automaticamente la connessione con il server OfficeScan a intervalli regolari. Quando il server rileva l'esecuzione del polling, considera l'agente come "Non raggiungibile/Online". • Gli agenti OfficeScan si connettono a una o più delle rispettive origini aggiornamenti per scaricare eventuali componenti aggiornati e applicare nuove impostazioni per gli agenti. Se l'origine aggiornamenti principale è il server OfficeScan o un Update Agent, gli agenti ottengono sia i componenti sia le nuove impostazioni. Se l'origine aggiornamenti non è il server OfficeScan o un Update Agent, gli agenti possono scaricare solo i componenti aggiornati e devono connettersi al server OfficeScan o all'Update Agent per ottenere le nuove impostazioni. Configurazione di heartbeat e funzioni di polling del server Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Rete non raggiungibile. 3. Configurare le impostazioni del polling del server. Per ulteriori informazioni sul polling del server, vedere Polling del server a pagina 14-47. a. Se il server OfficeScan ha sia l'indirizzo IPv4 sia l'indirizzo IPv6, è possibile digitare un intervallo di indirizzi IPv4 e il prefisso IPv6 e la lunghezza. Digitare un intervallo di indirizzi IPv4 se il server è un IPv4 puro, oppure un prefisso IPv6 e la lunghezza se il server è un IPv6 puro. Quando l'indirizzo IP di un agente corrisponde a un indirizzo IP dell'intervallo, l'agente applica le impostazioni relative al polling del server e all'heartbeat e considera l'agente come appartenente alla rete non raggiungibile. 14-48 Gestione dell'agente OfficeScan Nota Gli agenti con un indirizzo IPv4 possono connettersi a un IPv4 puro o a un server OfficeScan dual stack. Gli agenti con un indirizzo IPv6 possono connettersi a un IPv6 puro o a un server OfficeScan dual stack. Gli agenti dual-stack possono connettersi al server OfficeScan dual-stack, IPv4 puro o IPv6 puro. b. In Gli agenti eseguono il polling del server per le impostazioni e i componenti aggiornati ogni __ minuti, specificare la frequenza del polling del server. Digitare un valore compreso tra 1 e 129600 minuti. Suggerimento Trend Micro consiglia di impostare una frequenza di polling del server almeno tre volte superiore alla frequenza di invio di heartbeat. 4. Configurare le impostazioni Heartbeat. Per ulteriori informazioni sulla funzione Heartbeat, vedere Heartbeat a pagina 14-46. 5. a. Selezionare Consenti agli agenti di inviare heartbeat al server. b. Selezionare Tutti gli agenti o Solo gli agenti della rete non raggiungibile. c. In gli agenti inviano heartbeat ogni __ minuti, specificare la frequenza con la quale gli agenti inviano heartbeat. Digitare un valore compreso tra 1 e 129600 minuti. d. In L'agente è offline se non c'è heartbeat dopo __ minuti, specificare l'intervallo di tempo che deve trascorrere senza un heartbeat prima che il server OfficeScan consideri un agente come offline. Digitare un valore compreso tra 1 e 129600 minuti. Fare clic su Salva. 14-49 Guida per l'amministratore di OfficeScan™ 11.0 Impostazioni proxy agente OfficeScan Configurare gli agenti OfficeScan per utilizzare le impostazioni proxy durante la connessione a server interni ed esterni. Proxy interno per gli agenti OfficeScan Gli agenti OfficeScan possono utilizzare le impostazioni del proxy interno per connettersi ai server seguito presenti in rete: • Server OfficeScan Il computer server ospita il server OfficeScan e Integrated Smart Protection Server. Gli agenti OfficeScan si connettono al server OfficeScan per aggiornare i componenti, ottenere le impostazioni di configurazione e inviare i registri. Gli agenti OfficeScan si connettono a Integrated Smart Protection Server per inviare query sulla scansione. • Smart Protection Server Gli Smart Protection Server comprendono gli Smart Protection Server standalone e Integrated Smart Protection Server di altri server OfficeScan. Gli agenti OfficeScan si collegano ai server per inviare query di scansione e di reputazione Web. Configurazione delle impostazioni del proxy interno Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy interno. 3. Accedere alla sezione Connessione dell'agente al server OfficeScan. 14-50 a. Selezionare Utilizzare le seguenti impostazioni proxy quando gli agenti sono connessi al server OfficeScan. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. Gestione dell'agente OfficeScan Nota Specificare un server proxy dual stack identificato tramite il nome host se si utilizzano agenti IPv4 e IPv6. Le impostazioni del proxy interno sono, infatti, impostazioni globali. Se si specifica un indirizzo IPv4, gli agenti IPv6 non possono collegarsi al server proxy. Lo stesso vale per gli agenti IPv4. c. 4. 5. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Accedere alla sezione Connessione dell'agente con i Smart Protection Server standalone. a. Selezionare Utilizzare le seguenti impostazioni del proxy quando gli agenti sono collegati ai Smart Protection Server standalone. b. Specificare il nome o l'indirizzo IPv4/IPv6 e il numero di porta del server proxy. c. Se il server proxy richiede l'autenticazione, digitare il nome utente e la password e confermare la password. Fare clic su Salva. Proxy esterno per gli agenti OfficeScan Il server OfficeScan e l'agente OfficeScan possono utilizzare le impostazioni del proxy esterno durante la connessione ai server ospitati da Trend Micro. In questo argomento vengono illustrate le impostazioni del proxy esterno per gli agenti. Per informazioni sulle impostazioni del proxy esterno per il server, vedere Proxy per gli aggiornamenti del server OfficeScan a pagina 6-21. Per connettersi a Trend Micro Smart Protection Network, gli agenti OfficeScan utilizzano le impostazioni proxy configurate in Internet Explorer o Chrome. Se è richiesta l'autenticazione del server proxy, gli agenti utilizzano le credenziali di autenticazione del server proxy (ID utente e password). 14-51 Guida per l'amministratore di OfficeScan™ 11.0 Configurazione delle credenziali di autenticazione del server proxy Procedura 1. Accedere a Amministrazione > Impostazioni > Proxy. 2. Fare clic sulla scheda Proxy esterno. 3. Accedere alla sezione Connessione dell'agente OfficeScan con i server Trend Micro. 4. Inserire ID utente e password per l'autenticazione del server proxy. I protocolli di autenticazione proxy riportati di seguito sono supportati: 5. • Autenticazione con accesso di base • Autenticazione con accesso digest • Autenticazione integrata di Windows Fare clic su Salva. Privilegi di configurazione del proxy per gli agenti È possibile concedere agli utenti agente il privilegio di configurare le impostazioni proxy. Gli agenti OfficeScan utilizzano le impostazioni proxy configurate dall'utente solo nei seguenti casi: • Quando Gli agenti OfficeScan effettuano l'operazione "Aggiorna ora". • Quando gli utenti disattivano le impostazioni automatiche del proxy oppure gli agenti OfficeScan non sono in grado di rilevarle. Vedere Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-53 per ulteriori informazioni. 14-52 Gestione dell'agente OfficeScan AVVERTENZA! Impostazioni del proxy configurate in modo errato dall'utente possono causare problemi di aggiornamento. Prestare attenzione quando si consente agli utenti di configurare le proprie impostazioni proxy. Concessione dei privilegi di configurazione del proxy Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, accedere alla sezione Privilegi impostazioni proxy. 5. Selezionare Consente di configurare le impostazioni proxy. 6. Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: ) per includere • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. Impostazioni proxy automatiche per l'agente OfficeScan La configurazione manuale delle impostazioni proxy può rivelarsi un'operazione complessa per molti utenti finali. Utilizzare impostazioni proxy automatiche per 14-53 Guida per l'amministratore di OfficeScan™ 11.0 garantire l'applicazione di impostazioni proxy corrette senza bisogno dell'intervento dell'utente. Se attivate, le impostazioni proxy automatiche sono le impostazioni proxy principali quando gli agenti OfficeScan aggiornano i componenti attraverso l'aggiornamento automatico o Aggiorna ora. Per ulteriori informazioni sull'aggiornamento automatico o su Aggiorna ora, consultare Metodi di aggiornamento dell'agente OfficeScan a pagina 6-40. Se gli agenti OfficeScan non riescono a collegarsi utilizzando le impostazioni proxy automatiche, gli utenti degli agenti con i privilegi di configurazione delle impostazioni proxy possono utilizzare le impostazioni proxy configurate dall'utente. Altrimenti, la connessione attraverso le impostazioni proxy automatiche non riuscirà. Nota Autenticazione proxy non supportata. Configurazione delle impostazioni automatiche del proxy Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Passare alla sezione Configurazione proxy. 3. Selezionare Rileva automaticamente le impostazioni per consentire a OfficeScan di rilevare automaticamente le impostazioni proxy configurate dall'amministratore tramite DHCP o DNS. 4. Per consentire a OfficeScan di utilizzare lo script PAC (Proxy Auto-Configuration) impostato dall'amministratore di rete per rilevare il server proxy appropriato: 5. 14-54 a. Selezionare Usa lo script di configurazione automatica. b. Digitare l'indirizzo dello script PAC. Fare clic su Salva. Gestione dell'agente OfficeScan Visualizzazione delle informazioni dettagliate sull'agente OfficeScan La schermata Visualizza stato mostra importanti informazioni sugli agenti OfficeScan, come privilegi, informazioni sul software dell'agente ed eventi di sistema. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Stato. 4. Visualizzare le informazioni di stato espandendo il nome dell'dispositivo agente. Se sono stati selezionati più agenti, fare clic su Espandi tutti per visualizzare le informazioni di stato di tutti gli agenti selezionati. 5. (Facoltativo) I pulsanti Reimposta consentono di azzerare il conteggio dei rischi per la sicurezza. ) per includere Importazione ed esportazione delle impostazioni degli agenti OfficeScan consente di esportare le impostazioni della struttura agente che un agente OfficeScan o dominio specifico applica a un file. Il file può quindi essere importato per applicare le impostazioni ad altri agenti o domini o a un altro server OfficeScan della stessa versione. Verranno esportate tutte le impostazioni della struttura agente, ad eccezione delle impostazioni di Update Agent. 14-55 Guida per l'amministratore di OfficeScan™ 11.0 Esportazione delle impostazioni dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Esporta impostazioni. 4. Fare clic su uno dei collegamenti per visualizzare le impostazioni dell'agente OfficeScan o del dominio selezionato. 5. Fare clic su Esporta per salvare le impostazioni. ) per includere Le impostazioni vengono salvate in un file .dat. 6. Fare clic su Salva e specificare la posizione in cui salvare il file .dat. 7. Fare clic su Salva. Importazione delle impostazioni dell'agente Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Importa impostazioni. 4. Fare clic su Sfoglia per individuare il file .dat nell'dispositivo, quindi fare clic su Importa. ) per includere Viene visualizzata la schermata Importa impostazioni, che mostra un riepilogo delle impostazioni. 14-56 Gestione dell'agente OfficeScan 5. Fare clic su uno dei collegamenti per visualizzare i dettagli delle impostazioni di scansione o dei privilegi da importare. 6. Importare le impostazioni. • Se è stata selezionata l'icona del dominio principale, selezionare Applica a tutti i domini, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati i domini, selezionare Applica a tutti i computer che appartengono ai domini selezionati, quindi fare clic su Applica alla destinazione. • Se sono stati selezionati più agenti, fare clic su Applica alla destinazione. Conformità sicurezza Utilizzare Conformità sicurezza per determinare difetti, soluzioni di implementazione e mantenere l'infrastruttura di sicurezza. Questa funzione consente di ridurre i tempi richiesti per proteggere l'ambiente di rete offrendo alle organizzazioni il giusto equilibro tra sicurezza e funzionalità. La conformità di sicurezza può essere forzata sui due tipi di dispositivo riportati di seguito: • Gestiti: dispositivo con agenti OfficeScan gestiti dal server OfficeScan. Per i dettagli, consultare Conformità sicurezza per gli agenti gestiti a pagina 14-58. • Non gestiti: comprende i seguenti elementi: • Agenti OfficeScan non gestiti dal server OfficeScan • Dispositivo senza agenti OfficeScan installati • Dispositivo non raggiungibili dal server OfficeScan • Dispositivo il cui stato di sicurezza non può essere verificato Per i dettagli, consultare Conformità sicurezza per dispositivo non gestiti a pagina 14-70. 14-57 Guida per l'amministratore di OfficeScan™ 11.0 Conformità sicurezza per gli agenti gestiti Conformità sicurezza genera una Segnalazione conformità che facilita la valutazione dello stato di sicurezza degli agenti OfficeScan gestiti dal server OfficeScan. Conformità sicurezza genera la segnalazione su richiesta o secondo un programma. Nella scheda Valutazione manuale vengono visualizzate le informazioni riportate di seguito: • Servizi: usare questa scheda per verificare che i servizi degli agenti siano funzionanti. Per i dettagli, consultare Servizi a pagina 14-59. • Componenti: usare questa scheda per verificare che i componenti degli agenti siano aggiornati. Per i dettagli, consultare Componenti a pagina 14-60. • Compatibilità scansione: usare questa scheda per verificare che i client eseguano regolarmente le scansioni. Per i dettagli, consultare Compatibilità scansione a pagina 14-62. • Impostazioni: usare questa scheda per verificare che le impostazioni dell'agente siano coerenti con quelle del server. Per i dettagli, consultare Impostazioni a pagina 14-64. Nota La scheda Componenti può visualizzare gli agenti OfficeScan in cui è installata la versione corrente e precedente del prodotto. Per le altre schede, vengono visualizzati solo gli agenti OfficeScan con la versione 10.5, 10.6 o gli agenti OfficeScan. Note su Segnalazione conformità • Conformità sicurezza verifica lo stato di connessione degli agenti OfficeScan prima di generare una Segnalazione conformità. Nella segnalazione, include gli agenti online e offline ma non gli agenti in roaming. • Per account utente basati sui ruoli: • 14-58 Ciascun account utente della console Web dispone di un insieme completamente indipendente di impostazioni Segnalazione conformità. Eventuali modifiche alle impostazioni Segnalazione conformità di un account utente non hanno effetto sulle impostazioni degli altri account utente. Gestione dell'agente OfficeScan • L'ambito della segnalazione dipende dalle autorizzazioni di dominio dell'agente per l'account utente. Se, ad esempio, si assegnano a un account utente autorizzazioni per gestire i domini A e B, le segnalazioni dell'account utente mostrano solo i dati degli agenti che appartengono ai domini A e B. Per ulteriori informazioni sugli account utente, vedere Role-based Administration (RBA) a pagina 13-2. Servizi Conformità sicurezza controlla se i seguenti servizi dell'agente OfficeScan sono funzionanti: • Antivirus • Anti-spyware • Firewall • Reputazione Web • Monitoraggio del comportamento/Controllo dispositivo (detto anche Servizio prevenzione modifiche non autorizzate di Trend Micro) • Protezione dati • Connessione sospetta 14-59 Guida per l'amministratore di OfficeScan™ 11.0 Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 14-3. Segnalazione conformità - scheda Servizi • Nella categoria Dispositivo con servizi non conformi • Nella categoria per la quale l'agente OfficeScan non è conforme. Se, ad esempio, il servizio Antivirus dell'agente OfficeScan non è funzionante, l'agente viene contato nella categoria Antivirus. Se più servizi non sono funzionanti, l'agente viene contato in ciascuna categoria per la quale non è conforme. Riavviare i servizi non funzionanti dalla console Web o dall'agente OfficeScan. Se i servizi sono funzionanti dopo il riavvio, l'agente non viene più visualizzato come non conforme nella valutazione successiva. Componenti Conformità sicurezza consente di determinare le incoerenze delle versioni dei componenti tra il server OfficeScan e gli agenti OfficeScan. In genere le incoerenze si verificano quando gli agenti non riescono a connettersi al server per aggiornare i componenti. Se l'agente ottiene un aggiornamento da un'altra origine (ad esempio, dal 14-60 Gestione dell'agente OfficeScan server ActiveUpdate di Trend Micro), è possibile che la versione di un componente dell'agente sia più recente rispetto alla versione del server. Conformità sicurezza controlla i seguenti componenti: • Smart Scan Agent Pattern • Pattern dei virus • Pattern IntelliTrap • • Servizio principale monitoraggio del comportamento • Pattern di configurazione monitoraggio del comportamento Pattern eccezioni IntelliTrap • Digital Signature Pattern • Motore di scansione virus • Pattern implementazione dei criteri • Pattern spyware • Pattern rilevamento monitoraggio del comportamento • Pattern di monitoraggio attivo spyware • Elenco IP C&C • Motore di scansione spyware • Pattern regola di pertinenza • Modello disinfezione virus • Driver Early Boot Clean • Motore di disinfezione virus • Pattern avvio scansione memoria • Pattern comune firewall • Pattern ispezione memoria • Driver comune Firewall • Pattern prevenzione minaccia browser • Driver monitoraggio del comportamento • Pattern Script Analyzer • Versione del programma 14-61 Guida per l'amministratore di OfficeScan™ 11.0 Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 14-4. Segnalazione conformità - scheda Componenti • Nella categoria Computer con versioni di componenti diverse • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, la versione di Smart Scan Agent Pattern dell'agente è diversa da quella del server, l'agente viene contato nella categoria Smart Scan Agent Pattern. Se la versione di più di un componente non è coerente, l'agente viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze nelle versioni dei componenti, aggiornare i componenti obsoleti degli agenti o del server. Compatibilità scansione Conformità sicurezza controlla se le funzioni Esegui scansione e Scansione pianificata vengono eseguite regolarmente e se vengono completate in tempi ragionevoli. 14-62 Gestione dell'agente OfficeScan Nota Conformità sicurezza può segnalare lo stato di Scansione pianificata solo se Scansione pianificata è attivata sugli agenti. Conformità sicurezza usa i seguenti parametri di compatibilità scansione: • Non è stata eseguita l'opzione Esegui scansione o Scansione pianificata negli ultimi (x) giorni: l'agente OfficeScan non è conforme se non ha eseguito Esegui scansione o Scansione pianificata nell'arco del numero di giorni specificato. • Durata di Esegui scansione o Scansione pianificata superata (x) ore: l'agente OfficeScan non è conforme se l'ultima operazione Esegui scansione o Scansione pianificata è durata oltre il numero di ore specificato. Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 14-5. Segnalazione conformità - scheda Compatibilità scansione • Nella categoria Dispositivo con scansioni non aggiornate • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, se l'ultima Scansione pianificata è durata più del numero di ore specificato, l'agente viene 14-63 Guida per l'amministratore di OfficeScan™ 11.0 contato nella categoria Durata di Esegui scansione o Scansione pianificata superata <x> ore. Se l'agente soddisfa più di un parametro di compatibilità scansione, viene contato in ciascuna categoria per la quale non è conforme. Eseguire le funzioni Esegui scansione o Scansione pianificata su agenti che non hanno effettuato operazioni di scansione o che non sono stati in grado di completare la scansione. Impostazioni Conformità sicurezza consente di determinare se gli agenti e i relativi domini principali nella struttura agente hanno le stesse impostazioni. Le impostazioni potrebbero essere diverse se si trasferisce un agente a un altro dominio che applica un insieme di impostazioni diverso oppure se un utente dell'agente con privilegi particolari configura manualmente le impostazioni nella console dell'agente OfficeScan. OfficeScan verifica le impostazioni riportate di seguito: • Metodo di scansione • Impostazioni aggiuntive del servizio • Impostazioni scansione manuale • Reputazione Web • Impostazioni scansione in tempo reale • Monitoraggio del comportamento • Impostazioni scansione pianificata • Controllo dispositivo • Impostazioni funzione Esegui scansione • Elenco Approvati spyware/grayware • • Privilegi e altre impostazioni Impostazioni di Prevenzione perdita di dati • Connessione sospetta 14-64 Gestione dell'agente OfficeScan Un agente non conforme viene contato almeno due volte nella Segnalazione conformità. FIGURA 14-6. Segnalazione conformità - scheda Impostazioni • Nella categoria Dispositivo con impostazioni di configurazione non conformi • Nella categoria per la quale l'agente non è conforme. Se, ad esempio, le impostazioni del metodo di scansione nell'agente e nel relativo dominio root non sono coerenti, l'agente viene contato nella categoria Metodo di scansione. Se più di un gruppo di impostazioni non è coerente, l'agente viene contato in ciascuna categoria per la quale non è conforme. Per risolvere le differenze di impostazione, applicare all'agente le impostazioni del dominio. Segnalazioni conformità su richiesta Conformità sicurezza può generare Segnalazioni conformità su richiesta. Le segnalazioni facilitano la valutazione dello stato di sicurezza degli agenti OfficeScan gestiti dal server OfficeScan. 14-65 Guida per l'amministratore di OfficeScan™ 11.0 Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gli agenti gestiti a pagina 14-58. Generazione di una segnalazione di conformità su richiesta Procedura 1. Accedere a Valutazione > Conformità sicurezza > Segnalazione conformità. 2. Accedere alla sezione Ambito della struttura agente. 3. Selezionare il dominio principale oppure un dominio e fare clic su Valuta. 4. Visualizzare la Segnalazione conformità per i servizi degli agenti. Per ulteriori informazioni sui servizi degli agenti, vedere Servizi a pagina 14-59. a. Fare clic sulla scheda Servizi. b. In Dispositivo con servizi non conformi, selezionare il numero di agenti con servizi non conformi. c. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessati nella struttura agente. d. Selezionare gli agenti nei risultati della query. e. Fare clic su Riavvia agente OfficeScan per riavviare il servizio. Nota Se, dopo un'altra valutazione, l'agente risulta ancora non conforme, riavviare manualmente il servizio sull'dispositivo agente. f. 5. Per salvare l'elenco degli agenti in un file, fare clic su Esporta. Visualizzare la Segnalazione conformità per i componenti degli agenti. Per ulteriori informazioni sui componenti degli agenti, vedere Componenti a pagina 14-60. a. 14-66 Fare clic sulla scheda Componenti. Gestione dell'agente OfficeScan b. In Dispositivo con versioni componenti non conformi, selezionare il numero di agenti con versioni di componenti diverse da quelle sul server. c. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessati nella struttura agente. Nota Se in almeno un agente è presente un componente più aggiornato rispetto al server OfficeScan, aggiornare il server OfficeScan manualmente. d. Selezionare gli agenti nei risultati della query. e. Fare clic su Aggiorna ora per forzare il download dei componenti negli agenti. Nota f. 6. • Per fare in modo che gli agenti possano aggiornare il programma agente, disattivare l'opzione Gli agenti OfficeScan possono aggiornare i componenti, ma non possono aggiornare il programma agente né implementare gli hot fix in Agenti > Gestione agente > Impostazioni > Privilegi e altre impostazioni. • Per aggiornare Driver comune Firewall, riavviare l'dispositivo anziché fare clic su Aggiorna ora. Per salvare l'elenco degli agenti in un file, fare clic su Esporta. Visualizzare la Segnalazione conformità per le scansioni. Per ulteriori informazioni sulle scansioni, vedere Compatibilità scansione a pagina 14-62. a. Fare clic sulla scheda Compatibilità scansione. b. In Dispositivo con scansioni non aggiornate, configurare i seguenti elementi: • Numero di giorni durante i quali l'agente non ha eseguito l'opzione Esegui scansione o Scansione pianificata. • Numero di ore di Esegui scansione o Scansione pianificata in esecuzione 14-67 Guida per l'amministratore di OfficeScan™ 11.0 Nota Se il numero dei giorni o delle ore viene superato, l'agente viene considerato non conforme. c. Fare clic su Valuta accanto alla sezione Ambito della struttura agente. d. In Dispositivo con funzioni di scansione non aggiornate, selezionare il numero di agenti che soddisfano i parametri di scansione. e. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessati nella struttura agente. f. Selezionare gli agenti nei risultati della query. g. Fare clic su Esegui scansione per avviare la scansione immediata sugli agenti. Nota Per evitare di ripetere la scansione, l'opzione Esegui scansione sarà disattivata se l'operazione ha impiegato più tempo rispetto al numero di ore specificate. h. 7. Per salvare l'elenco degli agenti in un file, fare clic su Esporta. Visualizzare la Segnalazione conformità per le impostazioni. Per ulteriori informazioni sulle impostazioni, vedere Impostazioni a pagina 14-64. 14-68 a. Fare clic sulla scheda Impostazioni. b. In Computer con impostazioni di configurazione non conformi, selezionare il numero di agenti con impostazioni non conformi alle impostazioni del dominio della struttura agente. c. Fare clic sul collegamento numerato per visualizzare tutti gli agenti interessati nella struttura agente. d. Selezionare gli agenti nei risultati della query. e. Fare clic su Applica impostazioni dominio. Gestione dell'agente OfficeScan f. Per salvare l'elenco degli agenti in un file, fare clic su Esporta. Segnalazioni conformità pianificate Conformità sicurezza può generare segnalazioni di conformità in base a un programma. Le segnalazioni facilitano la valutazione dello stato di sicurezza degli agenti OfficeScan gestiti dal server OfficeScan. Per ulteriori informazioni sulle Segnalazioni conformità, vedere Conformità sicurezza per gli agenti gestiti a pagina 14-58. Configurazione delle impostazioni per le segnalazioni di conformità pianificate Procedura 1. Accedere a Valutazione > Conformità sicurezza > Segnalazioni pianificate. 2. Selezionare Abilita segnalazioni pianificate. 3. Specificare un titolo per questa segnalazione. 4. Selezionare tutte o una delle voci elencate di seguito: 5. • Servizi a pagina 14-59 • Componenti a pagina 14-60 • Compatibilità scansione a pagina 14-62 • Impostazioni a pagina 14-64 Specificare gli indirizzi e-mail destinatari delle notifiche sulle Segnalazioni conformità pianificate. Nota Configurare le impostazioni delle notifiche e-mail per assicurare il corretto invio delle notifiche. Per i dettagli, consultare Impostazioni notifica amministratore a pagina 13-31. 14-69 Guida per l'amministratore di OfficeScan™ 11.0 6. Specificare la pianificazione. 7. Fare clic su Salva. Conformità sicurezza per dispositivo non gestiti Conformità sicurezza può eseguire query sugli dispositivo non gestiti nella rete alla quale appartiene il server OfficeScan. Utilizzare Active Directory e gli indirizzi IP per eseguire query sugli dispositivo. La sicurezza degli dispositivo non gestiti può avere uno degli stati riportati di seguito: TABELLA 14-8. Stato sicurezza degli dispositivo non gestiti STATO DESCRIZIONE Gestito da un altro server OfficeScan Gli agenti OfficeScan installati nei computer sono gestiti da un altro server OfficeScan. Gli agenti OfficeScan sono online ed eseguono questa versione di OfficeScan oppure una versione precedente. Nessun agente OfficeScan installato L'agente OfficeScan non è installato sull'dispositivo. Non raggiungibile Il server OfficeScan non è in grado di connettersi all'dispositivo per determinare lo stato di sicurezza. Valutazione di Active Directory non risolta L'dispositivo appartiene a un dominio Active Directory, ma il server OfficeScan non è in grado di determinarne lo stato di sicurezza. Nota Il database del server OfficeScan contiene un elenco degli agenti gestiti dal server. Il server invia query ad Active Directory per richiedere i GUID dei computer e poi li confronta con i GUID memorizzati nel database. Se un GUID non è nel database, l'dispositivo viene assegnato alla categoria Valutazione di Active Directory non risolta. Per eseguire una valutazione di sicurezza, effettuare le operazioni riportate di seguito: 14-70 Gestione dell'agente OfficeScan 1. Definire l'ambito della query. Per i dettagli, consultare Definizione di ambito Active Directory/indirizzo IP e query. a pagina 14-71. 2. Selezionare i computer non protetti dal risultato della query. Per i dettagli, consultare Visualizzazione dei risultati della query a pagina 14-73. 3. Installare l'agente OfficeScan. Per i dettagli, consultare Installazione con Conformità sicurezza a pagina 5-63. 4. Configurare le query pianificate. Per i dettagli, consultare Configurazione della valutazione di query pianificate a pagina 14-75. Definizione di ambito Active Directory/indirizzo IP e query. Quando si esegue una query per la prima volta, definire l'Ambito Active Directory/ indirizzo IP che comprende gli oggetti Active Directory e gli indirizzi IP a cui il server OfficeScan deve inviare le query su richiesta o periodicamente. Dopo aver definito l'ambito, avviare l'elaborazione delle query. Nota Per definire un ambito Active Directory, è necessario che OfficeScan sia prima integrato con Active Directory. Per ulteriori informazioni sull'integrazione, vedere Active Directory Integration a pagina 2-35. Procedura 1. Accedere a Valutazione > Dispositivo non gestiti. 2. Nella sezione Ambito Active Directory/indirizzo IP, fare clic su Definisci. Viene visualizzata una nuova schermata. 3. Per definire un ambito Active Directory: a. Accedere alla sezione Ambito Active Directory. b. Selezionare Utilizza valutazione su richiesta per eseguire query in tempo reale al fine di ottenere risultati più precisi. Se si disattiva questa opzione, OfficeScan esegue le query sul database anziché su ogni singolo agente 14-71 Guida per l'amministratore di OfficeScan™ 11.0 OfficeScan. L'esecuzione delle query solo sul database può risultare più rapida ma è meno precisa. c. 4. Selezionare gli oggetti sui quali eseguire la query. Se è la prima volta che viene inviata una query, selezionare un oggetto con meno di 1.000 account e prendere nota del tempo impiegato per completare la query. Utilizzare questi dati per il confronto delle prestazioni. Per definire un ambito dell'indirizzo IP: a. Passare alla sezione Ambito indirizzo IP. b. Selezionare Attiva ambito indirizzo IP. c. Specificare un intervallo di indirizzi IP. Fare clic sul pulsante con il segno più o meno per aggiungere o eliminare gli intervalli di indirizzi IP. • Per un server OfficeScan IPv4 puro, digitare un intervallo di indirizzi IPv4. • Per un server OfficeScan IPv6 puro, digitare un prefisso IPv6 e la lunghezza. • Per un server OfficeScan dual stack, digitare un intervallo di indirizzi IPv4 e/o il prefisso IPv6 e la lunghezza. L'intervallo di indirizzi IPv6 ha un limite di 16 bit, simile al limite per gli intervalli di indirizzi IPv4. La lunghezza del prefisso deve essere compresa pertanto tra 112 e 128. TABELLA 14-9. Lunghezza dei prefissi e numero di indirizzi IPv6 LUNGHEZZA 5. 14-72 NUMERO DI INDIRIZZI IPV6 128 2 124 16 120 256 116 4,096 112 65,536 In Impostazione avanzata, specificare le porte utilizzate dai server OfficeScan per comunicare con gli agenti. Il programma genera i numeri di porta in modo casuale durante l'installazione del server OfficeScan. Gestione dell'agente OfficeScan Per visualizzare la porta di comunicazione utilizzata dal server OfficeScan, accedere a Agenti > Gestione agente e selezionare un dominio. La porta viene visualizzata accanto alla colonna degli indirizzi IP. Trend Micro consiglia di tenere traccia dei numeri di porta per riferimento futuro. 6. a. Fare clic su Specifica porte. b. Digitare il numero di porta e fare clic su Aggiungi. Ripetere questo passaggio per aggiungere tutti i numeri di porta necessari. c. Fare clic su Salva. Per verificare la connettività di un dispositivo usando un numero di porta particolare, selezionare Segnala che un dispositivo non è raggiungibile dopo la verifica della relativa porta <x>. Quando non è possibile stabilire una connessione, OfficeScan considera subito l'dispositivo irraggiungibile. Il numero di porta predefinito è 135. Attivare questa impostazione velocizza la query. Quando non è possibile stabilire una connessione agli dispositivo, il server OfficeScan non deve più eseguire le altre operazioni di verifica della connessione prima di considerare gli dispositivo irraggiungibili. 7. Per salvare l'ambito e avviare la query, fare clic su Salva e rivaluta. Per salvare solo le impostazioni, fare clic su Salva soltanto. Il risultato della query viene visualizzato nella schermata Gestione server esterni. Nota La query potrebbe richiedere molto tempo, soprattutto se l'ambito della query è ampio. Non eseguire un'altra query fino a quando il risultato non viene visualizzato nella schermata Gestione server esterni. In caso contrario la sessione di query attuale viene interrotta e l'elaborazione della query inizia di nuovo. Visualizzazione dei risultati della query Il risultato della query viene visualizzato nella sezione Stato della sicurezza. Un dispositivo non gestito avrà uno degli stati seguenti: • Gestito da un altro server OfficeScan 14-73 Guida per l'amministratore di OfficeScan™ 11.0 • Nessun agente OfficeScan installato • Non raggiungibile • Valutazione di Active Directory non risolta Procedura 1. Nella sezione Stato protezione, fare clic su un collegamento numerato per visualizzare tutti i computer interessati. 2. Utilizzare le funzioni di ricerca e ricerca avanzata per eseguire la ricerca e visualizzare solo i computer che corrispondono ai criteri selezionati. Se si utilizza la funzione di ricerca avanzata, specificare le opzioni riportate di seguito: • Intervallo di indirizzi IPv4 • Prefisso IPv6 e lunghezza (il prefisso deve essere compreso tra 112 e 128) • Nome Dispositivo • Nome server OfficeScan • Struttura Active Directory • Stato della sicurezza OfficeScan non restituisce un risultato se il nome è incompleto. Se non si è sicuri del nome completo, utilizzare un carattere jolly (*). 3. Per salvare l'elenco dei computer in un file, fare clic su Esporta. 4. Per gli agenti OfficeScan gestiti da un altro server OfficeScan, utilizzare lo strumento Agent Mover per fare in modo che gli agenti OfficeScan siano gestiti dal server OfficeScan attuale. Per ulteriori informazioni su questo strumento, vedere Agent Mover a pagina 14-23. 14-74 Gestione dell'agente OfficeScan Configurazione della valutazione di query pianificate Configurare il server OfficeScan in modo da eseguire periodicamente query su Active Directory e sugli indirizzi IP e garantire in tal modo che le linee guida di sicurezza siano implementate. Procedura 1. Accedere a Valutazione > Dispositivo non gestiti. 2. Fare clic su Impostazioni nella parte superiore della struttura agente. 3. Attivare la query pianificata. 4. Specificare la pianificazione. 5. Fare clic su Salva. Supporto Trend Micro Virtual Desktop Il supporto Trend Micro Virtual Desktop consente di ottimizzare la protezione del desktop virtuale. Questa funzione consente di controllare le operazioni sugli agenti OfficeScan che risiedono sullo stesso server virtuale. L'esecuzione di vari desktop sullo stesso server e di scansioni su richiesta o di aggiornamenti di componenti utilizza una quantità notevole di risorse di sistema. Questa funzione è utile per impedire agli agenti di eseguire scansioni e aggiornare i componenti contemporaneamente. Se, ad esempio, un server VMware vCenter dispone di tre desktop virtuali che eseguono agenti OfficeScan, OfficeScan può avviare Esegui scansione e implementare gli aggiornamenti sui tre agenti contemporaneamente. Il supporto Virtual Desktop è in grado di rilevare che gli agenti sono sullo stesso server fisico. Il supporto Virtual Desktop consente di eseguire un'operazione sul primo agente e di attendere che sia terminata prima di eseguire la stessa operazione sugli altri due agenti. Il supporto Virtual Desktop può essere utilizzato sulle seguenti piattaforme: • VMware vCenter™ (VMware View™) 14-75 Guida per l'amministratore di OfficeScan™ 11.0 • Citrix™ XenServer™ (Citrix XenDesktop™) • Microsoft Hyper-V™ Server Per gli amministratori che usano altre applicazioni di virtualizzazione, il server OfficeScan può anche fungere da hypervisor emulato per gestire gli agenti virtuali. Per ulteriori informazioni su queste piattaforme, fare riferimento ai siti Web di VMware View, Citrix XenDesktop o Microsoft Hyper-V. Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScan per ottimizzare la scansione su richiesta o rimuovere i GUID dalle immagini di base o golden. Installazione del supporto Virtual Desktop Il supporto Virtual Desktop è una funzione OfficeScan nativa ma concessa in licenza separatamente. Dopo l'installazione del server OfficeScan, questa funzione è disponibile ma non è funzionante. L'installazione della funzione prevede il download di un file dal server ActiveUpdate (o da un'origine di aggiornamento personalizzata, se configurata). Una volta incorporato il file nel server OfficeScan, è possibile attivare il supporto Virtual Desktop per attivare la funzionalità completa. L'installazione e l'attivazione vengono eseguite da Plug-in Manager. Nota Il supporto Virtual Desktop non è supportato completamente negli ambienti IPv6 puri. Per i dettagli, consultare Limitazioni del server IPv6 puro a pagina A-3. Installazione del supporto Virtual Desktop Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Download. La dimensione del pacchetto viene visualizzata accanto al pulsante Download. 14-76 Gestione dell'agente OfficeScan Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server> \PCCSRV\Download\Product. Nota Se Plug-in Manager non è in grado di scaricare il file, proverà a scaricarlo nuovamente dopo 24 ore. Per effettuare manualmente il download del pacchetto di Plug-in Manager, riavviare il servizio OfficeScan Plug-in Manager da Microsoft Management Console. 3. Monitorare l'avanzamento del download. Nel corso del download è possibile effettuare altre operazioni. Se dovessero riscontrarsi dei problemi nel corso del download del pacchetto, controllare i registri di aggiornamento server sulla console del prodotto OfficeScan. Nella barra laterale, fare clic su Registri > Aggiornamento del server. Dopo che Plug-in Manager ha scaricato il file, il supporto Virtual Desktop viene visualizzato in una nuova schermata. Nota Se il supporto Virtual Desktop non viene visualizzato, vedere le cause e le soluzioni in Risoluzione dei problemi di Plug-in Manager a pagina 15-12. 4. 5. Per installare il supporto Virtual Desktop immediatamente, fare clic su Installa ora. Per eseguire l'installazione in un secondo momento: a. Fare clic su Installa in un secondo momento. b. Aprire la schermata Plug-in Manager. c. Andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Installa. Leggere il contratto di licenza e fare clic su Accetto per accettare i termini. L'installazione viene avviata. 6. Monitorare lo stato di avanzamento dell'installazione. Al termine dell'installazione, viene visualizzata la versione del supporto Virtual Desktop. 14-77 Guida per l'amministratore di OfficeScan™ 11.0 Licenza del supporto Virtual Desktop Visualizzare, attivare e rinnovare la licenza del supporto Virtual Desktop da Plug-in Manager. Richiedere il codice di attivazione a Trend Micro e utilizzarlo per attivare la funzionalità completa del supporto Virtual Desktop. Attivazione o rinnovo del supporto Virtual Desktop Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione Supporto Trend Micro Virtual Desktop e fare clic su Gestione programma. 3. Fare clic su Visualizza Informazioni sulla licenza. 4. Nella schermata Dettagli della licenza del prodotto, fare clic su Nuovo codice di attivazione. 5. Inserire il codice di attivazione nella schermata che viene visualizzata e fare clic su Salva. 6. Quando riappare la schermata Dettagli della licenza del prodotto, fare clic su Aggiorna informazioni per aggiornare la schermata con i nuovi dettagli della licenza e il nuovo stato della funzione. Questa schermata contiene anche un collegamento al sito Web di Trend Micro dove è possibile visualizzare informazioni dettagliate sulla propria licenza. Visualizzazione delle informazioni sulla licenza del supporto Virtual Desktop Procedura 1. 14-78 Aprire la console Web OfficeScan e fare clic su Plug-in > Gestione programma [Trend Micro Virtual Desktop Support] nel menu principale. Gestione dell'agente OfficeScan 2. Fare clic su Visualizza Informazioni sulla licenza. 3. Visualizzare le informazioni sulla licenza nella schermata. La sezione Dettagli licenza per supporto Virtual Desktop contiene le seguenti informazioni: • Stato: indica se lo stato è "Attivato", "Non attivato" o "Scaduto". • Versione: Indica se la versione è "Completa" o se si tratta di una "Versione di prova". Se si dispone sia della versione completa sia della versione di prova, la versione indicata sarà "Completa". • Data di scadenza: se il supporto Virtual Desktop prevede più licenze, verrà visualizzata l'ultima data di scadenza. Se, ad esempio le date di scadenza sono 31/12/2010 e 30/06/2010, verrà visualizzata la data 31/12/2010. • Postazioni: visualizza il numero degli agenti OfficeScan che possono utilizzare il supporto Virtual Desktop • Codice di attivazione: visualizza il codice di attivazione Nei seguenti casi verranno visualizzati dei promemoria sulle licenze: Se si dispone di una licenza per la versione completa: • Durante il periodo di proroga del prodotto. La durata del periodo di proroga varia a seconda dell'area geografica. Verificare il periodo di proroga con il rappresentante Trend Micro. • Alla scadenza della licenza e al termine del periodo di proroga. In questo periodo non sarà possibile ottenere l'assistenza tecnica. Se si dispone di una licenza per la versione di prova • 4. Alla scadenza della licenza. In questo periodo non sarà possibile ottenere l'assistenza tecnica. Fare clic su Vedi dettagli licenza online per visualizzare le informazioni sulla licenza sul sito Web di Trend Micro. 14-79 Guida per l'amministratore di OfficeScan™ 11.0 5. Per aggiornare la schermata con le informazioni sulla licenza più recenti, fare clic su Aggiorna informazioni. Connessioni al server virtuale Per ottimizzare la scansione su richiesta o gli aggiornamenti dei componenti, aggiungere VMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) o Microsoft Hyper-V Server. I server OfficeScan comunicano con i server virtuali specificati per determinare gli agenti OfficeScan che sono sullo stesso server fisico. Per i server VDI, il server OfficeScan fornisce un'emulazione di hypervisor virtuale per gestire gli agenti virtuali su altre piattaforme. L'hypervisor di OfficeScan elabora le richieste dell'agente virtuale nell'ordine in cui il server riceve le richieste. Il server OfficeScan elabora una richiesta alla volta e mette tutte le richieste in una coda. Aggiunta delle connessioni server Procedura 1. Aprire la console Web OfficeScan e fare clic su Plug-in > Gestione programma [Trend Micro Virtual Desktop Support] nel menu principale. 2. Selezionare VMware vCenter Server, Citrix XenServer, Microsoft Hyper-V o Altre applicazioni di virtualizzazione. Nota Quando si seleziona Altre applicazioni di virtualizzazione, non sono necessarie altre informazioni. Il server OfficeScan risponde alle richieste dell'agente virtuale nell'ordine in cui il server riceve le richieste. 3. Attivare la connessione al server. 4. Inserire le seguenti informazioni: • Per i server VMware vCenter e Citrix XenServer: • 14-80 Indirizzo IP Gestione dell'agente OfficeScan • • Porta • Protocollo di connessione (HTTP or HTTPS) • Nome utente • Password Per i server Microsoft Hyper-V: • Nome host o indirizzo IP • Dominio\nome utente Nota L'account di accesso deve essere un account di dominio del gruppo Amministratori. • 5. 6. Password Facoltativamente, attivare la connessione del proxy per VMware vCenter o Citrix XenServer. a. Specificare il nome o l'indirizzo IP e la porta del server proxy. b. Se il server proxy richiede l'autenticazione, specificare il nome utente e la password. Fare clic su Test di connessione per verificare che il server OfficeScan sia in grado di connettersi al server. Nota Per informazioni sulla risoluzione dei problemi per la connessioni Microsoft HyperV, consultare Risoluzione dei problemi delle connessioni di Microsoft Hyper-V a pagina 14-84. 7. Fare clic su Salva. 14-81 Guida per l'amministratore di OfficeScan™ 11.0 Aggiunta di connessioni server aggiuntive Procedura 1. Aprire la console Web OfficeScan e fare clic su Plug-in > Gestione programma [Trend Micro Virtual Desktop Support] nel menu principale. 2. Fare clic su Aggiungi nuova connessione vCenter, Aggiungi nuova connessione XenServer o Aggiungi nuova connessione Hyper-V. 3. Ripetere la procedura per fornire le informazioni del server corrette. 4. Fare clic su Salva. Eliminazione dell'impostazione della connessione Procedura 1. Aprire la console Web OfficeScan e accedere a Plug-in > Gestione programma [Trend Micro Virtual Desktop Support] nel menu principale. 2. Fare clic su Elimina connessione. 3. Fare clic su Ok per confermare l'eliminazione dell'impostazione. 4. Fare clic su Salva. Modifica della capacità di scansione VDI Gli amministratori possono aumentare il numero di dispositivo VDI che eseguono una scansione simultanea modificando il file vdi.ini. Trend Micro consiglia di monitorare rigorosamente l'effetto della modifica della capacità VDI per assicurare che le risorse del sistema siano in grado di gestire qualsiasi aumento delle scansioni. 14-82 Gestione dell'agente OfficeScan Procedura 1. Sul computer del server OfficeScan, accedere a <Cartella di installazione del server>PCCSRV\Private\vdi.ini. 2. Cercare le impostazioni [TaskController]. Le impostazioni TaskController predefinite sono riportate di seguito: • Per i client OfficeScan 10.5: [TaskController] Controller_00_MaxConcurrentGuests=1 Controller_01_MaxConcurrentGuests=3 Dove: • • Controller_00_MaxConcurrentGuests=1 è pari al numero massimo di client che possono effettuare scansioni simultanee. • Controller_01_MaxConcurrentGuests=3 è pari al numero massimo di client che possono effettuare aggiornamenti simultanei. Per i client OfficeScan 10.6 e gli agenti OfficeScan 11.0: [TaskController] Controller_02_MaxConcurrentGuests=1 Controller_03_MaxConcurrentGuests=3 Dove: • Controller_02_MaxConcurrentGuests=1 è pari al numero massimo di client che possono effettuare scansioni simultanee. • Controller_03_MaxConcurrentGuests=3 è pari al numero massimo di client che possono effettuare aggiornamenti simultanei. 3. Aumentare o diminuire il conteggio in ciascun controller in base alle esigenze. Il valore minimo per tutte le impostazioni è 1. 14-83 Guida per l'amministratore di OfficeScan™ 11.0 Il valore massimo per tutte le impostazioni è 65536. 4. Salvare e chiudere il file vdi.ini. 5. Riavviare il servizio principale OfficeScan. 6. Monitorare le risorse di CPU, memoria e utilizzo del disco degli dispositivo VDI. Modificare le impostazioni del controller per aumentare o diminuire ulteriormente il numero di scansioni simultanee per adattarle al meglio all'ambiente VDI, ripetendo i passaggi dall'1 al 5. Risoluzione dei problemi delle connessioni di Microsoft Hyper-V La connessione Microsoft Hyper-V usa Strumentazione gestione Windows (WMI) e DCOM per le comunicazioni agente-server. I criteri del firewall possono bloccare queste comunicazioni, impedendo la connessione al server Hyper-V. La porta di ascolto predefinita del server Hyper-V è la porta 135 e, per altre comunicazioni, viene scelta una porta configurata casualmente. Se il firewall blocca il traffico WMI o una di queste due porte, la comunicazione con il server non riesce. Gli amministratori possono modificare i criteri del firewall per consentire la comunicazione con il server Hyper-V. Verificare che tutte le impostazioni per la connessione, inclusi indirizzo IP, dominio \nome utente e password siano corrette prima di effettuare le modifiche seguenti nel firewall. Comunicazione di WMI tramite il Windows Firewall Procedura 1. Sul server Hyper-V, aprire la schermata Programmi consentiti di Windows Firewall . Sui sistemi Windows 2008 R2, andare a Panello di controllo > Sistema e sicurezza > Windows Firewall > Consenti programma con Windows Firewall. 14-84 Gestione dell'agente OfficeScan 2. Selezionare Strumenti di gestione Windows (WMI). FIGURA 14-7. Schermata Consenti ai programmi di comunicare con Windows Firewall 3. Fare clic su Salva. 4. Verificare di nuovo la connessione di Hyper-V. Apertura della comunicazione delle porte tramite Windows Firewall o un firewall di terze parti Procedura 1. Sul server the Hyper-V, assicurarsi che il firewall consenta la comunicazione tramite la porta 135 e provare di nuovo la connessione di Hyper-V. 14-85 Guida per l'amministratore di OfficeScan™ 11.0 Per informazioni sull'apertura delle porte, consultare la documentazione del firewall. 2. Se non è possibile stabilire la connessione al server Hyper-V, configurare WMI per usare una porta fissa. Per informazioni sull'Impostazione di una porta fissa per WMI, consultare: http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs. 85).aspx 3. Apre le porte 135 e la nuova porta (24158) per le comunicazioni attraverso il firewall. 4. Verificare di nuovo la connessione di Hyper-V. Strumento di generazione del modello di prescansione VDI Utilizzare lo Strumento di generazione del modello di prescansione VDI di OfficeScan per ottimizzare le scansioni su richiesta o rimuovere i GUID dalle immagini di base o golden. Questo strumento esegue la scansione dell'immagine di base o golden e la certifica. Durante la scansione dei duplicati di questa immagine, OfficeScan controlla solo le parti che sono cambiate. In tal modo il tempo di scansione viene ridotto. Suggerimento Trend Micro consiglia di generare il modello di prescansione dopo aver applicato un aggiornamento di Windows o dopo aver installato una nuova applicazione. Creazione di un modello di prescansione Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\TCacheGen. 14-86 Gestione dell'agente OfficeScan 2. Scegliere una versione dello Strumento di generazione del modello di prescansione VDI. Sono disponibili le versioni riportate di seguito: TABELLA 14-10. Versioni dello Strumento di generazione del modello di prescansione VDI NOME FILE ISTRUZIONI TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 32 bit. TCacheGen_x64.e xe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 64 bit. TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 32 bit. TCacheGenCli_x6 4.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 64 bit. 3. Copiare nell'dispositivo la versione scelta per lo strumento nel passaggio precedente. 4. Eseguire lo strumento. • • Per eseguire lo strumento direttamente: a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe. b. Selezionare Genera modello di prescansione e fare clic su Avanti. Per eseguire lo strumento dell'interfaccia della riga di comando: a. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione dell'agente>. b. Digitare i seguenti comandi: TCacheGenCli Generate_Template O TcacheGenCli_x64 Generate_Template 14-87 Guida per l'amministratore di OfficeScan™ 11.0 Nota Lo strumento esegue la scansione dell'immagine per rilevare minacce alla sicurezza prima di generare il modello di prescansione e rimuovere il GUID. Dopo aver generato il modello di prescansione, lo strumento rimuove l'agente OfficeScan. Non ricaricare l'agente OfficeScan. Se l'agente OfficeScan viene ricaricato, sarà necessario creare di nuovo un modello di prescansione. Rimozione di GUID dai modelli Procedura 1. Nel computer server OfficeScan, accedere a <Cartella di installazione del server> \PCCSRV\Admin\Utility\TCacheGen. 2. Scegliere una versione dello Strumento di generazione del modello di prescansione VDI. Sono disponibili le versioni riportate di seguito: TABELLA 14-11. Versioni dello Strumento di generazione del modello di prescansione VDI NOME FILE ISTRUZIONI TCacheGen.exe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 32 bit. TCacheGen_x64.e xe Scegliere questo file se si desidera eseguire lo strumento direttamente su una piattaforma a 64 bit. TCacheGenCli.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 32 bit. TCacheGenCli_x6 4.exe Scegliere questo file se si desidera eseguire lo strumento direttamente dalla riga di comando di una piattaforma a 64 bit. 3. Copiare nell'dispositivo la versione scelta per lo strumento nel passaggio precedente. 4. Eseguire lo strumento. • 14-88 Per eseguire lo strumento direttamente: Gestione dell'agente OfficeScan • a. Fare doppio clic su TCacheGen.exe o TCacheGen_x64.exe. b. Selezionare Rimuovi modello da GUID e fare clic su Avanti. Per eseguire lo strumento dell'interfaccia della riga di comando: a. Aprire il prompt dei comandi e accedere alla directory <Cartella di installazione dell'agente>. b. Digitare i seguenti comandi: TCacheGenCli Remove GUID O TcacheGenCli_x64 Remove GUID Impostazioni globali agente OfficeScan applica le impostazioni agente globali a tutti gli agenti o solo agli agenti con determinati privilegi. Procedura 1. Accedere a Agenti > Impostazioni globali agente. 2. Configurare le impostazioni riportate di seguito: TABELLA 14-12. Impostazioni globali agente IMPOSTAZIONE RIFERIMENTO Impostazioni di scansione Impostazioni globali di scansione a pagina 7-70 Impostazioni scansione pianificata Impostazioni globali di scansione a pagina 7-70 Impostazioni di banda del registro virus/minacce informatiche Impostazioni globali di scansione a pagina 7-70 14-89 Guida per l'amministratore di OfficeScan™ 11.0 IMPOSTAZIONE 3. RIFERIMENTO Impostazioni del firewall Impostazioni firewall globali a pagina 12-25 Impostazione del monitoraggio del comportamento Monitoraggio del comportamento a pagina 8-2 Impostazioni servizio certificato Safe Software Attivazione del servizio certificato Safe Software per il monitoraggio del comportamento, il firewall e le scansioni antivirus a pagina 7-81 Impostazioni connessione sospetta Configurazione impostazioni degli elenchi di indirizzii IP globali definiti dall'utente a pagina 11-13 Aggiornamenti Server ActiveUpdate come origine aggiornamenti dell'agente OfficeScan a pagina 6-40 Spazio su disco riservato Configurazione dello spazio su disco riservato per gli aggiornamenti degli agenti OfficeScan a pagina 6-52 Rete non raggiungibile Agenti non raggiungibili a pagina 14-45 Impostazioni avvisi Configurazione delle notifiche di aggiornamento dell'agente OfficeScan a pagina 6-54 Riavvia Servizio OfficeScan Riavvio dei servizi dell'agente OfficeScan a pagina 14-12 Configurazione proxy Impostazioni proxy automatiche per l'agente OfficeScan a pagina 14-53 Indirizzo IP preferito Indirizzi IP dell'agente a pagina 5-10 Fare clic su Salva. Configurazione dei privilegi dell'agente e altre impostazioni Concedere agli utenti i privilegi necessari per modificare determinate impostazioni ed effettuare operazioni di livello elevato sulla console dell'agente OfficeScan. 14-90 Gestione dell'agente OfficeScan Nota Le impostazioni antivirus vengono visualizzate solo dopo l'attivazione della funzione antivirus OfficeScan. Suggerimento Per implementare impostazioni e criteri uniformi nell'organizzazione, concedere privilegi limitati agli utenti. Procedura 1. Accedere a Agenti > Gestione agente. 2. Nella struttura dell'agente, fare clic sull'icona del dominio root ( tutti gli agenti oppure selezionare domini o agenti specifici. 3. Fare clic su Impostazioni > Privilegi e altre impostazioni. 4. Nella scheda Privilegi, configurare i seguenti privilegi per gli utenti: ) per includere TABELLA 14-13. Privilegi agente PRIVILEGI AGENTE RIFERIMENTO Privilegio di roaming Privilegio di roaming dell'agente OfficeScan a pagina 14-20 Privilegi scansione Privilegi tipo di scansione a pagina 7-55 Privilegi scansione pianificata Privilegi scansione pianificata e altre impostazioni a pagina 7-58 Privilegi firewall Privilegi firewall a pagina 12-23 Privilegi di monitoraggio del comportamento Privilegi di monitoraggio del comportamento a pagina 8-10 Privilegi scansione e-mail Privilegi scansione e-mail e altre impostazioni a pagina 7-64 Privilegi impostazioni proxy Privilegi di configurazione del proxy per gli agenti a pagina 14-52 14-91 Guida per l'amministratore di OfficeScan™ 11.0 PRIVILEGI AGENTE 5. RIFERIMENTO Privilegi aggiornamento componenti Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49 Rimozione e sblocco Concessione del privilegio di rimozione e sblocco dell'agente a pagina 14-19 Disinstallazione Assegnazione dei privilegi di disinstallazione dell'agente OfficeScan a pagina 5-74 Fare clic sulla scheda Altre impostazioni e configurare le impostazioni riportate di seguito: TABELLA 14-14. Altre impostazioni agente IMPOSTAZIONE 14-92 RIFERIMENTO Aggiorna impostazioni Configurazione dei privilegi di aggiornamento e altre impostazioni a pagina 6-49 Impostazioni di reputazione Web Notifiche di minacce Web per utenti agente a pagina 11-16 Impostazione del monitoraggio del comportamento Privilegi di monitoraggio del comportamento a pagina 8-10 Impostazioni avvisi contatti C&C Notifiche di avvisi contatti C&C per gli utenti degli agenti a pagina 11-21 Impostazioni avvisi di ripristino files in quarantena Visualizza un messaggio di notifica nell'dispositivo dopo il ripristino di un file di quarantena Protezione automatica dell'agente OfficeScan Protezione automatica dell'agente OfficeScan a pagina 14-13 Impostazioni scansione pianificata Concessione privilegi scansione pianificata e visualizzazione notifica dei privilegi a pagina 7-59 Impostazioni cache per le scansioni Impostazioni cache per le scansioni a pagina 7-66 Gestione dell'agente OfficeScan IMPOSTAZIONE 6. RIFERIMENTO Impostazioni di sicurezza agente OfficeScan Sicurezza agente OfficeScan a pagina 14-17 Impostazioni POP3 Mail Scan Concessione dei privilegi scansione e-mail e attivazione di POP3 Mail Scan a pagina 7-65 Restrizione di accesso agente OfficeScan Restrizione di accesso console agente OfficeScan a pagina 14-18 Riavvia notifica Notifiche dei rischi per la sicurezza per gli utenti dell'agente OfficeScan a pagina 7-87 Se sono stati selezionati domini o agenti nella struttura agente, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito: • Applica a tutti gli agenti: applica le impostazioni a tutti gli agenti esistenti e a qualsiasi nuovo agente aggiunto a un dominio corrente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni. • Applica soltanto ai domini futuri: applica le impostazioni solo agli agenti aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi agenti aggiunti a un dominio esistente. 14-93 Parte IV Protezione aggiuntiva Capitolo 15 Uso di Plug-in Manager Questo capitolo descrive come impostare Plug-in Manager e offre una panoramica delle soluzioni plug-in disponibili con Plug-in Manager. Di seguito sono riportati gli argomenti trattati: • Informazioni su Plug-in Manager a pagina 15-2 • Installazione di Plug-in Manager a pagina 15-3 • Gestione delle funzioni native di OfficeScan a pagina 15-4 • Gestione dei programmi plug-in a pagina 15-4 • Disinstallazione di Plug-in Manager a pagina 15-12 • Risoluzione dei problemi di Plug-in Manager a pagina 15-12 15-1 Guida per l'amministratore di OfficeScan™ 11.0 Informazioni su Plug-in Manager OfficeScan include una struttura denominata Plug-in Manager che integra nuove soluzioni nell'ambiente OfficeScan esistente. Per semplificare la gestione di queste soluzioni, Plug-in Manager fornisce dati immediati per le soluzioni sotto forma di widget. Nota Attualmente, nessuna delle soluzioni plug-in supporta Pv6. Il server è in grado di scaricare tali soluzioni, ma non di implementarle sugli agenti OfficeScan IPv6 puri o sugli host IPv6 puri. Plug-in Manager fornisce due tipi di soluzioni: • Funzioni dei prodotti native Alcune funzioni OfficeScan native vengono fornite con licenze separate e attivate tramite Plug-in Manager. In questa versione, due funzioni rientrano in tale categoria: Supporto Trend Micro Virtual Desktop e Protezione dati OfficeScan. • Programmi plug-in I programmi plug-in non fanno parte del programma OfficeScan. I programmi plug-in hanno licenze e console di gestione separate. Accedere alle console di gestione dalla console Web OfficeScan. Esempi di programmi plug-in sono: Firewall di difesa dalle intrusioni, Trend Micro Security (per Mac) e Trend Micro Mobile Security. Il presente documento fornisce una panoramica generale sull'installazione e la gestione dei programmi plug-in e illustra i dati dei programmi plug-in disponibili nei widget. Per informazioni dettagliate sulla configurazione e la gestione di un programma plug-in specifico, consultare la relativa documentazione. 15-2 Uso di Plug-in Manager Agenti dei programmi plug-in su dispositivo Alcuni programmi plug-in (come Intrusion Defense Firewall) dispongono di agenti che vengono installati sui sistemi operativi Windows. Il Plug-in Manager dell'agente OfficeScan in esecuzione con il nome di processo CNTAoSMgr.exe gestisce tali agenti. OfficeScan installa CNTAoSMgr.exe con l'agente OfficeScan. L'unico requisito di sistema aggiuntivo per CNTAoSMgr.exe è Microsoft XML Parser (MSXML) 3.0 o versione successiva. Nota Gli atri programmi plug-in hanno agenti che non si installano nei sistemi operativi Windows e non sono gestiti dal Plug-in Manager dell'agente OfficeScan. L'agente Trend Micro Security (per Mac) e Mobile Device Agent per Trend Micro Mobile Security sono esempi di questi agenti. Widget Usare i widget per visualizzare dati immediati per le soluzioni plug-in implementate. Questi widget sono disponibili sulla dashboard Riepilogo del server OfficeScan. Uno speciale widget, denominato OfficeScan e Plug-ins Mashup, combina i dati degli agenti OfficeScan e delle soluzioni plug-in e li visualizza in una struttura agente. In questa Guida per l'amministratore viene fornita una panoramica sui widget e sulle soluzioni che li supportano. Installazione di Plug-in Manager Nelle versioni precedenti di Plug-in Manager, era possibile scaricare il pacchetto di installazione di Plug-in Manager dal server ActiveUpdate di Trend Micro e installarlo sullo stesso dispositivo del server OfficeScan. In questa versione, il pacchetto è incluso nel pacchetto di installazione del server OfficeScan. Una volta completata l'installazione di OfficeScan, i nuovi utenti di OfficeScan avranno installati il server OfficeScan e Plug-in Manager. Gli utenti che eseguono l'aggiornamento a questa versione di OfficeScan e hanno installato Plug-in Manager in 15-3 Guida per l'amministratore di OfficeScan™ 11.0 precedenza devono interrompere il servizio Plug-in Manager prima di eseguire il pacchetto di installazione. Operazioni post-installazione Dopo avere installato Plug-in Manager, eseguire i passaggi descritti di seguito: Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Gestire le soluzioni plug-in. 3. Accedere alla dashboard di Riepilogo sulla console Web OfficeScan per gestire i widget per le soluzioni plug-in. Gestione delle funzioni native di OfficeScan Le funzioni OfficeScan native vengono installate con OfficeScan e attivate dagli amministratori dal Plug-in Manager. La gestione di alcune funzioni, come il Supporto Trend Micro Virtual Desktop, sono gestite dal Plug-in Manager, mentre altre, come Protezione dati OfficeScan, sono gestite dalla console Web OfficeScan. Gestione dei programmi plug-in Installare e attivare programmi plug-in in modo indipendente da OfficeScan. Ogni plugin fornisce la propria console per la gestione del prodotto. Le console di gestione sono accessibili dalla console Web OfficeScan. Installazione di un programma plug-in I programmi plug-in vengono visualizzati nella console di Plug-in Manager. Utilizzare la console per scaricare, installare e gestire i programmi. Plug-In Manager scarica il 15-4 Uso di Plug-in Manager pacchetto di installazione per il programma plug-in dal server ActiveUpdate di Trend Micro o da un'origine aggiornamenti personalizzata, se ne è stata impostata una in modo corretto. Per scaricare il pacchetto dal server ActiveUpdate, è necessaria una connessione Internet. Quando Plug-in Manager scarica il pacchetto di installazione o avvia l'installazione, disattiva temporaneamente le altre funzioni del programma plug-in, quali download, installazioni e aggiornamenti. Plug-in Manager non supporta l'installazione o la gestione di un programma plug-in tramite la funzione SSO (Single Sign-On) di Trend Micro Control Manager. Installazione dei programmi plug-in Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Download. La dimensione del pacchetto del programma plug-in viene visualizzata a lato del pulsante Download. Plug-in Manager archivia il pacchetto scaricato in <Cartella di installazione del server>\PCCSRV\Download \Product. Nel corso del download è possibile monitorare l'avanzamento o effettuare altre operazioni. Nota Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto, controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nella barra laterale, fare clic su Registri > Aggiornamento del server. 3. Fare clic su Installa ora o Installa in un secondo momento. • Dopo aver fatto clic su Installa ora, l'installazione ha inizio e viene visualizzata una schermata di avanzamento. 15-5 Guida per l'amministratore di OfficeScan™ 11.0 • Dopo aver fatto clic su Installa in un secondo momento, viene visualizzata la schermata Plug-in Manager. Installare il programma plug-in facendo clic sul pulsante Installa presente nella relativa sezione della schermata Plug-in Manager. Viene visualizzata la schermata Contratto di licenza per l'utente finale Trend Micro. Nota Non tutti questi programmi plug-in visualizzano tale schermata. Se la schermata non viene visualizzata, l'installazione del programma plug-in viene avviata. 4. Fare clic su Accetto per installare il programma plug-in. Nel corso dell'installazione è possibile monitorare l'avanzamento o effettuare altre operazioni. Nota Se OfficeScan riscontra problemi nel download o nell'installazione del pacchetto, controllare i registri di aggiornamento del server sulla console Web OfficeScan. Nella barra laterale, fare clic su Registri > Aggiornamento del server. Al termine dell'installazione, sulla schermata Plug-in Manager viene visualizzata la versione corrente del programma plug-in. Attivazione della licenza del programma plug-in Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Gestione programma. Viene visualizzata la schermata Nuovo codice di attivazione della licenza del prodotto. 15-6 Uso di Plug-in Manager 3. Digitare o copiare e incollare il codice di attivazione nei campi del testo. 4. Fare clic su Salva. Viene visualizzata la console plug-in. Informazioni sulla visualizzazione e il rinnovo della licenza Procedura 1. Aprire la console Web di OfficeScan e fare clic su Plug-in nel menu principale. 2. Nella schermata Plug-in Manager, andare alla sezione dei programmi plug-in e fare clic su Gestione programma. 3. Accedere alla console plug-in e selezionare il collegamento ipertestuale Visualizza informazioni sulla licenza. Non tutti i programmi plug-in visualizzano il collegamento ipertestuale Visualizza informazioni sulla licenza nello stesso percorso. Per ulteriori informazioni, fare riferimento alla documentazione utente sui programmi plug-in. 4. Esaminare le seguenti informazioni sulla licenza nella schermata visualizzata. OPZIONE DESCRIZIONE Stato Indica se lo stato è "Attivato", "Non attivato" o "Scaduto". Versione Indica se la versione è "Completa" o se si tratta di una "Versione di prova" Nota L'attivazione viene visualizzata come "Completa" sia per la versione completa e sia per la versione di prova. Postazi
© Copyright 2024 ExpyDoc